我的node.js应用程序监听80端口的http和443端口的https,我认为这是相当标准的做法。
然而,最近我阅读的一些示例使用其他端口(例如8080和8081)来监听http/https,然后使用其他方法(例如iptables或ufw规则)通过重新路由数据包从其他端口提供80/443端口。
因此,我的问题是为什么我不想直接监听80和443端口?
是否存在安全问题?这只是这些作者没有权限监听低于1024端口的情况吗?(我觉得这很惊讶?)大多数人是否在Node旁边运行Apache?(我没有)。
假设我有充分的理由不想直接监听80和/或443端口,我应该使用哪种方法将流量从80/433端口中继到我选择的备选端口? 我已经提到了iptables和ufw,其中一个比另一个更好,还是我应该使用其他方法?答案是否取决于我是否在进程之间平衡负载?您链接的第一篇文章中的第一行提到了原因。
Standard practices say no non-root process gets to talk to
the Internet on a port less than 1024.
为了让Node绑定到端口80或443,你需要以root身份运行它,但这不是一个好主意。
您用于重新路由流量到更高端口的方法取决于您自己。 iptables是资源消耗最少且最简单的方法。另一种方法是使用NginX / Apache代理到Node。我认为该方法的主要优点是您随后可以从那里提供诸如静态文件之类的内容,而无需通过Node提供它们。
Apache和NginX都是专门设计用于非常擅长服务静态文件,因此它们在这方面非常出色,而Node是一个完整的JS环境,其中包含所有相关的开销。 Node非常擅长处理大量同时连接,并且对于正常负载它确实可以很好地提供文件,但它会比NginX使用更多资源来完成它。
使用像Apache / NginX这样的HTTP感知代理还意味着您可以非常轻松地设置多个Node实例以运行不同的子域或甚至是同一域上的不同路径。