云服务器搭建与优化全攻略：从零到公网访问

虎猛

1. 项目概述与核心价值

这个教程要解决的问题很明确：让普通用户也能拥有一个全天候在线的云服务器环境，具备公网访问能力，支持快速部署各类应用镜像，同时提供便捷的网页管理终端。这相当于把你的个人电脑搬到了云端，随时随地都能通过浏览器访问和管理。

我自己从2016年开始接触云服务器，踩过无数坑之后总结出这套方案。相比传统方式，它有三大不可替代的优势：

真正的24小时在线（家庭宽带+树莓派方案根本达不到这个稳定性）
公网IP直接访问（无需复杂的内网穿透配置）
镜像化部署（五分钟就能搭建一个博客/网盘/监控系统）

2. 基础环境搭建

2.1 云服务商选择要点

国内主流云平台我都实测过，新手建议关注这几个核心指标：

带宽质量：阿里云/腾讯云的按量计费带宽实测下载能到5MB/s+
计费方式：突发性能实例（t5/t6）适合轻量使用，首年成本可控制在300元内
网络配置：必须支持安全组规则自定义（后面会详细讲配置）

避坑提示：千万不要选那些不知名小厂商的"永久免费"套餐，我遇到过三次跑路情况

2.2 系统初始化实操

以Ubuntu 22.04为例，创建实例后必须做的几件事：

bash复制# 更新软件源并升级系统
sudo apt update && sudo apt upgrade -y

# 安装基础工具包
sudo apt install -y curl wget git vim tmux

# 修改SSH端口（重要安全措施）
sudo sed -i 's/#Port 22/Port 你的端口号/' /etc/ssh/sshd_config
sudo systemctl restart sshd

防火墙配置是很多新手容易忽略的，这里给出我的标准配置模板：

bash复制# 清空现有规则
sudo iptables -F

# 允许已建立的连接
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 开放自定义SSH端口
sudo iptables -A INPUT -p tcp --dport 你的端口号 -j ACCEPT

# 保存规则（Ubuntu需额外安装iptables-persistent）
sudo netfilter-persistent save

3. 公网访问方案详解

3.1 动态DNS配置技巧

虽然云服务器有固定IP，但配合DDNS可以实现更多玩法。以阿里云DNS为例：

获取API密钥（RAM账户需要授权AlibabaCloudDNSFullAccess权限）
安装ddns脚本：

bash复制wget https://github.com/NewFuture/DDNS/releases/download/v1.0.0/ddns -O /usr/local/bin/ddns
chmod +x /usr/local/bin/ddns

配置文件示例：

ini复制[General]
interval = 300
debug = false

[Service]
provider = aliyun
access_id = 你的AccessKey
access_secret = 你的SecretKey
domain = 你的域名
sub_domains = @,www

实测这个方案比花生壳稳定得多，更新延迟在10秒以内。

3.2 端口转发高阶用法

有些场景需要暴露多个服务端口，但云平台默认只开放部分端口。我的解决方案是：

在安全组开放一个高位端口（如50000-60000）
使用nginx做TCP/UDP反向代理：

nginx复制stream {
    server {
        listen 50001;
        proxy_pass 内网IP:3306; # MySQL转发示例
    }
}

配合iptables做二次过滤：

bash复制sudo iptables -A INPUT -p tcp --dport 50001 -s 你的办公IP -j ACCEPT

4. 镜像管理实战

4.1 Docker环境优化

官方的一键安装脚本其实隐藏了很多坑，推荐这样部署：

bash复制# 卸载旧版本
sudo apt remove docker docker-engine docker.io containerd runc

# 安装依赖
sudo apt install -y apt-transport-https ca-certificates curl gnupg lsb-release

# 添加官方GPG密钥
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

# 设置稳定版仓库
echo "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

# 安装引擎
sudo apt update && sudo apt install -y docker-ce docker-ce-cli containerd.io

# 配置镜像加速（国内必备）
sudo mkdir -p /etc/docker
sudo tee /etc/docker/daemon.json <<-'EOF'
{
  "registry-mirrors": ["https://你的镜像加速地址.mirror.aliyuncs.com"]
}
EOF
sudo systemctl restart docker

4.2 常用镜像部署示例

WordPress全栈方案：

bash复制mkdir -p ~/wordpress && cd ~/wordpress
cat > docker-compose.yml <<EOF
version: '3'

services:
  db:
    image: mysql:5.7
    volumes:
      - db_data:/var/lib/mysql
    environment:
      MYSQL_ROOT_PASSWORD: 你的密码
      MYSQL_DATABASE: wordpress
      MYSQL_USER: wordpress
      MYSQL_PASSWORD: wordpress

  wordpress:
    depends_on:
      - db
    image: wordpress:latest
    ports:
      - "8000:80"
    environment:
      WORDPRESS_DB_HOST: db:3306
      WORDPRESS_DB_USER: wordpress
      WORDPRESS_DB_PASSWORD: wordpress
    volumes:
      - wp_data:/var/www/html

volumes:
  db_data:
  wp_data:
EOF
docker-compose up -d

Nextcloud私有云：

bash复制docker run -d \
  --name nextcloud \
  -p 8080:80 \
  -v nextcloud:/var/www/html \
  -v /mnt/data:/var/www/html/data \
  nextcloud:latest

5. 网页终端管理方案

5.1 CloudShell方案对比

测试过三种主流方案后，我的推荐排序：

ttyd：性能最好，支持WebSocket

bash复制docker run -d \
  --restart always \
  -p 7681:7681 \
  -v /:/host \
  -v /var/run/docker.sock:/var/run/docker.sock \
  tsl0922/ttyd \
  ttyd -p 7681 bash

wetty：界面更美观但资源占用高
shellinabox：老牌方案但已停止维护

5.2 安全加固要点

网页终端必须配合以下安全措施：

强制HTTPS（用Let's Encrypt免费证书）

基础认证：

bash复制sudo apt install apache2-utils
htpasswd -c /etc/nginx/.htpasswd 用户名

访问日志监控：

nginx复制location /webshell {
    access_log /var/log/nginx/webshell.log main;
    deny all; # 仅允许特定IP
    allow 你的IP;
}

6. 性能优化与监控

6.1 资源限制策略

避免单个容器吃光资源：

bash复制docker update \
  --memory 512M \
  --memory-swap 1G \
  --cpus 0.5 \
  容器名

6.2 监控看板搭建

推荐使用cAdvisor+Prometheus+Grafana组合：

yaml复制version: '3'

services:
  prometheus:
    image: prom/prometheus
    ports:
      - 9090:9090
    volumes:
      - ./prometheus.yml:/etc/prometheus/prometheus.yml

  cadvisor:
    image: gcr.io/cadvisor/cadvisor
    ports:
      - 8080:8080
    volumes:
      - /:/rootfs:ro
      - /var/run:/var/run:rw
      - /sys:/sys:ro
      - /var/lib/docker/:/var/lib/docker:ro

  grafana:
    image: grafana/grafana
    ports:
      - 3000:3000

配套的prometheus.yml配置：

yaml复制global:
  scrape_interval: 15s

scrape_configs:
  - job_name: 'cadvisor'
    static_configs:
      - targets: ['cadvisor:8080']

7. 常见问题排查指南

问题1：SSH连接超时

检查安全组规则（入方向放行自定义端口）
验证iptables规则（sudo iptables -L -n）
测试telnet 公网IP 端口

问题2：Docker镜像拉取失败

切换国内镜像源
检查DNS配置（/etc/resolv.conf）

尝试手动指定registry：

bash复制docker pull registry.cn-hangzhou.aliyuncs.com/library/镜像名

问题3：磁盘空间不足

查看各目录使用情况：sudo du -h --max-depth=1 /

清理Docker无用资源：

bash复制docker system prune -a --volumes

日志文件清理：

bash复制journalctl --vacuum-size=200M

8. 成本控制技巧

根据我的实测数据，这样配置最经济：

选择突发性能实例（t5/t6系列）
系统盘选40GB高效云盘（约0.012元/GB/小时）
带宽按量付费（峰值设置5Mbps）
设置余额告警（低于20元自动短信提醒）

每月成本可以控制在：

轻量使用：约25元（750小时突发性能实例）
中等负载：约80元（1核2G固定性能）

最后分享一个监控脚本，每小时检查费用并发送邮件提醒：

bash复制#!/bin/bash
balance=$(curl -s "https://billing.console.aliyun.com/api" | jq '.data.availableAmount')
if (( $(echo "$balance < 50" | bc -l) )); then
    echo "当前余额仅剩¥$balance" | mail -s "云服务器余额告警" 你的邮箱
fi