FastAPI + NGINX + Gunicorn：了解如何部署强大的 Python Web 应用程序

1. 介绍

FastAPI到您的服务器是一项复杂的任务。如果 NGINX、Gunicorn、 和 ，你可能在浪费时间。 。如果您是 Python 新手或想要使用 Python 构建自己的 Web 应用程序，本文中的内容可以在初始设置期间节省您的时间。

FastAPI 是用于开发 API 应用程序的最流行的 Python 库之一。它以其卓越的性能和易用性而闻名。如果您正在将机器学习模型用于 Web 应用程序，那么它可能是您的首选工具。

NGINX、Gunicorn 和 Uvicorn 都是经过验证的技术，通常用作部署 Python Web 应用程序的反向代理和 ASGI 服务器。如果您了解 Django 或 Flask，您以前可能听说过其中的一些。

接下来，我将向您展示如何组合这些工具来部署 FastAPI Web 应用程序。要点如下：

• 介绍 FastAPI、NGINX、Gunicorn 和 Uvicorn 的基础知识。
• 将 Gunicorn + Uvicorn 配置为 ASGI 服务器。
• 将 NGINX 设置为反向代理。
• 使用 Let's Encrypt 创建免费的 SSL 证书。

2。技术框架简介

2.1、FastAPI

FastAPI是一个现代的高性能 Web 框架，用于在 Python 中构建 API，并且基于标准类型提示。

它具有以下主要特点：

• 高效运行：借助 Starlette 和 pydantic，FastAPI 提供了类似于 NodeJS 和 Go 的卓越性能。 FastAPI 比 Flask 快得多，它实际上是 Python 最快的 Web 框架之一。唯一比 FastAPI 更快的框架是 Starlette（FastAPI 实际上内置于 Starlette 中）。
• 快速开发：可以显着加快开发速度。
• 减少错误：减少人为错误的可能性。
• 直观且易于使用：支持强大的编辑功能、自动完成和更少的调试时间。
• 易于学习：设计简单明了，您可以花更少的时间阅读文档。
• 减少重复代码的数量：最大限度地减少代码重复。
• 感知且可靠：提供生产就绪代码和自动交互式文档生成。
• 基于标准化：遵循API、OpenAPI、JSON Schema等开放标准。

该框架旨在优化开发人员体验，使您能够使用干净的代码构建最佳实践的生产就绪 API。

2.2，Gunicorn

Gunicorn 是 Python 应用程序的 WSGI 服务器实现。

Gunicorn 是一个 WSGI 符合标准的 Web 服务器，用于接收消息的 Python 应用程序 ❀

Web 服务器 并将它们转发到 Python 应用程序或 。到 Web 框架（例如 Flask 或 Django），以针对请求执行适当的应用程序代码。

2.3，Uvicorn

与 Flask 框架不同，FastAPI 不包含内置的开发服务器。这就是为什么我们需要Uvicorn。它实现了 ASGI 标准并且速度快如闪电。 ASGI 代表异步服务器网关接口。

• Uvicorn 是 Python 的 ASGI Web 服务器实现。
• Uvicorn 目前支持 HTTP/1.1 和 WebSocket。

2.4，Nginx

Nginx是一个异步框架Web服务器，也可以用作反向代理、负载均衡器和HTTP缓存。该软件由 Igor Sysoev 创建，于 2004 年首次发布。2011 年成立了一家同名公司提供支持。 Nginx 是在类似 BSD 许可证下发布的免费开源软件。大量 Web 服务器使用 Nginx，通常作为负载均衡器。

Nginx 具有以下特点：

• 更快 ：单个请求得到更快的响应；在高并发环境下，Nginx比其他WEB服务器有更快的响应速度。
• 高可扩展性：Nginx基于模块化结构，由多个耦合度很低的模块组成，因此具有很高的可扩展性。许多高流量网站倾向于开发适合其业务特点的自定义模块。
• 高可靠性：Nginx的可靠性来自于其核心框架代码的优秀设计和模块设计的简单性。另外，官方提供的常用模块非常稳定，各个worker进程相对独立。当某个worker进程出现故障时，主进程可以快速启动新的worker子进程来提供服务。
• 低内存消耗：通常 10,000 个被动 HTTP Keep-Alive 连接仅消耗 5♿♿♿❓2 MB x 内存 Nginx 支持高并发基础连接;一台机器支持超过10万个同时连接：理论上，Nginx支持的同时连接数上限取决于内存，10万离上限还很远。
• 热部署：主进程和工作进程分离的设计使Nginx能够提供热部署功能，即在7x24小时不间断服务的框架内更新Nginx可执行文件。当然，它还支持在不停止服务的情况下更新配置项、更改日志文件等功能。
• 最宽松的BSD许可证：这是Nginx快速发展的强大动力。 BSD许可证不仅允许用户免费使用Nginx，还允许用户直接在自己的项目中使用或修改Nginx源代码然后发布。

3。服务器安全设置

如果您的应用程序部署在本地网络上，您可能暂时不需要关注这一点，但如果您的应用程序部署在云服务器或VPS上，请确保您的应用程序的安全。应用程序中，建议还是需要在服务器上进行一些必要的安全设置，以避免受到攻击。

3.1。启用自动更新

首先，确保您的服务器拥有最新的软件：

sudo apt update && sudo apt upgrade -y

以下是使用基于 Debian 的服务器时您会看到的常用命令：

1. 使用命令 sudo apt update 更新系统的包列表目录。
2. 使用命令sudo apt update -y将已安装的软件包更新到最新版本。使用标志 -y 跳过确认步骤并直接进行安装。

接下来，设置自动安全更新，这样您就不必手动执行更新。为此，您需要安装并启用 无人值守升级：

sudo apt install unattended-upgrades

安装完成后，编辑文件 /etc/apt/apt.conf.d/20。 并按照下面的配置进行配置：

APT::Periodic::Update-Package-Lists "1";  # 每天自动更新软件包列表
APT::Periodic::Unattended-Upgrade "1";    # 系统将自动升级到最新版本的软件包
APT::Periodic::AutocleanInterval "7";     # 每周运行一次自动清理操作，删除旧的和不必要的包文件

最后，编辑文件 /etc/apt/apt.conf.d/50unattended-upgrades 以确保系统在内核更新时自动重新启动需要：

Unattended-Upgrade::Automatic-Reboot "true";

完成上述步骤后，您的系统将自动运行安全更新，并在需要安装内核更新时重新启动。

3.2。创建非root用户

为了减少黑客攻击造成的损害，有必要创建非root用户。以下是创建非 root 用户并设置 SSH 密钥登录的一些命令：

• 创建新的非 root 用户：

sudo adduser fastapi-user # 将fastapi-user替换为您喜欢的用户名

• 将该用户添加到 sudo 组以获得管理权限：

sudo usermod -aG sudo fastapi-user # 将fastapi-user替换为您创建的用户名

• 使用新创建的用户登录到服务器：

su - fastapi-user # 使用新用户登录，将fastapi-user替换为您创建的用户名

• 使用 SSH 密钥设置身份验证：

如果您还没有 SSH 密钥，请在本地计算机上打开终端并运行以下命令（注意替换您的电子邮件）。 with- 将您的电子邮件替换为您的真实电子邮件）：

ssh-keygen -t ed25519 -C "your-email-replace-with-your-email"

这将生成 SSH 密钥。

复制 SSH 公钥并将其附加到远程服务器（注意，您的公钥必须替换为实际的公钥）：

echo "your-public-key-replace-with-your-public-key" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

• 禁用 root 用户登录和密码身份验证：

编辑 / etc/ssh/sshd_config 文件

具有 sudo 权限（例如使用 /shd/shd_config/sh/s 命令）。

将以下行的值更改为所示的值：

PermitRootLogin no
PasswordAuthentication no

这将禁用 root 登录和密码 SSH 身份验证。

• 保存并关闭文件后，重新启动 SSH 服务以使更改生效：

sudo service ssh restart

完成上述步骤后，使用新创建的非 root 用户和 SSH 密钥登录，并确保您已登录给主要用户。并且密码身份被禁用。

3.3。其他安全措施

大多数云服务提供商都提供防火墙服务。如果您的云服务提供商不提供防火墙服务，您可以手动配置防火墙，将传入流量限制为仅流入必要的端口，例如80、443和22。

或者，您可以安装和配置 fail2ban 以防止暴力身份验证攻击。 Fail2ban 是一个保护 Linux 服务器免受恶意登录尝试的工具。它监控系统日志文件并根据设定的规则自动禁止源 IP 地址。

如果您想了解有关保护 Linux 服务器的最佳实践的更多信息，请查看此 Linode 指南。这些指南为您提供有关配置和提高服务器安全性的详细信息。 ？用于类 Unix 操作系统（包括 Linux）的进程控制系统，用于监视和管理程序进程。 NGINX 是一种常用的多用途软件，通常用作部署 Web 应用程序的反向代理。

4.3。启用并启动 Supervisor：

sudo apt install unattended-upgrades

使用 enable 命令确保 Supervisor 在启动时自动启动，并使用 start 命令立即启动

git clone https://github.com/dylanjcastillo/fastapi-nginx-gunicorn

cd /home/fastapi-user/fastapi-nginx-gunicorn
python3.11 -m venv .venv
source .venv/bin/activate

chmod u+x gunicorn_start

mkdir logs

[program:fastapi-app]
command=/home/fastapi-user/fastapi-nginx-gunicorn/gunicorn_start
user=fastapi-user
autostart=true
autorestart=true
redirect_stderr=true
stdout_logfile=/home/fastapi-user/fastapi-nginx-gunicorn/logs/gunicorn-error.log

sudo supervisorctl reread
sudo supervisorctl update

sudo supervisorctl status fastapi-app

如果一切顺利，fastapi-app 服务的状态应显示为 RUNNING。

curl --unix-socket /home/fastapi-user/fastapi-nginx-gunicorn/run/gunicorn.sock localhost

{"message":"It's working!"

sudo supervisorctl restart fastapi-app

sudo vim /etc/nginx/sites-available/fastapi-app

sudo ln -s /etc/nginx/sites-available/fastapi-app /etc/nginx/sites-enabled/

{"message":"It's working!"}

sudo usermod -aG fastapi-user www-data

sudo apt install snapd

sudo snap install core; sudo snap refresh core

sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

sudo certbot --nginx

sudo certbot renew --dry-run