一、公网部署前的技术准备

在将网站发布至公网前，开发者需完成三项基础准备工作：

服务端环境验证：确保内网网站已通过本地测试，Nginx/Apache等Web服务配置正确，数据库连接稳定。建议使用Postman等工具进行接口压力测试，验证服务承载能力。
网络拓扑分析：绘制当前网络架构图，明确光猫、路由器、交换机等设备的层级关系。特别注意运营商是否提供公网IP（部分地区仅分配内网IP），可通过访问”ip138.com”等网站查询当前出口IP。
安全基线检查：修改默认SSH端口（如从22改为2222），禁用root直接登录，配置Fail2Ban防暴力破解。对于MySQL等数据库服务，建议仅绑定内网IP或配置VPN访问。

二、核心部署方案详解

方案一：端口映射+动态DNS（DDNS）

适用于家庭宽带场景的轻量级部署方案：

路由器端口转发配置：
- 登录路由器管理界面（通常为192.168.1.1）
- 找到”虚拟服务器”或”端口映射”功能
- 添加规则：外部端口80/443 → 内部服务器IP的对应端口
- 示例配置：
```
协议: TCP
外部端口: 80
内部IP: 192.168.1.100
内部端口: 80
```
动态域名解析服务：
- 注册某动态DNS服务商账号（如花生壳、No-IP）
- 在路由器或内网服务器安装客户端工具
- 配置cron定时任务（每5分钟更新一次DNS记录）：
```
*/5 * * * * /usr/bin/ddns-go -c /etc/ddns-go.conf
```
- 测试访问：通过域名访问网站，验证解析是否生效

方案二：云服务器+反向代理

适用于需要更高稳定性的生产环境：

云服务器选购建议：
- 基础配置：2核4G内存+50GB系统盘
- 带宽选择：初期3-5Mbps足够（1Mbps≈130KB/s）
- 操作系统推荐：CentOS 8或Ubuntu 22.04 LTS

Nginx反向代理配置：

server {
    listen 80;
    server_name example.com;
    location / {
        proxy_pass http://内网服务器IP:端口;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

HTTPS证书申请：

使用Let’s Encrypt免费证书：

sudo apt install certbot python3-certbot-nginx
sudo certbot --nginx -d example.com

自动续期配置：

echo "0 3 * * * /usr/bin/certbot renew --quiet" | sudo tee /etc/cron.d/certbot-renew

三、高可用架构设计

1. Keepalived双机热备

实现Web服务99.99%可用性的关键组件：

主备服务器配置：
- 两台服务器安装Keepalived和Nginx
- 配置VIP（虚拟IP）为192.168.1.200

Keepalived核心配置：

vrrp_script chk_nginx {
    script "/usr/bin/killall -0 nginx"
    interval 2
    weight 2
}
vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    virtual_ipaddress {
        192.168.1.200
    }
    track_script {
        chk_nginx
    }
}

健康检查机制：
- 每2秒检测Nginx进程是否存在
- 主节点故障时，备节点自动接管VIP
- 故障恢复后，主节点重新夺回VIP

2. 数据库主从复制

保障数据安全的核心方案：

主库配置：

[mysqld]
server-id=1
log-bin=mysql-bin
binlog-format=ROW

从库配置：

[mysqld]
server-id=2
relay-log=mysql-relay-bin
read-only=1

复制链路建立：

-- 在主库执行
CREATE USER 'repl'@'%' IDENTIFIED BY 'password';
GRANT REPLICATION SLAVE ON *.* TO 'repl'@'%';
-- 在从库执行
CHANGE MASTER TO
MASTER_HOST='主库IP',
MASTER_USER='repl',
MASTER_PASSWORD='password',
MASTER_LOG_FILE='mysql-bin.000001',
MASTER_LOG_POS=154;
START SLAVE;

四、安全防护体系

1. WAF防护配置

推荐使用行业常见技术方案的WAF服务：

基础防护规则：
- 启用SQL注入防护
- 开启XSS攻击拦截
- 限制CC攻击频率（建议200请求/秒）

自定义规则示例：

拦截包含/wp-admin/的请求（非管理时段）
允许来自特定IP段的API请求
限制单个IP每分钟最多60次登录尝试

2. 数据加密方案

传输层加密：

强制HTTPS跳转：

server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
}

启用HSTS头：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

存储层加密：
- 数据库文件加密：使用LUKS磁盘加密
- 备份数据加密：采用AES-256算法
```
openssl enc -aes-256-cbc -salt -in backup.sql -out backup.sql.enc
```

五、监控告警系统

1. 基础监控指标

指标类型	监控项	告警阈值
系统资源	CPU使用率	>85%持续5分钟
	内存剩余量	<500MB
Web服务	响应时间	>2s
	错误率	>5%
数据库	连接数	>最大连接数80%

2. 告警通知配置

推荐使用开源监控系统（如Prometheus+Grafana）：

告警规则示例：

groups:
- name: web-alerts
  rules:
  - alert: HighResponseTime
    expr: nginx_http_request_duration_seconds{quantile="0.99"} > 2
    for: 5m
    labels:
      severity: warning
    annotations:
      summary: "High response time on {{ $labels.instance }}"

通知渠道集成：
- 邮件通知
- Webhook调用（对接企业微信/钉钉）
- SMS短信告警（通过某短信网关API）

六、常见问题解决方案

1. 80端口被占用

# 检查占用进程
sudo lsof -i :80
# 终止占用进程（示例）
sudo kill -9 1234
# 或修改Nginx监听端口
sed -i 's/listen 80;/listen 8080;/g' /etc/nginx/sites-enabled/default

2. 防火墙拦截问题

# CentOS系统
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload
# Ubuntu系统
sudo ufw allow 80/tcp
sudo ufw reload

3. 域名解析不生效

检查域名DNS设置：
```
nslookup example.com
```
确认TTL值已过期（通常为600秒）

清除本地DNS缓存：

# Windows
ipconfig /flushdns
# macOS
sudo dscacheutil -flushcache

通过以上系统化的部署方案，开发者可以构建出既稳定又安全的公网网站服务。建议根据实际业务规模选择合适的架构层级，初期可采用单服务器+DDNS方案快速上线，随着流量增长逐步升级至高可用集群架构。记得定期进行安全审计和性能优化，确保服务始终处于最佳运行状态。

如何将网站从内网部署至公网环境