项目资源获取#

LGnewUI-2采用授权下载方式，需要在 LGNewUi-Auth - 情侣小站在线授权系统登录并经授权后，下载项目源代码。

Docker的安装配置#

1
#删除Docker相关源
2
sudo rm -f /etc/apt/sources.list.d/*docker*.list
3
#卸载Docker和相关的软件包
4
for pkg in docker.io docker-buildx-plugin docker-ce-cli docker-ce-rootless-extras docker-compose-plugin docker-doc docker-compose podman-docker containerd runc; do sudo apt-get remove -y $pkg; done
5

6
#添加 GPG 密钥
7
sudo apt update
8
sudo apt install ca-certificates curl
9
sudo install -m 0755 -d /etc/apt/keyrings
10
sudo curl -fsSL http://mirrors.cloud.aliyuncs.com/docker-ce/linux/debian/gpg -o /etc/apt/keyrings/docker.asc
11
sudo chmod a+r /etc/apt/keyrings/docker.asc
12
#将该软件源添加到 Apt 源列表中。
13
sudo tee /etc/apt/sources.list.d/docker.sources <<EOF
14
Types: deb
15
URIs: http://mirrors.cloud.aliyuncs.com/docker-ce/linux/debian
16
Suites: $(. /etc/os-release && echo "$VERSION_CODENAME")
17
Components: stable
18
Signed-By: /etc/apt/keyrings/docker.asc
19
EOF
20

21
sudo apt update
22
#安装Docker社区版本，容器运行时containerd.io，以及Docker构建和Compose插件
23
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin
24

25
#启动Docker
26
sudo systemctl start docker
27
#设置Docker守护进程在系统启动时自动启动
28
sudo systemctl enable docker

配置镜像源:

1
sudo nano /etc/docker/daemon.json

轩辕镜像一键配置脚本:

1
bash <(wget -qO- https://xuanyuan.cloud/docker.sh)

镜像源配置示例：

1
{
2
  "registry-mirrors": [
3
    "https://docker.m.daocloud.io",
4
    "https://docker.1panel.live/"
5
  ]
6
}

如果配置后仍然无法拉取(docker pull)镜像，请考虑使用科学上网工具。

对于不同设备，可以使用以下命令传输离线镜像包：

1
# 拉取镜像(设备1)
2
docker pull ...
3

4
# 打包镜像(设备1) | <path>/<name>.tar为自定义路径的tar文件，<image_name>为拉取的镜像名称
5
docker save -o <path>/<name>.tar <image_name>
6

7
# 将<name>.tar上传到服务器中，然后加载镜像(设备2--服务器)
8
docker load -i <path>/<name>.tar

MySQL的compose配置#

1
# 创建docker文件夹
2
mkdir ~/mysql57
3

4
# [2h2g3m小水管服务器] 创建 MySQL 自定义优化配置文件(参考下文给出的 low-memory.cnf)
5
sudo mkdir -p /data/mysql/conf
6
sudo nano /data/mysql/conf/low-memory.cnf
7

8
# 编辑mysql的docker-compose(参考下文给出的 docker-compose.yml)
9
nano ~/mysql57/docker-compose.yml

1
# low-memory.cnf
2
[mysqld]
3
# ===== 内存核心调优 =====
4
innodb_buffer_pool_size = 256M
5
innodb_buffer_pool_instances = 1
6

7
# ===== 连接优化 =====
8
max_connections = 30
9
thread_cache_size = 4
10
table_open_cache = 64
11
table_definition_cache = 256
12

13
# ===== 临时表和排序 =====
14
tmp_table_size = 16M
15
max_heap_table_size = 16M
16
sort_buffer_size = 256K
17
join_buffer_size = 256K
18
read_buffer_size = 128K
19
read_rnd_buffer_size = 128K
20

21
# ===== 日志优化 =====
22
innodb_log_file_size = 32M
23
innodb_log_buffer_size = 4M
24
innodb_flush_log_at_trx_commit = 2
25
sync_binlog = 0
26

27
# ===== 其他 =====
28
performance_schema = OFF
29
innodb_flush_method = O_DIRECT
30
skip-name-resolve
31
max_allowed_packet = 64M

1
version: '3.9'
2
services:
3
    mysql:
4
        image: 'mysql:5.7.44'
5
        volumes:
6
            - '/data/mysql:/var/lib/mysql'
7
            # 优化配置文件
8
            - '/data/mysql/conf:/etc/mysql/conf.d'
9
        environment:
10
            - MYSQL_DATABASE=LGnewUI2
11
            - MYSQL_ROOT_PASSWORD=yourpassword
12
        ports:
13
            - '3306:3306'
14
        restart: always
15
        container_name: mysql57
16
        # 内存限制(优化)
17
        deploy:
18
            resources:
19
                limits:
20
                    memory: 512M
21
                reservations:
22
                    memory: 256M
23
        # MySQL启动参数(优化)
24
        command: >
25
            --character-set-server=utf8mb4
26
            --collation-server=utf8mb4_general_ci
27
            --default-storage-engine=InnoDB

可以先拉取镜像，或者参考上一节的内容，加载离线镜像包:

1
# 拉取镜像 (方式1)
2
sudo docker pull mysql:5.7.44
3

4
# 加载镜像 (方式2)
5
sudo docker load -i <path>/<name>.tar

随后就可以启用容器了:

1
cd ~/mysql57
2
sudo docker compose up -d

PHP-FPM的compose配置#

笔者已将构建好的镜像 rol1n/lgnewui2-php74-fpm:latest 上传至 Docker Hub 由于需要安装PHP的一些拓展和依赖，纯净的官方镜像并不能满足需求，所以需要：

从 Dockerfile 配置本地构建新镜像

1
# 创建docker文件夹
2
mkdir ~/php74-fpm
3

4
# 拉取官方纯净镜像
5
sudo docker pull php:7.4-fpm
6

7
# 将SourceGuardian加密文件放进构建目录，这里以x86-64文件为例
8
cd ~/php74-fpm/build
9
wget https://raw.githubusercontent.com/BaseMax/sourceguardian-loader-linux-x86-64/refs/heads/main/ixed.7.4.lin
10

11
# 创建构建目录并编辑 Dockerfile(参考下文给出的 Dockerfile)
12
mkdir -p ~/php74-fpm/build
13
nano ~/php74-fpm/build/Dockerfile
14

15
# [2h2g3m小水管服务器] 创建 PHP-FPM 自定义优化配置(参考下文给出的 zz-cusom.conf)
16
sudo mkdir -p /data/php/conf
17
sudo nano /data/php/conf/zz-custom.conf
18

19
# [2h2g3m小水管服务器] 创建 PHP 自定义优化 ini 配置(参考下文给出的 performance.ini)
20
sudo mkdir -p /data/php/php-conf
21
sudo nano /data/php/php-conf/performance.ini
22

23
# 编辑php-fpm的docker-compose(参考下文给出的 docker-compose.yml)
24
nano ~/php74-fpm/docker-compose.yml

1
# Dockerfile
2
FROM php:7.4-fpm
3

4
# ===== 换阿里云apt源 =====
5
RUN echo "deb http://mirrors.aliyun.com/debian bullseye main contrib non-free" > /etc/apt/sources.list \
6
 && echo "deb http://mirrors.aliyun.com/debian-security bullseye-security main contrib non-free" >> /etc/apt/sources.list
7

8
# ===== 安装系统依赖 =====
9
RUN apt-get update && apt-get install -y --no-install-recommends \
10
    libpng-dev libjpeg-dev libwebp-dev libzip-dev libicu-dev \
11
    libmagickwand-dev default-mysql-client ffmpeg \
12
 && rm -rf /var/lib/apt/lists/*
13

14
# ===== PHP内置扩展 =====
15
RUN docker-php-ext-install pdo_mysql mysqli exif
16

17
# GD扩展（图片处理）
18
RUN docker-php-ext-configure gd --with-jpeg --with-webp \
19
 && docker-php-ext-install gd
20

21
# Zip扩展（压缩）
22
RUN docker-php-ext-install zip
23

24
# Intl扩展（国际化）
25
RUN docker-php-ext-install intl
26

27
# ===== PECL扩展 =====
28
RUN pecl install imagick && docker-php-ext-enable imagick
29

30
# ===== SourceGuardian =====
31
# 将 ixed.7.4.lin 放在同目录下，构建时复制进去
32
COPY ixed.7.4.lin /usr/local/lib/php/extensions/no-debug-non-zts-20190902/
33
RUN echo "extension=ixed.7.4.lin" > /usr/local/etc/php/conf.d/ixed.ini \
34
 && echo "sourceguardian.enable_vm_hybrid=1" >> /usr/local/etc/php/conf.d/ixed.ini
35

36
# ===== PHP基础配置 =====
37
RUN echo "upload_max_filesize = 20M" > /usr/local/etc/php/conf.d/custom.ini \
38
 && echo "post_max_size = 20M" >> /usr/local/etc/php/conf.d/custom.ini

1
; zz-cusom.conf
2
[www]
3
; 进程管理 - 动态模式
4
pm = dynamic
5
pm.max_children = 8
6
pm.start_servers = 2
7
pm.min_spare_servers = 1
8
pm.max_spare_servers = 3
9
pm.max_requests = 200
10

11
; 慢日志（排查问题用）
12
slowlog = /var/log/php-fpm-slow.log
13
request_slowlog_timeout = 3s

1
; performance.ini
2
; 内存限制
3
memory_limit = 128M
4
; OPcache 优化
5
[opcache]
6
opcache.enable = 1
7
opcache.memory_consumption = 32
8
opcache.interned_strings_buffer = 4
9
opcache.max_accelerated_files = 2000
10
opcache.validate_timestamps = 0
11
opcache.save_comments = 1
12
opcache.fast_shutdown = 1
13
; 执行时间限制
14
max_execution_time = 120
15
max_input_time = 120

1
version: '3.9'
2
services:
3
    php:
4
        build:
5
            context: ./build
6
            dockerfile: Dockerfile
7
        image: 'lgnewui2-php74-fpm'
8
        ports:
9
            - '9000:9000'
10
        volumes:
11
            - '/var/www:/var/www'
12
            # PHP-FPM优化配置
13
            - '/data/php/conf/zz-custom.conf:/usr/local/etc/php-fpm.d/zz-custom.conf'
14
            # PHP优化配置
15
            - '/data/php/php-conf:/usr/local/etc/php/conf.d/custom-performance'
16
        restart: always
17
        container_name: php74-fpm
18
        # 内存限制(优化)
19
        deploy:
20
            resources:
21
                limits:
22
                    memory: 512M
23
                reservations:
24
                    memory: 256M

1
# 进入根目录
2
cd ~/php74-fpm
3

4
# 构建镜像
5
sudo docker compose build
6

7
# 启动容器
8
sudo docker compose up -d

MySQL与PHP通信#

我们需要创建新的docker网络，用于连通php与mysql：

1
sudo docker network create mynet
2
sudo docker network connect mynet php74-fpm
3
sudo docker network connect mynet mysql57

Nginx、Certbot安装与配置(网站上线)#

1
# 使用apt-get获取nginx、certbot
2
apt-get update && apt-get install -y nginx
3
apt-get install -y certbot
4
apt-get install -y python3-certbot-nginx
5

6
# 开机自启动与即刻运行nginx
7
systemctl enable nginx && systemctl start nginx

创建源码存放目录，并上传资源：

1
# 需要以root身份
2
mkdir /var/www/love
3
cd /var/www/love
4
# 随后通过SFTP等工具上传源码至此

使用certbot(自动续签)申请ssl证书(确保域名都已在DNS处解析过)：

1
# 将<your-main-domain>更换为你的主要站点域名
2
sudo certbot certonly --nginx -d <your-main-domain>
3

4
# 一些相关命令
5
# 查看所有已安装的证书
6
sudo certbot certificates
7
# 删除证书
8
sudo certbot delete --cert-name example.com

<your-main-domain>示例: love.example.com | 作为主要访问地址

编辑Nginx配置文件，并上线网站:

1
# 编辑配置(参考下文)
2
sudo nano /etc/nginx/sites-available/default
3

4
# 创建启用软链接
5
ln -s /etc/nginx/sites-available/default /etc/nginx/sites-enabled/default
6

7
# 测试配置格式正确否
8
nginx -t
9

10
# 重载nginx使配置生效
11
sudo systemctl reload nginx

Nginx(LGnewUI-2)配置文件(将<your-main-domain>替换为自定义域名):

1
# ==================== Love站点 - HTTP ====================
2
server {
3
    listen 80;
4
    server_name <your-main-domain>;
5

6
    # HTTP自动跳转HTTPS
7
    return 301 https://$host$request_uri;
8
}
9

10
# ==================== Love站点 - HTTPS ====================
11
server {
12
    listen 443 ssl http2;
13
    server_name <your-main-domain>;
14

15
    ssl_certificate /etc/letsencrypt/live/<your-main-domain>/fullchain.pem;
16
    ssl_certificate_key /etc/letsencrypt/live/<your-main-domain>/privkey.pem;
17

18
    root /var/www/love;
19
    index index.php index.html index.htm;
20

21
    client_max_body_size 100m;
22
    client_body_timeout 60s;
23

24
    gzip on;
25
    gzip_comp_level 5;
26
    gzip_min_length 1k;
27
    gzip_vary on;
28
    gzip_buffers 4 8k;
29
    gzip_http_version 1.1;
30
    gzip_proxied any;
31
    gzip_types
32
        text/plain
33
        text/css
34
        text/javascript
35
        application/javascript
36
        application/x-javascript
37
        application/json
38
        application/xml
39
        application/xml+rss
40
        image/svg+xml
41
        font/woff2
42
        font/ttf;
43

44
    location ~ ^.+?\.php(/.*)?$ {
45
        fastcgi_pass 127.0.0.1:9000;
46
        fastcgi_split_path_info ^(.+\.php)(/.*)$;
47
        set $path_info $fastcgi_path_info;
48
        fastcgi_param PATH_INFO $path_info;
49
        include fastcgi_params;
50
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
51

52
        fastcgi_read_timeout 300;
53
        fastcgi_send_timeout 300;
54
        fastcgi_connect_timeout 300;
55
    }
56

57
    location / {
58
        try_files $uri $uri/ /index.php?$query_string;
59
    }
60
}

防IP直连的Nginx配置(选用)#

直接给出配置文件新增字段：

1
# ==================== 防IP访问 - HTTP ====================
2
server {
3
    listen 80 default_server;
4
    listen [::]:80 default_server;
5
    # 匹配所有未绑定的域名和直接 IP 访问
6
    # 444直接关闭连接，不返回任何信息，比 403 更安全
7
    server_name _;
8
    return 444;
9
}
10

11
# ==================== 防IP访问 - HTTPS ====================
12
server {
13
    listen 443 ssl http2 default_server;
14
    listen [::]:443 ssl http2 default_server;
15
    server_name _;
16

17
    # 配置一个无效或自签名的 SSL 证书，或指向不存在的证书路径
18
    # 目的是让通过 IP 的 HTTPS 访问因证书错误而失败
19
    ssl_certificate /data/customSSL/dummy.crt;
20
    ssl_certificate_key /data/customSSL/dummy.key;
21

22
    # 也可以直接返回错误，但证书错误通常能阻止连接建立
23
    return 444;
24
}

启用之前，需要先使用openssl申请自签名无效证书：

1
mkdir -p /data/customSSL
2
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \
3
  -keyout /data/customSSL/dummy.key \
4
  -out /data/customSSL/dummy.crt \
5
  -subj "/CN=unused"

LGnewUI-2 杂项处理#

路径权限问题#

在上文中，PHP 的挂载路径为/var/www/，而docker容器的权限身份一般是uid=33(www-data) gid=33(www-data) groups=33(www-data)，需要保持路径所属身份一致：

1
# 确认容器权限身份，一般为uid=33(www-data) gid=33(www-data) groups=33(www-data)
2
docker exec php74-fpm id www-data
3
# 1. 创建与容器内匹配的用户和组（UID/GID 都是 33）
4
sudo groupadd -g 33 www-data 2>/dev/null
5
sudo useradd -u 33 -g 33 -M -s /sbin/nologin www-data 2>/dev/null
6
# 2. 设置项目目录所有者
7
sudo chown -R 33:33 /var/www/

MySQL数据库填写#

在上文的compose文件中，已经创建了一个数据库：

地址：mysql57
库名：LGnewUI2
用户：root
密码：yourpassword

和风天气API—生成Ed25519密钥对#

1
cd ~
2
# 生成私钥文件
3
openssl genpkey -algorithm Ed25519 -out private.pem
4
# 导出公钥文件
5
openssl pkey -in private.pem -pubout -out public.pem
6
# 查看内容
7
cat private.pem
8
cat public.pem

获取CDN客户端真实IP#

在Nginx配置文件的Server字段中，添加如下配置：

1
set_real_ip_from 0.0.0.0/0;
2
real_ip_header X-Forwarded-For;
3
real_ip_recursive on;

具体功能：

接受来自所有IP的请求(理论上该使用场景只需填写CDN的IP段)
从X-Forwarded-For请求头获取真实IP
递归搜索，从右向左排除所有信任IP段，取第一个不信任IP(当前配置下默认取最左侧第一个IP，通常为CDN自动填写的客户端真实IP)

阿里云ESA(开启HTTP请求头添加后)的默认请求头为ali-real-client-ip，如有开启请替换掉X-Forwarded-For。

敏感目录拒绝访问#