NGINX
要使用 NGINX 作为 GoToSocial 的反向代理,你需要在服务器上安装它。如果你打算让 NGINX 处理 TLS,你还需要配置 TLS 证书。
Tip
通过在 server
块中包含 http2 on;
来启用 NGINX 的 HTTP/2。这样可以加快客户端的体验。请参阅 ngx_http_v2_module 文档。
NGINX 已为多个发行版打包。你很可能可以使用发行版的包管理器来安装它。你也可以使用 Docker Hub 上发布的官方 NGINX 镜像通过容器运行 NGINX。
在本指南中,我们还将展示如何使用 certbot 配置 TLS 证书。它也在许多发行版中打包,但许多发行版往往提供的 certbot 版本较旧。如果遇到问题,可以考虑使用容器镜像。
配置 GoToSocial
如果 GoToSocial 已在运行,先停止它。
或者如果你没有 systemd 服务,只需手动停止它。
这样调整你的 GoToSocial 配置:
第一个设置禁用了内置的 TLS 证书配置。由于 NGINX 现在将处理这些流量,GoToSocial 不再需要绑定到 443 端口或任何特权端口。
通过将 bind-address
设置为 127.0.0.1
,GoToSocial 将不再能直接从外部访问。如果你的 NGINX 和 GoToSocial 实例不在同一台服务器上,你需要绑定一个允许你的反向代理访问你的 GoToSocial 实例的 IP 地址。绑定到私有 IP 地址可以确保只有通过 NGINX 才能访问 GoToSocial。
设置 NGINX
我们首先设置 NGINX 为 GoToSocial 提供不安全的 http 服务,然后使用 Certbot 自动升级为 https 服务。
请勿在此完成之前尝试使用,否则你将有泄露密码的风险,或破坏联合。
首先,我们将为 NGINX 编写一个配置文件,并将其放入 /etc/nginx/sites-available
中。
sudo mkdir -p /etc/nginx/sites-available
sudoedit /etc/nginx/sites-available/yourgotosocial.url.conf
在上述命令中,将 yourgotosocial.url
替换为你的实际 GoToSocial 主机值。所以如果你的 host
设置为 example.org
,那么文件应该命名为 /etc/nginx/sites-available/example.org.conf
你要创建的文件应该如下所示:
server {
listen 80;
listen [::]:80;
server_name example.org;
location / {
# 设置为 127.0.0.1 而不是 localhost 以解决 https://stackoverflow.com/a/52550758
proxy_pass http://127.0.0.1:8080;
proxy_set_header Host $host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
}
client_max_body_size 40M;
}
将 proxy_pass
改为你实际运行 GoToSocial 的 IP 和端口(如果不是 127.0.0.1:8080
),并将 server_name
改为你自己的域名。
如果你的域名是 example.org
,那么 server_name example.org;
就是正确的值。
如果你在另一台本地 IP 为 192.168.178.69 的机器上运行 GoToSocial,并在端口 8080 上,那么 proxy_pass http://192.168.178.69:8080;
就是正确的值。
注意:如果你的服务器不支持 IPv6,可以删除 listen [::]:80;
这一行。
注意:proxy_set_header Host $host;
必不可少。它确保代理和 GoToSocial 使用相同的服务器名称。如果没有,GoToSocial 将构建错误的身份验证标头,导致所有的联合尝试以 401 被拒绝。
注意:Connection
和 Upgrade
头用于 WebSocket 连接。请参阅 WebSocket 文档。
注意:本例中 client_max_body_size
设置为 40M,这是 GoToSocial 的默认视频上传大小。根据需要你可以将此值设置得更大或更小。nginx 的默认值仅为 1M,太小了。
注意:为了使 X-Forwarded-For
和限流生效,请设置 trusted-proxies
配置变量。请参阅限流和通用配置文档。
接下来我们需要将刚创建的文件链接到 nginx 从中读取活动站点配置的文件夹中。
sudo mkdir -p /etc/nginx/sites-enabled
sudo ln -s /etc/nginx/sites-available/yourgotosocial.url.conf /etc/nginx/sites-enabled/
再次将 yourgotosocial.url
替换为你的实际 GoToSocial 主机值。
现在检查配置错误。
如果一切正常,你应该会看到以下输出:
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
一切正常吗?太好了!然后重启 nginx 以加载新的配置文件。
设置 TLS
Warning
我们有关于如何配置 TLS 证书的附加文档,还提供了有关不同发行版的附加内容和教程链接,值得一看。
你现在可以运行 certbot,它将引导你完成启用 https 的步骤。
完成后,它应该自动编辑你的配置文件以启用 https。
最后再次重新加载 NGINX:
现在重新启动 GoToSocial:
安全加固
如果你想通过进阶配置选项加强 NGINX 部署,网上有很多指南(例如这个)。请尝试找到最新的指南。Mozilla 还在此处发布了最佳实践 SSL 配置。
结果
你现在应该可以在浏览器中打开实例的启动页面,并看到它运行在 https 下!
如果你再次打开 NGINX 配置,你会发现 Certbot 添加了一些额外的行。
Warning
根据你设置 Certbot 时选择的选项,以及使用的 NGINX 版本,可能会有所不同。
server {
server_name example.org;
location / {
# 设置为 127.0.0.1 而不是 localhost 以解决 https://stackoverflow.com/a/52550758
proxy_pass http://127.0.0.1:8080;
proxy_set_header Host $host;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
}
client_max_body_size 40M;
listen [::]:443 ssl; # 由 Certbot 管理
listen 443 ssl; # 由 Certbot 管理
http2 on; # 由 Certbot 管理
ssl_certificate /etc/letsencrypt/live/example.org/fullchain.pem; # 由 Certbot 管理
ssl_certificate_key /etc/letsencrypt/live/example.org/privkey.pem; # 由 Certbot 管理
include /etc/letsencrypt/options-ssl-nginx.conf; # 由 Certbot 管理
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # 由 Certbot 管理
}
server {
if ($host = example.org) {
return 301 https://$host$request_uri;
} # 由 Certbot 管理
listen 80;
listen [::]:80;
server_name example.org;
return 404; # 由 Certbot 管理
}
关于 nginx 的其他配置选项(包括静态资源服务和缓存),请参阅文档的进阶配置部分。