Nginx是一個非初锝快速陌知,經(jīng)過測試京闰,易于配置的HTTP服務器和代理颜及。雖然Vapor支持使用或不使用TLS直接提供HTTP請求,但是Nginx后面的代理可以提供更高的性能蹂楣,安全性和易用性俏站。
注意
我們建議代理Nginx后面的Vapor HTTP服務器。
概述(Overview)
代理HTTP服務器意味著什么痊土?簡而言之肄扎,代理人作為公共互聯(lián)網(wǎng)和HTTP服務器之間的中間人。請求到代理施戴,然后發(fā)送到Vapor反浓。
這個中間人代理的一個重要特征是它可以改變甚至重定向請求。例如赞哗,代理可以要求客戶端使用TLS(https)雷则,速率限制請求,甚至可以在不與您的Vapor應用程序通信的情況下提供公共文件肪笋。
更多細節(jié)(More Detail)
用于接收HTTP請求的默認端口是80端口(HTTPS是443端口)月劈。當您將Vapor服務器綁定到80端口時度迂,它將直接接收并響應到您的服務器的HTTP請求。當添加像Nginx這樣的代理程序時猜揪,可以將Vapor綁定到內(nèi)部端口惭墓,如8080端口。
注意
大于1024的端口不需要sudo綁定而姐。
當Vapor綁定到80端口或443端口時腊凶,外部互聯(lián)網(wǎng)不可訪問。然后拴念,您將Nginx綁定到80端口钧萍,并將其配置為將請求路徑到8080端口(或您選擇的任何端口)上綁定的Vapor服務器。
就是這樣 政鼠。如果Nginx配置正確风瘦,您會看到您的Vapor應用程序響應80端口上的請求。Nginx在不可見的情況下代理請求和響應公般。
安裝Nginx(Install Nginx)
第一步是安裝Nginx万搔。Nginx的一個重要部分是圍繞它的大量社區(qū)資源和文檔。因此官帘,我們不會在這里詳細介紹Nginx瞬雹,因為幾乎肯定會有一個專門的平臺、操作系統(tǒng)和提供程序的教程刽虹。
教程:
- 如何在Ubuntu 14.04 LTS上安裝Nginx
- 如何在Ubuntu 16.04上安裝Nginx
- 如何在Heroku上部署Nginx
- 如何在Ubuntu 14.04的Docker容器中運行Nginx
APT
Nginx可以通過APT安裝挖炬。
sudo apt-get update
sudo apt-get install nginx
在瀏覽器中訪問服務器的IP地址,檢查Nginx是否正確安裝
http://server_domain_name_or_IP
服務(Server)
該服務可以啟動或停止状婶。
sudo service nginx stop
sudo service nginx start
sudo service nginx restart
引導蒸氣(Booting Vapor)
Nginx可以用sudo service nginx ...命令啟動一個停止。您將需要類似啟動和停止您的Vapor服務器的東西馅巷。
有很多方法可以做到這一點膛虫,它們?nèi)Q于您要部署的平臺。查看管理員說明钓猬,添加啟動和停止Vapor應用程序的命令稍刀。
配置代理(Configure Proxy)
在/etc/nginx/sites-enabled/里可以找到啟用的站點的配置文件。
創(chuàng)建一個新的文件或復制示例模板從/etc/nginx/sites-available/開始敞曹。
下面是一個示例配置文件账月,用于在主目錄中名為Hello的Vapor項目。
server {
server_name hello.com;
listen 80;
root /home/vapor/Hello/Public/;
location @proxy {
proxy_pass http://127.0.0.1:8080;
proxy_pass_header Server;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass_header Server;
proxy_connect_timeout 3s;
proxy_read_timeout 10s;
}
}
這個配置文件假設Hello項目在生產(chǎn)模式下啟動時綁定到8080端口澳迫。
服務文件(Serving Files)
Nginx也可以提供公共文件局齿,而不要求您的Vapor應用程序。這可以通過在重負載下為其他任務釋放Vapor的過程來提高性能橄登。
server {
...
# Serve all public/static files via nginx and then fallback to Vapor for the rest
try_files $uri @proxy;
location @proxy {
...
}
}
TLS
添加TLS相對簡單,只要證書已經(jīng)被正確地生成的抓歼。免費生成TLS證書,請查看 Let's Encrypt讥此。
server {
...
listen 443 ssl;
ssl_certificate /etc/letsencrypt/live/hello.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/hello.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_stapling on;
ssl_stapling_verify on;
add_header Strict-Transport-Security max-age=15768000;
...
location @proxy {
...
}
}
上面的配置是使用Nginx的TLS的相對嚴格的設置。這里的一些設置不是必需的谣妻,但增強安全性萄喳。
