阿里云香港服务器144部署步骤详解与常见问题处理

1.

概述与准备清单

- 目标：在阿里云香港区域部署一台示例服务器并将SSH端口改为144，启用EIP、绑定域名和配置CDN与DDoS基础防护。
- 区域示例：香港（ap-east-1）常用于面对中国内地与东南亚访问的低延迟场景。
- 示例资源：操作系统 Ubuntu 20.04 LTS、实例规格 2 vCPU / 4 GB、系统盘 40 GB SSD、带宽 100 Mbps、EIP 示例 203.0.113.144。
- 访问准备：本地持有阿里云账号、实名认证已完成、含支付方式并可购买 ECS 与弹性公网IP。
- 工具建议：本地使用 ssh 客户端（OpenSSH）、阿里云控制台、域名 DNS 控制台、curl/traceroute、在线端口检测工具。

2.

购买与实例创建步骤

- 登录阿里云控制台，选择“云服务器 ECS”，区域选择“香港（ap-east-1）”。
- 选择镜像：选择 Ubuntu 20.04 LTS（官方镜像）或 CentOS 7/8；推荐使用最新安全镜像。
- 选择实例规格：示例选 ecs.c6.large（2 vCPU + 4GB），按需或包年包月视业务决定。
- 存储与带宽：系统盘 40 GB SSD，公网带宽 100 Mbps，根据业务流量调整。
- 网络设置：创建或选择 VPC 与交换机，配置安全组规则（初始仅开放 22/144/80/443 入站，根据需求限IP）。

3.

绑定弹性公网IP与配置安全组

- 在控制台申请弹性公网IP（EIP），示例地址为 203.0.113.144（文档保留地址示例）。
- 将 EIP 绑定到刚创建的 ECS 实例上，等待状态变更为“已绑定”。
- 配置安全组入站规则：允许 TCP 144（自定义SSH）、TCP 80/443（HTTP/HTTPS）、ICMP（必要时）。
- 出站规则通常保持全部允许，若有下游受限则配置相应白名单。
- 注意：安全组是第一层防护，建议基于源IP范围或 CDN 后端限源进行精确限制。

4.

更改 SSH 端口到 144 并加强认证

- 登录（默认 SSH 22）后备份 /etc/ssh/sshd_config：sudo cp /etc/ssh/sshd_config /root/sshd_config.bak。
- 修改配置：将 Port 22 改为 Port 144；禁用 PermitRootLogin yes 改为 prohibit-password 或 no。
- 重启 SSH 服务：sudo systemctl restart sshd（或服务名 ssh）。在切换端口前确保安全组已放通 144。
- 强化认证：禁用密码登录（PasswordAuthentication no），启用公钥认证，添加公钥到 ~/.ssh/authorized_keys。
- 防火墙规则：使用 ufw/iptables 开放 144，并默认拒绝未授权入站；示例 ufw allow 144/tcp && ufw enable。

5.

Web 环境与 SSL 配置（Nginx + PHP 示例）

- 安装 Nginx：sudo apt update && sudo apt install -y nginx；确认端口 80/443 已在安全组开放。
- 安装 PHP-FPM（如需）：sudo apt install -y php-fpm php-mysql；配置 Nginx 与 PHP-FPM 的 socket 或 127.0.0.1:9000。
- 获取 SSL：推荐使用 Let’s Encrypt certbot，示例：sudo apt install certbot python3-certbot-nginx && sudo certbot --nginx -d example.com。
- 配置反向代理与缓存：若使用 CDN（阿里云 CDN 或 Cloudflare），将源站指向 EIP 203.0.113.144，并开启缓存策略与缓存排除规则。
- 流量剖析：在高并发场景建议开启 keepalive、Gzip、限速与 upstream 连接池调优（worker_processes、worker_connections、proxy_buffers）。

6.

域名与 DNS 设置（解析与反向解析）

- 域名解析：在域名服务商处创建 A 记录，主机记录为 @ 或 www，记录值指向 203.0.113.144，TTL 可设置为 600 秒。
- 若使用阿里云 DNSPod/CDN，可在控制台直接管理解析并配置智能解析。
- 反向解析（PTR）：若需要邮件发送或反垃圾检测，申请阿里云 EIP 绑定后向阿里云提交 PTR 申请并填写 mail.example.com。
- 子域与子路径分流：利用 Nginx server_name 与 location 做后端分流，或通过 CDN 的回源规则做路径级别分发。
- 验证：使用 dig/nslookup 检查 A/AAAA/CAA 记录是否生效，并用 curl -I https://example.com 检查证书链。

7.

DDoS 与 WAF 防护策略

- 阿里云基础防护：ECS 可配合阿里云 DDoS 基础防护（免费基础层）和按需的基础防护增强包。
- WAF（Web 应用防火墙）：对 HTTP/HTTPS 层进行 SQL 注入、XSS、恶意爬虫等防护，设置访问频率限制与规则白名单。
- CDN 降载：把静态资源与缓存流量转到 CDN，降低源站带宽压力并利用 CDN 的边缘防护能力。
- 黑名单与限速：在安全组、WAF 或 Nginx 层面实施 IP 黑名单、geo-block 与限流（limit_conn、limit_req）。
- 监控与告警：配置实时流量监控、带宽峰值告警与日志告警（OSS/Log Service），以便在攻击中快速响应。

8.

常见问题与排查案例

- SSH 无法连接：检查安全组是否放通 144、EIP 是否正确绑定、sshd 是否重启且无语法错误（查看 sudo journalctl -u sshd）。
- 网站 502/504：检查 PHP-FPM 后端是否运行、Nginx 与后端通信是否超时、后端负载或连接数耗尽。
- 解析未生效：查询 TTL、是否为本地 DNS 缓存（用 dig +trace）、是否误填了 CNAME 循环。
- 带宽不够：查看实例监控带宽峰值，若持续接近上限考虑升带宽或开启 CDN。
- 高 CPU/内存：检查进程 top/htop，优化 Nginx worker、调整 PHP-FPM pm 设置或升级实例规格。

9.

真实案例与配置示例（演示表格）

- 案例简介：某电商活动在香港部署对内地与东南亚用户，初始实例常规流量 5k qps 峰值通过 CDN+WAF 平稳承载。
- 调优举措：将 SSH 改为 144 防暴力，开启阿里云 CDN 与 WAF，源站设置 100 Mbps，活动期间增加弹性带宽并启用临时防护包。
- 效果：带宽峰值被 CDN 吸收 85%，源站 CPU 峰值下降 60%，安全事件减少明显。
- 下表为示例配置（可直接作为部署参考）：

项	示例值
Region	ap-east-1（香港）
操作系统	Ubuntu 20.04 LTS
实例规格	2 vCPU / 4 GB (ecs.c6.large)
系统盘	40 GB SSD
公网带宽	100 Mbps（可弹性调节）
EIP	203.0.113.144（示例）
SSH 端口	144（已改）