SSL终止代理是处理SSL加密/解密的代理服务器。这意味着我们的终止代理(Nginx)将处理和解密传入的TLS连接(HTTPS),并将未加密的请求传递给我们的内部服务(Odoo),因此Nginx和Odoo之间的流量不会被加密(HTTP)。
我们需要告诉Odoo我们将使用代理,打开配置文件并添加以下行:
/etc/odoo11.conf
proxy_mode = True
重新启动Odoo服务以使更改生效:
sudo systemctl restart odoo11
使用Nginx作为代理给了我们几个好处。 在本例中,我们将配置SSL终止,HTTP到HTTPS重定向,WWW到非WWW重定向,缓存静态文件和启用GZip压缩。
/etc/nginx/sites-enabled/example.com
# Odoo servers
upstream odoo {
server 127.0.0.1:8069;
}
upstream odoochat {
server 127.0.0.1:8072;
}
# HTTP -> HTTPS
server {
listen 80;
server_name example.com;
include snippets/letsencrypt.conf;
return 301 https://example.com$request_uri;
}
# WWW -> NON WWW
server {
listen 443 ssl http2;
server_name ;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl http2;
server_name example.com;
proxy_read_timeout 720s;
proxy_connect_timeout 720s;
proxy_send_timeout 720s;
# Proxy headers
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Real-IP $remote_addr;
# SSL parameters
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;
include snippets/ssl.conf;
# log files
access_log /var/log/nginx/odoo.access.log;
error_log /var/log/nginx/odoo.error.log;
# Handle longpoll requests
location /longpolling {
proxy_pass ;
}
# Handle / requests
location / {
proxy_redirect off;
proxy_pass ;
}
# Cache static files
location ~* /web/static/ {
proxy_cache_valid 200 90m;
proxy_buffering on;
expires 864000;
proxy_pass ;
}
# Gzip
gzip_types text/css text/less text/plain text/xml application/xml application/json application/javascript;
gzip on;
}
不要忘记将example.com替换为您的Odoo域,并设置SSL证书文件的正确路径。 本指南中创建了此配置中使用的片段。
完成后,重新启动Nginx服务:
sudo systemctl restart nginx
更改绑定界面
这一步是可选的,但这是一个很好的安全措施。 默认情况下,Odoo服务器在所有接口上侦听端口8069,因此如果要禁用直接访问您的Odoo实例,您可以阻止所有公共接口的端口8069,或强制Odoo只在本地接口上侦听。
在本指南中,我们将强制Odoo只在127.0.0.1上进行监听,打开Odoo配置文件末尾添加以下两行:
/etc/odoo11.conf
xmlrpc_interface = 127.0.0.1
netrpc_interface = 127.0.0.1
保存配置文件并重新启动Odoo服务器以使更改生效:
sudo systemctl restart odoo
启用多处理