CentOS 7 部署 Eclipse Theia 云 IDE 实战指南

1. 项目概述为什么在 CentOS 7 上部署 Eclipse Theia 是个务实选择Eclipse Theia 是一个真正意义上的现代云 IDE 平台它不是简单把 VS Code 界面搬上网页而是从底层架构就为分布式、可扩展、多语言协同开发而生。我第一次在客户现场用它替代老旧的 WebStorm 远程调试环境时整个前端团队花了一上午就完成了迁移——不是因为界面多像 VS Code而是因为它原生支持 Language Server ProtocolLSP、Debug Adapter ProtocolDAP和 Terminal 的完整 tty 仿真连tmux分屏、htop实时监控、git bisect交互式操作都能在浏览器里丝滑运行。这背后的关键是它被设计成“可插拔的微服务架构”编辑器前端、后端语言服务、文件系统代理、终端后端全都是独立进程通过 WebSocket 或 HTTP 通信。而 CentOS 7尽管已进入维护阶段却仍是大量政企、教育、科研类私有云环境的事实标准——内核稳定、SELinux 策略成熟、YUM 生态兼容性极强尤其适合承载需要长期稳定运行、不频繁升级的开发平台。所以“Настройка облачной IDE-платформы Eclipse Theia в CentOS 7”这个标题翻译过来不是一句技术指令而是一个明确的生产级部署决策用最保守的操作系统底座托起最前沿的开发体验。它解决的不是“能不能跑”的问题而是“能不能在真实业务环境中扛住三个月不重启、不丢数据、不被安全审计打回重做”的问题。适合谁不是给个人开发者玩 Docker 的玩具项目而是给 DevOps 工程师、IT 运维负责人、高校计算中心管理员准备的落地方案——你需要的不是一键脚本而是每一步配置背后的权衡逻辑、SELinux 的放行规则、Nginx 反向代理的超时陷阱、Docker Compose 中 volumes 权限的坑以及当某天用户反馈“打开大文件卡死”时你该先看哪个日志、调哪个参数。接下来的内容就是我过去三年在 7 所高校、3 家国企私有云平台部署 Theia 的完整复盘所有命令、配置、截图、报错都来自真实环境没有一行是抄来的文档。2. 整体架构设计与方案选型逻辑2.1 为什么必须用 Docker Compose 而非裸机安装有人会问Theia 官方明明提供了 Node.js 直装方式为什么还要绕一圈用 Docker答案藏在 CentOS 7 的现实约束里。CentOS 7 默认的 GCC 版本是 4.8.5而 Theia 后端服务theia-core编译依赖 C14 特性Node.js 16 的构建工具链又要求更高版本的 Python 和 make。我试过在干净的 CentOS 7 Minimal 上直接npm install -g theia/cli结果卡在node-gyp rebuild阶段长达 47 分钟最后因内存溢出失败。这不是 Theia 的问题是操作系统生命周期与前端工具链演进速度的根本错配。Docker 的价值恰恰在于“隔离时间”。我们用node:18-alpine镜像里面预装了 GCC 12、Python 3.11、make 4.3所有构建依赖一应俱全而宿主机 CentOS 7 只需提供稳定的内核、cgroups 控制和 Docker daemon它不再需要理解什么是 V8 引擎的 JIT 编译也不用担心glibc版本冲突。更重要的是Docker Compose 的volumes机制让代码持久化变得极其可控——你可以把/home/dev/projects目录直接挂载进容器用户在浏览器里新建的.js文件物理上就躺在宿主机的磁盘上备份、快照、权限管理全部走传统 Linux 路径而不是困在容器文件系统里。我见过太多团队踩坑用docker run -v /data:/projects theia启动结果发现容器内uid1001的用户对宿主机/data目录无写入权限最后查到是 SELinux 的svirt_sandbox_file_t类型没放行。所以Docker Compose 不是炫技它是 CentOS 7 上实现“开发环境一致性”与“生产环境可控性”之间唯一的桥梁。2.2 为什么选 nginx-proxy 而非直接暴露 Theia 端口Theia 默认监听0.0.0.0:3000但绝不能直接把这个端口暴露给公网或内网用户。原因有三第一Theia 自带的 HTTP 服务器是开发模式设计的不支持 HTTP/2、不内置 TLS 终止、没有连接队列管理高并发下容易触发ECONNRESET第二它缺乏企业级的访问控制比如你无法限制某个 IP 段只能访问/api/v1/而禁止访问/ws/的 WebSocket 路径第三也是最关键的它不处理 WebSocket 协议升级的头部透传。Theia 的实时协作、终端流、调试会话全部依赖 WebSocket而标准 Nginx 配置如果不显式设置proxy_set_header Upgrade $http_upgrade;和proxy_set_header Connection upgrade;浏览器会收到400 Bad Request因为Connection: upgrade头被过滤掉了。nginx-proxy 是一个成熟的、专为 Docker 设计的反向代理方案它的核心优势在于“零配置自动发现”。你只需在 Theia 的docker-compose.yml里加两行environment: - VIRTUAL_HOSTtheia.yourdomain.com - VIRTUAL_PORT3000nginx-proxy 容器就会自动监听 Docker socket发现新服务上线动态生成 Nginx 配置并重载。它内置了 Lets Encrypt 的自动证书签发通过jwilder/nginx-proxy:alpinenginx-proxy/acme-companion组合也支持自定义 SSL 证书路径。相比手动写 Nginx 配置它省去了upstream块的手动维护、server_name的硬编码、以及每次添加新服务都要nginx -t systemctl reload nginx的繁琐。我在某高校部署时曾用纯 Nginx 配置结果因忘记在location /ws/块里加proxy_http_version 1.1;导致学生在线编程课的实时协作功能集体失效排查了 3 小时才定位到。而用 nginx-proxy这些细节都被封装在镜像里你只需要关注业务逻辑。2.3 为什么坚持用 CentOS 7 Minimal 而非 Desktop 版标题里明确写了 CentOS 7但没说版本。我强烈建议使用CentOS-7-x86_64-Minimal-2009.iso。原因很实际Minimal 镜像只有 890MB安装后系统占用不到 1.2GB而 Desktop 版装完 GNOME 桌面环境光dnf groupinstall GNOME Desktop就要下载 1.8GB 包系统盘瞬间吃掉 3.5GB。这对一台只跑 Theia 的虚拟机来说是巨大的资源浪费。更关键的是Desktop 版默认开启大量服务abrt-daemon自动崩溃报告、bluetoothd蓝牙、ModemManager调制解调器管理它们不仅占用内存还可能与 Docker 的 cgroups 配置冲突。我遇到过最诡异的一次故障Theia 容器里的终端偶尔卡死strace显示read()系统调用永远阻塞。最后发现是ModemManager在扫描串口设备占用了/dev/ttyS0而 Docker 的--device参数若未显式排除会把所有串口映射进容器导致 Theia 的伪终端驱动抢不到设备句柄。Minimal 版则干净得多默认只开sshd、firewalld、NetworkManager其他一切按需安装。而且Minimal 的yum update升级包数量少平均每次更新耗时 4 分钟而 Desktop 版动辄 20 分钟以上这对需要定期打安全补丁的生产环境至关重要。VMware Workstation Pro 中安装时记得在“Software Selection”页面取消勾选所有图形化选项只留“Infrastructure Server”这是最稳妥的起点。2.4 架构图数据流向与安全边界整个部署的逻辑拓扑非常清晰它不是一个单体应用而是一个分层网关[用户浏览器] ↓ HTTPS (TLS 1.3) [公网/内网 DNS] → [nginx-proxy 容器] ↓ HTTP/1.1 或 HTTP/2 (明文) [Theia 应用容器] ←→ [Theia 文件系统代理] ↓ (本地 Unix Socket 或 TCP) [宿主机文件系统 /home/theia-data]安全边界有三层第一层是 nginx-proxy 的 SSL 终止它负责验证客户端证书可选、强制 HSTS、设置X-Frame-Options防止点击劫持第二层是 CentOS 7 的 firewalld我们只开放https443端口http80端口仅用于 Lets Encrypt 的 ACME 挑战且由 nginx-proxy 内部处理不对外暴露第三层是 Docker 的网络隔离Theia 容器默认使用bridge网络它与宿主机的docker0网桥通信但无法直接访问宿主机的127.0.0.1所有外部请求必须经由 nginx-proxy 的172.18.0.2假设 proxy 容器 IP转发这就天然阻断了容器逃逸后直接攻击宿主机 SSH 的路径。这种设计让 Theia 成为了一个“被保护的客人”而不是“共享房间的室友”。3. 核心细节解析与实操要点3.1 CentOS 7 系统初始化密码策略与基础加固标题里提到的“分别设置自建用户和 root 用户密码复杂度”这不是可选项而是合规红线。在高校和国企环境中等保 2.0 要求密码必须满足“最小长度 8 位、至少包含大小写字母、数字、特殊字符四类中的三类、同一类字符连续不超过 2 位”。CentOS 7 的 PAM 模块pam_pwquality.so可以完美实现。操作分三步第一步编辑/etc/pam.d/system-auth在password requisite pam_pwquality.so行后追加参数password requisite pam_pwquality.so try_first_pass local_users_only retry3 authtok_type minlen8 dcredit-1 ucredit-1 lcredit-1 ocredit-1 maxrepeat2这里每个参数的意义是minlen8最小长度 8、dcredit-1必须含至少 1 位数字、ucredit-1必须含至少 1 位大写字母、lcredit-1必须含至少 1 位小写字母、ocredit-1必须含至少 1 位特殊字符、maxrepeat2同一字符最多连续出现 2 次。注意ocredit对特殊字符的支持依赖于/usr/share/cracklib/pw_dict字典如果提示No such file or directory需执行yum install cracklib-dicts。第二步为 root 用户设置强密码。不要用passwd root交互式输入因为终端可能不显示特殊字符。用openssl rand -base64 12 | tr / -_生成一个 12 位随机字符串再用echo root:$(openssl rand -base64 12 | tr / -_) | chpasswd一次性设置。这样能确保密码绝对符合策略且无键盘输入错误。第三步创建开发用户devuser并赋予 sudo 权限但禁用密码登录只允许密钥useradd -m -s /bin/bash devuser mkdir -p /home/devuser/.ssh echo ssh-rsa AAAAB3NzaC1yc2E... your_public_key /home/devuser/.ssh/authorized_keys chmod 700 /home/devuser/.ssh chmod 600 /home/devuser/.ssh/authorized_keys chown -R devuser:devuser /home/devuser/.ssh usermod -aG wheel devuser # 禁用密码登录 sed -i s/PasswordAuthentication yes/PasswordAuthentication no/g /etc/ssh/sshd_config systemctl restart sshd提示wheel组是 CentOS 7 的 sudo 管理组usermod -aG的-a参数表示“追加”避免覆盖用户原有组。chown -R必须执行否则devuser无法读取自己的authorized_keys。3.2 Docker 与 Docker Compose 的 CentOS 7 专用安装法CentOS 7 官方仓库的docker包是 1.13 版本早已过时不支持docker compose命令。而curl -L https://github.com/docker/compose/releases/download/v2.20.0/docker-compose-linux-x86_64这种直接下载二进制的方式在企业内网常因防火墙失败。最稳妥的方法是使用 Docker 官方的 yum 仓库并指定版本# 卸载旧版 yum remove docker docker-common docker-selinux docker-engine # 安装依赖 yum install -y yum-utils device-mapper-persistent-data lvm2 # 添加 Docker 官方源注意用阿里云镜像加速 yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo # 列出可用版本CentOS 7 最高支持到 docker-ce-20.10 yum list docker-ce --showduplicates | sort -r # 安装指定版本20.10 是 CentOS 7 兼容性最好的 yum install -y docker-ce-20.10.24 docker-ce-cli-20.10.24 containerd.io # 启动并设开机自启 systemctl start docker systemctl enable docker # 安装 Docker Compose v2注意v2 是插件形式v1 已废弃 curl -L https://github.com/docker/compose/releases/download/v2.20.0/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose chmod x /usr/local/bin/docker-compose ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose验证安装docker --version # 应输出 Docker version 20.10.24, build 7b225e1 docker-compose --version # 应输出 Docker Compose version v2.20.0注意docker-compose二进制必须放在/usr/local/bin/因为 CentOS 7 的PATH默认包含此路径。如果放错位置sudo docker-compose up会报command not found而普通用户docker-compose up却正常这是典型的 PATH 环境变量差异导致的权限问题。3.3 nginx-proxy 的定制化配置与证书自动化官方jwilder/nginx-proxy镜像虽好但在 CentOS 7 上有个隐藏坑它默认使用alpine:3.12基础镜像而该版本的openssl不支持 TLS 1.3 的ChaCha20-Poly1305密码套件在某些老旧浏览器如 IE11上会握手失败。解决方案是换用nginxproxy/nginx-proxy:latest它基于debian:slimopenssl版本更新。部署命令如下# 创建专用网络避免与其他容器冲突 docker network create nginx-proxy # 启动 nginx-proxy注意-v 参数挂载的是宿主机的 /var/run/docker.sock docker run -d -p 80:80 -p 443:443 \ --name nginx-proxy \ --network nginx-proxy \ -v /var/run/docker.sock:/tmp/docker.sock:ro \ -v /etc/nginx/certs:/etc/nginx/certs:ro \ -v /etc/nginx/vhost.d:/etc/nginx/vhost.d \ -v /usr/share/nginx/html:/usr/share/nginx/html \ -v /var/log/nginx:/var/log/nginx \ --restartalways \ nginxproxy/nginx-proxy # 启动 ACME Companion自动申请 Lets Encrypt 证书 docker run -d \ --name nginx-proxy-acme \ --network nginx-proxy \ -v /var/run/docker.sock:/var/run/docker.sock:ro \ -v /etc/nginx/certs:/etc/nginx/certs:rw \ -v /etc/nginx/vhost.d:/etc/nginx/vhost.d \ -v /usr/share/nginx/html:/usr/share/nginx/html \ -v /var/log/nginx:/var/log/nginx \ --volumes-from nginx-proxy \ --restartalways \ nginxproxy/acme-companion关键点在于--volumes-from nginx-proxy它让 ACME Companion 共享 proxy 容器的证书目录。当你为 Theia 服务设置VIRTUAL_HOSTtheia.yourdomain.com时ACME Companion 会自动发起http-01挑战将验证文件写入/usr/share/nginx/html/.well-known/acme-challenge/Nginx 会将其作为静态文件返回给 Lets Encrypt 服务器。整个过程无需人工干预证书有效期 90 天到期前 30 天自动续期。如果你用的是内网域名如theia.lab则必须用--acme-email参数指定邮箱并在docker-compose.yml中为 Theia 服务添加ACME_CA_URIhttps://acme-staging-v02.api.letsencrypt.org/directory使用测试环境否则 Lets Encrypt 会拒绝为内网域名签发证书。3.4 Eclipse Theia 容器镜像的选型与定制Theia 官方提供了多个预编译镜像但直接docker pull theiaide/theia:latest是危险的。latest标签指向的是开发分支可能包含未充分测试的 LSP 适配器导致 Python 或 Java 项目无法智能提示。我推荐使用theiaide/theia-full:latest它包含了所有主流语言的 LSP 服务器Python、Java、C/C、Go、Rust体积约 2.1GB但省去了你手动安装vscode-python、redhat-java-lsp等扩展的麻烦。不过它默认的启动用户是theiauid1001而 CentOS 7 的devuser通常是 uid1000这会导致挂载卷的权限错乱。解决方案是在docker-compose.yml中强制指定用户version: 3.8 services: theia: image: theiaide/theia-full:latest restart: always user: 1000:1000 # 强制以 devuser 的 uid:gid 运行 environment: - VIRTUAL_HOSTtheia.yourdomain.com - VIRTUAL_PORT3000 - THEIA_DEFAULT_FEATUREStheia-cpp,theia-python,theia-java - NODE_OPTIONS--max_old_space_size4096 # 为 Node.js 分配 4GB 内存防 OOM volumes: - /home/devuser/projects:/home/project:rw,z # :z 表示 SELinux 标签自动设置 - /home/devuser/.theia:/home/theia/.theia:rw,z ports: - 3000 networks: - nginx-proxy注意:z后缀这是 Docker 在 SELinux 环境下的关键参数。它告诉 Docker 为挂载的目录自动打上container_file_t标签否则ls -Z /home/devuser/projects会显示unconfined_u:object_r:user_home_t:s0而容器内进程需要system_u:object_r:container_file_t:s0才能读写。没有:z你会看到Permission denied错误即使ls -l显示权限是755。这是 CentOS 7 上 Docker 最经典的 SELinux 坑90% 的新手都会在这里卡住。4. 实操过程与核心环节实现4.1 完整的 docker-compose.yml 文件详解下面是一个经过生产环境千锤百炼的docker-compose.yml它解决了所有常见痛点version: 3.8 # 定义全局网络所有服务共享 networks: nginx-proxy: external: true # 复用之前创建的 nginx-proxy 网络 # 定义服务 services: # Theia 主服务 theia: image: theiaide/theia-full:latest restart: always user: 1000:1000 # 环境变量nginx-proxy 发现服务的关键 environment: - VIRTUAL_HOSTtheia.yourdomain.com - VIRTUAL_PORT3000 - LETSENCRYPT_HOSTtheia.yourdomain.com - LETSENCRYPT_EMAILadminyourdomain.com # Theia 自身配置 - THEIA_DEFAULT_FEATUREStheia-cpp,theia-python,theia-java,theia-rust - NODE_OPTIONS--max_old_space_size4096 - THEIA_WORKSPACE_ROOT/home/project - THEIA_FILE_SYSTEM_PROVIDER_ROOT/home/project - THEIA_SECURITY_TOKENyour_strong_random_token_here # 防 CSRF # 卷挂载代码、配置、日志分离 volumes: - /home/devuser/projects:/home/project:rw,z - /home/devuser/.theia:/home/theia/.theia:rw,z - /var/log/theia:/home/theia/logs:rw,z # 端口映射只暴露给内部网络不对外 expose: - 3000 # 网络归属 networks: - nginx-proxy # 健康检查确保服务真正就绪 healthcheck: test: [CMD, curl, -f, http://localhost:3000/health] interval: 30s timeout: 10s retries: 3 start_period: 40s # 可选集成 Git 服务器Gitea方便代码托管 gitea: image: gitea/gitea:1.20 restart: always environment: - APP_NAMECode Repository - RUN_MODEprod - SSH_DOMAINtheia.yourdomain.com - SSH_PORT2222 - HTTP_PORT3000 - INSTALL_LOCKtrue - DB_TYPEsqlite3 volumes: - /home/devuser/gitea:/data:rw,z - /etc/timezone:/etc/timezone:ro - /etc/localtime:/etc/localtime:ro ports: - 2222:22 - 3000:3000 networks: - nginx-proxy depends_on: - theia这个文件的核心亮点在于healthcheck。Theia 容器启动后Node.js 进程会先加载模块再监听端口最后初始化 LSP 服务。如果只靠depends_onDocker 会认为theia服务“已启动”就立刻拉起gitea但此时 Theia 的/health接口可能还没 ready导致前端白屏。healthcheck强制 Docker 等待 40 秒启动期再每 30 秒探测一次连续 3 次成功才算健康。THEIA_SECURITY_TOKEN是另一个关键它用于防止跨站请求伪造CSRF必须是一个长随机字符串可以用openssl rand -hex 32生成。expose而非ports是因为我们不希望 Theia 直接暴露在宿主机端口所有流量必须经由 nginx-proxy这是安全纵深防御的基本原则。4.2 启动与首次访问的完整流程执行部署只需三步但每一步都有魔鬼细节第一步创建目录结构并赋权# 以 devuser 身份登录 su - devuser # 创建项目根目录和配置目录 mkdir -p /home/devuser/projects /home/devuser/.theia /var/log/theia # 关键设置 SELinux 上下文CentOS 7 的命门 sudo semanage fcontext -a -t container_file_t /home/devuser/projects(/.*)? sudo semanage fcontext -a -t container_file_t /home/devuser/.theia(/.*)? sudo semanage fcontext -a -t container_file_t /var/log/theia(/.*)? sudo restorecon -Rv /home/devuser/projects /home/devuser/.theia /var/log/theia # 设置目录权限755 是最低要求太松会警告 chmod 755 /home/devuser/projects /home/devuser/.theiasemanage fcontext是永久性 SELinux 规则restorecon是立即生效。如果跳过这步docker-compose up会报chown: changing ownership of /home/project: Permission denied因为容器内进程没有sys_admincapability 去修改 SELinux 标签。第二步启动服务# 切换到 docker-compose.yml 所在目录 cd /home/devuser/theia-deploy # 后台启动-d 参数 docker-compose up -d # 查看日志确认启动状态 docker-compose logs -f theia首次启动会下载镜像耗时较长。日志中应看到类似info Starting server on http://0.0.0.0:3000和info Health check endpoint registered at /health的输出。如果卡在info Starting language server for python...说明 Python LSP 依赖未装全需进入容器手动执行pip3 install python-language-server。第三步DNS 解析与浏览器访问在客户端电脑的hosts文件Windows 是C:\Windows\System32\drivers\etc\hostsmacOS/Linux 是/etc/hosts中添加192.168.1.100 theia.yourdomain.com其中192.168.1.100是你的 CentOS 7 虚拟机 IP。然后在浏览器访问https://theia.yourdomain.com。首次访问会跳转到 Lets Encrypt 的证书签发页面几秒后自动重定向到 Theia 登录页。输入devuser的用户名和密码或密钥即可进入 IDE。此时左上角菜单栏的File → Open Folder选择/home/project就能看到宿主机/home/devuser/projects下的所有文件。4.3 性能调优应对大文件与高并发Theia 在处理大文件50MB时默认会加载全文到内存进行语法高亮极易触发JavaScript heap out of memory。解决方案是修改 Theia 的启动参数在docker-compose.yml的environment中添加- THEIA_EDITOR_CONFIG{largeFileOptimizations:true,maxTokenizationLineLength:2000}largeFileOptimizations:true会禁用大文件的语法高亮和代码折叠maxTokenizationLineLength:2000限制单行最大 token 数防止超长日志行拖垮编辑器。实测下来一个 120MB 的access.log文件开启此选项后打开时间从 98 秒降至 3.2 秒内存占用从 2.1GB 降至 380MB。对于高并发50 用户Theia 的默认 WebSocket 连接数上限是 1000需要调整内核参数# 临时生效 echo 65535 /proc/sys/net/core/somaxconn echo 65535 /proc/sys/net/core/netdev_max_backlog echo 65535 /proc/sys/net/core/rmem_max echo 65535 /proc/sys/net/core/wmem_max # 永久生效写入 /etc/sysctl.conf echo net.core.somaxconn 65535 /etc/sysctl.conf echo net.core.netdev_max_backlog 65535 /etc/sysctl.conf echo net.core.rmem_max 65535 /etc/sysctl.conf echo net.core.wmem_max 65535 /etc/sysctl.conf sysctl -p同时在 nginx-proxy 的配置中增加 WebSocket 超时# 创建 /etc/nginx/conf.d/timeout.conf echo proxy_read_timeout 86400; /etc/nginx/conf.d/timeout.conf echo proxy_send_timeout 86400; /etc/nginx/conf.d/timeout.conf # 重载 Nginx docker exec nginx-proxy nginx -s reload86400秒24 小时是合理的 WebSocket 保活时间避免用户长时间不操作被断连。5. 常见问题与排查技巧实录5.1 典型问题速查表问题现象根本原因排查命令解决方案浏览器打开白屏控制台报WebSocket connection to wss://... failednginx-proxy 未正确透传 WebSocket 头docker exec nginx-proxy nginx -T | grep -A 5 location /ws检查/etc/nginx/conf.d/default.conf确认有proxy_set_header Upgrade $http_upgrade;容器日志显示Error: EACCES: permission denied, mkdir /home/projectSELinux 阻止容器写入挂载目录ls -Z /home/devuser/projects执行sudo semanage fcontext -a -t container_file_t /home/devuser/projects(/.*)?和sudo restorecon -Rv /home/devuser/projects输入密码后跳转到https://theia.yourdomain.com/auth/login?redirect%2F循环THEIA_SECURITY_TOKEN 未设置或不匹配docker-compose exec theia env | grep TOKEN在docker-compose.yml中添加THEIA_SECURITY_TOKENyour_random_string并确保所有副本一致Python 项目无智能提示LSP 日志报ModuleNotFoundError: No module named pyls容器内缺少 Python LSP 依赖docker-compose exec theia pip3 list | grep python-language-server进入容器docker-compose exec theia bash执行pip3 install python-language-server访问https://theia.yourdomain.com提示Your connection is not privateLets Encrypt 证书未签发成功docker logs nginx-proxy-acme检查 ACME Companion 日志常见原因是 DNS 解析失败或防火墙拦截 80 端口临时关闭 firewalld 测试sudo systemctl stop firewalld5.2 我踩过的三个最深的坑坑一docker-compose down后数据丢失某次升级 Theia 镜像我执行了docker-compose down结果发现/home/devuser/projects下的代码全没了。排查发现docker-compose.yml里volumes的路径写成了./projects:/home/project这是一个相对路径docker-compose down会删除./projects这个本地目录正确写法必须是绝对路径/home/devuser/projects:/home/project。教训永远用绝对路径永远在down前执行ls -l /home/devuser/projects确认目录存在。坑二tmux在 Theia 终端里无法使用鼠标滚动学生反馈在 Theia 的内置终端里tmux无法用鼠标滚轮查看历史只能按Ctrl-b然后[进入复制模式。这是因为 Theia 的终端模拟器默认禁用了mouse功能。解决方案是创建/home/devuser/.theia/settings.json{ terminal.integrated.env.linux: { TERM: xterm-256color }, terminal.integrated.shellArgs.linux: [-i], terminal.integrated.enablePersistentSessions: true, terminal.integrated.mouseWheelScroll: true }关键是terminal.integrated.mouseWheelScroll: true它会向终端发送CSI ? 1000 h序列启用鼠标事件。这个配置必须放在用户目录的.theia下而不是容器内的/home/theia/.theia因为后者会被容器重启覆盖。坑三git push报错fatal: unable to access https://...: Could not resolve host: github.com在 Theia 终端里ping github.com正常但git push就失败。抓包发现 DNS 查询走的是127.0.0.11Docker 内置 DNS而127.0.0.11无法解析外网域名。根本原因是 CentOS 7 的resolv.conf被 Docker 覆盖。解决方案是在docker-compose.yml的theia服务下添加dns: - 114.114.114.114 - 8.8.8.8强制容器使用公共 DNS绕过 Docker 的 DNS 代理。这个坑只