其实早在一两年前就关注到 Caddy 了,这两年博客一直没更新,没有折腾,也不敢太冒然的使用到公司的生产服务器上,就一直没有尝试。趁这次将博客迁移到了 Hugo,顺便也使用 Caddy 替换了 Nginx.

Caddy 是一款由 Go 编写的 Web Server,与 Nginx 相比,最大的特点就是部署简单并默认启用 HTTPS,它是第一个无需额外配置即可提供 HTTPS 特性的 Web 服务器。同样是使用 Let’s Encrypt,之前使用 Nginx 需要手工配置证书,还需要编写三个月更新证书的 cron 计划任务。另外 Caddy 默认启用更快的 HTTP/2 协议,甚至开启QUIC也就是在启动时加个参数而已。在性能上或许还比不上 Nginx,但对于博客这种小站来说,差那么个几毫秒又有什么关系?

安装 Caddy

Caddy 官方支持多种安装方式,我是使用脚本的方式,服务器为Ubuntu 16.04 64位。 首先更新下系统,然后安装 wget 和 curl 再下载 caddy 安装文件并赋予可执行权限。

apt update && sudo apt upgrade -y && sudo apt autoremove -y
apt install wget -y && apt install curl -y
wget https://getcaddy.com -O getcaddy
chmod +x getcaddy

然后根据需求可选安装插件,比如我安装了http.cache, http.expires, http.ipfilter, http.minify等插件:

./getcaddy personal http.cache,http.expires,http.ipfilter,http.minify,http.nobots,http.ratelimit

安装后执行 which caddy 你会发现 Caddy 已经安装到了 /usr/local/bin/caddy 位置。

生产环境配置&使用

安装完成后需要进行一些配置方便在生产环境使用。

先设置相关权限。

chown root:root /usr/local/bin/caddy
chmod 755 /usr/local/bin/caddy
setcap 'cap_net_bind_service=+eip' /usr/local/bin/caddy

setcap 'cap_net_bind_service=+eip' 是使服务程序运行在非root帐户下时,也能够banding到低端口。

下面新建配置文件目录,并新建一个 Caddyfile 文件,并写入一条 import 指令。

mkdir -p /etc/caddy
chown -R root:www-data /etc/caddy
mkdir -p /etc/ssl/caddy
chown -R www-data:root /etc/ssl/caddy
chmod 770 /etc/ssl/caddy
touch /etc/caddy/Caddyfile
echo 'import ./vhosts/*' > /etc/caddy/Caddyfile

然后创建网站文件的存放目录。

mkdir -p /var/www
chown www-data:www-data /var/www
chmod 755 /var/www

创建好上面的文件和目录之后,我们还需要把 caddy 配置成一个服务,方便管理和开机自动运行。

curl -s https://raw.githubusercontent.com/mholt/caddy/master/dist/init/linux-systemd/caddy.service -o /etc/systemd/system/caddy.service  # 从 github 下载 systemd 配置文件

chown root:root /etc/systemd/system/caddy.service   # 配置权限
chmod 744 /etc/systemd/system/caddy.service

systemctl daemon-reload         #重新加载 systemd 配置
systemctl enable caddy.service  # 设置 caddy 服务自启动
systemctl start caddy.service   # 启动 caddy 状态

Caddyfile

Caddyfile 是 Caddy 的配置文件, 在上面我写入了一条 import ./vhosts/* 到Caddyfile中,表示 /etc/caddy/vhosts下的所有文件都会导入到 Caddy 的配置文件中,这样有多个网站的时候比较方便管理。 下面我在/etc/caddy/vhosts创建了一个 liuzhichao.com 的文件,配置如下:

www.liuzhichao.com {
    redir https://liuzhichao.com{uri}
}

liuzhichao.com {
        root /var/www/liuzhichao.com
        log / /var/log/caddy/liuzhichao.log "{remote} {when} {method} {uri} {proto} {status} {size} {>User-Agent} {latency}"
        tls mail@liuzhichao.com
        header / Strict-Transport-Security "max-age=31536000"
        gzip
        errors {
         404 404.html
         403 403.html
       }
       expires {
         match .css$ 1m
         match .js$ 1m
         match .png$ 1m
         match .jpg$ 1m
      }
      ipfilter / {
        rule  block
        blockpage /var/www/liuzhichao.com/403.html
        ip 148.251.8.250 136.243.37.219 144.76.38.40 69.197.177.50 199.58.86.211 5.9.97.200 144.76.91.79
      }

     rewrite {
        if {>User-agent} has "MJ12bot"
        to /forbidden
    }
     status 403 /forbidden
}

一般你只需要根据自己的域名和路径做下简单的修改即可。 配置说明如下:

www.liuzhichao.com {
    redir https://liuzhichao.com{uri}
}

是将 www 跳转到非 www 的域名。

tls mail@liuzhichao.com

tls后面改为你的邮箱地址,会自动配置 https。

header / Strict-Transport-Security "max-age=31536000"

是一条 https 的优化配置,加上之后,在SSLLabs上测试评分可以拿到A+,想想之前使用 Nginx 的时候,网络上找了各种配置参考都只优化到了 A,所以 Caddy 的自动 Https 功能确实还是很方便的。

 errors {
         404 404.html
         403 403.html
     }

是自定义错误页面配置。确保你网站的根目录有相应的文件,不然启动服务会报错。

 expires {
         match .css$ 1m
         match .js$ 1m
         match .png$ 1m
         match .jpg$ 1m
      }

expires 是控制页面的缓存,上面的配置是将 css,js,png,jpg 这样的静态资源缓存1个月。此配置依赖http.expires这个插件,如果你没有安装,配置后启动 caddy 会出错。

ipfilter / {
        rule  block
        blockpage /var/www/liuzhichao.com/403.html
        ip 148.251.8.250 136.243.37.219 144.76.38.40 69.197.177.50 199.58.86.211 5.9.97.200 144.76.91.79
     }

ipfilter是根据配置过滤到一些非正常的 IP,可以查看访问log,经常会有一些爬虫频繁的访问网站,没有任何用处反而加大服务器的负载,对于这样的 IP 可以直接过滤掉。blockpage是配置这些 IP 访问网址时显示的页面,依赖http.ipfilter插件。

 rewrite {
        if {>User-agent} has "MJ12bot"
        to /forbidden
    }
    status 403 /forbidden

与上面的ipfilter功能类似,都是过滤掉一些非正常的访问用户,不同的是ipfilter是屏蔽 IP,这段配置则是根据User-agent block掉一些爬虫。

然后将生成好的网站文件上传到配置文件中root 后面配置的目录即可。比如我是/var/www/liuzhichao.com/.

如果还有另外的网站,只需要在/etc/caddy/vhosts再新建一个配置文件重启下 caddy 服务即可。

systemctl restart caddy.service

更详细的内容可以去官网上看文档学习: https://caddyserver.com/docs