Deploy With Nginx
Nginx是一个非常快速,便于测试,易于配置的HTTP服务器和代理服务器。 虽然Vapor支持使用或不使用TLS的HTTP请求,但在Nginx代理下可以提高性能,更加安全、易用。
注意: 我们推荐在
Nginx服务器下部署我们的Vapor HTTP服务器。
Overview
HTTP代理服务器什么意思? 简而言之,代理就像是公共互联网和你的HTTP服务器之间的中间人。 请求发到代理,然后代理再发送到Vapor。
代理的一个重要特征就是它可以改变,甚至重定向请求。 例如,代理可以要求客户端使用TLS(https),限制请求速率,甚至可以在不与你的Vapor应用程序通信的情况下提供公共文件。
More Detail
用于接收HTTP请求的默认端口是80(对于HTTPS是443)。 当将Vapor服务器绑定到端口80时,它将直接接收并响应到服务器的HTTP请求。 当添加像Nginx这样的代理时,将Vapor绑定到内部端口,如端口8080。
Note:大于1024的端口不需要
sudo绑定。
当Vapor绑定到除了80或443之外的端口时,外部互联网将无法访问。然后,将Nginx绑定到端口80,并为其配置请求路由到端口8080(或您选择的任何端口)的Vapor服务器。
就是如此,如果Nginx配置正确,你会看到你的Vapor应用程序能够响应端口80上的请求。Nginx隐形的代理着这些请求和响应。
Install Nginx
第一步是安装Nginx。 Nginx的一个巨大优势就是社区资源和文档非常多。 因此,我们不会在这里详细介绍如何安装Nginx,因为绝对有一个针对你的的操作系统的安装教程。
可参考的文档举例:
- How To Install Nginx on Ubuntu 14.04 LTS
- How To Install Nginx on Ubuntu 16.04
- How to Deploy Nginx on Heroku
- How To Run Nginx in a Docker Container on Ubuntu 14.04
ATP
通过ATP安装Nginx:
sudo apt-get update
sudo apt-get install nginx
在浏览器中访问服务器的IP地址,检查Nginx是否正确安装:
http://server_domain_name_or_IP
Service
启动或停止服务器:
sudo service nginx stop
sudo service nginx start
sudo service nginx restart
Booting Vapor
Nginx可以使用sudo service nginx ...启动或停止。 你也可以使用类似的指令启动和停止你的Vapor服务器。
有很多方法可以做到这一点,这取决于你要部署的平台。 查看Supervisor文档的说明,添加启动和停止Vapor应用程序的命令。
Configure Proxy
/etc/nginx/sites-enabled/中可以找到启用站点的配置文件。
从创建一个新文件或者复制/etc/nginx/sites-available/的示例模板开始。
下面Home目录下名为Hello的配置文件示例:
server {
server_name hello.com;
listen 80;
root /home/vapor/Hello/Public/;
location @proxy {
proxy_pass http://127.0.0.1:8080;
proxy_pass_header Server;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass_header Server;
proxy_connect_timeout 3s;
proxy_read_timeout 10s;
}
}
这个例子是假设在生产环境下启动时,Hello项目绑定到了8080端口。
Serving Files
Nginx也可以提供公共配置文件,而不用在Vapor应用程序中配置。 这可以通过在负载较大时为其他任务释放Vapor程序来提高性能。
server {
...
# Serve all public/static files via nginx and then fallback to Vapor for the rest
try_files $uri @proxy;
location @proxy {
...
}
}
TLS
只要生成了正确的证书,添加TLS就非常简单。想要生成免费的TLS证书,可以查看Let's Encrypt。
server {
...
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/hello.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hello.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security max-age=15768000;
...
location @proxy {
...
}
}
上面的配置是使用Nginx的TLS相对严谨的设置。 有一些设置不是必需的,但可以提高安全性。
