Caddy 简介 Caddy 是一个 Go 编写的 Web 服务器,类似于 Nginx,Caddy 提供了更加强大的功能,随着 v2 版本发布 Caddy 已经可以作为中小型站点 Web 服务器的另一个选择;相较于 Nginx 来说使用 Caddy 的优势如下:
就目前来说,Caddy 对于我个人印象唯一的缺点就是性能没有 Nginx 高,但是这是个仁者见仁智者见智的问题;相较于提供的这些便利性,在性能可接受的情况下完全有理由切换到 Caddy。 编译 Caddy2注意: 在 Caddy1 时代,Caddy 官方发布的预编译二进制文件是不允许进行商业使用的,Caddy2 以后已经全部切换到 Apache 2.0 License。 在默认情况下 Caddy2 官方提供了预编译的二进制文件,以及自定义 build 下载页面,不过对于需要集成一些第三方插件时,我们仍需采用官方提供的 xcaddy 来进行自行编译;以下为具体的编译过程: Golang 环境安装本部分编译环境默认为 Ubuntu 20.04 系统,同时使用 root 用户,其他环境请自行调整相关目录以及配置;编译时自行处理好科学上网相关配置,也可以直接用国外 VPS 服务器编译。 首先下载 go 语言的 SDK 压缩包,其他平台可以从 https://golang.org/dl/ 下载对应的压缩包: wget https://golang.org/dl/go1.15.6.linux-amd64.tar.gz! F" j& q6 B* {( C下载完成后解压并配置相关变量: # 解压tar -zxvf go1.15.6.linux-amd64.tar.gz8 m) O, w# A* c/ n # 移动到任意目录 mkdir -p /opt/devtools mv go /opt/devtools/go # 创建 go 相关目录 mkdir -p ${HOME}/gopath/{src,bin,pkg}( [! k5 L! A- A, Q$ g8 s2 n0 C% ^ # Z6 x4 y- `& {' h- X# l # 调整变量配置,将以下变量加入到 shell 初始化配置中 # bash 用户请编辑 ~/.bashrc # zsh 用户请编辑 ~/.zshrc, s h4 T$ U+ D9 M3 ] export GOROOT='/opt/devtools/go' export GOPATH="${HOME}/gopath"+ U3 A3 i& g% s$ g' n5 `7 K export GOPROXY='https://goproxy.cn' # 如果已经解决了科学上网问题,GOPROXY 变量可以删除,否则可能会起反作用' l% J6 g$ } m7 z* X W+ w0 { export PATH="${GOROOT}/bin{GOPATH}/bin{PATH}" 8 B5 N+ N- V2 V6 y # 让配置生效+ o5 Z' _6 H! @ # bash 用户替换成 ~/.basrc) M" A1 ^, D S2 o # 重新退出登录也可以; A* n, m' \* P; u( @ source ~/.zshrc0 `. m5 A2 \# q+ c5 q9 @ 配置完成后,应该在命令行执行 go version 并有以下成功返回: bleem ➜ ~ go version5 b# ]' g$ n( L& w: h! P$ Q$ fgo version go1.15.6 linux/amd64 安装 xcaddy 按照官方文档直接命令行执行 go get -u github.com/caddyserver/xcaddy/cmd/xcaddy 安装即可: bleem ➜ ~ go get -u github.com/caddyserver/xcaddy/cmd/xcaddygo: downloading github.com/caddyserver/xcaddy v0.1.7 go: found github.com/caddyserver/xcaddy/cmd/xcaddy in github.com/caddyserver/xcaddy v0.1.7 go: downloading github.com/Masterminds/semver/v3 v3.1.0: \0 |6 c" T; {" n3 g go: github.com/Masterminds/semver/v3 upgrade => v3.1.1 go: downloading github.com/Masterminds/semver/v3 v3.1.1- h3 J9 o/ L( P0 C% @ .....9 W9 h+ ^2 T2 ]* a. ]/ \ 安装完成后应当在命令行可以直接执行 xcaddy 命令: # xcaddy 并没有提供完善的命令行支持,所以 `--help` 报错很正常bleem ➜ ~ xcaddy --help go: cannot match "all": working directory is not part of a module( S# J8 h- R& ]2 M/ O3 h @; A! d 2021/01/07 12:15:56 [ERROR] exec [go list -m -f={{if .Replace}}{{.Path}} => {{.Replace}}{{end}} all]: exit status 1:; c& g0 O |/ ?- c2 I) {% N 编译 Caddy2 编译之前系统需要安装 jq、curl、git 命令,没有的请使用 apt install -y curl git jq - Q' ? h# h4 ]& y: S% X+ n9 z% J' g0 x命令安装; 自行编译的目的是增加第三方插件方便使用,其中官方列出的插件可以从 Download 页面获取到: 其他插件可以从 GitHub 上寻找或者自行编写,整理好这些插件列表以后只需要使用 xcaddy 编译即可: # 获取最新版本号,其实直接去 GitHub realse 页复制一下就行# 这里转化为脚本是为了方便自动化 export version=$(curl -s "https://api.github.com/repos/caddyserver/caddy/releases/latest" | jq -r .tag_name) # 使用 xcaddy 编译 xcaddy build ${version} --output ./caddy_${version} \ --with github.com/abiosoft/caddy-exec \ --with github.com/caddy-dns/cloudflare \. K: ~* W7 V2 J+ S; `! B$ y --with github.com/caddy-dns/dnspod \ --with github.com/caddy-dns/duckdns \/ z7 p- H2 J( D4 q& I% x! p# _/ z --with github.com/caddy-dns/gandi \- y. l# Z- W5 U$ m --with github.com/caddy-dns/route53 \ --with github.com/greenpau/caddy-auth-jwt \ --with github.com/greenpau/caddy-auth-portal \ --with github.com/greenpau/caddy-trace \% B1 Z* H0 M% j2 q' U# D --with github.com/hairyhenderson/caddy-teapot-module \* E: t5 l$ l( Z3 f --with github.com/kirsch33/realip \; D; |; w, ~3 Z, R) d. c4 x --with github.com/porech/caddy-maxmind-geolocation \# L' x9 l4 O. Z --with github.com/caddyserver/format-encoder \. w% `. Y/ a9 f7 L --with github.com/mholt/caddy-webdav" [' x; q5 b/ V5 x! {8 @$ ~ 编译过程日志如下所示,稍等片刻后将会生成编译好的二进制文件:
编译成功后可以通过 list-modules 子命令查看被添加的插件是否成功编译到了 caddy 中:9 u. L0 G: ?7 j0 A8 _- U( j bleem ➜ ~ ./caddy_v2.3.0 list-modulesadmin.api.load admin.api.metrics caddy.adapters.caddyfile/ B' L& C9 w5 s6 S6 u3 R caddy.listeners.tls caddy.logging.encoders.console2 I4 g$ ~! V; `" y1 x( V! O: t caddy.logging.encoders.filter2 v I! x" @2 t \/ J, L1 Z% V caddy.logging.encoders.filter.delete0 g p2 a) V! J0 E) l! Q: B+ f4 b caddy.logging.encoders.filter.ip_mask caddy.logging.encoders.formatted caddy.logging.encoders.json caddy.logging.encoders.logfmt caddy.logging.encoders.single_field caddy.logging.writers.discard caddy.logging.writers.file caddy.logging.writers.net caddy.logging.writers.stderr! u2 J0 t3 l1 E) X/ I* ` caddy.logging.writers.stdout caddy.storage.file_system dns.providers.cloudflare dns.providers.dnspod dns.providers.duckdns/ M7 i# s$ S6 D2 w dns.providers.gandi4 ^. [2 W+ |3 j; C% Z dns.providers.route538 v, S: b$ T7 D3 E( D" i& O exec6 q& h6 k q0 Q4 G# x' u2 l( R, b1 ? http http.authentication.hashes.bcrypt2 _0 t5 B& C7 H. g' f8 v* \ http.authentication.hashes.scrypt7 A: L( x% y$ _+ z) M! r http.authentication.providers.http_basic http.authentication.providers.jwt ...... 安装 Caddy2宿主机安装 宿主机安装 Caddy2 需要使用 systemd 进行守护,幸运的是 Caddy2 官方提供了各种平台的安装包以及 systemd 配置文件仓库;目前推荐的方式是直接采用包管理器安装标准版本的 Caddy2,然后替换自编译的可执行文件: # 安装标准版本 Caddy2. a4 X& D8 j, H4 ?( S @sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https- ?, t' @( a q/ z6 O1 W4 N. M curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/cfg/gpg/gpg.155B6D79CA56EA34.key' | sudo apt-key add - curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/cfg/setup/config.deb.txt?distro=debian&version=any-version' | sudo tee -a /etc/apt/sources.list.d/caddy-stable.list sudo apt update3 R# F4 D$ K/ K, ?; t# ^/ u sudo apt install caddy2 f# g' H+ ~! `9 V# o- p+ }1 } # 替换二进制文件 |. Y% p/ t5 S0 J7 D6 U( @ O systemctl stop caddy/ [% u) z1 A$ ^1 t- `1 z3 i rm -f /usr/bin/caddy mv ./caddy_v2.3.0 /usr/bin/caddy Docker 安装 Docker 用户可以通过 Dockerfile 自行编译 image,目前我编写了一个基于 xcaddy 的 Dockerfile,如果有其他插件需要集成自行修改重新编译即可;当前 Dockerfile 预编译的镜像已经推送到了 Docker Hub 中,镜像名称为 mritd/caddy。 配置 Caddy2Caddy2 的配置文件核心采用 json,但是 json 可读性不强,所以官方维护了一个转换器,抽象出称之为 Caddyfile 的新配置格式;关于 Caddyfile 的完整语法请查看官方文档 https://caddyserver.com/docs/caddyfile,本文仅做一些基本使用的样例。 配置片段Caddyfile 支持类似代码中 function 一样的配置片段,这些配置片段可以在任意位置被 import,同时可以接受参数,以下为配置片断示例: # 括号内为片段名称,可以自行定义* ]/ Q/ s& h- o1 P(TLS) {) ~ m8 m S; h' E( l) S+ O$ ~$ A7 U protocols tls1.2 tls1.37 ?: a1 O+ s# h& Y ciphers TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256* g* X/ L- {" o& ?4 J) z } # 在任意位置可以引用此片段从而达到配置复用5 k6 e; ]: n9 K* a4 k import TLS 配置模块化 import 指令除了支持引用配置片段以外,还支持引用外部文件,同时支持通配符,有了这个命令以后我们就可以方便的将配置文件进行模块化处理: # 引用外部的 /etc/caddy/*.caddyimport /etc/caddy/*.caddy" `) x0 m6 f2 _4 `: i 站点配置 针对于站点域名配置,Caddyfile 比较自由化,其格式如下: 地址 {% B* W& c k. x* ~0 `站点配置# l: c4 r* A/ X$ |/ s3 d }; m3 c" s) C0 I2 D: W 关于这个 “地址” 接受多种格式,以下都为合法的地址格式: localhostexample.com' ?+ ^+ ]. ?; Y: G% \, K :443 http://example.com localhost:8080* @, |/ @" b/ I0 c: l3 ?' w 127.0.0.1 [::1]:2015 example.com/foo/* *.example.com4 d; X, B8 e: @6 Q http:// 环境变量 Caddyfile 支持直接引用系统环境变量,通过此功能可以将一些敏感信息从配置文件中剔除: # 引用环境变量 GANDI_API_TOKENdns gandi {$GANDI_API_TOKEN} 配置片段参数支持 针对于配置片段,Caddyfile 还支持类似于函数代码的参数支持,通过参数支持可以让外部引用时动态修改配置信息: (LOG) {log {, R# i' B7 v7 \3 B format json { time_format "iso8601"5 [4 N0 H+ A: i }- q# k( Q1 r7 o/ ?; }- s; T # "{args.0}" 引用传入的第一个参数,此处用于动态传入日志文件名称 output file "{args.0}" { roll_size 100mb roll_keep 3 roll_keep_for 7d4 x/ F& o9 R" s/ E3 [2 H } } l8 H8 i. o& R& }& ]9 [2 u }" c& p5 f7 v: E" B- S # 引用片段 import LOG "/data/logs/mritd.com.log" 自动证书申请 在启动 Caddy2 之前,如果目标域名(例如: www.example.com)已经解析到了本机,那么 Caddy2 启动后会尝试自动通过 ACME HTTP 挑战申请证书;如果期望使用 DNS 的方式申请证书则需要其他 DNS 插件支持,比如上面编译的 --with github.com/caddy-dns/gandi 为 gandi 服务商的 DNS 插件;关于使用 DNS 挑战的配置编写方式需要具体去看其插件文档,目前 gandi 的配置如下: tls {8 _: N1 T7 ?1 z0 ^- E' udns gandi {env.GANDI_API_TOKEN}/ q0 A6 V; z9 K& r% D- I4 b- c& X } 配置完成后 Caddy2 会通过 ACME DNS 挑战申请证书,值得注意的是即使通过 DNS 申请证书默认也不会申请泛域名证书,如果想要调整这种细节配置请使用 json 配置或管理 API。 完整模块化配置样例了解了以上基础配置信息,我们就可以实际编写一个站点配置了;以下为本站的 Caddy 配置样例: 目录结构: caddy: N) v+ N" k- |" q: c├── Caddyfile ├── mritd.com.caddy( c1 F" l0 T. r) z# F% K6 ?# m └── mritd.me.caddy Caddyfile Caddyfile 主要包含一些通用的配置,并将其抽到配置片段中,类似于 nginx 的 nginx.conf 主配置;在最后部分通过 import 关键字引入其他具体站点配置,类似 nginx 的 vhost 配置。 (LOG) {log { # 日志格式参考 https://github.com/caddyserver/format-encoder 插件文档' P5 ^6 R! Y1 w2 N0 O0 g format formatted "[{ts}] {request>remote_addr} {request>proto} {request>method} <- {status} -> {request>host} {request>uri} {request>headers>User-Agent>[0]}" {) s* T+ J9 n3 e- {# t+ e time_format "iso8601"4 @7 j. f" T. Y! C- d/ Q5 g }: {% {" A5 B+ S1 ^6 A output file "{args.0}" {+ U0 V! w# B( n& d+ ?( J roll_size 100mb roll_keep 3# F0 I2 O% x( a* q roll_keep_for 7d2 R% ^! a# A3 P/ p: }% \: ] } }: e6 k5 w: G' S- u$ p3 A; C! j3 V }1 l N+ ]+ @* V% T4 x8 f 6 D! V, |5 K. L: Z7 w( I (TLS) { # TLS 配置采用 https://mozilla.github.io/server-side-tls/ssl-config-generator/ 生成,SSL Labs 评分 A+& T, @# ^; w- J# C/ A6 ` protocols tls1.2 tls1.3. B$ r% S, ?, p) Q3 D% t ciphers TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 } " s6 c* ~) i) `8 L' L (HSTS) {4 U$ p$ T5 t4 |. b5 e' d7 d # HSTS (63072000 seconds). m2 K# [: D# C& Y4 Y# S: R header / Strict-Transport-Security "max-age=63072000" N. B" q6 A+ q }, o& j0 m# R- w" g8 E* Q. r! t (ACME_GANDI) { # 从环境变量获取 GANDI_API_TOKEN dns gandi {$GANDI_API_TOKEN} } 0 x- F* t$ @* }+ l) f2 H # 聚合上面的配置片段为新的片段0 x/ ] Q; ?# i6 V/ g (COMMON_CONFIG) { # 压缩支持 encode zstd gzip" i; V) ^+ L4 V* r8 o2 h + Y- \& m% W5 E, ?( I # TLS 配置/ c6 Z" c' M' |5 O3 }0 u4 _ tls { import TLS import ACME_GANDI } # i7 F3 R* v: @ # HSTS import HSTS& d! _1 [4 d) ] } - G7 f5 n' |! ^ # 开启 HTTP3 实验性支持 { servers :443 {# ^2 C! u+ v& `& `) W4 j/ T protocol {/ C& H% a6 a1 Y- k6 v2 l. B# ` experimental_http3$ S8 Z' P0 h( L! l4 |8 z( t } [& H9 K& x# |8 s3 M } }$ N% W" W# k' @% \1 N * g: k, i2 o& X# S3 T # 引入其他具体的站点配置 import /etc/caddy/*.caddy1 N$ E" b( v( u: [ mritd.com.caddy mritd.com.caddy 为主站点配置,主站点配置内主要编写一些路由规则,TLS 等都从配置片段引入,这样可以保持统一。 www.mritd.com {+ r6 _. y2 `; f) ?+ Q u4 ~: F# 重定向到 mritd.com(默认 302)% I; w) q. |/ I% A$ N redir https://mritd.com{uri}! {8 ^- [+ O% ] s% ^% P# u # 日志" r& W0 [8 f7 F+ N& f import LOG "/data/logs/mritd.com.log" # TLS、HSTS、ACME 等通用配置8 Z8 R( K5 W& e" ~ import COMMON_CONFIG) _8 a8 r$ c$ b; `4 R } mritd.com { # 路由 route /* { reverse_proxy mritd_com:80; q A% |" J/ u$ S1 K6 d }% Y7 \) ?2 |- O( X2 i 7 D5 w: H) M+ y9 u) a$ c5 w$ _: c # 日志 import LOG "/data/logs/mritd.com.log" # TLS、HSTS、ACME 等通用配置 import COMMON_CONFIG } mritd.me.caddy mritd.me.caddy 为老站点配置,目前主要将其 301 到新站点即可。 www.mritd.me {# 重定向到 mritd.com" Y* r4 S0 P4 ?+ ~ V: ` # 最后的 "code" 支持三种参数 # temporary => 302; ?1 g4 b: [" S" f8 h- i # permanent => 301 # html => HTML document redirect redir https://mritd.com{uri} permanent9 s2 Y, w: N2 L; J& x/ E" V9 S # D2 A8 x5 I! X7 x; M1 c # 日志 import LOG "/data/logs/mritd.com.log"5 l( G) d& k/ i, V/ k 6 W" L# w& {1 L3 ], j8 X8 n: I # TLS、HSTS、ACME 等通用配置 import COMMON_CONFIG( l1 p0 w1 X3 a- g8 a4 N } mritd.me {9 d- e$ r$ V% u/ E6 Q # 重定向 redir https://mritd.com{uri} permanent/ O/ b; c, [! U) h4 d, l# w # G$ Q* W0 G/ a; f( e8 y # 日志 import LOG "/data/logs/mritd.com.log" L# Z, h2 [6 Y3 \ ^ # TLS、HSTS、ACME 等通用配置7 U) _9 ?8 N4 u# o, O8 N! v import COMMON_CONFIG } 启动与重载 配置文件编写完成后,通过 systemctl start caddy 可启动 caddy 服务器;每次配置修改后可以通过 systemctl reload caddy 进行配置重载,重载期间 caddy 不会重启(实际上调用 caddy reload 命令),当配置文件书写错误时,重载只会失败,不会影响正在运行的 caddy 服务器。 总结本文只是列举了一些简单的 Caddy 使用样例,在强大的插件配合下,Caddy 可以实现各种 “神奇” 的功能,这些功能依赖于复杂的 Caddy 配置,Caddy 配置需要仔细阅读官方文档,关于 Caddyfile 的每个配置段在文档中都有详细的描述。 值得一提的是 Caddy 本身内置了丰富的插件,例如内置 “file_server”、内置各种负载均衡策略等,这些插件组合在一起可以实现一些复杂的功能;Caddy 是采用 go 编写的,官方也给出了详细的开发文档,相较于 Nginx 来说通过 Lua 或者 C 来开发编写插件来说,Caddy 的插件开发上手要容易得多;Caddy 本身针对数据存储、动态后端、配置文件转换等都内置了扩展接口,这为有特定需求的扩展开发打下了良好基础。 最终总结,综合来看目前 Caddy2 的性能损失可接受的情况下,相较于 Nginx 绝对是个绝佳选择,各种新功能都能够满足现代化 Web 站点的需求,真香警告。 |