前言
最近开始准备秋招,打算做一个个人主页,以便在秋招市场上更有竞争力。
目前,现有的一些搭建主页的博文教程存在以下一些问题:
- 使用Github Page进行部署,这在国内访问容易受阻
- 使用宝塔面板等框架,功能较繁杂,自定义化程度低
- 使用Hexo等博客框架进行搭建,主题大多花里胡哨,不够清晰美观
- 仅介绍如何进行操作,未说明这么做的原因,导致知其然而不知其所以然
针对以上问题,本文重新梳理用一周时间完成从主页编写到建站上线的流程,希望能对有同样需求的人有所参考。
1.选择主页模板
之前看论文时,发现不少学术圈人士用了jonbarron开源的这个主页模板,看上去非常简洁清晰,并且同时适配网页端和移动端。
访问地址:https://jonbarron.info/
Github地址:https://github.com/jonbarron/website
该模板时用前端三要素写的,只需要简单得修改html文件,就可以完成自己的个人主页。
由于原模板里面包含了很多动图及视频效果,我只需展现图片,因此对该模板进行了进一步的精简,有需要的也可以查看我修改的版本:
Github地址:https://github.com/zstar1003/zstar
2.选择服务器
因为该主页需要在国内访问,因此最佳方式是直接在云服务器上进行部署。
我使用阿里云服务器,阿里云的优点是服务器最近做活动,比较便宜(不是做广告);提供免费的ssl证书和DCDN服务(个人轻量使用可白嫖)。一言蔽之,便是性价比高。
不过,阿里云很多功能模块比较错综复杂,文档有时候并不清晰。找一个小功能点往往需要找半天,为此,我在后面的步骤中会尽可能地挂一些链接,以便查找。
我购买的是阿里云的ECS轻量实例,99元可以用一年,对学生来说比较划算。
购买界面:https://www.aliyun.com/daily-act/ecs/99program
系统环境选择Ubuntu 20.04 64位。
等待系统安装完成之后,这里需要配置一下安全组规则。
此步非常重要,安全组相当于外部的防火墙,之前部署时忘记开相关端口,导致部署失败一致在内部排查问题,浪费不少时间。
这里比较核心的就开放三个端口:
- 22端口:用于ssh远程连接控制
- 80端口:用于http访问
- 443端口:用于https访问
3.Nginx部署
主流的服务器有Nginx和Apache,这两个我都试了一下,发现Apache有1代和2代,两者之间的配置文件不能通用,查询相关资料时,容易造成不便;此外,Nginx对于静态内容的处理比Apache更为高效。因此,选在Nginx作为服务器。
在服务器上安装Nginx:
sudo apt update
sudo apt install nginx
3.1 文件上传
Nginx的默认网站根目录为/var/www/html/,因此,先将本地编辑好的主页模板上传到服务器该路径下。
上传完之后,给文件设置权限:
在Nginx中,默认用户(访问者)用户名为www-data,所属用户组也为www-data,这里将该文件夹及子文件夹的所有权赋予用户www-data。
sudo chown -R www-data:www-data /var/www/html
将该目录的权限设置为775:
sudo chmod -R 755 /var/www/html
这里775的具体含义是:
所有者:7(rwx):
- 读(r):可以查看文件内容或列出目录内容。
- 写(w):可以修改文件或在目录中创建/删除文件。
- 执行(x):可以执行文件或进入目录。
所属组:5(r-x):
- 读(r):可以查看文件内容或列出目录内容。
- 执行(x):可以执行文件或进入目录。
其他用户:5(r-x):
- 读(r):可以查看文件内容或列出目录内容。
- 执行(x):可以执行文件或进入目录。
更多去数字及权限含义入下表所示:
| 数字 | 权限 | 含义 |
|---|---|---|
| 7 | rwx | 读(r)、写(w)、执行(x) |
| 6 | rw- | 读(r)、写(w) |
| 5 | r-x | 读(r)、执行(x) |
| 4 | r– | 读(r) |
| 3 | -wx | 写(w)、执行(x) |
| 2 | -w- | 写(w) |
| 1 | –x | 执行(x) |
| 0 | — | 无权限 |
起初看到这么设置的时候,我产生了一个疑问:既然用户www-data所属的是www-data组,为什么只给用户写的权限,不给整个用户组写的权限。
查询资料,这样做的目的是满足最小权限原则,即只让访问者可以读写执行,以便在浏览器中进行交互,而对于其它用户(即便在同一个用户组),也不给写的权限,防止其它进程修改网站文件。
3.2 修改配置
Nginx使用server 块来配置虚拟主机,通常可以为每个网站创建一个独立的配置文件。
比如在/etc/nginx/sites-available/目录下创建一个新的配置文件。
考虑到我只有一个网站,因此,我直接修改的nginx的配置文件,配置文件默认路径为/etc/nginx/nginx.conf。
在http项里添加server,这里的公网ip替换成自己服务器的公网ip,在服务器控制台中查看。
http {server {listen 80;server_name 公网ip;root /var/www/html;index index.html;location / {try_files $uri $uri/ =404;}}
}
3.3 部署访问
1.配置完成后,启动nginx:
sudo systemctl start nginx
可进一步设置开机自启动(可选):
sudo systemctl enable nginx
2.检查一下配置文件是否有格式问题:
nginx -t
输出以下内容,表示配置文件没问题:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
3.查看nginx是否处于正常运行状态:
sudo systemctl status nginx
输出active (running),表示正常运行。
4.启动防火墙:
sudo ufw enable
5.设置防火墙开放80端口:
sudo ufw allow 80/tcp
6.查看防火墙状态
sudo ufw status
配置完成之后,浏览器访问http://公网ip,即可看到网站界面。
4.域名解析
直接给用户公网ip的访问不太友好,也不好记,因此需要购买域名解析到ip。
我是直接在阿里云注册的域名。
阿里云的域名注册地址:https://wanwang.aliyun.com/domain
不同尾缀的域名价格有所差异,我选择了一个.website结尾的域名,一年价格10块钱。这里注册时不建议使用中文后缀的域名,后面在配置SSL的时候,会遇到不适配的问题。
购买好域名后,在域名控制台中进行域名解析,这里添加了两条A记录,A记录是将该域名解析到自己的公网ip。
一条记录是@,即直接访问域名;
另一条记录是www,即访问www.域名;
之后,重新修改nginx配置文件/etc/nginx/nginx.conf,将公网ip替换成自己的域名。
http {server {listen 80;server_name 自己域名;root /var/www/html;index index.html;location / {try_files $uri $uri/ =404;}}
}
配置完成后,重启nginx:
sudo systemctl restart nginx
等几分钟,就可以通过域名访问到部署的网站。
再过几分钟,就会发现网站被ban,因为地域规则,域名必须要备案之后才能上线。
阿里云的ICP备案地址:https://beian.aliyun.com/
三年前,我曾经用过ICP备案,当时备案流程还比较复杂,阿里云平台审核需要进行视频通话,要人工检验身份证信息。
现在已经比较便利了,身份信息都直接自动校验,阿里云的初审只是有个人工电话,打电话来确认下就行了。
下图是我的备案流程图:从7号开始提交,13号最终通过,用了差不多一周时间。
建站很快,审核很慢。
备案通过之后,域名就可以正常访问了。不过需要按照要求,在网页底部放置ICP备案号,在我精简的模板中,已有该备案号添加。
5.SSL配置
5.1 Https原理
如果仅通过http访问,浏览器会有连接不安全的提示。
不安全的原因是HTTP是明文传输的,这意味着数据在传输过程中是未加密的,容易被第三方窃听或篡改。
因此,HTTPS(HTTP Secure)应运而生。HTTPS在HTTP的基础上增加了 SSL/TLS 加密层以保证数据安全,具体通信流程如下:
- 客户端发起请求
客户端(如浏览器)向服务器发起 HTTPS请求。客户端支持的 SSL/TLS 版本和加密套件(Cipher Suites)会发送给服务器。 - 服务器响应
服务器选择一个双方都支持的 SSL/TLS 版本和加密套件。 - 服务器将自己的数字证书发送给客户端。证书中包含服务器的公钥和证书颁发机构(CA)的签名。
- 客户端验证证书
客户端验证服务器的数字证书,检查证书是否由受信任的 CA 签发,检查证书是否在有效期内,检查证书中的域名是否与访问的域名匹配。
如果验证通过,客户端生成一个预主密钥(Pre-Master Secret),并使用服务器的公钥加密后发送给服务器。 - 密钥交换
服务器使用自己的私钥解密预主密钥。
客户端和服务器使用预主密钥生成主密钥(Master Secret),然后进一步生成会话密钥(Session Keys),用于加密通信内容。 - 加密通信
客户端和服务器使用会话密钥对通信内容进行加密和解密。
以上是GPT生成的解答内容,看起来有点绕。梳理一下,就是客户端和服务器想用一种相同的加密方法加密通信内容,问题的核心便在于,服务器该如何自证身份。
而证书(CA)就是第三方机构签发的服务器身份证,服务器在首次通信时,直接将身份证信息连同公钥寄过来,这个证书需要通过私钥进行生成,私钥仅存在于服务器中,因此,中间人无法通过伪造证书来进行篡改攻击。
客户端在验明正身后,用寄过来的公钥加密信息(约定后面用什么加密方式通信),这个信息只有服务器通过私钥才能进行解密。
如此,就保证了数据的双向传输安全。
SSL(Secure Sockets Layer)目前已被TLS(Transport Layer Security)替代,目前,大部分的浏览器都使用TLS1.2和TLS1.3两个版本。
访问网站时,可以在开发者界面中的安全栏,看到具体的TLS版本。
证书正常买的价格有点偏贵,不过阿里云给每个用户20个免费额度,每张证书有效期为3个月。
申领地址:https://yundun.console.aliyun.com/
申请完成之后,需要等待机构签发,签发很快,差不多半小时就下来了。
下面就需要将证书部署到服务器上,证书控制台里面有部署菜单,但一直没找到我的服务器资源。翻阅半天文档,才发现阿里云的一键部署对ECS对系统有严格限制。(这一点竟然在控制界面中无提示,差评)。
5.2 手动部署证书
下面手动进行证书部署。
首先在下载界面将证书下载下来,下载Nginx形式。
下载完之后,会得到两个文件,.key是私钥,.pem是公钥。
将私钥上传到服务器/etc/ssl/private/这个路径。
将公钥上传到服务器/etc/ssl/certs/这个路径。
重新修改nginx配置文件:/etc/nginx/nginx.conf,我的完整配置文件内容如下:
user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;events {worker_connections 768;# multi_accept on;
}http {### Basic Settings##sendfile on;tcp_nopush on;tcp_nodelay on;keepalive_timeout 65;types_hash_max_size 2048;# server_tokens off;include /etc/nginx/mime.types;default_type application/octet-stream;### SSL Settings##ssl_protocols TLSv1.2 TLSv1.3;ssl_prefer_server_ciphers on;### Logging Settings##access_log /var/log/nginx/access.log;error_log /var/log/nginx/error.log;### Gzip Settings##gzip on;### Virtual Host Configs##include /etc/nginx/conf.d/*.conf;include /etc/nginx/sites-enabled/*;server {listen 80;server_name zstar.website www.zstar.website;return 301 https://$host$request_uri;}server {listen 443 ssl;server_name zstar.website www.zstar.website;ssl_certificate /etc/ssl/certs/zstar.website.pem;ssl_certificate_key /etc/ssl/private/zstar.website.key;ssl_session_cache shared:SSL:1m;ssl_session_timeout 5m;ssl_ciphers HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers on;root /var/www/html; index index.html index.htm;location / { try_files $uri $uri/ /index.html;}}
}
这里我对80端口的http请求加了一个重定向,使其访问http时,会自动向https的443端口发送请求。
配置完成后,重启nginx:
sudo systemctl restart nginx
同时,设置防火墙开放443端口:
sudo ufw allow 443/tcp
之后,就可以通过https+域名的方式正常访问网站。
6.DCDN加速
由于我的网站中有一些比较大的图片,并且服务器带宽很小,访问时,会有点加载缓慢。用户端表现是,文字先加载出来,图片等两三秒才出现,用户体验不佳。
因此,想通过CDN(Content Delivery Network)将静态内容(如图片、CSS、JS 文件)缓存到全球各地的边缘节点,使用户可以从离自己最近的节点获取内容,从而加速访问速度。
DCDN(Dynamic Content Delivery Network)是CDN的扩展,可加速动态内容(如 API 请求、数据库查询、个性化内容)的分发。
正好阿里云的有一年50GB的免费通用流量包,因此来白嫖一下。
DCDN地址:https://dcdn.console.aliyun.com/
DCDN的操作很简单,添加需要加速的域名,设置源站为公网ip的443端口,几分钟后,它会生成一个CNAME记录,该记录相当于是一个新的加速访问地址。
之后,需要在域名解析中删除前面添加的两条A记录,否则会造成冲突的问题。
添加新的CNAME记录,记录值为新的DCDN提供的数值。
最后,在DCDN里面再配置一下HTTPS证书,直接上传公钥的内容即可。
配置完成后,需要过十几分钟,控制台的CNAME状态才会更新。
在控制台中,也可以通过nslookup -type=CNAME + 访问域名的方式,来查看域名是否正确解析到了加速地址中。
配置完之后,访问很流畅,基本秒加载,完美解决问题。
总结
- 流程顺利的话,搭建主页实际半天就可以完成。7天时间,6天卡在了审核上,半天卡在了问题排查和文档查看上。阿里云的文档确实有点错综复杂,找起来并不轻松。
- 此次实践,特别是配置SSL和DCDN之后,对相关的原理会更加深刻,实践出真知。
