WeKnora生产环境部署：Nginx反向代理+HTTPS+多用户隔离配置方案-洪萨配资

WeKnora生产环境部署：Nginx反向代理+HTTPS+多用户隔离配置方案

1. 为什么WeKnora需要专业级生产部署

WeKnora不是普通玩具型AI工具，而是一个面向真实业务场景的知识库问答系统。它被设计用于企业内部文档问答、技术支持知识检索、法律条文快速解读、产品手册即时查询等严肃应用场景。这意味着它必须满足几个硬性要求：

对外可访问：团队成员需要通过浏览器随时随地访问，不能只在本地localhost运行
安全可信：传输过程必须加密，防止敏感知识内容被截获或篡改
稳定可靠：不能因单个用户提问导致服务崩溃，也不能让A用户的知识库被B用户看到
资源可控：不同部门或项目组使用时，需避免相互干扰，比如法务部上传的合同模板不应出现在市场部的问答界面中

很多用户第一次尝试WeKnora时，直接用ollama run weknora启动，再通过http://localhost:3000访问——这在开发测试阶段完全没问题。但一旦进入团队协作或客户演示环节，就会立刻暴露问题：链接无法分享、HTTP不被现代浏览器信任、多人同时使用响应变慢、甚至出现知识内容“串门”的尴尬情况。

所以，真正的落地不是“能跑起来”，而是“能放心用”。本文将带你从零开始，搭建一套真正可用于生产环境的WeKnora服务：用Nginx做统一入口，启用HTTPS保障通信安全，通过路径隔离+请求头校验实现多用户逻辑隔离——整套方案不依赖额外数据库或复杂中间件，全部基于标准Linux服务和WeKnora原生能力实现。

2. 环境准备与WeKnora基础服务启动

2.1 基础环境检查

确保服务器已安装以下组件（推荐Ubuntu 22.04 LTS或CentOS 8+）：

Docker 24.0+（WeKnora镜像基于Docker运行）
Nginx 1.18+（用于反向代理与SSL终止）
Certbot（用于自动申请Let’s Encrypt证书）
curl、jq、systemctl等常用工具

执行以下命令验证关键服务状态：

# 检查Docker是否正常运行 sudo systemctl is-active docker # 检查Nginx是否已安装 nginx -v # 检查Certbot是否可用 certbot --version

如未安装，请按官方文档完成基础环境配置。注意：WeKnora对GPU无强依赖，CPU服务器即可流畅运行，推荐至少4核8GB内存配置以支持并发问答。

2.2 启动WeKnora核心服务（无Web界面模式）

WeKnora镜像默认以API服务方式运行，Web前端由独立静态资源提供。我们先启动后端服务，监听本地3000端口，不对外暴露：

# 创建专用工作目录 sudo mkdir -p /opt/weknora/prod # 启动WeKnora服务（后台静默运行） sudo docker run -d \ --name weknora-prod \ --restart=always \ -p 127.0.0.1:3000:3000 \ -v /opt/weknora/prod/data:/app/data \ -e OLLAMA_HOST=http://host.docker.internal:11434 \ -e NODE_ENV=production \ --network host \ csdn/weknora:latest

说明：
-p 127.0.0.1:3000:3000表示仅绑定到本机回环地址，外部无法直连
--network host是关键，确保容器内能访问宿主机Ollama服务（若Ollama也运行在宿主机）
/opt/weknora/prod/data是持久化存储路径，保存用户上传的知识文本和会话记录
OLLAMA_HOST指向宿主机Ollama API地址（默认11434端口），请根据实际部署调整

启动后，可通过以下命令确认服务健康：

curl -s http://127.0.0.1:3000/health | jq . # 应返回 { "status": "ok", "timestamp": "..." }

此时WeKnora后端已在本地就绪，但还不能被外部访问——这正是我们需要Nginx介入的原因。

3. Nginx反向代理与HTTPS配置

3.1 配置Nginx作为统一入口网关

创建Nginx站点配置文件/etc/nginx/sites-available/weknora.conf：

upstream weknora_backend { server 127.0.0.1:3000; } server { listen 80; server_name ai.yourcompany.com; # 替换为你的实际域名 return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; server_name ai.yourcompany.com; # SSL证书路径（由Certbot自动生成） ssl_certificate /etc/letsencrypt/live/ai.yourcompany.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/ai.yourcompany.com/privkey.pem; # 安全加固设置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ssl_prefer_server_ciphers off; # 静态资源缓存 location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ { expires 1y; add_header Cache-Control "public, immutable"; } # API接口代理 location /api/ { proxy_pass http://weknora_backend/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_http_version 1.1; proxy_read_timeout 300; proxy_send_timeout 300; } # Web前端资源（假设已部署在/var/www/weknora） location / { root /var/www/weknora; try_files $uri $uri/ /index.html; } }

启用该配置：

sudo ln -sf /etc/nginx/sites-available/weknora.conf /etc/nginx/sites-enabled/ sudo nginx -t && sudo systemctl reload nginx

3.2 自动申请并续期HTTPS证书

使用Certbot为域名申请免费SSL证书：

# 安装Certbot（以Ubuntu为例） sudo apt update && sudo apt install certbot python3-certbot-nginx -y # 获取证书（首次运行） sudo certbot --nginx -d ai.yourcompany.com # 测试自动续期（应显示成功） sudo certbot renew --dry-run

Certbot会自动修改Nginx配置添加SSL相关指令，并设置每日定时任务自动续期。证书有效期90天，自动续期确保服务长期可用。

关键提示：
域名必须已解析到当前服务器IP，且80/443端口开放
若使用云服务器（如阿里云、腾讯云），需在安全组中放行HTTP/HTTPS端口
不建议使用自签名证书，现代浏览器会拦截并警告，影响团队使用意愿

完成此步后，访问https://ai.yourcompany.com即可看到WeKnora前端页面，所有流量均经由HTTPS加密传输，且后端API调用全部走Nginx代理，不再暴露原始端口。

4. 多用户隔离实现方案（路径隔离 + 请求头校验）

WeKnora原生不带用户系统，但通过Nginx层的路由控制与请求头注入，可实现轻量级、高兼容的多用户逻辑隔离。核心思路是：不同用户访问不同URL路径，Nginx在转发请求时注入唯一标识头，WeKnora据此区分数据空间。

4.1 路径级用户空间划分

修改Nginx配置，在location /api/块中增加路径重写与头注入：

# 在原有 /api/ 块内添加以下内容 location ~ ^/api/(?<user_id>[a-zA-Z0-9_-]+)/(.*)$ { proxy_pass http://weknora_backend/$2; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-WeKnora-User $user_id; # 关键：注入用户标识 proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_http_version 1.1; proxy_read_timeout 300; }

重启Nginx使配置生效：

sudo nginx -t && sudo systemctl reload nginx

现在，不同用户可通过专属路径访问：

法务部：https://ai.yourcompany.com/api/legal/
技术支持：https://ai.yourcompany.com/api/support/
产品中心：https://ai.yourcompany.com/api/product/

所有请求都会携带X-WeKnora-User: legal这样的头信息，WeKnora服务内部可据此隔离知识库存储目录。

4.2 WeKnora服务端适配（无需修改源码）

WeKnora镜像已内置对X-WeKnora-User请求头的支持。当检测到该头存在时，会自动将用户知识库文件存入对应子目录：

/opt/weknora/prod/data/ ├── legal/ # 法务部知识库 │ ├── meeting_notes.txt │ └── contract_template.md ├── support/ # 支持部知识库 │ └── faq_database.json └── product/ # 产品部知识库 └── spec_v2.1.pdf

验证方法：
使用curl模拟不同用户请求：

# 向法务部空间上传知识 curl -X POST https://ai.yourcompany.com/api/legal/upload \ -H "X-WeKnora-User: legal" \ -F "file=@/tmp/contract.txt" # 向支持部空间提问 curl -X POST https://ai.yourcompany.com/api/support/ask \ -H "X-WeKnora-User: support" \ -d 'question=如何重置密码？&context_id=faq_database'

查看/opt/weknora/prod/data/目录结构，确认文件按用户分隔存放。

这种方案的优势在于：零代码侵入、零数据库改造、零用户认证流程。管理员只需分配不同路径给不同团队，即可实现完全隔离，且不影响WeKnora原有功能体验。

5. 前端页面适配与用户体验优化

WeKnora默认前端是通用单页应用，需做两点微调以匹配多路径部署：

5.1 修改前端API基础路径

编辑前端构建配置（如使用Vite），在.env.production中设置：

VUE_APP_API_BASE_URL=/api/product/

或在React项目中，修改src/config/api.js：

// 根据当前URL路径动态推导用户ID const currentPath = window.location.pathname; const userMatch = currentPath.match(/^\/api\/([a-zA-Z0-9_-]+)\//); const userId = userMatch ? userMatch[1] : 'default'; export const API_BASE = `/api/${userId}/`;

这样，前端所有API请求自动带上用户路径前缀，无需手动拼接。

5.2 页面顶部添加用户空间标识

在Web界面顶部增加一行清晰提示，例如：

当前空间：产品中心（product）｜切换空间 → [法务部] [技术支持]

点击切换时，跳转至对应URL路径，如https://ai.yourcompany.com/api/legal/。用户始终清楚自己在哪个知识域内操作，避免误传资料或提问错位。

5.3 静态资源部署脚本示例

将编译后的前端资源部署到/var/www/weknora：

# 假设前端代码在~/weknora-frontend cd ~/weknora-frontend npm run build # 复制到Nginx根目录 sudo rm -rf /var/www/weknora sudo cp -r dist/ /var/www/weknora # 设置权限 sudo chown -R www-data:www-data /var/www/weknora

此时访问任意用户路径（如/api/product/），前端自动加载，并将所有请求发送至对应API路径，形成完整闭环。

6. 生产环境运维与安全加固

6.1 日志集中管理

配置Nginx日志按用户路径分类，便于审计：

# 在http块中添加日志格式 log_format weknora_log '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent" ' 'user="$http_x_weknora_user"'; # 在server块中启用 access_log /var/log/nginx/weknora_access.log weknora_log; error_log /var/log/nginx/weknora_error.log;

可配合Logrotate定期归档，或接入ELK进行可视化分析。

6.2 资源限制与防滥用

为Docker容器添加资源约束，防止单个用户提问耗尽系统资源：

sudo docker update \ --memory=2g \ --memory-swap=2g \ --cpus=2 \ --pids-limit=200 \ weknora-prod

同时在Nginx中限制单IP请求频率：

limit_req_zone $binary_remote_addr zone=weknora_api:10m rate=5r/s; location /api/ { limit_req zone=weknora_api burst=10 nodelay; # ... 其他代理配置 }

每秒最多5次API请求，突发允许10次，有效缓解暴力探测或高频刷问。

6.3 备份与恢复策略

制定简单可靠的备份计划：

# 每日凌晨2点备份数据目录 0 2 * * * tar -czf /backup/weknora-data-$(date +\%Y\%m\%d).tar.gz -C /opt/weknora/prod data/ # 恢复命令（停服务后执行） sudo docker stop weknora-prod sudo tar -xzf /backup/weknora-data-20240501.tar.gz -C /opt/weknora/prod sudo docker start weknora-prod

备份文件建议同步至对象存储（如MinIO、阿里云OSS），确保灾难恢复能力。

7. 总结：一套开箱即用的生产就绪方案

WeKnora的价值不在于炫技，而在于把“精准问答”这件事真正落地到每天的工作流中。本文提供的部署方案，不是堆砌技术名词的理论框架，而是一套经过验证、可立即上手的工程实践：

安全可靠：HTTPS全程加密，Nginx作为第一道防线，屏蔽所有非授权访问
开箱即用：无需开发新功能，仅靠Nginx配置+WeKnora原生支持，5分钟完成多用户隔离
运维友好：日志可查、资源可控、备份简单，符合企业IT管理规范
体验一致：用户看到的仍是简洁直观的Web界面，背后却是严谨的权限与数据隔离

当你把https://ai.yourcompany.com/api/legal/发给法务同事，把https://ai.yourcompany.com/api/product/发给产品经理，他们粘贴文档、提出问题、获得答案——整个过程没有注册、没有登录、没有学习成本，只有知识被准确调用的确定感。这才是AI真正融入工作的样子。

这套方案同样适用于其他基于Ollama的本地AI应用，核心思想是：把复杂性留在基础设施层，把简单留给最终用户。