一、非Docker部署的适用场景与优势

在容器化技术普及的今天，非Docker部署方案仍具有不可替代的价值。对于金融、医疗等强监管行业，物理机或虚拟机部署更符合等保2.0三级要求，能有效规避容器逃逸等安全风险。某省级政务云案例显示，采用非Docker方案后，系统审计日志完整度提升40%，符合《网络安全法》第21条要求。

技术层面，非Docker部署可深度定制系统内核参数。例如通过修改/etc/sysctl.conf中的net.core.somaxconn值，将并发连接数从默认的128提升至4096，解决高并发场景下的连接队列溢出问题。资源隔离方面，cgroups直接配置比Docker默认限制更灵活，可针对OnlyOffice的文档转换服务单独分配CPU亲和性。

二、系统环境准备与依赖管理

1. 基础环境要求

• 操作系统：推荐CentOS 7.9或Ubuntu 20.04 LTS，需关闭SELinux（CentOS）或AppArmor（Ubuntu）
• 硬件配置：最低4核8G内存，文档转换服务建议配置NVIDIA GPU加速
• 存储方案：采用LVM逻辑卷管理，为文档存储划分独立卷组，建议RAID10阵列

2. 依赖项安装

# CentOS 7.9示例
yum install -y epel-release
yum install -y redis postgresql12-server nodejs14 npm mono-complete libreoffice-fresh
# Ubuntu 20.04示例
apt-get install -y redis-server postgresql-12 nodejs npm mono-complete libreoffice

关键依赖说明：

• PostgreSQL：需配置postgresql.conf中的max_connections为200（默认100）
• Redis：修改/etc/redis/redis.conf的maxmemory为2gb，采用allkeys-lru策略
• LibreOffice：安装libreoffice-java-support解决DOCX转换异常

三、核心服务部署流程

1. 数据库初始化

-- PostgreSQL创建专用用户和数据库
CREATE USER onlyoffice WITH PASSWORD 'SecurePass123';
CREATE DATABASE onlyofficedb OWNER onlyoffice;
ALTER DATABASE onlyofficedb SET timezone TO 'Asia/Shanghai';

2. 文档服务配置

修改/etc/onlyoffice/documentserver/local.json关键参数：

{
  "storage": {
    "fileStoragePath": "/var/www/onlyoffice/Data",
    "tempFolder": "/var/www/onlyoffice/tmp"
  },
  "services": {
    "CoAuthoring": {
      "sql": {
        "type": "postgres",
        "host": "localhost",
        "port": "5432"
      }
    }
  }
}

3. Web服务优化

Nginx配置要点：

server {
    listen 443 ssl;
    server_name docs.example.com;
    client_max_body_size 500M;
    proxy_read_timeout 300s;
    location / {
        proxy_pass http://127.0.0.1:8000;
        proxy_set_header Host $host;
    }
}

需特别注意proxy_buffering off设置，避免大文件上传时的数据截断问题。

四、安全加固方案

1. 传输层安全

• 强制HTTPS：使用Let’s Encrypt证书，配置HSTS头
• API接口签名：在/etc/onlyoffice/documentserver/apps/api/config.js中启用JWT验证

  module.exports = {
  "jwt": {
    "enabled": true,
    "secret": "Your-32-byte-secret-base64-encoded"
  }
  };

2. 数据安全

• 文档加密：启用AES-256-CBC加密，修改local.json中的encryption配置
• 审计日志：配置rsyslog将日志同步至专用服务器，保留周期180天

五、运维监控体系

1. 性能监控

Prometheus监控指标示例：

- job_name: 'onlyoffice'
  static_configs:
    - targets: ['localhost:9100']
  metrics_path: '/metrics'
  params:
    module: ['onlyoffice']

关键监控项：

• 文档转换队列积压数（docservice_queue_length）
• 实时连接数（coauthoring_connections）
• 存储空间使用率（node_filesystem_avail_bytes）

2. 故障排查

常见问题处理：

1. 502错误：检查/var/log/onlyoffice/nginx/error.log中的后端服务状态
2. 转换失败：查看/var/log/onlyoffice/docservice/convert.log的LibreOffice进程状态
3. 内存溢出：调整/etc/sysctl.conf中的vm.overcommit_memory为2

六、扩展性设计

1. 集群部署方案

采用主从架构时，配置共享存储（如NFS或iSCSI）：

# 主节点配置
echo "/var/www/onlyoffice/Data *(rw,sync,no_root_squash)" >> /etc/exports
exportfs -a
# 从节点挂载
mount -t nfs 192.168.1.10:/var/www/onlyoffice/Data /mnt/onlyoffice

2. 混合云部署

对于跨机房场景，建议：

• 数据库采用PostgreSQL流复制
• 文档存储使用MinIO对象存储
• 配置GeoDNS实现就近访问

七、升级与回滚策略

1. 升级流程

# 备份关键数据
cp -r /var/www/onlyoffice/Data /backup/onlyoffice_data_$(date +%Y%m%d)
pg_dump -U onlyoffice onlyofficedb > /backup/onlyoffice_db_$(date +%Y%m%d).sql
# 执行升级（以7.0→7.1为例）
wget https://github.com/ONLYOFFICE/DocumentServer/releases/download/v7.1.0/onlyoffice-documentserver-amd64.rpm
yum localinstall onlyoffice-documentserver-amd64.rpm

2. 回滚方案

准备回滚包时需包含：

• 旧版本RPM/DEB包
• 数据库结构回滚脚本
• 配置文件差异对比表

八、成本效益分析

非Docker方案在3年周期内具有明显优势：
| 项目 | Docker方案 | 非Docker方案 |
|———————|——————|———————|
| 初始投入 | 低 | 中 |
| 运维复杂度 | 中 | 高 |
| 监管合规成本 | 高 | 低 |
| 长期维护成本 | 中高 | 中 |

某制造业案例显示，500用户规模下，非Docker方案TCO降低23%，主要得益于硬件利用率提升（从35%→68%）和审计成本下降。

本方案通过系统化的非Docker部署设计，在保证功能完整性的同时，实现了企业级场景下的安全可控。实际部署时建议先在测试环境验证配置，逐步推广至生产环境。对于超大规模部署（>1000并发），可考虑结合Kubernetes Operator实现混合部署模式。