云服务器部署实战:ECS上从零搭建生产级Web服务全记录

简介: 本文手把手教你将本地Web项目部署到阿里云ECS服务器:从安全组配置、SSH初始化、Nginx反向代理,到应用进程管理(systemd)、安全加固(fail2ban/防火墙)及日志监控,全程覆盖Linux云服务器生产级部署要点,助新手快速实现“代码→公网服务”闭环。

前言

最近帮朋友把一个练手项目部署上线,顺手整理了一份在云服务器上的完整部署流程。如果你刚接触云服务器,或者之前只在本地跑过项目,本文会帮你把「写好的代码变成公网可访问的服务」这件事从头到尾串一遍。

我们以一台 Linux 云服务器为环境,最终目标:浏览器输入公网 IP,就能看到一个正常运行的 Web 服务,并且具备基本的运维安全配置。


为什么选云服务器

部署个人项目的选择其实不少:虚拟主机、Serverless、容器平台,甚至可以直接用 ngrok 内网穿透。

但长期来看,一台属于自己的云服务器有几个好处:

  • 完全可控:操作系统、软件版本、网络配置全由自己决定,不受平台约束。
  • 学习价值高:服务器运维本身就是一项硬技能,部署过程中你会接触到 Linux、网络、安全等知识。
  • 性价比:目前主流云厂商的经济型实例价格已经很低,对于个人开发和轻量项目来说成本几乎可以忽略。

实例选型:不花冤枉钱

选实例是第一步,也是最容易被「配置焦虑」带偏的一步。我的建议是:按实际负载选,不要提前为「以后可能用上」付费

如果是个人项目、博客、小型 API 服务,推荐从这个配置起步:

场景 推荐实例 典型配置
学习/测试/轻量服务 u2i 经济型 2核 4G,月成本极低
有一定并发需求 c9i 企业级 2核~4核,至强6处理器,单核性能提升了约 20%

u2i 经济型实例目前新用户的价格很低,适合拿来做实验环境。c9i 是阿里云第 9 代企业级实例,用了英特尔至强 6 处理器,支持 AMX 矩阵加速和 TDX 机密计算,如果你有 AI 推理或者对安全性要求较高的场景会更合适。

本文的演示环境基于阿里云 ECS如果你还没有账号,可以通过这个邀请链接注册:快速注册或登录地址,目前新用户有经济型实例优惠和百元套餐包,适合拿来做测试。


第一步:安全组配置——先想再动手

很多新人拿到服务器第一件事就是 SSH 上去装软件,这个顺序错了。先配置安全组

安全组是云服务器的第一道防火墙,决定了哪些流量能进、能出。默认的安全组通常只开放了 22 端口,我们需要额外放开 HTTP/HTTPS:

方向 端口 协议 授权对象 说明
入方向 22 TCP 你的固定IP或0.0.0.0/0 SSH管理
入方向 80 TCP 0.0.0.0/0 HTTP
入方向 443 TCP 0.0.0.0/0 HTTPS

在阿里云控制台 → ECS → 实例 → 安全组 → 配置规则 中添加入方向规则即可,操作直观,不需要命令行。

安全建议:22 端口的授权对象尽量限制为你自己的 IP,如果 IP 不固定,后续我们会用 fail2ban 做登录防护。


第二步:SSH 连接与系统初始化

安全组配好后,通过 SSH 连接服务器:

ssh root@你的公网IP

首次登录后,先做三件事:

1. 更新系统包

# CentOS/RHEL/Alibaba Cloud Linux
yum update -y

# Ubuntu/Debian
apt update && apt upgrade -y

2. 创建普通用户(避免长期使用 root)

useradd -m -s /bin/bash deploy
passwd deploy
usermod -aG wheel deploy   # CentOS
# usermod -aG sudo deploy  # Ubuntu

3. 配置 SSH 密钥登录(可选但强烈建议)

在本地生成密钥对,把公钥拷贝到服务器:

# 本地执行
ssh-keygen -t ed25519 -C "your-label"
ssh-copy-id -i ~/.ssh/id_ed25519.pub deploy@你的公网IP

验证密钥登录成功后,可以考虑禁止 root 登录和密码登录:

# /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes

# 重启 sshd
systemctl restart sshd

第三步:安装 Nginx 并配置反向代理

Web 服务的入口我们统一交给 Nginx,它负责接收外部请求并转发给后端的应用进程。

安装 Nginx

# Alibaba Cloud Linux / CentOS
yum install -y nginx

# Ubuntu
apt install -y nginx

启动并设置开机自启:

systemctl start nginx
systemctl enable nginx

此时浏览器访问 http://你的公网IP,应该能看到 Nginx 默认欢迎页。

配置反向代理

我们以一个 Node.js 应用为例,它监听在本地 127.0.0.1:3000,由 Nginx 转发:

# /etc/nginx/conf.d/myapp.conf

server {
   
    listen 80;
    server_name _;  # 暂时用 IP 访问,后续换成域名

    # 日志
    access_log /var/log/nginx/myapp_access.log;
    error_log /var/log/nginx/myapp_error.log;

    # 静态文件直接由 Nginx 返回
    location /static/ {
   
        root /home/deploy/myapp/public;
        expires 7d;
        add_header Cache-Control "public, immutable";
    }

    # API 请求转发到应用
    location / {
   
        proxy_pass http://127.0.0.1:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # 超时设置
        proxy_connect_timeout 60s;
        proxy_read_timeout 60s;
    }

    # 限制请求体大小(防止恶意上传)
    client_max_body_size 10m;
}

测试并重载配置:

nginx -t
systemctl reload nginx

几个值得注意的点

  • proxy_set_header X-Real-IPX-Forwarded-For 能保证后端拿到真实的客户端 IP,否则日志里全是 127.0.0.1。
  • 静态文件直接由 Nginx 返回,能大幅降低后端的请求量。
  • client_max_body_size 按自己业务设,默认 1m 对上传场景偏小。

第四步:部署应用进程

这里用一个最小 Node.js 服务演示,换成 Python Flask / Go / Java 的流程完全一样。

应用代码 (/home/deploy/myapp/server.js):

const http = require('http');

const server = http.createServer((req, res) => {
   
  const url = new URL(req.url, `http://${
     req.headers.host}`);

  if (url.pathname === '/api/health') {
   
    res.writeHead(200, {
    'Content-Type': 'application/json' });
    return res.end(JSON.stringify({
    status: 'ok', uptime: process.uptime() }));
  }

  res.writeHead(200, {
    'Content-Type': 'text/html; charset=utf-8' });
  res.end('<h1>Hello from ECS!</h1><p>部署成功。</p>');
});

server.listen(3000, '127.0.0.1', () => {
   
  console.log('Server running on port 3000');
});

用 systemd 管理应用进程

直接 node server.js & 不是生产级的做法 —— 进程挂了不会自动重启,服务器重启后也不会自动拉起。systemd 可以解决这些问题:

# /etc/systemd/system/myapp.service

[Unit]
Description=MyApp Web Service
After=network.target nginx.service

[Service]
Type=simple
User=deploy
WorkingDirectory=/home/deploy/myapp
ExecStart=/usr/bin/node /home/deploy/myapp/server.js
Restart=on-failure
RestartSec=5s
StandardOutput=journal
StandardError=journal
Environment=NODE_ENV=production

# 安全加固
NoNewPrivileges=yes
PrivateTmp=yes

[Install]
WantedBy=multi-user.target

启动:

systemctl daemon-reload
systemctl start myapp
systemctl enable myapp
systemctl status myapp   # 确认运行状态

第五步:安全加固

公网服务器是 24 小时暴露的,安全配置不能省略。以下是几条投入产出比最高的措施:

5.1 配置系统防火墙

安全组是第一层(网络层),系统防火墙(iptables/firewalld)是第二层(主机层),双层防护更稳妥:

# firewalld (CentOS/ALinux)
systemctl start firewalld
systemctl enable firewalld
firewall-cmd --permanent --add-service=ssh
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

5.2 安装 fail2ban 防暴力破解

# yum install -y epel-release  # CentOS 需要先装 EPEL
yum install -y fail2ban
systemctl enable fail2ban
systemctl start fail2ban

默认配置就能阻挡 SSH 暴力登录,可调的参数(/etc/fail2ban/jail.local):

[DEFAULT]
bantime = 3600
findtime = 600
maxretry = 5

5.3 自动安全更新

生产环境的安全补丁不应靠人工记忆:

# CentOS/ALinux 安装自动更新工具
yum install -y dnf-automatic
systemctl enable --now dnf-automatic.timer

第六步:日志与监控

journalctl 是排查问题的第一入口:

# 查看应用日志
journalctl -u myapp -f

# 查看最近 50 条
journalctl -u myapp -n 50 --no-pager

# 按时间范围过滤
journalctl -u myapp --since "2026-06-16 10:00" --until "2026-06-16 12:00"

对于 Nginx,建议定期检查访问日志和错误日志:

tail -f /var/log/nginx/myapp_access.log
tail -f /var/log/nginx/myapp_error.log

如果想更进一步,可以考虑接入阿里云控制台的云监控,直接在网页上配置 CPU、内存、网络流量的告警阈值,不用自己搭监控栈。


第七步:可选的进一步优化

部署跑通之后,以下方向可以根据需要深入:

  • HTTPS:用 Let's Encrypt 的 certbot 免费签发证书,全自动续期
  • 数据库:比如 MySQL/PostgreSQL,建议用云数据库托管版本(RDS),省去备份和主从切换的心智负担
  • CI/CD:接入 GitHub Actions,每次 push 自动部署到 ECS
  • CDN:静态资源推到 OSS + CDN,减少服务器带宽压力

总结

这篇文章从零走通了一个完整的服务器部署流程:安全组配置 → SSH 初始化 → Nginx 反向代理 → 应用进程部署(systemd)→ 安全加固 → 日志监控。

核心思路是做减法:只装真正需要的软件,只开必须的端口,权限能降就降。这条原则在云服务器运维中反复被验证有效。


本文的实验环境使用阿里云 ECS 搭建。如果你也想动手试试,可以通过这个邀请链接注册,新用户目前有经济型实例和百元套餐的优惠,刚好够搭一套测试环境。


相关文章
|
1月前
|
SQL JSON 关系型数据库
企业级多模态分析计算引擎选型:阿里云 AnalyticDB MySQL 统一分析平台方案
阿里云AnalyticDB MySQL版是PB级云原生实时数据仓库,首创多模态统一分析引擎,单SQL原生支持SQL分析、向量检索、全文搜索与JSON分析,替代3–5套独立系统,综合成本降50%+,运维复杂度降80%,适用于AI+数据融合、多源异构统一查询等企业级场景。
214 17
企业级多模态分析计算引擎选型:阿里云 AnalyticDB MySQL 统一分析平台方案
|
1月前
|
API
阿里云微服务引擎 MSE 及 API 网关 2026 年 5 月产品动态
阿里云微服务引擎 MSE 及 API 网关 2026 年 5 月产品动态。
206 25
|
1月前
|
人工智能 缓存 弹性计算
阿里云服务器2核4G5M199元解析:独享型u1实例,性能、适用场景、购买和续费规则介绍
阿里云通用算力型u1实例(ecs.u1-c1m2.large)2核4G、5M带宽、80G ESSD Entry云盘,活动特惠价仅199元/年(官网价3498.36元),企业新老用户同享,续费同价至2027年3月31日,每人限购1台。该实例采用独享型架构,搭载Intel至强可扩展处理器,内网带宽1Gbit/s、收发包30万PPS、云盘IOPS 1万,性能稳定,适合企业官网、中小Web应用、轻量数据库及开发测试等场景。
|
1月前
|
人工智能 运维 物联网
零门槛玩转 AI 生图:用阿里云函数计算一键部署 ComfyUI,5 分钟生成你的专属毛绒萌宠
阿里云函数计算推出一键部署ComfyUI方案,内置Flux模型与毛绒萌宠LoRA,支持超写实毛绒玩具风格AI生图。Serverless GPU按量付费、免运维、不开机不花钱,单张图低至0.02元,5分钟极速部署,零门槛体验前沿AIGC。
|
29天前
|
人工智能 JSON 运维
阿里云百炼 + Qwen3.7 实战:手把手构建一个支持工具调用的 AI Agent
本文记录使用阿里云百炼平台+Qwen3.7-Max构建企业级AI运维助手的全过程:依托其原生Function Calling、128K上下文与多工具并行调用能力,实现稳定、合规、低成本的Agent落地,含完整代码、踩坑解析与成本实测。
|
1月前
|
人工智能 自然语言处理 API
用 Token Plan 低成本接入 Qwen3.7,我是怎么把 AI 成本压到 4.5 折的
阿里云百炼Token Plan以统一Credits支持Qwen3.7-Max/Plus等15款主流模型灵活切换,兼顾高性能与低成本;内置RAG、Prompt调试与应用发布能力,小团队可零基建快速落地知识库问答系统。
|
2月前
|
人工智能 自然语言处理 NoSQL
大模型应用成本管控:基于 Token Plan 的多模型路由网关设计实践
本文介绍一种LLM应用成本管控方案:通过网关层实现“模型路由+订阅配额管理”,根据任务复杂度(如关键词、长度)动态调度至轻量/旗舰模型,并用Redis实现月度Token额度控制与自动降级。实践后成本降低约60%,保障预算确定性与服务稳定性。(239字)
|
2月前
|
存储 人工智能 安全
企业内部 AI 助理落地:从架构设计到私有化的完整实践
为满足数据合规要求,公司基于OpenClaw框架私有化部署AI助理平台,支持知识库问答、工单辅助及Web/钉钉/企微多端接入;采用Qwen-7B本地模型+百炼API混合推理,结合BGE向量库与意图路由策略,在保障安全前提下实现降本增效。(239字)
|
1月前
|
人工智能 弹性计算 Serverless
2026 年企业 AI Agent 落地:从 Demo 到生产的四个关键跨越
本文剖析AI Agent从Demo到生产落地的四大关键跨越:长时任务支持、多Agent协同、GPU弹性伸缩与全链路可观测性,并结合Google ADK、Anthropic MCP等新协议,给出务实解法与平台选型建议。
1321 0
|
1月前
|
运维 Serverless API
从零搭建多Agent协同系统:Google ADK 框架实战
本文介绍如何用Google ADK框架+阿里云AgentRun,从零搭建多Agent协同系统:将复杂任务拆解为专业Agent(如VibeCoder生成代码、CodeReviewer审查),通过A2A协议实现标准化协作与调度,兼顾工程性与易部署性。(239字)