Дусал нэвтэрхий толь - Хэрэглэгчийн оруулсан хувь нэмэр [mn]

Virt-manager, KVM, Qemu and virtiofs problem fix

2025-01-13T03:38:58Z

Almas: Хуудас үүсгэв: "I had the following error in Ubuntu 24.04. <pre> Error starting domain: operation failed: Unable to find a satisfying virtiofsd Traceback (most recent call last):..."

I had the following error in Ubuntu 24.04.

<pre>
Error starting domain: operation failed: Unable to find a satisfying virtiofsd

Traceback (most recent call last):
File "/usr/share/virt-manager/virtManager/asyncjob.py", line 72, in cb_wrapper
callback(asyncjob, *args, **kwargs)
File "/usr/share/virt-manager/virtManager/asyncjob.py", line 108, in tmpcb
callback(*args, **kwargs)
File "/usr/share/virt-manager/virtManager/object/libvirtobject.py", line 57, in newfn
ret = fn(self, *args, **kwargs)
^^^^^^^^^^^^^^^^^^^^^^^^^
File "/usr/share/virt-manager/virtManager/object/domain.py", line 1402, in startup
self._backend.create()
File "/usr/lib/python3/dist-packages/libvirt.py", line 1379, in create
raise libvirtError('virDomainCreate() failed')
libvirt.libvirtError: operation failed: Unable to find a satisfying virtiofsd

</pre>

In my case, it was fixed with the following:

<pre>
sudo apt install virtiofsd
</pre>

Also, some people seem to have problems with the path. In that case, you can fix it by editing the XML like below.

<pre>
<filesystem type='mount' accessmode='passthrough'>
<driver type='virtiofs'/>
<binary path='/usr/bin/virtiofsd'/> <--- added this line
<source dir='/mnt/virtual/download'/>
<target dir='download_tag'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x0a' function='0x0'/>
</filesystem>
</pre>

PfSense acme certificates timeout fix

2024-12-15T19:43:46Z

Almas:

Web UI-аар яаж ч оролдоод болохгүй байсан. Одоо бол импорт хийж байгаа. /home/almasd дотор файлууд бэлдсэн. 1-р серверээс цагт 1 удаа ажиллах cron-оор хуулаад импорт хийнэ.
Заавал root-ээр ажиллуулахгүй бол болохгүй.

<pre>
#!/bin/sh

/usr/local/pkg/acme/acme_command.sh importcert wildcard-all dusal.net /home/almasd/dusal.net_ecc/dusal.net.key /home/almasd/dusal.net_ecc/dusal.net.cer /home/almasd/dusal.net_ecc/ca.cer /home/almasd/dusal.net_ecc/fullchain.cer
</pre>

Хуучин ажиллахгүй арга нь:

By default we might have following error with Acme plugin of pfSense.

<pre>
xxxx/xx/xx xx:xx:xx [error] xxxxx#xxxxxx: *xxxx upstream timed out (60: Operation timed out) while reading response header from upstream, client: xxx.xxx.xxx.xxx, server: , request: "POST /acme/acme_certificates.php HTTP/2.0", upstream: "fastcgi://unix:/var/run/php-fpm.socket",
</pre>

'''How to fix:'''

In pfsense, the nginx conf file is at /etc/inc/system.inc

<pre>
keepalive_timeout 300;
proxy_read_timeout 3600;
</pre>

[[Ангилал:Сисадмин]]

PfSense acme certificates timeout fix

2024-12-15T19:42:58Z

Almas:

Web UI-аар яаж ч оролдоод болохгүй байсан. Одоо бол импорт хийж байгаа. /home/almasd дотор файлууд бэлдсэн. 1-р серверээс цагт 1 удаа ажиллах cron-оор хуулаад импорт хийнэ.

<pre>
#!/bin/sh

/usr/local/pkg/acme/acme_command.sh importcert wildcard-all dusal.net /home/almasd/dusal.net_ecc/dusal.net.key /home/almasd/dusal.net_ecc/dusal.net.cer /home/almasd/dusal.net_ecc/ca.cer /home/almasd/dusal.net_ecc/fullchain.cer
</pre>

Хуучин ажиллахгүй арга нь:

By default we might have following error with Acme plugin of pfSense.

<pre>
xxxx/xx/xx xx:xx:xx [error] xxxxx#xxxxxx: *xxxx upstream timed out (60: Operation timed out) while reading response header from upstream, client: xxx.xxx.xxx.xxx, server: , request: "POST /acme/acme_certificates.php HTTP/2.0", upstream: "fastcgi://unix:/var/run/php-fpm.socket",
</pre>

'''How to fix:'''

In pfsense, the nginx conf file is at /etc/inc/system.inc

<pre>
keepalive_timeout 300;
proxy_read_timeout 3600;
</pre>

[[Ангилал:Сисадмин]]

PfSense acme certificates timeout fix

2024-11-26T11:31:26Z

Almas:

PfSense acme certificates timeout fix

2024-11-26T10:41:05Z

Almas:

By default we might have following error with Acme plugin of pfSense.

<pre>
xxxx/xx/xx xx:xx:xx [error] xxxxx#xxxxxx: *xxxx upstream timed out (60: Operation timed out) while reading response header from upstream, client: xxx.xxx.xxx.xxx, server: , request: "POST /acme/acme_certificates.php HTTP/2.0", upstream: "fastcgi://unix:/var/run/php-fpm.socket",
</pre>

'''How to fix:'''

In pfsense, the nginx conf file is at /var/etc/nginx-webConfigurator.conf

<pre>
keepalive_timeout 300;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

[[Ангилал:Сисадмин]]

PfSense acme certificates timeout fix

2024-09-22T08:55:09Z

Almas:

By default we might have following error with Acme plugin of pfSense.

<pre>
xxxx/xx/xx xx:xx:xx [error] xxxxx#xxxxxx: *xxxx upstream timed out (60: Operation timed out) while reading response header from upstream, client: xxx.xxx.xxx.xxx, server: , request: "POST /acme/acme_certificates.php HTTP/2.0", upstream: "fastcgi://unix:/var/run/php-fpm.socket",
</pre>

'''How to fix:'''

Add the following properties to <webgui> in /conf/config.xml file.
If you add 300000 ms then it means 5 minutes.

<pre>
<webgui>
...
<connection_timeout>300000</connection_timeout>
<server_timeout>300000</server_timeout>
</webgui>
</pre>

For old versions:

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 300;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

[[Ангилал:Сисадмин]]

PfSense acme certificates timeout fix

2024-09-22T08:52:37Z

Almas:

By default we might have following error with Acme plugin of pfSense.

<pre>
xxxx/xx/xx xx:xx:xx [error] xxxxx#xxxxxx: *xxxx upstream timed out (60: Operation timed out) while reading response header from upstream, client: xxx.xxx.xxx.xxx, server: , request: "POST /acme/acme_certificates.php HTTP/2.0", upstream: "fastcgi://unix:/var/run/php-fpm.socket",
</pre>

Add the following properties to <webgui> in /conf/config.xml file.
If you add 300000 ms then it means 5 minutes.

<pre>
<webgui>
...
<connection_timeout>300000</connection_timeout>
<server_timeout>300000</server_timeout>
</webgui>
</pre>

For old versions:

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 300;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

PfSense acme certificates timeout fix

2024-09-22T08:48:34Z

Almas:

Add the following properties to <webgui> in /conf/config.xml file.
If you add 300000 ms then it means 5 minutes.

<pre>
<webgui>
...
<connection_timeout>300000</connection_timeout>
<server_timeout>300000</server_timeout>
</webgui>
</pre>

For old versions:

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 300;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

PfSense acme certificates timeout fix

2024-09-22T08:47:43Z

Almas:

Add the following properties to <webgui> in /conf/config.xml file.
If you add 300000 ms then it means 5 minutes.

<pre>
<webgui>
...
<connection_timeout>300000</connection_timeout>
<server_timeout>300000</server_timeout>
</webgui>
</pre>

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 600;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

PfSense acme certificates timeout fix

2024-09-22T08:46:47Z

Almas:

Add the following properties to <webgui> in /conf/config.xml file.
If you add 600000 ms then it means 10 minutes.

<pre>
<webgui>
...
<connection_timeout>600000</connection_timeout>
<server_timeout>600000</server_timeout>
</webgui>
</pre>

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 600;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

PfSense acme certificates timeout fix

2024-09-22T08:46:21Z

Almas:

Add the following properties to <webgui> in /conf/config.xml file.
If you add 600000 ms then it means 10 minutes.

<pre>
<webgui>
...
<connection_timeout>60000</connection_timeout>
<server_timeout>60000</server_timeout>
</webgui>
</pre>

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 600;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

PfSense acme certificates timeout fix

2024-06-30T15:45:44Z

Almas:

Edit the following properties in /conf/config.xml file.
If you change the 60000 ms to 600000 then it means 10 minutes.
<pre>
<connection_timeout>60000</connection_timeout>
<server_timeout>60000</server_timeout>
</pre>

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 600;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

PfSense acme certificates timeout fix

2024-06-30T14:30:40Z

Almas:

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 600;

location / {
root /usr/local/www/nginx;
index index.html index.htm;
proxy_read_timeout 3600;
}
</pre>

Ubuntu install custom kernel

2024-05-10T12:47:27Z

Almas:

<pre>
# search
apt-cache search linux-image- | grep "5.19.0"
apt-cache search linux-headers- | grep "5.19.0"
apt-cache search linux-modules-extra- | grep "5.19.0"

# install
apt install linux-image-5.19.0-50-generic
apt install linux-headers-5.19.0-50-generic
apt install linux-modules-extra-5.19.0-50-generic
</pre>

Set by default:

<pre>
sudo cp /etc/default/grub /etc/default/grub.bak

# Find menu item:
sudo grub-mkconfig | less

# Make like below:
GRUB_DEFAULT="Advanced options for Ubuntu>Ubuntu, with Linux 5.19.0-50-generic"

sudo vim /etc/default/grub

sudo update-grub
</pre>

[[Ангилал:Ubuntu]]

Ubuntu install custom kernel

2024-05-10T12:47:12Z

Almas:

<pre>
# search
apt-cache search linux-image- | grep "5.19.0"
apt-cache search linux-headers- | grep "5.19.0"
apt-cache search linux-modules-extra- | grep "5.19.0"

# install
apt install linux-image-5.19.0-50-generic
apt install linux-headers-5.19.0-50-generic
apt install linux-modules-extra-5.19.0-50-generic
</pre>

Set by default:

<pre>
sudo cp /etc/default/grub /etc/default/grub.bak

# Find menu item:
sudo grub-mkconfig | less

# Make like below:
GRUB_DEFAULT="Advanced options for Ubuntu>Ubuntu, with Linux 5.15.0-106-generic"

sudo vim /etc/default/grub

sudo update-grub
</pre>

[[Ангилал:Ubuntu]]

Ubuntu install custom kernel

2024-05-10T12:34:52Z

Almas: Хуудас үүсгэв: "<pre> # search apt-cache search linux-image- | grep "5.19.0" apt-cache search linux-headers- | grep "5.19.0" apt-cache search linux-modules-extra- | grep "5.19.0" #..."

Системийн мэйл SMTP-ээр илгээдэг болгож тохируулах

2024-02-15T14:34:44Z

Almas: Хуудас үүсгэв: " <pre> apt-get install msmtp mailutils bsd-mailx </pre> <pre> vim /etc/mail.rc # Add: set sendmail=/usr/bin/msmtp alias root root<user@domain.tld> </pre> <pre> vi..."

<pre>
apt-get install msmtp mailutils bsd-mailx
</pre>

<pre>
vim /etc/mail.rc

# Add:
set sendmail=/usr/bin/msmtp
alias root root<user@domain.tld>
</pre>

<pre>
vim /etc/msmtprc
</pre>

<pre>
# Set default values for all following accounts.
defaults

# Use the mail submission port 587 instead of the SMTP port 25.
port 587

# Always use TLS.
tls on
tls_starttls on

# Set a list of trusted CAs for TLS. The default is to use system settings, but
# you can select your own file.
#tls_trust_file /etc/ssl/certs/ca-certificates.crt

# The SMTP server of your ISP
account defaultaccount
host mail.domain.tld
from user@domain.tld
auth on
user user@domain.tld
password P@SSw0rd

# Set default account to isp
account default: defaultaccount

# Map local users to mail addresses
aliases /etc/aliases
</pre>

<pre>
chmod 600 /etc/msmtprc
</pre>

<pre>
vim /etc/aliases
</pre>

Add:
<pre>
root: user@domain.tld
default: user@domain.tld
</pre>

Check:
<pre>
echo "Hello World" | msmtp -d user@gmail.com
</pre>

Test:
<pre>
echo "Testing msmtp from ${HOSTNAME} with mail command" | mail -s "hi there" user@gmail.com
</pre>

[[Ангилал:Сисадмин]]

PfSense acme certificates timeout fix

2023-04-28T05:48:35Z

Almas: Хуудас үүсгэв: " In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf <pre> keepalive_timeout 300; </pre>"

In pfsense, the nginx conf file is at /usr/local/etc/nginx/nginx.conf

<pre>
keepalive_timeout 300;
</pre>

Ubuntu сервер дээр Odoo суулгах

2023-01-10T17:21:43Z

Almas: /* Step 10 :Install Odoo */

Steps To Install Odoo 15 On Ubuntu 20.04

Odoo is the most popular all-in-one business software in the world.To Install Odoo 15 on Ubuntu 20.04 you just need to follow the below steps.

There are many ways to install Odoo depending on the requirements and the easy and quick way to install Odoo by using APT repositories.

If you want to work with running multiple Odoo versions on the same system then you can either use docker compose or docker Install Odoo in a virtual environment.

This blog is to provide steps for installation and configuration of Odoo for production environment using Git source and Python environment on an Ubuntu 20.04 system.

Odoo Installation For Free !!

To install Odoo 15 on Ubuntu 20.04 LTS you just follow the below steps.

== Step 1 : Update Server ==

<pre>
sudo apt-get update
sudo apt-get upgrade -y
</pre>

== Step 2 : Create Odoo User in Ubuntu ==

<pre>
sudo adduser -system -home=/opt/odoo -group odoo
</pre>

== Step 3 : Install PostgreSQL Server ==

<pre>
sudo apt-get install postgresql -y
</pre>

== Step 4 : Create Odoo user for postgreSQL ==

<pre>
sudo su - postgres -c "createuser -s odoo" 2> /dev/null || true
</pre>

== Step 5 : Install Python Dependencies ==

<pre>
sudo apt-get install git python3 python3-pip build-essential wget python3-dev python3-venv python3-wheel libxslt-dev libzip-dev libldap2-dev libsasl2-dev python3-setuptools node-less libjpeg-dev gdebi -y
</pre>

== Step 6 : Install Python PIP Dependencies ==

<pre>
sudo apt-get install libpq-dev python-dev libxml2-dev libxslt1-dev libldap2-dev libsasl2-dev libffi-dev
</pre>

== Step 7 : Install other required packages ==

<pre>
sudo apt-get install nodejs npm -y
sudo npm install -g rtlcss
</pre>

== Step 8 : Install Wkhtmltopdf ==

<pre>
sudo apt-get install xfonts-75dpi
sudo wget https://github.com/wkhtmltopdf/packaging/releases/download/0.12.6-1/wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo dpkg -i wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo cp /usr/local/bin/wkhtmltoimage /usr/bin/wkhtmltoimage
sudo cp /usr/local/bin/wkhtmltopdf /usr/bin/wkhtmltopdf
</pre>

== Step 9 : Create Log directory ==

<pre>
sudo mkdir /var/log/odoo
sudo chown odoo:odoo /var/log/odoo
</pre>

== Step 10 :Install Odoo ==

<pre>
sudo apt-get install git
sudo git clone --depth 1 --branch 15.0 https://www.github.com/odoo/odoo /opt/odoo/odoo-server
</pre>

== Step 11 : Setting permissions on home folder ==

<pre>
sudo chown -R odoo:odoo /opt/odoo/
</pre>

== Step 12 : Create server config file ==

<pre>
sudo touch /etc/odoo-server.conf
sudo su root -c "printf '[options] \n; This is the password that allows database operations:\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'admin_passwd = admin\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'xmlrpc_port = 8069\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'logfile = /var/log/odoo/odoo-server.log\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'addons_path=/opt/odoo/odoo-server/addons\n' >> /etc/odoo-server.conf"
sudo chown odoo:odoo /etc/odoo-server.conf
sudo chmod 640 /etc/odoo-server.conf
</pre>

== Step 13 : Now Start Odoo ==

<pre>
sudo su - odoo -s /bin/bash
cd /opt/odoo/odoo-server
./odoo-bin -c /etc/odoo-server.conf
</pre>

Now your odoo instance is up and running.

Go to web browser and access your odoo at localhost:8069

[[Ангилал:Odoo]]
[[Ангилал:Linux]]
[[Ангилал:Сисадмин]]

Ubuntu сервер дээр Odoo суулгах

2023-01-10T17:21:20Z

Almas: /* Step 13 : Now Start Odoo */

Steps To Install Odoo 15 On Ubuntu 20.04

Odoo is the most popular all-in-one business software in the world.To Install Odoo 15 on Ubuntu 20.04 you just need to follow the below steps.

There are many ways to install Odoo depending on the requirements and the easy and quick way to install Odoo by using APT repositories.

If you want to work with running multiple Odoo versions on the same system then you can either use docker compose or docker Install Odoo in a virtual environment.

This blog is to provide steps for installation and configuration of Odoo for production environment using Git source and Python environment on an Ubuntu 20.04 system.

Odoo Installation For Free !!

To install Odoo 15 on Ubuntu 20.04 LTS you just follow the below steps.

== Step 1 : Update Server ==

<pre>
sudo apt-get update
sudo apt-get upgrade -y
</pre>

== Step 2 : Create Odoo User in Ubuntu ==

<pre>
sudo adduser -system -home=/opt/odoo -group odoo
</pre>

== Step 3 : Install PostgreSQL Server ==

<pre>
sudo apt-get install postgresql -y
</pre>

== Step 4 : Create Odoo user for postgreSQL ==

<pre>
sudo su - postgres -c "createuser -s odoo" 2> /dev/null || true
</pre>

== Step 5 : Install Python Dependencies ==

<pre>
sudo apt-get install git python3 python3-pip build-essential wget python3-dev python3-venv python3-wheel libxslt-dev libzip-dev libldap2-dev libsasl2-dev python3-setuptools node-less libjpeg-dev gdebi -y
</pre>

== Step 6 : Install Python PIP Dependencies ==

<pre>
sudo apt-get install libpq-dev python-dev libxml2-dev libxslt1-dev libldap2-dev libsasl2-dev libffi-dev
</pre>

== Step 7 : Install other required packages ==

<pre>
sudo apt-get install nodejs npm -y
sudo npm install -g rtlcss
</pre>

== Step 8 : Install Wkhtmltopdf ==

<pre>
sudo apt-get install xfonts-75dpi
sudo wget https://github.com/wkhtmltopdf/packaging/releases/download/0.12.6-1/wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo dpkg -i wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo cp /usr/local/bin/wkhtmltoimage /usr/bin/wkhtmltoimage
sudo cp /usr/local/bin/wkhtmltopdf /usr/bin/wkhtmltopdf
</pre>

== Step 9 : Create Log directory ==

<pre>
sudo mkdir /var/log/odoo
sudo chown odoo:odoo /var/log/odoo
</pre>

== Step 10 :Install Odoo ==

<pre>
sudo apt-get install git
sudo git clone --depth 1 --branch 15.0 https://www.github.com/odoo/odoo /odoo/odoo-server
</pre>

== Step 11 : Setting permissions on home folder ==

<pre>
sudo chown -R odoo:odoo /opt/odoo/
</pre>

== Step 12 : Create server config file ==

<pre>
sudo touch /etc/odoo-server.conf
sudo su root -c "printf '[options] \n; This is the password that allows database operations:\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'admin_passwd = admin\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'xmlrpc_port = 8069\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'logfile = /var/log/odoo/odoo-server.log\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'addons_path=/opt/odoo/odoo-server/addons\n' >> /etc/odoo-server.conf"
sudo chown odoo:odoo /etc/odoo-server.conf
sudo chmod 640 /etc/odoo-server.conf
</pre>

== Step 13 : Now Start Odoo ==

<pre>
sudo su - odoo -s /bin/bash
cd /opt/odoo/odoo-server
./odoo-bin -c /etc/odoo-server.conf
</pre>

Now your odoo instance is up and running.

Go to web browser and access your odoo at localhost:8069

[[Ангилал:Odoo]]
[[Ангилал:Linux]]
[[Ангилал:Сисадмин]]

Ubuntu сервер дээр Odoo суулгах

2023-01-10T17:21:06Z

Almas: /* Step 12 : Create server config file */

Steps To Install Odoo 15 On Ubuntu 20.04

Odoo is the most popular all-in-one business software in the world.To Install Odoo 15 on Ubuntu 20.04 you just need to follow the below steps.

There are many ways to install Odoo depending on the requirements and the easy and quick way to install Odoo by using APT repositories.

If you want to work with running multiple Odoo versions on the same system then you can either use docker compose or docker Install Odoo in a virtual environment.

This blog is to provide steps for installation and configuration of Odoo for production environment using Git source and Python environment on an Ubuntu 20.04 system.

Odoo Installation For Free !!

To install Odoo 15 on Ubuntu 20.04 LTS you just follow the below steps.

== Step 1 : Update Server ==

<pre>
sudo apt-get update
sudo apt-get upgrade -y
</pre>

== Step 2 : Create Odoo User in Ubuntu ==

<pre>
sudo adduser -system -home=/opt/odoo -group odoo
</pre>

== Step 3 : Install PostgreSQL Server ==

<pre>
sudo apt-get install postgresql -y
</pre>

== Step 4 : Create Odoo user for postgreSQL ==

<pre>
sudo su - postgres -c "createuser -s odoo" 2> /dev/null || true
</pre>

== Step 5 : Install Python Dependencies ==

<pre>
sudo apt-get install git python3 python3-pip build-essential wget python3-dev python3-venv python3-wheel libxslt-dev libzip-dev libldap2-dev libsasl2-dev python3-setuptools node-less libjpeg-dev gdebi -y
</pre>

== Step 6 : Install Python PIP Dependencies ==

<pre>
sudo apt-get install libpq-dev python-dev libxml2-dev libxslt1-dev libldap2-dev libsasl2-dev libffi-dev
</pre>

== Step 7 : Install other required packages ==

<pre>
sudo apt-get install nodejs npm -y
sudo npm install -g rtlcss
</pre>

== Step 8 : Install Wkhtmltopdf ==

<pre>
sudo apt-get install xfonts-75dpi
sudo wget https://github.com/wkhtmltopdf/packaging/releases/download/0.12.6-1/wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo dpkg -i wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo cp /usr/local/bin/wkhtmltoimage /usr/bin/wkhtmltoimage
sudo cp /usr/local/bin/wkhtmltopdf /usr/bin/wkhtmltopdf
</pre>

== Step 9 : Create Log directory ==

<pre>
sudo mkdir /var/log/odoo
sudo chown odoo:odoo /var/log/odoo
</pre>

== Step 10 :Install Odoo ==

<pre>
sudo apt-get install git
sudo git clone --depth 1 --branch 15.0 https://www.github.com/odoo/odoo /odoo/odoo-server
</pre>

== Step 11 : Setting permissions on home folder ==

<pre>
sudo chown -R odoo:odoo /opt/odoo/
</pre>

== Step 12 : Create server config file ==

<pre>
sudo touch /etc/odoo-server.conf
sudo su root -c "printf '[options] \n; This is the password that allows database operations:\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'admin_passwd = admin\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'xmlrpc_port = 8069\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'logfile = /var/log/odoo/odoo-server.log\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'addons_path=/opt/odoo/odoo-server/addons\n' >> /etc/odoo-server.conf"
sudo chown odoo:odoo /etc/odoo-server.conf
sudo chmod 640 /etc/odoo-server.conf
</pre>

== Step 13 : Now Start Odoo ==

<pre>
sudo su - odoo -s /bin/bash
cd /odoo/odoo-server
./odoo-bin -c /etc/odoo-server.conf
</pre>

Now your odoo instance is up and running.

Go to web browser and access your odoo at localhost:8069

[[Ангилал:Odoo]]
[[Ангилал:Linux]]
[[Ангилал:Сисадмин]]

Ubuntu сервер дээр Odoo суулгах

2023-01-10T17:19:51Z

Almas: /* Step 11 : Setting permissions on home folder */

Steps To Install Odoo 15 On Ubuntu 20.04

Odoo is the most popular all-in-one business software in the world.To Install Odoo 15 on Ubuntu 20.04 you just need to follow the below steps.

There are many ways to install Odoo depending on the requirements and the easy and quick way to install Odoo by using APT repositories.

If you want to work with running multiple Odoo versions on the same system then you can either use docker compose or docker Install Odoo in a virtual environment.

This blog is to provide steps for installation and configuration of Odoo for production environment using Git source and Python environment on an Ubuntu 20.04 system.

Odoo Installation For Free !!

To install Odoo 15 on Ubuntu 20.04 LTS you just follow the below steps.

== Step 1 : Update Server ==

<pre>
sudo apt-get update
sudo apt-get upgrade -y
</pre>

== Step 2 : Create Odoo User in Ubuntu ==

<pre>
sudo adduser -system -home=/opt/odoo -group odoo
</pre>

== Step 3 : Install PostgreSQL Server ==

<pre>
sudo apt-get install postgresql -y
</pre>

== Step 4 : Create Odoo user for postgreSQL ==

<pre>
sudo su - postgres -c "createuser -s odoo" 2> /dev/null || true
</pre>

== Step 5 : Install Python Dependencies ==

<pre>
sudo apt-get install git python3 python3-pip build-essential wget python3-dev python3-venv python3-wheel libxslt-dev libzip-dev libldap2-dev libsasl2-dev python3-setuptools node-less libjpeg-dev gdebi -y
</pre>

== Step 6 : Install Python PIP Dependencies ==

<pre>
sudo apt-get install libpq-dev python-dev libxml2-dev libxslt1-dev libldap2-dev libsasl2-dev libffi-dev
</pre>

== Step 7 : Install other required packages ==

<pre>
sudo apt-get install nodejs npm -y
sudo npm install -g rtlcss
</pre>

== Step 8 : Install Wkhtmltopdf ==

<pre>
sudo apt-get install xfonts-75dpi
sudo wget https://github.com/wkhtmltopdf/packaging/releases/download/0.12.6-1/wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo dpkg -i wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo cp /usr/local/bin/wkhtmltoimage /usr/bin/wkhtmltoimage
sudo cp /usr/local/bin/wkhtmltopdf /usr/bin/wkhtmltopdf
</pre>

== Step 9 : Create Log directory ==

<pre>
sudo mkdir /var/log/odoo
sudo chown odoo:odoo /var/log/odoo
</pre>

== Step 10 :Install Odoo ==

<pre>
sudo apt-get install git
sudo git clone --depth 1 --branch 15.0 https://www.github.com/odoo/odoo /odoo/odoo-server
</pre>

== Step 11 : Setting permissions on home folder ==

<pre>
sudo chown -R odoo:odoo /opt/odoo/
</pre>

== Step 12 : Create server config file ==

<pre>
sudo touch /etc/odoo-server.conf
sudo su root -c "printf '[options] \n; This is the password that allows database operations:\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'admin_passwd = admin\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'xmlrpc_port = 8069\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'logfile = /var/log/odoo/odoo-server.log\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'addons_path=/odoo/odoo-server/addons\n' >> /etc/odoo-server.conf"
sudo chown odoo:odoo /etc/odoo-server.conf
sudo chmod 640 /etc/odoo-server.conf
</pre>

== Step 13 : Now Start Odoo ==

<pre>
sudo su - odoo -s /bin/bash
cd /odoo/odoo-server
./odoo-bin -c /etc/odoo-server.conf
</pre>

Now your odoo instance is up and running.

Go to web browser and access your odoo at localhost:8069

[[Ангилал:Odoo]]
[[Ангилал:Linux]]
[[Ангилал:Сисадмин]]

Ubuntu сервер дээр Odoo суулгах

2023-01-10T17:07:00Z

Almas:

Steps To Install Odoo 15 On Ubuntu 20.04

Odoo is the most popular all-in-one business software in the world.To Install Odoo 15 on Ubuntu 20.04 you just need to follow the below steps.

There are many ways to install Odoo depending on the requirements and the easy and quick way to install Odoo by using APT repositories.

If you want to work with running multiple Odoo versions on the same system then you can either use docker compose or docker Install Odoo in a virtual environment.

This blog is to provide steps for installation and configuration of Odoo for production environment using Git source and Python environment on an Ubuntu 20.04 system.

Odoo Installation For Free !!

To install Odoo 15 on Ubuntu 20.04 LTS you just follow the below steps.

== Step 1 : Update Server ==

<pre>
sudo apt-get update
sudo apt-get upgrade -y
</pre>

== Step 2 : Create Odoo User in Ubuntu ==

<pre>
sudo adduser -system -home=/opt/odoo -group odoo
</pre>

== Step 3 : Install PostgreSQL Server ==

<pre>
sudo apt-get install postgresql -y
</pre>

== Step 4 : Create Odoo user for postgreSQL ==

<pre>
sudo su - postgres -c "createuser -s odoo" 2> /dev/null || true
</pre>

== Step 5 : Install Python Dependencies ==

<pre>
sudo apt-get install git python3 python3-pip build-essential wget python3-dev python3-venv python3-wheel libxslt-dev libzip-dev libldap2-dev libsasl2-dev python3-setuptools node-less libjpeg-dev gdebi -y
</pre>

== Step 6 : Install Python PIP Dependencies ==

<pre>
sudo apt-get install libpq-dev python-dev libxml2-dev libxslt1-dev libldap2-dev libsasl2-dev libffi-dev
</pre>

== Step 7 : Install other required packages ==

<pre>
sudo apt-get install nodejs npm -y
sudo npm install -g rtlcss
</pre>

== Step 8 : Install Wkhtmltopdf ==

<pre>
sudo apt-get install xfonts-75dpi
sudo wget https://github.com/wkhtmltopdf/packaging/releases/download/0.12.6-1/wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo dpkg -i wkhtmltox_0.12.6-1.bionic_amd64.deb
sudo cp /usr/local/bin/wkhtmltoimage /usr/bin/wkhtmltoimage
sudo cp /usr/local/bin/wkhtmltopdf /usr/bin/wkhtmltopdf
</pre>

== Step 9 : Create Log directory ==

<pre>
sudo mkdir /var/log/odoo
sudo chown odoo:odoo /var/log/odoo
</pre>

== Step 10 :Install Odoo ==

<pre>
sudo apt-get install git
sudo git clone --depth 1 --branch 15.0 https://www.github.com/odoo/odoo /odoo/odoo-server
</pre>

== Step 11 : Setting permissions on home folder ==

<pre>
sudo chown -R odoo:odoo /odoo/*
</pre>

== Step 12 : Create server config file ==

<pre>
sudo touch /etc/odoo-server.conf
sudo su root -c "printf '[options] \n; This is the password that allows database operations:\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'admin_passwd = admin\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'xmlrpc_port = 8069\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'logfile = /var/log/odoo/odoo-server.log\n' >> /etc/odoo-server.conf"
sudo su root -c "printf 'addons_path=/odoo/odoo-server/addons\n' >> /etc/odoo-server.conf"
sudo chown odoo:odoo /etc/odoo-server.conf
sudo chmod 640 /etc/odoo-server.conf
</pre>

== Step 13 : Now Start Odoo ==

<pre>
sudo su - odoo -s /bin/bash
cd /odoo/odoo-server
./odoo-bin -c /etc/odoo-server.conf
</pre>

Now your odoo instance is up and running.

Go to web browser and access your odoo at localhost:8069

[[Ангилал:Odoo]]
[[Ангилал:Linux]]
[[Ангилал:Сисадмин]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:43:59Z

Almas: /* Зарим холбогдолтой линкүүд */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== acme.sh Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== acme.sh Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Odoo-гийн веб сервер прокси SSL-тэй тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8069;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8069, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8069/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8069/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8069, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Odoo суулгах дэлгэрэнгүй зааврыг энд бичихгүй ба доорх хаягнаас харах боломжтой. Мөн доорх хаяг дээрх зүйлсээс зарим зүйлс өөр ба давхацсан байж магадгүй:
[[Ubuntu сервер дээр Odoo суулгах]]

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8069
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн тохиргоонд Logrotate=True зэргээр Odoo системийн өөрийнх нь log rotation ашиглахаас илүү системийн Logrotate ашиглахаар тохируулахыг санал болгодог.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

== Зарим холбогдолтой линкүүд ==

* [[Odoo PDF баримтуудын загвар зөв гарахгүй байх үед]]

* [[Odoo ERP Windows дээр соорсоос суулгах]]

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:43:11Z

Almas:

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== acme.sh Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== acme.sh Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Odoo-гийн веб сервер прокси SSL-тэй тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8069;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8069, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8069/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8069/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8069, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Odoo суулгах дэлгэрэнгүй зааврыг энд бичихгүй ба доорх хаягнаас харах боломжтой. Мөн доорх хаяг дээрх зүйлсээс зарим зүйлс өөр ба давхацсан байж магадгүй:
[[Ubuntu сервер дээр Odoo суулгах]]

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8069
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн тохиргоонд Logrotate=True зэргээр Odoo системийн өөрийнх нь log rotation ашиглахаас илүү системийн Logrotate ашиглахаар тохируулахыг санал болгодог.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

== Зарим холбогдолтой линкүүд ==

[[Odoo PDF баримтуудын загвар зөв гарахгүй байх үед]]
[[Odoo ERP Windows дээр соорсоос суулгах]]

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:41:32Z

Almas: /* Odoo суулгаж бэлдэх */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== acme.sh Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== acme.sh Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Odoo-гийн веб сервер прокси SSL-тэй тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Odoo суулгах дэлгэрэнгүй зааврыг энд бичихгүй ба доорх хаягнаас харах боломжтой. Мөн доорх хаяг дээрх зүйлсээс зарим зүйлс өөр ба давхацсан байж магадгүй:
[[Ubuntu сервер дээр Odoo суулгах]]

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн тохиргоонд Logrotate=True зэргээр Odoo системийн өөрийнх нь log rotation ашиглахаас илүү системийн Logrotate ашиглахаар тохируулахыг санал болгодог.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo Apache Reverse proxy SSL тохируулах

2023-01-10T14:39:46Z

Almas:

Apache reverse proxy



Debian/Ubuntu:


<pre class="code">a2enmod ssl proxy_http headers rewrite </pre>

[[Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)]]

Odoo Apache Reverse proxy SSL тохируулах

2023-01-10T14:39:26Z

Almas:

Apache reverse proxy



Debian/Ubuntu:


<pre class="code">a2enmod ssl proxy_http headers rewrite </pre>

[[https://wiki.dusal.net/Odoo_service_%D1%82%D0%BE%D1%85%D0%B8%D1%80%D1%83%D1%83%D0%BB%D0%B0%D1%85_(NGINX,_Apache,_LetsEncrypt_(acme.sh),_systemd)]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:36:48Z

Almas: /* Odoo суулгаж бэлдэх */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== acme.sh Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== acme.sh Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Odoo-гийн веб сервер прокси SSL-тэй тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн тохиргоонд Logrotate=True зэргээр Odoo системийн өөрийнх нь log rotation ашиглахаас илүү системийн Logrotate ашиглахаар тохируулахыг санал болгодог.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:36:14Z

Almas: /* Odoo суулгаж бэлдэх */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== acme.sh Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== acme.sh Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Odoo-гийн веб сервер прокси SSL-тэй тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн тохиргоонд Logrotate=True зэргээр Odoo системийн өөрийнх нь log rotation ашиглах нь дэмий ба системийн Logrotate ашиглахаар тохируулах нь дээр.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:34:45Z

Almas: /* Веб сервер прокси тохируулах */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== acme.sh Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== acme.sh Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Odoo-гийн веб сервер прокси SSL-тэй тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн системийн Logrotate ашиглахаар тохируулах нь дээр.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:33:48Z

Almas: /* Just issue certificate */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== acme.sh Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== acme.sh Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн системийн Logrotate ашиглахаар тохируулах нь дээр.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:33:33Z

Almas: /* Install from git */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== acme.sh Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн системийн Logrotate ашиглахаар тохируулах нь дээр.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:33:10Z

Almas: /* Apache сервер дэх тохиргоо */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Доорх тушаалаар идэвхжүүлнэ:

<pre>
a2enconf acme-challenge
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн системийн Logrotate ашиглахаар тохируулах нь дээр.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:32:31Z

Almas: /* Nginx сервер дэх тохиргоо */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-available/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

Доорх тушаалаар идэвхжүүлнэ:
<pre>
ln -s /etc/nginx/conf-available/acme-challenge.conf /etc/nginx/conf-enabled/acme-challenge.conf
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн системийн Logrotate ашиглахаар тохируулах нь дээр.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:28:14Z

Almas: /* SSL тохируулах */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh
(certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж бас болно)

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн системийн Logrotate ашиглахаар тохируулах нь дээр.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T14:20:34Z

Almas:

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж болох ч энэ удаад бид acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

odoo-server.conf файлд доорх тохиргоонуудыг доорх байдлаар нэмж тохируулж өгвөл зүгээр. Ялангуяа доод хэсгийн утгууд нь чухал шаардлагатай юм:

Утгуудыг нь шаардлагатай бол өөрөө нэмж тохируулаарай.

<pre>
[options]

...

db_maxconn = 100
limit_time_cpu = 28800
limit_time_real = 28800
max_cron_threads = 1
limit_time_real_cron = -1
list_db = False
log_level = info

debug_mode = False
dev_mode = False
logfile = /home/username/odoo/log/odoo-server.log
db_sslmode = prefer
http_enable = True
http_port = 8060
longpolling_port = 8072
proxy_mode = True
workers = 8
proxy=True
</pre>

Мөн системийн Logrotate ашиглахаар тохируулах нь дээр.

Жишээ нь:

/etc/logrotate.d/odoo-server файлд доорх байдлаар тохируулна.

<pre>
/home/username/odoo/log/odoo-server.log {
weekly
rotate 4
compress
delaycompress
missingok
}
</pre>

Тэгээд доорх тушаалаар идэвхжүүлнэ.

<pre>
systemctl restart logrotate.service
</pre>

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

== Monit суулгаж тохируулах ==

Мөн үүн дээр нэмээд monit суулгаж тохируулж өгвөл зүгээр.

Зааварчилгаа: [[Monit сервис тохируулах]]

Тохируулахдаа доорх байдлаар нэмж өгнө:

Жишээ тохиргоо:
/etc/monit/conf.d/odoo-server.conf файл үүсгэн доорх тохиргоог хийнэ.

<pre>
check process odoo-server with pidfile /home/username/odoo/odoo-server.pid
start program "/bin/systemctl start odoo-server" as uid userid and gid userid with timeout 120 seconds
stop program "/bin/systemctl stop odoo-server" as uid userid and gid userid
</pre>

userid гэсний оронд өөрийн хэрэглэгчийн user name-ийг тохируулж өгнө.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Monit сервис тохируулах

2023-01-10T14:18:56Z

Almas: /* Суулгаж тохируулах */

== Танилцуулга ==

Monit нь ямар нэгэн асуудал гарч сервис зогссон үед автоматаар буцаан ажиллуулах гэх мэт тохиргоо хийж өгөх боломжтой багаж юм.

== Суулгаж тохируулах ==

<pre>
sudo apt update -y
sudo apt install monit -y
sudo systemctl start monit
sudo systemctl enable monit
sudo systemctl status monit
</pre>

== Тохиргоо ==

Бэлэн сервисүүдээс шууд идэвхжүүлэх боломжтой:

SSH шалгах сервис:
<pre>
ln -s /etc/monit/conf-available/openssh-server /etc/monit/conf-enabled/
</pre>

Мөн вэб сервер:
<pre>
ln -s /etc/monit/conf-available/nginx /etc/monit/conf-enabled/
</pre>
эсвэл
<pre>
ln -s /etc/monit/conf-available/apache2 /etc/monit/conf-enabled/
</pre>

Мөн өөрийн сервисийг нэмж тохируулж болно.

Жишээ нь:

/etc/monit/conf.d/posgresql.conf файлд:

<pre>
check process postgresql with pidfile /var/run/postgresql/10-main.pid
group database
start program = "/etc/init.d/postgresql start"
stop program = "/etc/init.d/postgresql stop"
if failed unixsocket /var/run/postgresql/.s.PGSQL.5432 protocol pgsql then restart
if failed unixsocket /var/run/postgresql/.s.PGSQL.5432 protocol pgsql then alert
if failed host localhost port 5432 protocol pgsql then restart
if failed host localhost port 5432 protocol pgsql then alert
if 5 restarts within 5 cycles then timeout
</pre>

тохиргоог хийж хадгалаад доорх тушаалаар идэвхжүүлнэ.

<pre>
ln -s /etc/monit/conf-available/posgresql /etc/monit/conf-enabled/
</pre>

Тохиргоо шалгах:

<pre>
monit -t

Control file syntax OK
</pre>

Сервесийг дахин ачааллаж тохиргоог идэвхжүүлэх:

<pre>
sudo systemctl restart monit
</pre>

[[Ангилал:Сисадмин]]

Monit сервис тохируулах

2023-01-10T14:18:35Z

Almas:

== Танилцуулга ==

Monit нь ямар нэгэн асуудал гарч сервис зогссон үед автоматаар буцаан ажиллуулах гэх мэт тохиргоо хийж өгөх боломжтой багаж юм.

== Суулгаж тохируулах ==

<pre>
sudo aptupdate -y
sudo aptinstall monit -y
sudo systemctl start monit
sudo systemctl enable monit
sudo systemctl status monit
</pre>

== Тохиргоо ==

Бэлэн сервисүүдээс шууд идэвхжүүлэх боломжтой:

SSH шалгах сервис:
<pre>
ln -s /etc/monit/conf-available/openssh-server /etc/monit/conf-enabled/
</pre>

Мөн вэб сервер:
<pre>
ln -s /etc/monit/conf-available/nginx /etc/monit/conf-enabled/
</pre>
эсвэл
<pre>
ln -s /etc/monit/conf-available/apache2 /etc/monit/conf-enabled/
</pre>

Мөн өөрийн сервисийг нэмж тохируулж болно.

Жишээ нь:

/etc/monit/conf.d/posgresql.conf файлд:

<pre>
check process postgresql with pidfile /var/run/postgresql/10-main.pid
group database
start program = "/etc/init.d/postgresql start"
stop program = "/etc/init.d/postgresql stop"
if failed unixsocket /var/run/postgresql/.s.PGSQL.5432 protocol pgsql then restart
if failed unixsocket /var/run/postgresql/.s.PGSQL.5432 protocol pgsql then alert
if failed host localhost port 5432 protocol pgsql then restart
if failed host localhost port 5432 protocol pgsql then alert
if 5 restarts within 5 cycles then timeout
</pre>

тохиргоог хийж хадгалаад доорх тушаалаар идэвхжүүлнэ.

<pre>
ln -s /etc/monit/conf-available/posgresql /etc/monit/conf-enabled/
</pre>

Тохиргоо шалгах:

<pre>
monit -t

Control file syntax OK
</pre>

Сервесийг дахин ачааллаж тохиргоог идэвхжүүлэх:

<pre>
sudo systemctl restart monit
</pre>

[[Ангилал:Сисадмин]]

Monit сервис тохируулах

2023-01-10T14:18:11Z

Almas: Хуудас үүсгэв: " == Танилцуулга == Monit нь ямар нэгэн асуудал гарч сервис зогссон үед автоматаар буцаан ажилл..."

== Танилцуулга ==

Monit нь ямар нэгэн асуудал гарч сервис зогссон үед автоматаар буцаан ажиллуулах гэх мэт тохиргоо хийж өгөх боломжтой багаж юм.

== Суулгаж тохируулах ==

<pre>
sudo aptupdate -y
sudo aptinstall monit -y
sudo systemctl start monit
sudo systemctl enable monit
sudo systemctl status monit
</pre>

== Тохиргоо ==

Бэлэн сервисүүдээс шууд идэвхжүүлэх боломжтой:

SSH шалгах сервис:
<pre>
ln -s /etc/monit/conf-available/openssh-server /etc/monit/conf-enabled/
</pre>

Мөн вэб сервер:
<pre>
ln -s /etc/monit/conf-available/nginx /etc/monit/conf-enabled/
</pre>
эсвэл
<pre>
ln -s /etc/monit/conf-available/apache2 /etc/monit/conf-enabled/
</pre>

Мөн өөрийн сервисийг нэмж тохируулж болно.

Жишээ нь:

/etc/monit/conf.d/posgresql.conf файлд:

<pre>
check process postgresql with pidfile /var/run/postgresql/10-main.pid
group database
start program = "/etc/init.d/postgresql start"
stop program = "/etc/init.d/postgresql stop"
if failed unixsocket /var/run/postgresql/.s.PGSQL.5432 protocol pgsql then restart
if failed unixsocket /var/run/postgresql/.s.PGSQL.5432 protocol pgsql then alert
if failed host localhost port 5432 protocol pgsql then restart
if failed host localhost port 5432 protocol pgsql then alert
if 5 restarts within 5 cycles then timeout
</pre>

тохиргоог хийж хадгалаад доорх тушаалаар идэвхжүүлнэ.

<pre>
ln -s /etc/monit/conf-available/posgresql /etc/monit/conf-enabled/
</pre>

Тохиргоо шалгах:

<pre>
monit -t

Control file syntax OK
</pre>

Сервесийг дахин ачааллаж тохиргоог идэвхжүүлэх:

<pre>
sudo systemctl restart monit
</pre>

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T13:39:43Z

Almas:

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж болох ч энэ удаад бид acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-server файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-server болгон үндэсн хавтсанд хуулаарай.

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T13:38:19Z

Almas: /* Odoo суулгаж бэлдэх */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж болох ч энэ удаад бид acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

Мөн odoo-bin файл байхгүй байгаа тохиолдолд setup хавтасны odoo файлыг odoo-bin болгон үндэсн хавтсанд хуулаарай.

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T13:36:43Z

Almas: /* Odoo суулгаж бэлдэх */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж болох ч энэ удаад бид acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

Харин '''pip install -r requirements.txt''' тушаалаа ажиллуулахдаа хийсвэр орчноо идэвхжүүлсэн байх хэрэгтэй.

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T13:35:39Z

Almas: /* Odoo суулгаж бэлдэх */

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж болох ч энэ удаад бид acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[Python хийсвэр орчин (Virtual Environment) тохируулах]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T13:34:08Z

Almas:

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж болох ч энэ удаад бид acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[https://wiki.dusal.net/Python_%D1%85%D0%B8%D0%B9%D1%81%D0%B2%D1%8D%D1%80_%D0%BE%D1%80%D1%87%D0%B8%D0%BD_(Virtual_Environment)_%D1%82%D0%BE%D1%85%D0%B8%D1%80%D1%83%D1%83%D0%BB%D0%B0%D1%85]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T13:32:47Z

Almas:

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм. Nginx, Apache 2 серверийн аль нэгийг нь сонгон суулгасан байгаа байх. Тиймээс тохиргоон дээр аль нэгийг нь сонгож хийгээд нөгөөг нь алгасаж тохируулаарай.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж болох ч энэ удаад бид acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
<pre>

https үндсэн тохиргоог доорх байдлаар хийнэ:

/etc/apache2/sites-available/example.com-le-ssl.conf

<pre>
<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
a2ensite example.com-le-ssl
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[https://wiki.dusal.net/Python_%D1%85%D0%B8%D0%B9%D1%81%D0%B2%D1%8D%D1%80_%D0%BE%D1%80%D1%87%D0%B8%D0%BD_(Virtual_Environment)_%D1%82%D0%BE%D1%85%D0%B8%D1%80%D1%83%D1%83%D0%BB%D0%B0%D1%85]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Odoo service тохируулах (NGINX, Apache, LetsEncrypt (acme.sh), systemd)

2023-01-10T13:31:39Z

Almas:

== Ерөнхий тайлбар ==

Odoo сервис продакшн орчинд тохируулахдаа Nginx юмуу Apache сервер proxy ашиглан, мөн төлбөргүй SSL тохируулах талаар. Энэ зааврын хувьд Ubuntu үйлдлийн системд зориулсан ба бусад Линкус системд зарим зүйл нь өөр байж магадгүй юм.

== SSL тохируулах ==

Энэ удаад бид Let's Encrypt free SSL-ийн certbot гээд өргөн ашиглагддаг python багажаар тохиргоо хийж болох ч энэ удаад бид acme.sh shell script-ээр тохиргоо хийнэ. Project on github: https://github.com/acmesh-official/get.acme.sh

Аль аль нь нээлттэй эхийн хэрэгсэл ба зөвхөн online серверт тохируулах боломжтой.

Төлбөртэй SSL худалдан авч тохируулах тохиолдолд прокси серверийн тохиргоо дээрээ замыг зааж өгөхөд л болох тул доорхыг алгасахад болно.

Төлбөргүй SSL нь 90 хоногийн хугацаатай ба бид автомтаар сунгагдаж явахаар тохируулна. Ингэхийн тулд сервер баталгаажуулалтын тохиргоог эхлээд зөв хийж өгөх шаардлагатай. DNS зэрэг өөр олон тохируулах арга байдаг ч энэ удаад хамгийн хялбар, өргөн ашиглагддаг вэб серверийн тохиргооны дагуу тохируулна. Доорх Nginx, Apache2 аль нэгийг сонгон тохируулаарай.

=== Nginx сервер дэх тохиргоо ===

/etc/nginx/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
location ^~ /.well-known/acme-challenge/ {
default_type "text/plain";
root /var/www/html;
break;
}
location = /.well-known/acme-challenge/ {
return 404;
}
</pre>

эсвэл

=== Apache сервер дэх тохиргоо ===

Доорх файлыг үүсгэн:

/etc/apache2/conf-enabled/acme-challenge.conf

Доорх агуулгыг хийж хадгална:

<pre>
Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>
</pre>

Ингээд acme.sh-ээ суулгана:

=== Install from git ===

1. Прожектыг хуулбарлан аваад доорх байдлаар ажиллуулна:

<pre>
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m my@example.com
</pre>

Дээрхийг суулгахдаа root эрхээр ажиллуулахгүй байх нь дээр.

Ингээд суулгахад доорх 3 үйлдлийг суулгагч хийдэг:

1. acme.sh хэрэглэгчийн home dir ($HOME) дотор дараах хавтсыг үүсгэдэг: ~/.acme.sh/. Цаашид үүсгэх сертификатууд энэ хавтсанд байршина.
2. Дараах байдлаар тушаалын alias үүсгэдэг: acme.sh=~/.acme.sh/acme.sh.
3. Cron job доорх байдлаар үүсгэдэг:
<pre>
0 0 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
</pre>

crontab -l тушаалаар шалгана.
Ямар нэгэн байдлаар үүсээгүй тохиолдолд crontab -e гэж байгаад дээрх байдлаар гараар тохируулж өгч болно. Гараар үүсгэх тохиолдолд /home/user/ гэсний оронд өөрийн home хавтсаа тохируулна.

Мөн зөв ажилаж байгаа эсэхийг дараах байдлаар ажиллуулж мэдээлэл харж шалгаж болно:

<pre>
root@v1:~# acme.sh -h
</pre>

Мөн доорх тушаалаар автоматаар шинэчлэгдэж байхаар тохируулчихвал амар:

<pre>
acme.sh --upgrade --auto-upgrade
</pre>

=== Just issue certificate ===

Ингээд доорх тушаалаар сертификат үүсгэнэ. Nginx юмуу Apache тохиргоог автоматаар хийх тушаал байдаг ч бид энэ удаад гараараа тохируулна.

<pre>
acme.sh --issue -d example.com -d www.example.com -w /var/www/html
</pre>
example.com гэсний оронд домэйн нэрээ оруулна.

Ингээд ~/.acme.sh/example.com/ хавтсанд сертификатууд үүснэ.

Энэ нь 60 хоног тутамд автоматаар шинэчлэгдэнэ.

Энэ арга таарахгүй өөр жишээнүүд судлах бол дараах хаягаар үзэж болно: https://github.com/acmesh-official/acme.sh/wiki/How-to-issue-a-cert

== Веб сервер прокси тохируулах ==

Аль нэг өөрийн сонгосон серверээр тохиргоогоо хийгээрэй.

=== Nginx тохиргоо ===

/etc/nginx/sites-available/example.com.conf

<pre>
upstream odoo {
server 127.0.0.1:8060;
}
upstream odoochat {
server 127.0.0.1:8072;
}

# http -> https
server {
listen 80;
server_name example.com www.example.com;
location /.well-known/acme-challenge/ {
alias /var/www/html/.well-known/acme-challenge/;
}
rewrite ^(.*) https://$host$1 permanent;
}

# https
server {
listen 443 ssl;
server_name example.com www.example.com;
proxy_read_timeout 28800s;
proxy_connect_timeout 800s;
proxy_send_timeout 28800s;

# Add Headers for odoo proxy mode
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;

# SSL parameters
ssl_certificate /home/user/.acme.sh/example.com/fullchain.cer;
ssl_certificate_key /home/user/.acme.sh/example.com/example.com.key;
ssl_session_timeout 240m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;

# log
access_log /var/log/nginx/example.com.access.log;
error_log /var/log/nginx/example.com.error.log;

# Redirect requests to odoo backend server
location / {
proxy_redirect off;
proxy_pass http://odoo;
}
location /longpolling {
proxy_pass http://odoochat;
}

# common gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
nginx -t
</pre>

Ингээд асуудалгүй бол Nginx сервер доорх тушаалаар дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart nginx
</pre>

=== Apache тохиргоо ===

Эхлээд http -г https рүү үсэргэх тохиргоог хийнэ. Мөн SSL нь баталгаажуулалтын тохиргоог ч доорх байдлаар энд тохируулж өгч болно:

/etc/apache2/sites-available/example.com.conf

<pre>
<VirtualHost *:80>
ServerName example.com
ServerAlias www.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

Alias /.well-known/acme-challenge/ /var/www/html/.well-known/acme-challenge/
<Directory "/var/www/html/.well-known/acme-challenge/">
Options None
AllowOverride None
ForceType text/plain
RedirectMatch 404 "^(?!/\.well-known/acme-challenge/[\w-]{43}$)"
</Directory>

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

RewriteCond %{SERVER_NAME} =example.com [OR]
RewriteCond %{SERVER_NAME} =www.example.com
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
<pre>

https үндсэн тохиргоог доорх байдлаар хийнэ:

/etc/apache2/sites-available/example.com-le-ssl.conf

<pre>
<IfModule mod_ssl.c>
AcceptFilter http none
AcceptFilter https none

<VirtualHost *:443>
ServerName example.com
ServerAlias www.example.com erp.example.com

DocumentRoot "/var/www/html"

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/\.well-known/acme-challenge/
RewriteRule ^ - [END]

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

#LogLevel debug
Customlog /var/log/apache2/example.com-access.log combined
ErrorLog /var/log/apache2/example.com-error.log

ProxyTimeout 86400
ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"
Header set X-Forwarded-Port "443"
Header always add Strict-Transport-Security "max-age=15768000"

SSLSessionCacheTimeout 28800

ProxyIOBufferSize 819200

ProxyPass /longpolling/ http://localhost:8072/longpolling/
ProxyPassReverse /longpolling/ http://localhost:8072/longpolling/

ProxyPass / http://localhost:8060/ connectiontimeout=300 timeout=28800 keepalive=On ttl=28800 retry=300 acquire=30000 responsefieldsize=819200
ProxyPassReverse / http://localhost:8060/

Include /etc/letsencrypt/options-ssl-apache.conf
SSLUseStapling on
SSLStaplingResponderTimeout 30
SSLStaplingReturnResponderErrors off

SSLCertificateFile /home/user/.acme.sh/example.com/fullchain.cer
SSLCertificateKeyFile /home/user/.acme.sh/example.com/example.com.key

# GZIP compression for text files: HTML, CSS, JS, Text, XML, fonts
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
</IfModule>

</VirtualHost>
# Set the location of the SSL OCSP Stapling Cache
SSLStaplingCache shmcb:/tmp/stapling_cache(128000)
</IfModule>
</pre>

Дээрх тохиргоонд example.com, /home/user, 8060, 8072 гэсэн утгуудыг шаардлагатайг нь зохих утгуудаар бүгдийг нь хайж солиорой.
SSLStapling тохиргоо алдаа заасан тохиолдолд Apache SSL модулийн тохиргоонд идэвхжүүлж тохируулаарай.

Ингээд доорх тушаалаар идэвхжүүлнэ:

<pre>
a2ensite example.com
a2ensite example.com-le-ssl
</pre>

Хийсэн тохиргоогоо дараах тушаалаар шалгана:

<pre>
apache2ctl configtest
</pre>

Ингээд '''Syntax OK''' гэж гарч асуудалгүй бол Apache сервер дахин ачааллаж тохиргоог идэвхжүүлнэ.

<pre>
sudo systemctl restart apache2
</pre>

== Odoo суулгаж бэлдэх ==

Нэг сервер дээр олон орчин ажиллуулах зэрэгт тохиромжтой байдаг тул анхнаасаа хийсвэр орчин тохируулж бэлдэх нь дээр.
Доорх зааврын дагуу үүсгээрэй:

[[https://wiki.dusal.net/Python_%D1%85%D0%B8%D0%B9%D1%81%D0%B2%D1%8D%D1%80_%D0%BE%D1%80%D1%87%D0%B8%D0%BD_(Virtual_Environment)_%D1%82%D0%BE%D1%85%D0%B8%D1%80%D1%83%D1%83%D0%BB%D0%B0%D1%85]]

Ингээд /home/username/odoo/ хавтсанд Odoo-ийн соорс кодоо хуулж бэлдэнэ. Мэдээж өөр хавтсанд ч тохируулж болох ба тэгсэн тохиолдолд доорх зааврууд дээр тэр хавтасны замаа зааж өгөөрэй.

== Systemd сервис тохируулах ==

$USER/.config/systemd/user/odoo-server.service файл үүсгэн доорх агуулгыг оруулна.

(Эсвэл системийн сервис хэлбэрээр /etc/systemd/system/ хавтсанд үүсгэж болно. Тэгсэн тохиолдолд сервис удирдахад заавал sudo шаардлагатай болно.)

<pre>
[Unit]
Description=OdooServer
Requires=postgresql.service
After=network.target postgresql.service

[Service]
Type=simple
SyslogIdentifier=odoo-server
#User=username
#Group=username
ExecStart=/home/user/virtualenvs/odoo1env/bin/python /home/username/odoo/odoo-server --pidfile=/home/username/odoo/odoo-server.pid -c /home/username/odoo/odoo-server.conf
StandardOutput=journal+console

[Install]
WantedBy=default.target
#WantedBy=multi-user.target
</pre>

ExecStart утгыг өөрчилж тохируулах шаардлагатай.

Жишээлбэл /home/user/virtualenvs/odoo1env/bin/python гэсний оронд virtual env тохируулсан замаа зааж өгнө.
(Хэрэв хийсвэр орчин тохируулаагүй бол /usr/bin/python3.7 гэх мэт системийн үндсэн замыг ч зааж өгч болно.)
/home/username/odoo/ хавтсанд odoo-гийн кодоо хуулах юмуу эсвэл үүний оронд хуулсан замаа зааж өгч тохируулна.

(Системийн сервис хэлбэрээр тохируулж буй үед коммэнт аут хийсэн мөрүүдийг идэвхжүүлэх ба User, Group утгуудыг тохируулж өгнө. )

Ингээд доорх тушаалуудаар идэвхжүүлж удирдана. Доод талын 4 тушаал бол цаашид тогтмол ашиглагдана.

<pre>
systemctl --user daemon-reload
systemctl --user enable odoo-server.service

systemctl --user start odoo-server.service
systemctl --user stop odoo-server.service
systemctl --user restart odoo-server.service
systemctl --user status odoo-server.service
</pre>

Дээрх odoo-server гэсний оронд сервистээ өөр нэр сонгож бас болно.

[[Ангилал:Odoo]]
[[Ангилал:Зааварчилгаа]]
[[Ангилал:Сисадмин]]
[[Ангилал:Linux]]
[[Ангилал:Nginx]]
[[Ангилал:Apache]]

Python хийсвэр орчин (Virtual Environment) тохируулах

2023-01-10T13:22:40Z

Almas:

== Ерөнхий тайлбар ==

Нэг сервер дээр олон өөр python хувилбар, пакежууд тохируулах зэрэгт хийсвэр орчин үүсгэж тохируулах шаардлага гардаг.
Доорх байдлаар хялбархан шийдэж болно.

== Шинэчлэх, тохируулах ==

<pre>
sudo apt-get update
sudo apt-get -y upgrade

python3 -V

sudo apt-get install build-essential libssl-dev libffi-dev python-dev

sudo apt-get install -y python3-pip python3-venv
</pre>

== Хийсвэр орчин үүсгэх ==

Орчнуудаа нэг хавтсанд үүсгэвэл дараа нь цэгцтэй амар.

<pre>
mkdir /path/to/directory_env
cd /path/to/directory_env
</pre>

Үүсгэх:

<pre>
python -m venv example-name
</pre>

== Хийсвэр орчин ашиглах ==

Идэвхжүүлэх:

<pre>
source example-name/bin/activate
</pre>

Идэвхгүй болгох:

<pre>
deactive
</pre>

Жич:
example-name гэсний оронд өөрийн нэрээ өгөөрэй.

[[Ангилал:Зааварчилгаа]]
[[Ангилал:Software_development]]

Python хийсвэр орчин (Virtual Environment) тохируулах

2023-01-10T13:22:02Z

Almas: /* Ерөнхий тайлбар */

== Ерөнхий тайлбар ==

Нэг сервер дээр олон өөр python хувилбар, пакежууд тохируулах зэрэгт хийсвэр орчин үүсгэж тохируулах шаардлага гардаг.
Доорх байдлаар хялбархан шийдэж болно.

== Шинэчлэх, тохируулах ==

<pre>
sudo apt-get update
sudo apt-get -y upgrade

python3 -V

sudo apt-get install build-essential libssl-dev libffi-dev python-dev

sudo apt-get install -y python3-pip python3-venv
</pre>

== Хийсвэр орчин үүсгэх ==

Орчнуудаа нэг хавтсанд үүсгэвэл дараа нь цэгцтэй амар.

<pre>
mkdir /path/to/directory_env
cd /path/to/directory_env
</pre>

Үүсгэх:

<pre>
python -m venv example-name
</pre>

Идэвхжүүлэх:

<pre>
source example-name/bin/activate
</pre>

example-name гэсний оронд өөрийн нэрээ өгөөрэй.

Идэвхгүй болгох:

<pre>
deactive
</pre>

[[Ангилал:Зааварчилгаа]]
[[Ангилал:Software_development]]

Python хийсвэр орчин (Virtual Environment) тохируулах

2023-01-10T13:21:33Z

Almas: Хуудас үүсгэв: " == Ерөнхий тайлбар == Нэг сервер дээр олон өөр python хувилбар, пакажууд тохируулах зэрэгт хий..."

== Ерөнхий тайлбар ==

Нэг сервер дээр олон өөр python хувилбар, пакажууд тохируулах зэрэгт хийсвэр орчин үүсгэж тохируулах шаардлага гардаг.
Доорх байдлаар хялбархан шийдэж болно.

== Шинэчлэх, тохируулах ==

<pre>
sudo apt-get update
sudo apt-get -y upgrade

python3 -V

sudo apt-get install build-essential libssl-dev libffi-dev python-dev

sudo apt-get install -y python3-pip python3-venv
</pre>

== Хийсвэр орчин үүсгэх ==

Орчнуудаа нэг хавтсанд үүсгэвэл дараа нь цэгцтэй амар.

<pre>
mkdir /path/to/directory_env
cd /path/to/directory_env
</pre>

Үүсгэх:

<pre>
python -m venv example-name
</pre>

Идэвхжүүлэх:

<pre>
source example-name/bin/activate
</pre>

example-name гэсний оронд өөрийн нэрээ өгөөрэй.

Идэвхгүй болгох:

<pre>
deactive
</pre>

[[Ангилал:Зааварчилгаа]]
[[Ангилал:Software_development]]