替换 Nginx 使用 Caddy 作为博客静态服务器
其实早在一两年前就关注到 Caddy 了,这两年博客一直没更新,没有折腾,也不敢太冒然的使用到公司的生产服务器上,就一直没有尝试。趁这次将博客迁移到了 Hugo,顺便也使用 Caddy 替换了 Nginx.
Caddy 是一款由 Go 编写的 Web Server,与 Nginx 相比,最大的特点就是部署简单并默认启用 HTTPS,它是第一个无需额外配置即可提供 HTTPS 特性的 Web 服务器。同样是使用 Let’s Encrypt,之前使用 Nginx 需要手工配置证书,还需要编写三个月更新证书的 cron 计划任务。另外 Caddy 默认启用更快的 HTTP/2 协议,甚至开启QUIC也就是在启动时加个参数而已。在性能上或许还比不上 Nginx,但对于博客这种小站来说,差那么个几毫秒又有什么关系?
安装 Caddy
Caddy 官方支持多种安装方式,我是使用脚本的方式,服务器为Ubuntu 16.04 64位。 首先更新下系统,然后安装 wget 和 curl 再下载 caddy 安装文件并赋予可执行权限。
apt update && sudo apt upgrade -y && sudo apt autoremove -y
apt install wget -y && apt install curl -y
wget https://getcaddy.com -O getcaddy
chmod +x getcaddy
然后根据需求可选安装插件,比如我安装了http.cache, http.expires, http.ipfilter, http.minify等插件:
./getcaddy personal http.cache,http.expires,http.ipfilter,http.minify,http.nobots,http.ratelimit
安装后执行 which caddy 你会发现 Caddy 已经安装到了 /usr/local/bin/caddy 位置。
生产环境配置&使用
安装完成后需要进行一些配置方便在生产环境使用。
先设置相关权限。
chown root:root /usr/local/bin/caddy
chmod 755 /usr/local/bin/caddy
setcap 'cap_net_bind_service=+eip' /usr/local/bin/caddy
setcap 'cap_net_bind_service=+eip' 是使服务程序运行在非root帐户下时,也能够banding到低端口。
下面新建配置文件目录,并新建一个 Caddyfile 文件,并写入一条 import 指令。
mkdir -p /etc/caddy
chown -R root:www-data /etc/caddy
mkdir -p /etc/ssl/caddy
chown -R www-data:root /etc/ssl/caddy
chmod 770 /etc/ssl/caddy
touch /etc/caddy/Caddyfile
echo 'import ./vhosts/*' > /etc/caddy/Caddyfile
然后创建网站文件的存放目录。
mkdir -p /var/www
chown www-data:www-data /var/www
chmod 755 /var/www
创建好上面的文件和目录之后,我们还需要把 caddy 配置成一个服务,方便管理和开机自动运行。
curl -s https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service -o /etc/systemd/system/caddy.service # 从 github 下载 systemd 配置文件
chown root:root /etc/systemd/system/caddy.service # 配置权限
chmod 744 /etc/systemd/system/caddy.service
systemctl daemon-reload #重新加载 systemd 配置
systemctl enable caddy.service # 设置 caddy 服务自启动
systemctl start caddy.service # 启动 caddy 状态
Caddyfile
Caddyfile 是 Caddy 的配置文件, 在上面我写入了一条 import ./vhosts/* 到Caddyfile中,表示 /etc/caddy/vhosts下的所有文件都会导入到 Caddy 的配置文件中,这样有多个网站的时候比较方便管理。 下面我在/etc/caddy/vhosts创建了一个 liuzhichao.com 的文件,配置如下:
www.liuzhichao.com {
redir https://liuzhichao.com{uri}
}
liuzhichao.com {
root /var/www/liuzhichao.com
log / /var/log/caddy/liuzhichao.log "{remote} {when} {method} {uri} {proto} {status} {size} {>User-Agent} {latency}"
tls mail@liuzhichao.com
header / Strict-Transport-Security "max-age=31536000"
gzip
errors {
404 404.html
403 403.html
}
expires {
match .css$ 1m
match .js$ 1m
match .png$ 1m
match .jpg$ 1m
}
ipfilter / {
rule block
blockpage /var/www/liuzhichao.com/403.html
ip 148.251.8.250 136.243.37.219 144.76.38.40 69.197.177.50 199.58.86.211 5.9.97.200 144.76.91.79
}
rewrite {
if {>User-agent} has "MJ12bot"
to /forbidden
}
status 403 /forbidden
}
一般你只需要根据自己的域名和路径做下简单的修改即可。 配置说明如下:
www.liuzhichao.com {
redir https://liuzhichao.com{uri}
}
是将 www 跳转到非 www 的域名。
tls mail@liuzhichao.com
tls后面改为你的邮箱地址,会自动配置 https。
header / Strict-Transport-Security "max-age=31536000"
是一条 https 的优化配置,加上之后,在SSLLabs上测试评分可以拿到A+,想想之前使用 Nginx 的时候,网络上找了各种配置参考都只优化到了 A,所以 Caddy 的自动 Https 功能确实还是很方便的。
errors {
404 404.html
403 403.html
}
是自定义错误页面配置。确保你网站的根目录有相应的文件,不然启动服务会报错。
expires {
match .css$ 1m
match .js$ 1m
match .png$ 1m
match .jpg$ 1m
}
expires 是控制页面的缓存,上面的配置是将 css,js,png,jpg 这样的静态资源缓存1个月。此配置依赖http.expires这个插件,如果你没有安装,配置后启动 caddy 会出错。
ipfilter / {
rule block
blockpage /var/www/liuzhichao.com/403.html
ip 148.251.8.250 136.243.37.219 144.76.38.40 69.197.177.50 199.58.86.211 5.9.97.200 144.76.91.79
}
ipfilter是根据配置过滤到一些非正常的 IP,可以查看访问log,经常会有一些爬虫频繁的访问网站,没有任何用处反而加大服务器的负载,对于这样的 IP 可以直接过滤掉。blockpage是配置这些 IP 访问网址时显示的页面,依赖http.ipfilter插件。
rewrite {
if {>User-agent} has "MJ12bot"
to /forbidden
}
status 403 /forbidden
与上面的ipfilter功能类似,都是过滤掉一些非正常的访问用户,不同的是ipfilter是屏蔽 IP,这段配置则是根据User-agent block掉一些爬虫。
然后将生成好的网站文件上传到配置文件中root 后面配置的目录即可。比如我是/var/www/liuzhichao.com/.
如果还有另外的网站,只需要在/etc/caddy/vhosts再新建一个配置文件重启下 caddy 服务即可。
systemctl restart caddy.service
更详细的内容可以去官网上看文档学习: https://caddyserver.com/docs
作者: 柳志超
链接: https://liuzhichao.com/2018/caddy/