設置 Ubuntu

安裝 .NET Core Runtime

1
2
3
4
5
wget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb 
sudo dpkg -i packages-microsoft-prod.deb 
sudo apt update 
sudo apt install apt-transport-https 
sudo apt install dotnet-runtime-3.1

安裝 Nginx

新增套件來源,新增檔案 /etc/apt/sources.list.d/nginx.list

1
2
3
#/etc/apt/sources.list.d/nginx.list.
deb https://nginx.org/packages/ubuntu/ focal nginx
deb-src https://nginx.org/packages/ubuntu/ focal nginx

安裝

1
2
sudo apt update
sudo apt install nginx -y

啟動、設定開機啟動

1
2
3
4
5
6
# 啟動 nginx
sudo systemctl start nginx
# 設置 nginx 開機啟動
sudo systemctl enable nginx
# 確認 nginx 運行狀態
sudo systemctl status nginx

設置 Nginx 反向代理本機的 5000 連接埠(之後 Kestrel 的 http 服務端口)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
server {
    listen        80;
    server_name   example.com *.example.com;
    location / {
        proxy_pass         http://127.0.0.1:5000;
        proxy_http_version 1.1;
        proxy_set_header   Upgrade $http_upgrade;
        proxy_set_header   Connection keep-alive;
        proxy_set_header   Host $host;
        proxy_cache_bypass $http_upgrade;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
    }
}

重新載入 nginx 設定

1
sudo systemctl reload nginx

設定 kestrel service

將建置好的發佈檔案上傳,假設上傳到/var/www/helloapp dll檔是helloapp.dll

將使用者改成www-data

1
sudo chmod -R www-data:www-data /var/www/helloapp

新增一個服務檔案/etc/systemd/system/kestrel-helloapp.service,設置如下:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
# /etc/systemd/system/kestrel-helloapp.service
[Unit]
Description=Example .NET Web API App running on Ubuntu

[Service]
WorkingDirectory=/var/www/helloapp
# 呼叫安裝的 .net core 環境來執行 helloapp
ExecStart=/usr/bin/dotnet /var/www/helloapp/helloapp.dll
Restart=always
# 如果 .net core 服務崩潰的話 10秒後嘗試重新啟動
RestartSec=10
KillSignal=SIGINT
SyslogIdentifier=dotnet-example
User=www-data
Environment=ASPNETCORE_ENVIRONMENT=Production
Environment=DOTNET_PRINT_TELEMETRY_MESSAGE=false

[Install]
WantedBy=multi-user.target

把服務設定為開機啟動

1
sudo systemctl enable kestrel-helloapp.service

查看 kestrel service 的執行日誌:journalctl -fu kestrel-helloapp.service

設置 .NET Core 程式碼

1
2
3
4
5
6
7
8
// 只在 Linux 啟用 Reverse Proxy 模式 
if (RuntimeInformation.IsOSPlatform(OSPlatform.Linux))
{
    app.UseForwardedHeaders(new ForwardedHeadersOptions
    {
        ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto
    });
}

這裡是預設 nginx、運行 .net core 的 Kestrel 都在同一台機器上, 如果使用 127.0.0.0/8 、 [::1]以外的伺服器作為 proxy,也就是說 nginx 在其他機器上, 則需要在 ConfigureServices 裡面像這樣額外設定信任的伺服器:

1
2
3
4
services.Configure<ForwardedHeadersOptions>(options =>
{
    options.KnownProxies.Add(IPAddress.Parse("10.0.0.100"));
});

Web api template 預設會將 http 導向至 https 協議 (也就是說會把 5000 重新導向至 5001) 因此 Nginx 如果是反向代理 5000 port, 則需要把 web api 當中的 middleware app.UseHttpsRedirection(); 移除 (或是在 nginx 直接設置反向代理 .net core 的 https port) 安裝 Nginx

如果是用 Web Api 專案搭配前端開發 SPA, 可安裝擴充套件 Microsoft.AspNetCore.SpaServices.Extensions, 並且在 middleware 最後設置路由 app.UseSpa(spa => { });。 也可以不安裝擴充套件改用以下的程式碼手動進行設定:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
// 搭配 vue router history mode 重寫路徑請求
app.Use(async (ctx, next) =>
{
   await next();
   bool is404 = ctx.Response.StatusCode == 404;
   bool hasExt = Path.HasExtension(ctx.Request.Path.Value);
   if (is404 && !hasExt)
   {
       ctx.Request.Path = "/index.html";
       ctx.Response.StatusCode = 200;
       await next();
   }
});

強化安全性

設定 https

拿到憑證之後可以進行設定, Nginx 裡面憑證設定方式可以參考 ssl 設定產生器

如果要使用到自簽憑證可以用下面的方式產生:

1
2
3
4
sudo mkdir /etc/ssl/private
sudo chmod 700 /etc/ssl/private
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt
sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

接著在 Nginx.conf 檔案裡面設定:

1
2
3
    ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
    ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;
    ssl_dhparam /etc/ssl/certs/dhparam.pem;

設置防火牆

安裝啟用 Linux 安全性模組 (LSM) 裡面的 ufw 防火牆, 只允許 ssh、http、https(也可以選擇不要允許 http):

1
2
3
4
5
sudo apt-get install ufw
sudo ufw allow 22/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

隱藏 Nginx 資訊

編輯 src/http/ngx_http_header_filter_module.c 變更 Nginx 回應名稱:

1
2
static char ngx_http_server_string[] = "Server: Web Server" CRLF;
static char ngx_http_server_full_string[] = "Server: Web Server" CRLF;

Reference