Server installieren
Diese Seite beschreibt die direkte Installation von nucleus-server auf Linux-amd64. Nutzen Sie diese Variante für Self-Hosting ohne Containerplattform.
Architektur
Schnellstart
Der Setup-Assistent erzeugt die verschlüsselte Serverkonfiguration und fragt die erforderlichen Werte interaktiv ab.
sudo apt install ./nucleus-server_<version>-1_amd64.deb
sudo install -d -m 0750 /etc/nucleus
sudo install -d -m 0750 /var/lib/nucleus/storage
nucleus-server setup -config /etc/nucleus/config.enc
export NUCLEUS_KEY=<bundle-aus-dem-setup>
nucleus-server -config /etc/nucleus/config.encNach erfolgreichem Start sichern Sie:
- Login des initialen System-Admins,
- initiales Passwort,
- initialen API-Key,
NUCLEUS_KEY.
Voraussetzungen
Bereiten Sie vor:
- unterstütztes Linux-amd64-System,
- freigegebenes Release-Paket,
- PostgreSQL-Datenbank,
- persistenten Storage-Pfad,
- TLS-Zertifikat oder Reverse Proxy,
- Geheimnisverwaltung für
NUCLEUS_KEYund Erstzugangsdaten.
Release herunterladen
Laden Sie immer gemeinsam herunter:
- das Installationspaket,
manifest.txt,SHA256SUMS.
Prüfen Sie anschließend die Integrität des Downloads:
sha256sum -c SHA256SUMSDie freigegebenen Releases liegen unter:
https://git.schukai.me/releases/nucleus-server/releasesPaket wählen
| System | Paket |
|---|---|
| Debian oder Ubuntu | .deb |
| RHEL, Fedora oder kompatible Systeme | .rpm |
| Eigene Service-Definition | tar.gz |
Paket installieren
sudo apt install ./nucleus-server_<version>-1_amd64.debsudo rpm -Uvh nucleus-server-<version>-1.x86_64.rpmPakete installieren das Binary in den Systempfad. Sie legen keine Benutzer, Dienste, Konfigurationen oder Datenbank an.
Wenn Sie das Archivformat verwenden:
tar -xzf nucleus-server-<version>-linux-amd64.tar.gz
sudo install -m 0755 nucleus-server-<version>-linux-amd64/nucleus-server /usr/local/bin/nucleus-server
nucleus-server versionKonfiguration anlegen
sudo install -d -m 0750 /etc/nucleus
sudo install -d -m 0750 /var/lib/nucleus/storage
nucleus-server setup -config /etc/nucleus/config.encDer Setup-Assistent fragt alle erforderlichen Werte interaktiv ab. Planen Sie diese Angaben vorab:
| Feld | Wert |
|---|---|
| Listen Address | :8443 für direkten HTTPS-Betrieb oder ein internes Listen-Ziel hinter Ihrem Reverse Proxy |
| Certificate | selbstsigniertes Zertifikat für lokale Tests oder vorhandene Zertifikatsdateien, wenn der Server selbst TLS bereitstellt |
| Host | Hostname für das selbstsignierte Zertifikat, wenn der Server selbst TLS bereitstellt |
| System Domains (CSV) | öffentliche Admin-Hostnamen ohne Protokoll, Pfad oder Port, zum Beispiel workspace.example |
| Storage path | /var/lib/nucleus/storage oder ein anderer persistenter Pfad nach Ihrem Betriebsstandard |
| Database host | Hostname oder Adresse Ihrer PostgreSQL-Datenbank |
| Database port | 5432, wenn Ihre Datenbank keinen anderen Port nutzt |
| Database user | PostgreSQL-Benutzer für Workspace |
| Database name | PostgreSQL-Datenbank für Workspace |
| Database password | Passwort des PostgreSQL-Benutzers |
Workspace verwendet System Domains (CSV), um öffentliche URLs korrekt zu erzeugen und die Administrationsoberfläche vor der Mandantenauswahl bereitzustellen. Weitere Details stehen unter System Domains verstehen.
Planen Sie TLS vor dem Produktivstart. Für lokale Tests kann der Setup-Assistent ein selbstsigniertes Zertifikat erzeugen. Für öffentlich erreichbare Umgebungen verwenden Sie ein vertrauenswürdiges Zertifikat oder TLS-Terminierung am Reverse Proxy. Weitere Details stehen unter TLS und Reverse Proxy.
Speichern Sie NUCLEUS_KEY in Ihrer Geheimnisverwaltung. Dokumentieren Sie den Pfad der Konfigurationsdatei, aber nicht den Inhalt der Datei oder den Laufzeitschlüssel.
Server starten
Der Server findet die Konfiguration über NUCLEUS_CONFIG, über ./nucleus.config.enc oder über /etc/nucleus/config.enc.
export NUCLEUS_CONFIG=/etc/nucleus/config.enc
nucleus-server -config /etc/nucleus/config.encStellen Sie den Laufzeitschlüssel über Ihre Geheimnisverwaltung bereit. Der Server liest zuerst /run/secrets/nucleus-key und danach NUCLEUS_KEY.
Erstzugangsdaten sichern
Beim ersten regulären Start legt Workspace den initialen System-Admin und einen initialen API-Key an. Der Server gibt diese Werte einmalig im Logblock SYSTEM INITIALIZED aus.
Lesen Sie den Startlog direkt nach dem ersten Start und speichern Sie in Ihrer Geheimnisverwaltung:
- Login,
- Passwort,
- API-Key,
NUCLEUS_KEY.
Wenn Sie NUCLEUS_ADMIN_PASSWORD vor dem ersten Start selbst setzen, gibt der Server das Passwort nicht erneut im Log aus. Der initiale API-Key wird beim ersten Anlegen trotzdem einmalig angezeigt.
Erfolgreiche Installation
Prüfen Sie:
- Browseranmeldung funktioniert,
- initialer System-Admin kann sich anmelden,
- PostgreSQL-Verbindung funktioniert,
- Storage ist beschreibbar,
- öffentliche URL funktioniert,
- TLS-Zertifikat wird akzeptiert,
- Version entspricht dem installierten Release.
Technische Basisprüfung:
curl -sk https://127.0.0.1:8443/api/v1/ping
nucleus-server versionPrüfen Sie zusätzlich die öffentliche Admin-Domain über Ihren Reverse Proxy, wenn die Umgebung nicht nur lokal erreichbar sein soll.
Nächste Schritte
- Richten Sie TLS und Reverse Proxy mit TLS und Reverse Proxy ein.
- Pflegen Sie öffentliche System-Domains mit System Domains verstehen.
- Prüfen Sie Betrieb und Readiness mit Diagnose und Readiness.
- Planen Sie Updates und Rollback mit Updates und Rollback.