LobeChat数据库版部署指南（2025更新）

LobeChat 数据库版部署实战指南（2025 最新版）

在如今 AI 应用快速普及的背景下，越来越多企业和开发者不再满足于“只能聊天”的通用助手。我们想要的是一个能记住上下文、支持文件解析、具备知识库检索能力、还能多用户协作的私有化 AI 平台——而LobeChat 数据库版正是为此而生。

相比社区默认的本地存储版本，DB 版通过引入 PostgreSQL、MinIO 和 Logto 鉴权系统，实现了真正的生产级功能闭环：会话持久化、全局角色管理、插件调用、文档上传与向量化处理……这一切都让自建企业级 AI 助手成为可能。

本文将带你从零开始完成一次完整的 LobeChat DB 版部署，涵盖域名配置、Docker 编排、反向代理、HTTPS 加密、权限初始化等关键步骤。无需逐章翻阅标题，我们将以工程师的实际操作流程为主线，把技术细节自然融入整个部署过程。

假设你已拥有一台公网 Linux 服务器（推荐 Ubuntu 22.04），并安装了 Docker 与 Docker Compose v2+。若使用 1Panel 或其他容器面板，则操作更直观。接下来的第一步，是为这套多服务架构规划清晰的域名体系。

LobeChat DB 版并非单一应用，而是由多个微服务组成：

• 主界面服务（lobe.example.com）
• 认证 API 与管理后台（lobe-auth-api/ui.example.com）
• 对象存储 API 与控制台（lobe-s3-api/ui.example.com）

因此需要提前在 DNS 控制台添加五条 A 记录，全部指向你的服务器 IP：

lobe.example.com → x.x.x.x lobe-auth-api.example.com → x.x.x.x lobe-auth-ui.example.com → x.x.x.x lobe-s3-api.example.com → x.x.x.x lobe-s3-ui.example.com → x.x.x.x

TTL 可设为 600 秒。如果你正在调试阶段，建议关闭 CDN 代理模式（即“仅DNS”状态），避免 SSL 终止位置混乱导致连接失败。

对于内网主机用户（如家庭 NAS 或校园网设备），可通过 NPS 等内网穿透工具暴露服务。只需创建五条“域名代理”规则，将上述域名转发至内网 OpenResty 的 443 端口即可。注意：SSL 解密应由 OpenResty 完成，NPS 仅做 TCP 层透传。

一切准备就绪后，登录服务器终端，创建专属项目目录：

mkdir ~/lobechat-db && cd ~/lobechat-db

在这个目录下，我们将放置两个核心文件：docker-compose.yml和.env。

先来看docker-compose.yml的内容。它定义了四个主要服务：PostgreSQL（带 pgvector 扩展）、MinIO、Logto 鉴权系统和 LobeChat 主体。

name: lobe-chat-database services: postgresql: image: pgvector/pgvector:pg16 container_name: lobe-postgres ports: - "5432:5432" volumes: - ./data:/var/lib/postgresql/data environment: POSTGRES_DB: lobe POSTGRES_PASSWORD: YOUR_POSTGRES_PASSWORD_HERE healthcheck: test: ["CMD-SHELL", "pg_isready -U postgres"] interval: 5s timeout: 5s retries: 5 restart: always minio: image: minio/minio container_name: lobe-minio ports: - "9000:9000" - "9001:9001" volumes: - ./s3_data:/data environment: MINIO_ROOT_USER: YOUR_MINIO_ADMIN_USER MINIO_ROOT_PASSWORD: YOUR_MINIO_PASSWORD MINIO_DOMAIN: lobe-s3-api.example.com MINIO_API_CORS_ALLOW_ORIGIN: https://lobe.example.com command: server /data --address ":9000" --console-address ":9001" restart: always logto: image: svhd/logto container_name: lobe-logto ports: - "3001:3001" - "3002:3002" depends_on: postgresql: condition: service_healthy environment: TRUST_PROXY_HEADER: "1" DB_URL: postgresql://postgres:YOUR_POSTGRES_PASSWORD_HERE@postgresql:5432/logto ENDPOINT: https://lobe-auth-api.example.com ADMIN_ENDPOINT: https://lobe-auth-ui.example.com entrypoint: ["sh", "-c", "npm run cli db seed -- --swe && npm start"] restart: always lobe: image: lobehub/lobe-chat-database:latest container_name: lobe-chat ports: - "3210:3210" depends_on: - postgresql - minio - logto env_file: - .env restart: always volumes: data: driver: local s3_data: driver: local

几个关键点务必注意：

• 所有example.com要替换为你的真实域名；
• POSTGRES_PASSWORD必须设置强密码，并同步更新到.env中的DATABASE_URL；
• 不建议长期暴露数据库端口（5432）和 MinIO 控制台（9001），后期可通过移除ports实现网络隔离；
• host.docker.internal在 Linux 上默认不可用，若需连接宿主机 Ollama，请确保 Docker daemon 支持该特性或手动配置 host 映射。

接着创建.env文件，用于注入运行时环境变量：

APP_URL=https://lobe.example.com KEY_VAULTS_SECRET=Kix2wcUONd4CX51E/ZPAd36BqM4wzJgKjPtz2sGztqQ= DATABASE_URL=postgresql://postgres:your_strong_password@postgresql:5432/lobe NEXT_AUTH_SECRET=NX2kaPE923dt6BL2U8e9oSre5RfoT7hg NEXT_AUTH_SSO_PROVIDERS=logto NEXTAUTH_URL=https://lobe.example.com/api/auth AUTH_LOGTO_ID= AUTH_LOGTO_SECRET= AUTH_LOGTO_ISSUER=https://lobe-auth-api.example.com/oidc S3_ACCESS_KEY_ID= S3_SECRET_ACCESS_KEY= S3_ENDPOINT=https://lobe-s3-api.example.com S3_BUCKET=lobe S3_PUBLIC_DOMAIN=https://lobe-s3-api.example.com S3_ENABLE_PATH_STYLE=1 OLLAMA_PROXY_URL=http://host.docker.internal:11434 DEFAULT_FILES_CONFIG="embedding_model=ollama/bge-m3:latest"

其中KEY_VAULTS_SECRET和NEXT_AUTH_SECRET推荐使用以下命令生成：

openssl rand -base64 32

特别提醒：此时AUTH_LOGTO_ID和AUTH_LOGTO_SECRET暂留空值，将在后续 Logto 初始化完成后填写。

现在可以启动服务了：

docker compose up -d

镜像拉取完成后，查看主服务日志：

docker logs -f lobe-chat

等待出现[NextJS] Ready in X.Xs提示，说明前端已就绪。此时可通过http://服务器IP:3210测试访问，能看到加载界面但无法登录——这是正常的，因为我们还未配置鉴权系统。

接下来进入最关键的一步：反向代理与 HTTPS 配置。

如果你使用 1Panel，操作非常简单。进入「网站」模块，依次为五个域名创建站点，目标地址分别为：

然后前往「证书」模块申请多域名 SSL 证书。主域名为lobe.example.com，附加 SAN 包括其余四个子域。推荐使用 DNS 验证方式（如阿里云或 Cloudflare API 接入），并开启自动续签。

证书签发成功后，为每个网站启用 HTTPS，选择对应证书，并勾选“强制 HTTP 跳转 HTTPS”。HSTS 可根据安全需求决定是否启用。

至此，所有服务均已支持加密访问。下一步是初始化Logto 鉴权系统。

打开浏览器访问：

👉 https://lobe-auth-ui.example.com

首次访问会引导你注册管理员账户。请立即创建一个邮箱账号——这是整个系统的超级管理员，拥有最高权限。

登录后进入 Dashboard → Applications → Create Application：

• 类型选择：Next.js (App Router)
• 名称填写：LobeChat

创建后配置三项关键信息：

Redirect URIs：

https://lobe.example.com/api/auth/callback/logto

Post sign-out redirect URIs：

https://lobe.example.com/

CORS allowed origins：

https://lobe.example.com

保存后，在应用详情页获取：

• Application ID→ 填入.env的AUTH_LOGTO_ID
• Application Secrets→ 点击「Show」获取密钥 → 填入AUTH_LOGTO_SECRET

这里有个常见误区：很多人以为这个管理员账户可以直接登录 LobeChat，但实际上不行。你需要另外注册一个普通用户账号才能成功登录主应用。如果希望关闭公开注册，可前往「Sign-in experience」→「Sign-up and sign-in」→ 关闭「Enable user registration」。

接下来配置MinIO 对象存储。

访问：

👉 https://lobe-s3-ui.example.com

使用你在docker-compose.yml中设定的MINIO_ROOT_USER和MINIO_ROOT_PASSWORD登录。

左侧导航进入 Buckets → Create Bucket：

• 名称：lobe
• Access Type：Private

创建完成后，点击该 bucket → Access Policy → Edit → Custom，粘贴以下最小化授权策略：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::lobe" }, { "Effect": "Allow", "Principal": "*", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::lobe", "Condition": { "StringEquals": { "s3:prefix": ["files/"] } } }, { "Effect": "Allow", "Principal": "*", "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"], "Resource": "arn:aws:s3:::lobe/**" } ] }

此策略允许 LobeChat 读写files/目录下的对象，同时防止越权访问其他路径。

然后进入 Access Keys → Create access key：

• User:<default>（或新建专用用户）
• Name:lobechat-service

记录生成的 Access Key ID 和 Secret Access Key，并填入.env文件中的S3_ACCESS_KEY_ID和S3_SECRET_ACCESS_KEY。

所有配置已完成，最后一步是重新加载服务：

docker compose down docker compose up -d

等待容器全部启动后，访问：

🎉 https://lobe.example.com

使用之前注册的非管理员账户登录，你应该能顺利进入主界面。

恭喜！你现在拥有的不再只是一个聊天框，而是一个功能完整的 AI 协作平台。你可以：

• 上传 PDF、Word、Excel 文件并进行内容提取；
• 启用 Ollama + BGE-M3 实现本地知识库 RAG 检索；
• 使用插件系统调用外部工具（Function Call）；
• 创建团队共享会话和全局角色模板；
• 多设备间无缝同步对话历史。

当然，这只是一个起点。为了提升安全性与稳定性，还有几项优化值得立即执行：

🔐 安全加固建议

• 移除postgresql和minio的ports暴露，改为仅内部通信；
• 使用 Docker 自定义网络（custom network）隔离服务间流量；
• 定期备份./data（数据库）和./s3_data（文件存储）目录；
• 为 MinIO 创建专用 IAM 用户，避免使用 root 凭据；
• 将.env文件权限设为600，防止敏感信息泄露。

⚙️ 性能调优方向

• 若部署在 ARM 设备（如树莓派），考虑构建 ARM 兼容镜像或使用 QEMU 模拟；
• 为 PostgreSQL 添加索引以加速会话查询（尤其是messages表）；
• 未来可接入 Redis 缓存频繁请求，降低数据库负载。

🧩 功能拓展思路

• 接入 Whisper 实现语音输入转文字；
• 集成 LangChain 或 LlamaIndex 构建复杂 Agent 工作流；
• 使用 Traefik 替代 OpenResty 实现更灵活的路由控制与灰度发布；
• 自建模型网关，统一管理 OpenAI、DeepSeek、SiliconFlow 等多种 API。

LobeChat 数据库版的意义，远不止于“换皮 ChatGPT”。它本质上是一个低代码 AI 应用框架，允许你在不修改前端的情况下，通过配置实现个性化知识库、自动化工作流、跨系统集成等高级场景。

随着社区持续迭代，未来版本或将原生支持更多嵌入模型协议、增强插件生态、优化移动端体验。而现在，你已经站在了这场演进的起点上。

🌐 官方文档：https://lobehub.com
💬 社区交流群：913211989（进群口令：fCLobeD）
🐱 GitHub 开源地址：https://github.com/lobehub/lobe-chat

愿你在这条路上走得更深更远。