前言
最近帮朋友把一个练手项目部署上线,顺手整理了一份在云服务器上的完整部署流程。如果你刚接触云服务器,或者之前只在本地跑过项目,本文会帮你把「写好的代码变成公网可访问的服务」这件事从头到尾串一遍。
我们以一台 Linux 云服务器为环境,最终目标:浏览器输入公网 IP,就能看到一个正常运行的 Web 服务,并且具备基本的运维安全配置。
为什么选云服务器
部署个人项目的选择其实不少:虚拟主机、Serverless、容器平台,甚至可以直接用 ngrok 内网穿透。
但长期来看,一台属于自己的云服务器有几个好处:
- 完全可控:操作系统、软件版本、网络配置全由自己决定,不受平台约束。
- 学习价值高:服务器运维本身就是一项硬技能,部署过程中你会接触到 Linux、网络、安全等知识。
- 性价比:目前主流云厂商的经济型实例价格已经很低,对于个人开发和轻量项目来说成本几乎可以忽略。
实例选型:不花冤枉钱
选实例是第一步,也是最容易被「配置焦虑」带偏的一步。我的建议是:按实际负载选,不要提前为「以后可能用上」付费。
如果是个人项目、博客、小型 API 服务,推荐从这个配置起步:
| 场景 | 推荐实例 | 典型配置 |
|---|---|---|
| 学习/测试/轻量服务 | u2i 经济型 | 2核 4G,月成本极低 |
| 有一定并发需求 | c9i 企业级 | 2核~4核,至强6处理器,单核性能提升了约 20% |
u2i 经济型实例目前新用户的价格很低,适合拿来做实验环境。c9i 是阿里云第 9 代企业级实例,用了英特尔至强 6 处理器,支持 AMX 矩阵加速和 TDX 机密计算,如果你有 AI 推理或者对安全性要求较高的场景会更合适。
本文的演示环境基于阿里云 ECS如果你还没有账号,可以通过这个邀请链接注册:快速注册或登录地址,目前新用户有经济型实例优惠和百元套餐包,适合拿来做测试。
第一步:安全组配置——先想再动手
很多新人拿到服务器第一件事就是 SSH 上去装软件,这个顺序错了。先配置安全组。
安全组是云服务器的第一道防火墙,决定了哪些流量能进、能出。默认的安全组通常只开放了 22 端口,我们需要额外放开 HTTP/HTTPS:
| 方向 | 端口 | 协议 | 授权对象 | 说明 |
|---|---|---|---|---|
| 入方向 | 22 | TCP | 你的固定IP或0.0.0.0/0 | SSH管理 |
| 入方向 | 80 | TCP | 0.0.0.0/0 | HTTP |
| 入方向 | 443 | TCP | 0.0.0.0/0 | HTTPS |
在阿里云控制台 → ECS → 实例 → 安全组 → 配置规则 中添加入方向规则即可,操作直观,不需要命令行。
安全建议:22 端口的授权对象尽量限制为你自己的 IP,如果 IP 不固定,后续我们会用 fail2ban 做登录防护。
第二步:SSH 连接与系统初始化
安全组配好后,通过 SSH 连接服务器:
ssh root@你的公网IP
首次登录后,先做三件事:
1. 更新系统包
# CentOS/RHEL/Alibaba Cloud Linux
yum update -y
# Ubuntu/Debian
apt update && apt upgrade -y
2. 创建普通用户(避免长期使用 root)
useradd -m -s /bin/bash deploy
passwd deploy
usermod -aG wheel deploy # CentOS
# usermod -aG sudo deploy # Ubuntu
3. 配置 SSH 密钥登录(可选但强烈建议)
在本地生成密钥对,把公钥拷贝到服务器:
# 本地执行
ssh-keygen -t ed25519 -C "your-label"
ssh-copy-id -i ~/.ssh/id_ed25519.pub deploy@你的公网IP
验证密钥登录成功后,可以考虑禁止 root 登录和密码登录:
# /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
# 重启 sshd
systemctl restart sshd
第三步:安装 Nginx 并配置反向代理
Web 服务的入口我们统一交给 Nginx,它负责接收外部请求并转发给后端的应用进程。
安装 Nginx
# Alibaba Cloud Linux / CentOS
yum install -y nginx
# Ubuntu
apt install -y nginx
启动并设置开机自启:
systemctl start nginx
systemctl enable nginx
此时浏览器访问 http://你的公网IP,应该能看到 Nginx 默认欢迎页。
配置反向代理
我们以一个 Node.js 应用为例,它监听在本地 127.0.0.1:3000,由 Nginx 转发:
# /etc/nginx/conf.d/myapp.conf
server {
listen 80;
server_name _; # 暂时用 IP 访问,后续换成域名
# 日志
access_log /var/log/nginx/myapp_access.log;
error_log /var/log/nginx/myapp_error.log;
# 静态文件直接由 Nginx 返回
location /static/ {
root /home/deploy/myapp/public;
expires 7d;
add_header Cache-Control "public, immutable";
}
# API 请求转发到应用
location / {
proxy_pass http://127.0.0.1:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# 超时设置
proxy_connect_timeout 60s;
proxy_read_timeout 60s;
}
# 限制请求体大小(防止恶意上传)
client_max_body_size 10m;
}
测试并重载配置:
nginx -t
systemctl reload nginx
几个值得注意的点:
proxy_set_header X-Real-IP和X-Forwarded-For能保证后端拿到真实的客户端 IP,否则日志里全是 127.0.0.1。- 静态文件直接由 Nginx 返回,能大幅降低后端的请求量。
client_max_body_size按自己业务设,默认 1m 对上传场景偏小。
第四步:部署应用进程
这里用一个最小 Node.js 服务演示,换成 Python Flask / Go / Java 的流程完全一样。
应用代码 (/home/deploy/myapp/server.js):
const http = require('http');
const server = http.createServer((req, res) => {
const url = new URL(req.url, `http://${
req.headers.host}`);
if (url.pathname === '/api/health') {
res.writeHead(200, {
'Content-Type': 'application/json' });
return res.end(JSON.stringify({
status: 'ok', uptime: process.uptime() }));
}
res.writeHead(200, {
'Content-Type': 'text/html; charset=utf-8' });
res.end('<h1>Hello from ECS!</h1><p>部署成功。</p>');
});
server.listen(3000, '127.0.0.1', () => {
console.log('Server running on port 3000');
});
用 systemd 管理应用进程
直接 node server.js & 不是生产级的做法 —— 进程挂了不会自动重启,服务器重启后也不会自动拉起。systemd 可以解决这些问题:
# /etc/systemd/system/myapp.service
[Unit]
Description=MyApp Web Service
After=network.target nginx.service
[Service]
Type=simple
User=deploy
WorkingDirectory=/home/deploy/myapp
ExecStart=/usr/bin/node /home/deploy/myapp/server.js
Restart=on-failure
RestartSec=5s
StandardOutput=journal
StandardError=journal
Environment=NODE_ENV=production
# 安全加固
NoNewPrivileges=yes
PrivateTmp=yes
[Install]
WantedBy=multi-user.target
启动:
systemctl daemon-reload
systemctl start myapp
systemctl enable myapp
systemctl status myapp # 确认运行状态
第五步:安全加固
公网服务器是 24 小时暴露的,安全配置不能省略。以下是几条投入产出比最高的措施:
5.1 配置系统防火墙
安全组是第一层(网络层),系统防火墙(iptables/firewalld)是第二层(主机层),双层防护更稳妥:
# firewalld (CentOS/ALinux)
systemctl start firewalld
systemctl enable firewalld
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload
5.2 安装 fail2ban 防暴力破解
# yum install -y epel-release # CentOS 需要先装 EPEL
yum install -y fail2ban
systemctl enable fail2ban
systemctl start fail2ban
默认配置就能阻挡 SSH 暴力登录,可调的参数(/etc/fail2ban/jail.local):
[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5
5.3 自动安全更新
生产环境的安全补丁不应靠人工记忆:
# CentOS/ALinux 安装自动更新工具
yum install -y dnf-automatic
systemctl enable --now dnf-automatic.timer
第六步:日志与监控
journalctl 是排查问题的第一入口:
# 查看应用日志
journalctl -u myapp -f
# 查看最近 50 条
journalctl -u myapp -n 50 --no-pager
# 按时间范围过滤
journalctl -u myapp --since "2026-06-16 10:00" --until "2026-06-16 12:00"
对于 Nginx,建议定期检查访问日志和错误日志:
tail -f /var/log/nginx/myapp_access.log
tail -f /var/log/nginx/myapp_error.log
如果想更进一步,可以考虑接入阿里云控制台的云监控,直接在网页上配置 CPU、内存、网络流量的告警阈值,不用自己搭监控栈。
第七步:可选的进一步优化
部署跑通之后,以下方向可以根据需要深入:
- HTTPS:用 Let's Encrypt 的 certbot 免费签发证书,全自动续期
- 数据库:比如 MySQL/PostgreSQL,建议用云数据库托管版本(RDS),省去备份和主从切换的心智负担
- CI/CD:接入 GitHub Actions,每次 push 自动部署到 ECS
- CDN:静态资源推到 OSS + CDN,减少服务器带宽压力
总结
这篇文章从零走通了一个完整的服务器部署流程:安全组配置 → SSH 初始化 → Nginx 反向代理 → 应用进程部署(systemd)→ 安全加固 → 日志监控。
核心思路是做减法:只装真正需要的软件,只开必须的端口,权限能降就降。这条原则在云服务器运维中反复被验证有效。
本文的实验环境使用阿里云 ECS 搭建。如果你也想动手试试,可以通过这个邀请链接注册,新用户目前有经济型实例和百元套餐的优惠,刚好够搭一套测试环境。
