博客 (20)

.NET 项目发布到 Linux / CentOS / nginx 上，调用 RedirectToAction 方法跳转到 127.0.0.1:443，而不是正在访问的域名，怎么办？

打开该网站的 nginx 配置文件，找到反射代理配置（proxy_pass），将：

proxy_set_header Host 127.0.0.1:$server_port;

改为

proxy_set_header Host $host;

早前记录过在 CentOS 中部署 ASP.NET Core 网站，现在宝塔面板已经直接支持创建 .NET 网站了，再次记录一下。

本文环境：VS2022、.NET 9、宝塔面板v11。

一、在 VS 中创建一个 .NET 9 网站，项目名称例：WebApplication1

发布选项：

关于“生成单个文件”选项，若勾选，发布后的项目启动文件不带后缀名（.dll），尝试在宝塔面板 v11.0.0 中无法顺利启动。

二、在 Linux 服务器上创建目录：/www/wwwroot/WebApplication1/

将发布后的文件上传到这个目录上，最终的文件结构如下：

三、进入宝塔面板，在 网站-Net项目 中安装 .Net环境管理，这里以 9.0.201 为例：

四、添加项目

项目名称：随意

运行路径：项目所在目录，本例中为：

/www/wwwroot/WebApplication1

启动命令：使用 dotnet 命令，dotnet 命令可以不使用全路径（/www/server/dotnet/9.0.201/dotnet），第一个参数是项目启动文件，--urls 是反向代理的服务器和端口。服务器名可以是*也可以是localhost。例：

dotnet WebApplication1.dll --urls=http://*:5000

项目端口：与启动命令中的端口号一致

开机启动：一般会勾选

启动用户：尽量用 www，最小权限原则。

正常情况下，网站已启动，如果未启动，检查配置，根据报错内容排查问题。

五、配置网站

添加域名、SSL 证书等。

友情提示：

• 网站版本更新重新发布后，需要手动重启网站才能生效，习惯于发布到 IIS（会自动生效）的同学要特别注意。

• 新手尽量以空项目或默认项目来部署，避免因特殊原因导致一系列其它问题。

• nginx 反向代理并不会转发所有 Header，需要手动配置。

http {
    ...

    lua_shared_dict cpu_cache 1m;  # 定义共享字典用于缓存 CPU 使用率
    access_by_lua_block {
        local cpu_cache = ngx.shared.cpu_cache
        local cache_time = cpu_cache:get("cache_time") or 0
        local current_time = ngx.now()

        if current_time - cache_time > 5 then  -- 每 5 秒更新一次
            local cpu_info = io.popen("top -bn1 | grep 'Cpu(s)'"):read("*all")
            local cpu_usage = cpu_info:match("(%d+%.%d+) id")  -- 获取空闲 CPU 百分比
            local cpu_used = 100 - tonumber(cpu_usage)  -- 计算使用率

            cpu_cache:set("cpu_usage", cpu_used)
            cpu_cache:set("cache_time", current_time)
        end

        local cpu_usage = cpu_cache:get("cpu_usage")
        ngx.log(ngx.INFO, "CPU 使用率: " .. cpu_usage .. "%")
        -- 将 cpu_usage 发送到远程鉴权接口，可根据服务器压力来决定是否拒绝一些不重要的请求
    }
}

代码解析：

共享字典：使用 lua_shared_dict 定义一个共享字典 cpu_cache，用于存储 CPU 使用率和缓存时间。

获取 CPU 使用率：在 access_by_lua_block 中，检查缓存时间，如果超过 5 秒，则重新获取 CPU 使用率，并更新共享字典。

记录日志：使用 ngx.log 将 CPU 使用率记录到 Nginx 日志中。

注意事项：

确保 Nginx 配置中已经加载了 Lua 模块（如 ngx_http_lua_module）。

根据实际需求调整缓存时间，以平衡性能和数据的实时性。

尝试过使用 ifconfig 或 ip 命令获取网卡流量，在宝塔面板中失败了，怀疑是权限问题，有空再研究。临时方案是鉴权接口定时调用宝塔面板 API 或阿里云控制台 API 来获取 ECS 的 CPU 和带宽使用率。

如何配置 nginx 远程鉴权

1. 使 lua 支持 resty.http

2. 在 access_by_lua_block 代码块中实现远程鉴权：

   #鉴权-START
   #resolver 223.5.5.5; # cat /etc/resolv.conf
   access_by_lua_block {
       local http = require("resty.http")
       local httpc = http.new()
       httpc:set_timeout(500)  -- 连接超时
       local res, err = httpc:request_uri("https://鉴权地址/", {
           method = "GET",
           headers = {
               ["X-Real-IP"] = ngx.var.remote_addr,
               ["User-Agent"] = ngx.var.http_user_agent,
               ["X-Forwarded-Host"] = ngx.var.host,
               ["X-Forwarded-Uri"] = ngx.var.request_uri,
           },
           ssl_verify = false, -- 禁用 SSL 验证
           timeout = 500,     -- 读取超时
       })
   
       if not res then
           ngx.log(ngx.ERR, "Failed to request: " .. err)
       end
           
       if res and res.status == 403 then
           ngx.exit(ngx.HTTP_FORBIDDEN)
           -- return ngx.redirect("https://一个显示403友好信息的页面.html")
       end
   }
   #鉴权-END

   注意更改接口地址和友情显示 403 页面地址。

   本示例仅捕获 403 状态码，500、408 等其它异常情况视为允许访问，请根据业务需求自行添加状态码的判断。

   若超时也会进入 if not res then 代码块。

   建议将此代码部署在 nginx 主配置文件的 http 代码块中（宝塔面板中的路径：/www/server/nginx/nginx/conf/nginx.conf），如果你只想为单个网站鉴权，也可以放在网站配置文件的 server 块中。
   

3. 若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

附

1. 直接输出字符串

   ngx.header.content_type = "text/plain";
   ngx.say("hello world!")

2. 输出到日志

   ngx.log(ngx.ERR, "Response status: " .. res.status)

   日志在网站的 站名.error.log 中查看。

   宝塔面板查看方式：日志 - 网站日志 - 异常

3. 若想获取服务器 CPU 使用率等信息并传递给远程鉴权接口，请参考此文。

4. 常见问题

   no resolver defined to resolve

   原因：没有定义 DNS 解析器

   解决方法：在 http 块或 server 块中添加 resolver 8.8.8.8 valid=30s;，推荐使用接入商自己的公共 DNS，如果走内网，推荐使用本机 DNS。

   unable to get local issuer certificate

   原因：没有配置 SSL 证书信息

   解决方法：添加 request_uri 参数：

   ssl_verify = true,  -- 启用 SSL 验证
   ssl_trusted_certificate = "证书路径",  -- 指定 CA 证书路径

   或

   ssl_verify = false,  -- 禁用 SSL 验证

5. 若您不想用 lua，可以用 nginx 原生自带的  auth_request 模块来实现。

1. 安装 OpenResty

   在 宝塔面板 - 软件商店 中搜索 nginx，安装版本选择 openresty 版

   
   

2. 安装 LuaRocks

3. 安装 resty.http

   luarocks install lua-resty-http

4. 检测已安装的组件

   nginx -v
   lua -v
   openresty -v
   luarocks --version

5. 测试代码

   access_by_lua_block {
       local http = require("resty.http")
   }

   或

   access_by_lua '
       local http = require("resty.http")
   ';

鉴权方式有许多，譬如可以用 lua 的 access_by_lua 来实现，这里用 nginx 自带的 auth_request，虽然功能简单，但效率更高。

第一步，确保 nginx 已编译安装 auth_request 模块，见此文。

第二步，打开需要鉴权的网站的 nginx 配置文件，添加以下代码块：

    #鉴权-START
    location / {
        auth_request /auth;
        error_page 403 = @error403;
        
        #PHP-INFO-START  PHP引用配置，可以注释或修改
        include enable-php-**.conf;
        #PHP-INFO-END
    }
    location = /auth {
        internal;
        proxy_pass https://鉴权地址;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header User-Agent $http_user_agent;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Uri $request_uri;
        proxy_intercept_errors on;
        #proxy_read_timeout 1s; # 超时会报 500
    }
    location @error403 {
        #default_type text/plain;
        #return 403 'forbidden';
        return 302 https://一个显示403友好信息的页面.html;
    }
    #鉴权-END

一般放在所有的 location 之前。

这里自定义请求头 X-Forwarded-Host 与 X-Forwarded-Uri 用来传递 host 与 uri。API 应从 Header 中相应取值。

宝塔面板中是通过 include enable-php-**.conf; 的方式调用 PHP ，那么可以将此行移入上面的 location / 代码块中，因为此代码块能匹配所有的请求路径。

最后，若鉴权接口在私网中，将鉴权接口域名和私网 IP 添加到 hosts 文件中。

首先使用命令查看是否已安装所需要的模块

nginx -V

若没有找到需要的模块，则需要编译安装。但是宝塔面板中安装的 nginx 如果像自行安装的 nginx 一样的方式去编译可能会出问题。宝塔面板有自己的添加模块方式。

在宝塔面板的软件商店找到 nginx，如果已安装则需要先卸载，卸载不会删除已有网站的配置文件（保险起见可以先备份一下），且安装时原有的模块不需要重新填写。

选择编译安装，添加自定义选装模块：

以添加“--with-http_auth_request_module”模块为例，名称按格式填写即可，模块参数填写--with-http_auth_request_module，如添加其它模块，按需填写前置脚本。添加完成后，启用它：

开始安装，等待完成。

本文记录于 2024 年 11 月。

版本选择原因：

• Discuz! X5 刚刚发布，生态尚未成熟，考虑到是老论坛升级，所以选择 X3.5。

• Discuz! X3.5 目前最高支持 PHP 8.2、MySQL 8.0。

完整升级步骤：

1. 购买新的 ECS、PolarDB，具体环境配置步骤参此文；

2. 安装宝塔面板并配置；

3. 安装 nginx 及 PHP；

4. 创建网站、配置 SSL、伪静态、防盗链、可写目录禁执行、仅允许部分入口文件执行等（.conf）；

5. 配置 hosts；

6. 如果是正式升级阶段，关闭论坛，防止产生新数据。

7. 备份原网站程序、PolarDB 数据库；

8. PolarDB 创建快照。

   测试阶段：从快照还原到新实例（MySQL 5.6 不能直接恢复到 MySQL 8.0），然后从 5.6 迁移到 8.0.x；

   正式阶段：全量模式直接从原实例迁移到 8.0.x，若增量模式且存在触发器，建议从快照还原；
   

9. 上传原网站程序到新的站点目录下；

10. 按 Discuz! X 升级文档升级 X3.4 至 X3.5；详情见下文 ↓；

11. 升级完成后切换到 PHP 8；
    

12. 配置 OSS、Redis、更新缓存等；

13. 测试论坛基本功能是否正常；检查附件是否能够正常上传；检查附件是否正常显示；全面检查控制台配置；

14. 逐个开启插件并检查兼容性（短信通、马甲引擎等）；

15. 按二开备忘录逐个按需进行二开；

16. 逐个修改调用论坛接口的项目及直接调用论坛数据库的项目；

17. 调试 MAGAPP 接口；

18. 尝试强制 https 访问；
    

19. 将以上所有修改后的程序保留备份；发布升级公告并关闭论坛；重复以上步骤；修改域名解析；开启论坛；
    

20. 配置 IP 封禁、定时器、日志、自动备份、配置其它 ECS 的 hosts 等；

21. 查看搜索引擎中收录的地址，是否有无法访问的情况；
    

22. 尝试将历史遗留的本地附件全部转移到 OSS；

23. 建议 在新服上创建 3 个网站：

1. 第 1 个用来尝试迁移、升级、二开，并测试所有功能；

2. 第 2 个用来再次重复这些步骤，最终保留程序代码及 UGC 文件，作为最终的网站程序，以正式域名作为网站根目录路径；

3. 第 3 个用来正式升级，主要功能是升级最新数据库。完成后修改第 2 个网站的数据库连接指向到最新的数据库，差异化同步新增的 UGC 文件到第 2 个网站。

Discuz! X 升级步骤及注意点：

• 因 PolarDB MySQL 不支持压缩，所以应移除 Discuz! 和 UCenter 代码中所有的 MYSQLI_CLIENT_COMPRESS，将 , MYSQLI_CLIENT_COMPRESS 替换为 /*, MYSQLI_CLIENT_COMPRESS*/。

• 升级前务必先修改 ./config/ 目录下的数据库/缓存连接信息，以防出现新站连接老库的情况；

• 按官方文档进行升级，升级前先修改一下：

• 【UC】先升级 UCenter 1.6 至 1.7。

  将 /uc_server/data 权限改为 777 并递归。

  打开 update_ucenter_adult.php 修改 $limit 值为 10000 以免执行超时。

  因通信失败的“发送通知失败”可以直接改 URL 参数跳过就完成了，原因可能是因数据量大，发送改名通知执行改名时超时。等DZ升级完成后UC会自动重试改名通知，或单独写个 php 文件将 UCenter 的用户名同步到应用的数据库。
  

• 【DZ】运行到 /install/update_adult.php?step=innodb&table=pre_common_member_grouppm 时报错：Duplicate key name 'gpmid' ALTER TABLE common_member_grouppm ADD INDEX gpmid(gpmid);

  解决方法：先删除索引，因保存时提示失败，应同时取消 gpmid 字段的自增，转换成功后再设置自增。
  

• 【DZ】运行到 /install/update_adult.php?step=file 一片空白而停止

  正在解决
  

• 【问题】common_menber 表用户名字段编码转换失败

  原因是部分用户名包含特殊字符（如全角空格），用以下语句查看两个表同一 uid 的不同用户：

  SELECT 
      u.uid, 
      u.username AS ucenter_username, 
      c.username AS common_username
  FROM 
      pre_ucenter_members u
  JOIN 
      pre_common_member c ON u.uid = c.uid
  WHERE 
      u.username <> c.username

  Discuz! 用户登录都是以 UCenter 中的用户名为主，所以可以写个小程序直接将 pre_ucenter_members 的用户名同步到 pre_common_member 中，另外 pre_ucenter_members 的用户数少于 pre_common_member 是正常的。若 pre_common_member_archive 表遇到错误同理。

• 如果用户登录慢，或打开 UCenter 慢，是因为 UC 正在通知 DZ 改用户名，每次打开一个页面会更改一个用户名，具体可以查看 pre_ucenter_notelist 中 closed 为 0 的队列，或进入 UC 后台-数据列表-通知列表 查看。

• 【问题】发布主题遇到错误：(1062) Duplicate entry '*' for key 'pid'

  【原因】forum_post 中的 pid 不是自动增长的，而是由表 forum_post_tableid 中自动增长的 pid 生成的。如果生成的 pid 值已在 forum_post 表中存在，则会出现此错误。

• 【解决】迁移数据库时应关闭论坛，以防止 forum_post 表有新数据插入。

• 【问题】打开帖子页面 ./thread-***-1-1.html 显示 404 Not Found，而 ./forum.php?mod=viewthread&tid=*** 可以正常打开

  【原因】未配置伪静态（可在宝塔面板中选择）

• 【问题】打开 UCenter 时报错：UCenter info: MySQL Query Error SQL:SELECT value FROM [Table]vars WHERE name='noteexists'

  【解决】打开文件 ./uc_server/data/config.inc.php 配置数据库连接

• 【问题】打开登录 UCenter 后一片空白

  【解决】将目录 ./uc_server/data/ 设为可写

• 需要将原来安装的插件文件移回 ./source/plugin/ 目录，并设置可写；

• 界面-表情管理，界面-编辑器设置-Discuz!代码

后续 Discuz! X3.5 小版本升级注意事项：

1. 确认插件是否支持新版本（如短信通）

2. 先创建一个新网站测试二开代码

3. 保留 /config/、/data/、/uc_client/data/、/uc_server/data/、/source/plugin/，其它移入 old

4. 上传文件

5. 移回其它需要的文件，如：

6. -- 勋章/loading/logo/nv 等：/static/image/common/

7. -- 表情：/static/image/smiley/

8. -- 水印：/static/image/common/watermark.*

9. -- 风格：/template/default/style/t2/nv.png 等

10. -- 默认头像：/uc_server/images/noavatar_***.gif

11. -- 根目录 favicon.ico 等
    

12. -- 及其它非 DZ 文件

13. 再次检查可写目录的写入权限和禁止运行 PHP 效果。

宝塔面板中-安全-系统防火墙 功能非常丰富，特别是“地区规则”用来屏蔽来自国外的请求非常有用，那些通过 URL 来找网站漏洞的恶意请求大多来自国外。但是添加规则经常无反应

于是找到这个功能对应的配置文件：/etc/firewalld/zones/public.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <port protocol="tcp" port="80"/>
  <port protocol="tcp" port="443"/>
  <masquerade/>
  <rule family="ipv4">
    <source address="43.131.232.135"/>
    <drop/>
  </rule>
  <rule family="ipv4">
    <source address="103.150.11.45"/>
    <drop/>
  </rule>
  <rule>
    <source ipset="US"/>
    <drop/>
  </rule>
  <rule>
    <source ipset="GB"/>
    <drop/>
  </rule>
</zone>

修改完成后重启防火墙。

但是看到的效果好像并不一致，甚至有时候服务器重启后防火墙是关闭的，但是有时候又是生效的。

关键的问题是CPU占用异常高。

反正宝塔的系统防火墙功能挺好挺强大，但是用起来不稳定不顺手，有些暴殄天物了。

相关阅读：

系统防火墙添加规则转圈卡死

2024年8月30日补充 ：宝塔面板中配置禁用IP等规则时，提示保存成功或未提醒是否成功，但效果是未成功。其实在宝塔自己的配置里已经记录了（包含备注），但在系统防火墙配置文件中未更改成功，手动修改系统防火墙配置文件就能完全修改成功。（系统防火墙配置文件中没有备注信息，根据IP地址等规则与宝塔自己的配置文件里的记录关联后，在宝塔面板安全模块中展示出来就有备注了。）

2024年8月30日下午补充：在宝塔的软件商店找到这个应用，看到红色的说明，啥都明白了：

于是果断关闭了系统防火墙，开始研究其它替代方案。

1. 购买 ECS
   

2. 解析域名（非网站域名）、修改实例名称、主机名

3. 设置阿里云（重要）

4. 远程连接进入 ECS（若解析未生效可以先用 IP）（若新服默认使用 22 端口，可在阿里云控制台登录系统，或先在安全组临时放行 22 端口）

5. 修复系统漏洞

6. 将磁盘挂载到目录（fdisk、df 命令参考：https://xoyozo.net/Blog/Details/SSH）

7. 安装宝塔面板（本文以宝塔面板方案为例，选择任何你喜欢的环境部署方案都行）。可以在阿里云控制台ECS实例页安装扩展程序

8. 临时放行宝塔面板端口，进入宝塔面板（http方式），或用命令更改宝塔面板端口

9. 配置面板 SSH、添加新的安全端口、面板设置

10. 更改 SSH 默认端口（参：https://xoyozo.net/Blog/Details/change-default-port）
    

11. 安装 nginx、PHP 等

12. 通过 lua 接入 WAF

13. 配置 PHP 扩展（Redis、sqlsrv（注意选择兼容的版本）、memcached 及端口）

14. 创建网站，配置网站（路径、伪静态等）

15. 迁移网站文件（参：https://xoyozo.net/Blog/Details/SSH）

16. 仔细对比新旧网站的配置文件（特别是 .php 的访问权限，参：https://xoyozo.net/Blog/Details/nginx-location-if）

17. 设置写入目录（使用 rsync 同步的文件会同步用户和权限）

18. 解析域名（先改 hosts 测试网站功能）

19. 更改内网其它 ECS 上的 hosts

20. 关闭原 ECS（能马上发现问题，不然等运行一段时间才发现问题就麻烦点）
    

21. 设置 FTP
    

22. 迁移“计划任务”

23. 所有网站和软件的配置文件都要使用 WinMerge 进行对比
    

24. 移除“宝塔面板-安全”和“阿里云-ECS-安全组”中不用的端口

25. 再次检查阿里云设置

26. 私网中若有 ECS 的 hosts 中域名直接绑定到私网 IP 的，做相应更改

27. 其它：ERP 添加到期提醒、WAF 增加该 ECS、备份工具增加该 ECS

更多文章：

从零搭建一台阿里云 ECS（Windows Server）并迁移网站