台湾原生静态住宅ip部署实操 包含设备与软件配置步骤

1.

准备与网络要求

- 取得台湾ISP分配的原生静态IPv4地址（示例：203.0.113.45为示例IP）。
- 确认ISP支持1:1 NAT或直连路由（企业/住宅差异）。
- 购买VPS/裸机或准备家中主机：建议至少2核CPU、4GB内存起。
- 规划公网网段、网关、子网掩码与DNS（示例网关203.0.113.1，掩码255.255.255.0）。
- 准备好域名并在域名解析商创建A记录指向静态IP，並設定TTL为300秒以便测试。

2.

服务器系统与基础软件安装

- 推荐系统：Ubuntu 22.04 LTS 或 Debian 12；安装时选择最小化系統。
- 设置系统主机名与时区：sudo timedatectl set-timezone Asia/Taipei。
- 安装重要软件：nginx, certbot, ufw, fail2ban, iptables-persistent。
- 配置静态IP（示例使用netplan）：在/etc/netplan/01-netcfg.yaml写入addresses: [203.0.113.45/24], gateway4: 203.0.113.1。
- 重载网络：sudo netplan apply，并用ip addr show与ping 8.8.8.8核对连通性。

3.

Nginx与站点配置实作

- 建立站点目录：/var/www/example.com/html，设置权限www-data。
- 示例nginx server块（摘要）：listen 80; server_name example.com; root /var/www/example.com/html;。
- 使用certbot获取Let's Encrypt证书：sudo certbot --nginx -d example.com -d www.example.com。
- 开启Gzip、缓存头与静态资源长缓存策略以降低上游带宽。
- 测试：curl -I https://example.com 检查返回头Cache-Control与证书链。

4.

域名、CDN与DDoS防御策略

- 将域名先指向CDN（如Cloudflare）做反向代理以隐藏原生IP并提供WAF/CDN加速。
- 若必须暴露原生IP，限制SSH仅允许非标准端口并启用key-only登录。
- 配置UFW与iptables规则，默认拒绝入站，仅允许80/443与管理端口（示例：UFW allow 443/tcp）。
- 部署fail2ban阻止暴力破解，设置maxretry=3, bantime=3600。
- 启用Cloudflare的"I'm under attack"模式及速率限制，配合本地iptables限速规则以缓解SYN/UDP洪水。

5.

真实案例：台北小型站点迁移与效果

- 背景：某电子商店由共享主机迁移至台湾ISP提供的住宅型原生IP VPS（示例IP 203.0.113.45）。
- 服务器规格与配置（见下表）迁移前后對比，启动CDN后缓存命中率达到85%。
- 迁移步骤：取得ISP静态IP → 配置netplan → 部署nginx与certbot → 指向域名 → 接入Cloudflare并启用WAF。
- 测量结果：平均响应延迟从120ms降至45ms，峰值带宽占用降低40%，DDoS事件通过Cloudflare拦截。
- 经验建议：首次上线先设置低TTL与监控，确保回滚流程和远程控制通道（例如VPN或控制台）。

6.

运维与后续优化

- 定期检查证书更新（certbot renew --dry-run）与系统安全更新（apt update && apt upgrade）。
- 建立监控：Prometheus+Grafana或Node Exporter监控CPU/内存/网络流量与404/500率。
- 做备份：网站文件与数据库每日快照并异地保存（建议S3兼容或FTP备份）。
- 性能优化：开启HTTP/2/3、调整nginx worker_processes与worker_connections，根据并发调优keepalive_timeout。
- 灾难恢复：准备第二个备用IP/备用机房，并预演切换DNS与证书的流程。

7.

示例服务器配置表（示例数据，表格居中）

项目	示例值
操作系统	Ubuntu 22.04 LTS
CPU	2 vCPU
内存	4 GB
磁盘	80 GB SSD
示例公网IP	203.0.113.45
网关/掩码	203.0.113.1 / 255.255.255.0
DNS	1.1.1.1, 8.8.8.8