現代化 Domino 部署：配置容器等待 One Touch Setup (OTS) 的技術實務

隨著企業 IT 架構邁向容器化與微服務化，HCL Domino 的部署模式也從傳統的虛擬機安裝轉向 Docker 與 Podman。在自動化部署流程中，One Touch Setup (OTS) 已成為 Domino 12 之後版本的核心功能，它允許透過 JSON 配置檔案或環境變數實現無人值守的伺服器初始化。然而，在實際的 CI/CD 或容器編排（如 Kubernetes）場景中，如何確保容器正確進入「等待配置」狀態並順利完成 OTS 流程，是資深系統工程師必須掌握的關鍵技術。

為什麼需要讓 Domino 容器「等待」OTS？

在傳統部署中，管理員通常手動啟動伺服器並透過遠端控制台進行設定。但在容器化環境中，我們追求的是「基礎設施即程式碼」(IaC)。當 Domino 容器啟動時，若未偵測到現有的 notes.ini 或伺服器標識文件，系統會預設進入初始化階段。配置容器等待 OTS 的主要目的在於：

• 同步化自動部署： 確保自動化腳本有足夠的時間將加密的 JSON 設定檔掛載或注入容器。
• 安全性考量： 避免敏感配置（如管理員密碼、Certifier ID）長時間暴露在不安全的環境變數中，而是透過掛載受保護的 JSON 密鑰檔案進行初始化 (HCL Software Open Source)。
• 彈性擴充： 支援在容器啟動後，透過外部觸發或 API 傳遞配置參數，而非在鏡像構建時寫死設定。

使用 dominoctl 簡化容器生命週期管理

在當前的最佳實踐中，dominoctl（源自 Daniel Nashed 的 Nash!Com 啟動腳本專案）是管理 Domino 容器的首選工具。它並非 Domino 鏡像的內建組件，而是作為增強型腳本層，簡化了配置、啟動與停止的操作 (Nash!Com)。

透過 dominoctl cfg，工程師可以快速調整容器的運行參數。在 OTS 場景下，dominoctl 能夠識別容器是否處於待配置狀態，並引導系統讀取預定義的 JSON 文件。這對於 DevOps 工程師而言，意味著可以將 Domino 的部署邏輯從繁瑣的命令行參數轉向結構化的設定檔管理。

# 使用 dominoctl 進入配置界面
dominoctl cfg

# 檢查當前容器狀態
dominoctl status

Domino 14+ 的 OTS 演進與優化

根據 Daniel Nashed 於 2026 年 2 月發布的最新技術觀察，Domino 14.0 針對 OTS 引入了更靈活的 Document Operations 與公式支援 (Daniel Nashed’s Blog)。這對於「配置等待」流程產生了顯著影響：

• 公式查找 (Find via formula)： 在多伺服器環境中，以往 OTS 必須精確匹配伺服器名稱（包含 C=, OU= 等階層）。Domino 14+ 支援使用公式進行查找，這使得自動化腳本在準備 OTS JSON 時，不再需要預先知曉精確的階層化名稱，大幅降低了配置失敗的機率。
• 更靈活的文件操作： 容器在等待 OTS 期間，可以透過更強大的 JSON 指令集來定義目錄輔助 (Directory Assistance) 或特定的資料庫連結，這使得「等待配置」後的初始化動作能一次性完成更複雜的架構設定。

實作指南：配置容器進入 OTS 等待狀態

要讓 Domino 容器正確等待並執行 OTS，建議採取以下步驟：

1. 準備 OTS JSON 設定檔

這是最推薦的安全做法。將配置資訊寫入 JSON 檔案，而非直接使用環境變數。這能避免敏感資訊出現在 docker inspect 的結果中。

{
  "setupParameters": {
    "server": {
      "name": "DominoServer01",
      "domain": "Enterprise",
      "password": "encrypted_password",
      "isAdditionalServer": false
    },
    "admin": {
      "name": "Admin User",
      "password": "admin_password"
    }
  }
}

2. 掛載配置路徑

啟動容器時，需將 JSON 檔案掛載至容器內的特定路徑（通常為 /auto_setup 或由環境變數 SetupAutoConfigFile 指定的路徑）。

docker run -d 
  --name domino-server 
  -v /opt/domino/data:/local/notesdata 
  -v /opt/domino/config/setup.json:/opt/hcl/domino/auto_setup/setup.json 
  -e SetupAutoConfigFile=/opt/hcl/domino/auto_setup/setup.json 
  hclcom/domino:latest

3. 處理加密密鑰與 ID 檔案

如果是設置「附加伺服器」(Additional Server)，容器在等待 OTS 期間，管理員需使用 docker cp 將 server.id 複製到磁碟卷中，或者在 JSON 中指定 ID 檔案的 Base64 編碼內容 (HCL Help Center)。

結論與資安建議

配置 Domino 容器等待 OTS 是實現企業級自動化部署的必經之路。從資安角度來看，專家建議：

• 優先使用 Secret 管理： 在 Kubernetes 環境中，應將 OTS JSON 儲存於 Secret 物件中，並以唯讀方式掛載至容器。
• 監控初始化日誌： 透過 docker logs -f [container_id] 監控 OTS 進度，一旦偵測到 Configuration completed successfully，應考慮移除或停用初始化的掛載點。
• 版本適配： 針對 Domino 14 以上版本，應利用新版的公式查找功能來強化自動化腳本的魯棒性 (Daniel Nashed’s Blog)。

透過上述配置，IT 團隊可以構建出既符合資安規範，又具備高度自動化能力的 Domino 容器化平台。

參考資料與原文來源

• 🔗 原文來源: Run via dominoctl | Domino for Docker Containers
• 🔗 原文來源: Domino Container OTS integration – HCL Software Open Source
• 🔗 原文來源: Daniel Nashed’s Blog – Domino on Linux OTS changes for Domino 14+
• 🔗 原文來源: Creating a temporary container for remote server setup – HCL Help Center

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。