对Linux有所了解的同学都知道,一般用户是没有权限去监听1024以内的端口的。什么意思呢?举例来说,像下面这段代码:
require('http').createServer(function (req, res) {
// Server Logic Here
}).listen(80);
其目的是要启动一个http服务器并监听80端口。如果启动该process的用户非root用户,执行上述代码就会抛出类似下面的错误:
而且,我们一般部署应用都采用PM2 的cluster模式来启动我们的应用,这样能够利用它内置的负载均衡(这对单机多核CPU的情况下非常有好处),所以我们得要能够让PM2成功启动这类Node服务器应用。那么怎么办呢?解决这个问题,一般有以下几种主流办法:
- 直接采用root用户启动
- 通过libcap2-bin的setcap命令
- 采用iptables设置端口转发
对于#1种方法显而易见,不安全!#2种方法貌似对于node直接启动work,但是PM2最新版本(v0.9.2)在Node v0.10.29下没有办法work。#3种办法也是我个人比较喜欢的办法,就是利用iptables来设置将80端口的数据流和Node服务器监听的端口数据流进行互相转发。而且这种转发是直接网卡层面的(iptables本身工作在OSI七层模型中的2,3,4层)。什么意思呢?简单来说就是:既然普通用户无法监听1024以内的端口,那么就监听一个以外的端口比如:3003之类的,然后PM2直接启动这样的进程是毫无压力的,紧接着呢,设置iptables将80端口和3003端口之间建立映射,这样呢,用户访问80端口就等于在访问3003端口。就这么简单!
而且设置这样一条端口映射的规则也只需输入如下命令即可:
sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3003
关于命令具体啥意思,大家查查iptables的帮助文档就很容易理解了。好了,一切都正常work了。但是,慢着!还没完呢。这里有个问题就是:这样设置的iptables规则只写在内存中,换句话说机器一重启这条规则就木有了!那么怎么解决这个问题呢?
办法就是:把这条规则写在配置文件中,然后每次机器重启的时候去执行一次,把规则再次加到表中。具体步骤如下:
- 首先执行好此前那条端口转发命令
- 切换到root用户登录(ubuntu下执行su命令)(因为要保存配置到/etc目录下)
- 执行:iptables-save > /etc/iptables-rules。(支持ipv6就执行ip6tables-save)
- 最后,编辑/ect/network/interfaces文件,并在最后插入:pre-up iptables-restore < /etc/iptables-rules(这里目的就是在网卡激活前执行这条命令来使规则生效)
好了,到这里就大功告成了。这个时候你再重启试试,就自动做好端口映射了!
