这篇教程适合谁?—— 你大概懂一点命令行,但从没在生产环境部署过 Node 项目
最终目标:把你的 NestJS / Express 后端安全跑在 Windows 服务器上,并且用 HTTPS 对外提供服务
大家好,我是码农刚子。最近我“Vibe Coding”了一个小网站,技术栈如下:
一开始我想着:全部扔到 Vercel 上不就完事了?毕竟 Vercel 对 Next.js 太友好了,一键部署,自动给 HTTPS,爽得很。
结果很快就被打脸了:Vercel 其实不适合部署 Node.js 后端。
它虽然有 Serverless Functions,但限制一大堆(响应时间、包大小、WebSocket 支持……),我这个 NestJS 项目体积不小,还用了不少传统的 Node 库,硬塞进去就是自找麻烦。
所以只能把后端单独部署出来。正好手里有一台阿里云的 Windows Server(上面已经跑着一些 .NET 站点),而且我本人从来没在生产环境部署过 Node 项目——这是纯纯的第一次实操,踩了无数坑。
于是我把整个折腾过程记了下来,整理成这篇小白照着做就能成功的教程。
如果你也跟我一样,想把一个真实的 Node 后端扔到自己的 Windows 云服务器上,那这篇文章就是为你写的。
.msi 安装包C:\Program Files\nodejs)node -v # 应该显示 v22.x.x
npm -v # 应该显示 10.x.x 或更高
PM2 的作用就是让你的 Node 程序在后台跑着,挂了能自动重启,服务器重启了也能自己起来。
npm install -g pm2
npm install -g pm2-windows-startup
pm2-startup install
这三条命令分别是:装 PM2 → 装 Windows 开机自启插件 → 把 PM2 注册成系统服务。搞定之后,重启服务器也不用怕了。
mkdir C:\wwwroot\my-node-project
cd C:\wwwroot\my-node-project
git clone https://github.com/你的用户名/你的仓库.git .
.gitignore确保你的项目根目录或 backend 目录下有一个 .gitignore 文件,里面至少包含:
node_modules/
dist/
.env
*.log
如果你的 .env 文件已经被提交到 Git 了,赶紧把它从版本控制里移除(但本地文件要保留):
git rm --cached .env
git commit -m "remove env from git"
⚠️
.env里存着数据库密码、JWT 密钥这些敏感信息,死活不能上传到 Git,记住了嗷。
cd C:\wwwroot\my-node-project\backend # 根据你的实际路径来
npm install
这个过程可能会花几分钟,耐心等一等。
在 backend 目录下创建 .env 文件(如果没有的话):
New-Item -Path .env -ItemType File
然后用记事本或 VS Code 打开 .env,写上类似下面的内容(按你自己的项目来):
PORT=3000
JWT_SECRET=一定改成一个超长的随机字符串
DATABASE_URL=你的数据库连接地址
🔐 想生成一个随机 JWT_SECRET?在 PowerShell 里直接跑这条命令:
-join ((48..57)+(65..90)+(97..122) | Get-Random -Count 64 | ForEach-Object {[char]$_})
大部分 Node 项目(尤其是 NestJS)需要把 TypeScript 编译成 JavaScript。
通常的命令是:
npm run build
但是:如果你的项目用了 module: "nodenext" 这种配置,直接跑 nest build 可能会失败,导致 dist 目录是空的。
解决办法(以 NestJS 为例):
打开 package.json,找到 "build" 脚本,把:
"build": "nest build"
改成:
"build": "tsc -p tsconfig.build.json"
如果你不是 NestJS,而是普通的 TypeScript + Node,那构建命令一般就是
tsc或者tsc --project tsconfig.json。
改完之后,重新跑一遍构建:
npm run build
检查一下编译产物:
Test-Path dist/main.js # 或者 dist/src/main.js(看你的配置)
如果返回 True,说明编译成功了。
💡 实在不行,你也可以在本地编译好了,把整个
dist文件夹直接上传到服务器,跳过服务器上编译这一步。
在项目的根目录(比如 C:\wwwroot\my-node-project)下新建一个文件,叫 ecosystem.config.js,内容如下:
module.exports = {
apps: [
{
name: 'my-node-backend', // 给你的应用起个好认的名字
cwd: './backend', // 入口文件在哪个目录(按你实际的改)
script: 'dist/main.js', // 编译后的入口文件
instances: 1,
autorestart: true,
watch: false,
max_memory_restart: '500M',
env: {
NODE_ENV: 'production',
PORT: 3000,
},
error_file: './logs/backend-error.log',
out_file: './logs/backend-out.log',
log_date_format: 'YYYY-MM-DD HH:mm:ss',
},
],
};
📁 别忘了先创建
logs文件夹:mkdir C:\wwwroot\my-node-project\backend\logs
cd C:\wwwroot\my-node-project
pm2 start ecosystem.config.js
pm2 save
pm2 status
你应该会看到类似这样的输出:
只要 status 是 online,就说明成了。
curl http://localhost:3000/api/health # 换成你项目里真实存在的接口
如果返回了数据(哪怕是 401 未授权也没关系,起码说明服务在跑),就恭喜你,Node 程序已经在后台欢快地工作了。
因为你的前端(比如部署在 Vercel)强制用了 HTTPS,而浏览器有个安全策略:HTTPS 页面不能去请求 HTTP 接口,否则会报 Mixed Content 错误。
所以你的后端也必须通过 HTTPS 对外暴露。
但是:你服务器上可能已经有 IIS 或者其他服务占用了 80 和 443 端口。
所以我们换个思路:用 Caddy 监听一个高位端口(比如 8443),手动挂上 SSL 证书,这样就不会跟 IIS 打架了。
在 PowerShell 里执行:
Invoke-WebRequest -Uri "https://github.com/caddyserver/caddy/releases/download/v2.9.1/caddy_2.9.1_windows_amd64.zip" -OutFile "$env:TEMP\caddy.zip"
New-Item -Path "C:\caddy" -ItemType Directory -Force
Expand-Archive "$env:TEMP\caddy.zip" -DestinationPath "C:\caddy" -Force
api.yourdomain.com.pem(证书)和 .key(私钥)把这两个文件放到 C:\caddy\ 目录下,像这样:
C:\caddy\api.yourdomain.com.pem
C:\caddy\api.yourdomain.com.key
去你的域名管理后台,加一条 A 记录:
| 主机记录 | 记录类型 | 记录值 |
|---|---|---|
api |
A | 你服务器的公网 IP |
等几分钟让解析生效,可以用这条命令验证:
Resolve-DnsName api.yourdomain.com
应该会返回你的公网 IP。
在 C:\caddy\ 目录下新建一个文件,就叫 Caddyfile(没有扩展名),内容如下:
{
auto_https off
}
api.yourdomain.com:8443 {
tls C:\caddy\api.yourdomain.com.pem C:\caddy\api.yourdomain.com.key
reverse_proxy localhost:3000
}
⚠️ 这一行的
auto_https off千万不能少,不然 Caddy 会试图去占 80 端口做自动重定向,然后就报错了。
cd C:\caddy
.\caddy.exe run --config Caddyfile --resume=false
如果你看到了 server running 并且没有报错,那就成功了。按 Ctrl+C 先停掉。
关掉刚才的 Caddy 窗口,然后以管理员身份打开 PowerShell,执行下面这一大坨命令:
$action = New-ScheduledTaskAction `
-Execute "C:\caddy\caddy.exe" `
-Argument "run --config C:\caddy\Caddyfile" `
-WorkingDirectory "C:\caddy"
$trigger = New-ScheduledTaskTrigger -AtStartup
$settings = New-ScheduledTaskSettingsSet `
-AllowStartIfOnBatteries `
-DontStopIfGoingOnBatteries `
-StartWhenAvailable `
-RestartCount 5 `
-RestartInterval (New-TimeSpan -Minutes 1)
Register-ScheduledTask `
-TaskName "Caddy-API-Proxy" `
-Action $action `
-Trigger $trigger `
-Settings $settings `
-RunLevel Highest `
-Force
Start-ScheduledTask -TaskName "Caddy-API-Proxy"
检查一下 8443 端口是不是已经在监听了:
netstat -ano | findstr :8443
应该会显示 LISTENING。
netsh advfirewall firewall add rule name="Allow HTTPS 8443" dir=in action=allow protocol=TCP localport=8443
另外,如果你的云服务器还有安全组(阿里云叫安全组规则),也要去控制台添加入方向规则:允许 TCP 8443。
打开浏览器,或者直接敲命令:
curl https://api.yourdomain.com:8443/api/health
如果能返回数据(哪怕是 401),就说明 HTTPS 反向代理大功告成了。
以后每次改了代码,在服务器上走这几步:
cd C:\wwwroot\my-node-project
git pull
cd backend
npm install # 如果有新依赖就装一下
npm run build # 重新编译
pm2 restart my-node-backend
pm2 logs my-node-backend # 看一眼启动日志,确认没报错
| 现象 | 可能原因 | 怎么办 |
|---|---|---|
PM2 状态是 errored |
入口文件路径不对,或者依赖没装全 | 检查 ecosystem.config.js 里的 script 路径;手动 node dist/main.js 看看报什么错 |
curl localhost:3000 没反应 |
Node 没启动,或者端口被占 | netstat -ano \| findstr :3000 看端口;pm2 logs 看日志 |
| Caddy 启动报 80 端口错误 | 忘了加 auto_https off |
检查 Caddyfile 第一行 |
| 浏览器提示“连接不安全” | 证书域名不匹配,或者证书过期 | 重新申请证书,确认 Caddyfile 里的域名跟证书域名完全一样 |
| 前端调用接口报 CORS 错误 | 后端的 .env 没配允许的前端域名 |
加上 CORS_ORIGIN=https://你的前端域名,然后 pm2 restart |
改了 .env 但没生效 |
PM2 没重启,环境变量没重新读 | pm2 restart my-node-backend 就好了 |
现在你的 Node.js 后端已经安安稳稳地跑在生产环境,可以通过 https://api.yourdomain.com:8443 对外提供服务了。
📌 最后再啰嗦几句:
- 定期(比如每个月)登录阿里云控制台,瞅一眼 SSL 证书过期了没,快到期的重新申请替换一下
- 每天有空就
pm2 logs --lines 50看看有没有报错- 永远、永远不要把
.env文件发给任何人,也不要传到 Git 上去
我是码农刚子,一个专注C#/.NET开发的程序员。祝你部署顺顺利利,永不宕机!如果觉得本文对你有帮助,欢迎点赞、收藏、转发!
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。