文档目录

• 坦克AW介绍

---

• 开始使用

---

• 下载

---

• 配置

---

• ACME证书签发

---

• 内网穿透

---

• 生产环境配置文件

---

• 网站虚拟机

网站虚拟机

虚拟机是坦克AW支持的重要功能之一，目前只支持HTTP代理，和FastCGI代理（测试）。HTTP代理是处理后端HTTP服务的。FastCGI代理则代理FastCGI协议的后端应用，FastCGI代理是测试中的功能，需要经过长时间检验才稳定。

虚拟机配置文件test.shos.tconf，内容如下：

，,=《{》}#“"”"

域名=「test.shos」
端口=80

访问控制=访问控制一

# 默认页面，直接输入域名而没有指定文件名的时候，会显示默认页面
默认页=「index.php」

# 如果应用包含动态脚本，则需要设置应用目录，比如PHP。
！程序目录=/home/jgan/applications/php

# 如果你使用http访问这个域名，会跳转到https安全协议。如果你需要这个功能，在下面这行文字删除！号。
!重定向到HTTPS

# 坦克AW 开启 https 访问需要把前面的 ！ 删除。删除后就可以通过 https 服务虚拟机。证书保存在《生产环境.tconf》配置文件的 虚拟机《HTTPS证书目录》指定的目录里面。如果你不需要这个 https 功能，可以在下面这行添加一个！号注释它。
# 即使删除！号，只表示这个虚拟机支持 https 协议，但它还没有证书。如果需要证书，还需要签发证书，签发证书证书有两种方式：第一种是 自己签发证书 ； 第二种是： 自动签发证书。
!HTTPS证书《
    # 支持自己签发HTTPS证书，这个证书的CA根证书也是软件自己签发，如果你的项目必须使用https访问，但是又没有https证书，可以使用自己签发的https证书作为临时解决方案。自己签发的https证书由于没有得到第三方认同，它是有局限性的，并不能满足所有功能，但其可以提高一定程度的安全性。如果需要使用这个功能，把下面这行文字的！号删除。自签证书保存在《生产环境.tconf》配置文件的 虚拟机《HTTPS证书目录》指定的目录。

    # 自己签发的证书，不受浏览器承认，浏览器会提示证书不信任。
    !自己签发证书

    # 注册邮箱用于接收 HTTPS证书 相关通知，比如：过期通知、更新通知等。
    自动签发证书注册邮箱=xxx@xxx.xx

    # 自动签发证书使用 ACME 协议自动获取证书，获取证书的方式有：
    # 1. DNS 认证方式
    #       1.1 DNS供应商 AWS Route53 
    ！自动签发证书《
        区域="xxx"
        访问ID="xxx"
        访问密钥="xxx"
    》

    # 证书目录默认等于《生产环境.tconf》配置文件的 虚拟机《HTTPS证书目录》。如果需要自己设置，可以删除前面的！号，然后配置自己HTTPS证书路径。注意：如果你使用自签功能，则自签证书保存在《生产环境.tconf》配置文件的 虚拟机《HTTPS证书目录》指定的目录。
    # 如果你使用第三方CA机构的https证书，一种推荐的做法是把自签功能关闭，先在《生产环境.tconf》配置文件的 虚拟机《HTTPS证书目录》里面创建一个与域名一样的文件夹，然后把你的https证书复制到域名文件夹里面。然后在下面配置。

    !证书=虚拟机/HTTPS证书/你的证书目录/你的证书
    !私钥=虚拟机/HTTPS证书/你的证书目录/你的证书key
》

！后端服务器代理《
    瞄准路径=/
    
    # 后端地址支持两种类型
    #   fcgi://     表示后端是FastCGI接口后端，比如 PHP 程序。
    #   http://     表示是http协议后端，比如普通 web 程序。
    后端地址=http://127.0.0.1:4000

    # 代理文件扩展名，不用加点。* （星号表示所有类型的文件）目前支持：
    #       php
    只代理文件类型=「php」
》

参数解释

域名为这个网站（虚拟机）指定一个域名，坦克AW就是根据域名与端口做路由决策的，正确的路由可以让数据流流到正确的后端服务。 目前坦克AW只有配置了域名才可以路由，这个域名分配可以利用坦克NS实现。

端口为这个网站（虚拟机）指定一个端口，坦克AW就是根据域名与端口做路由决策的。

域名与端口两者不可以完全相同的，两个虚拟机的域名相同，如果要正确路由到不同的后端，就必须依赖端口做决择（也就是说端口必须不同），防止路由混乱。

访问控制（虚拟机配置文件会套用生产环境的配置文件），是为虚拟机添加入口认证，通过认证的用户才开放与后端服务通信。虚拟机配置文件的访问控制配置会套用生产环境的访问控制部件部件，因为是部件，所以只需要在生产环境配置好，就可以在任何一个虚拟机配置文件套用这个部件。生产环境配置文件在本教程的附录可以查看。

程序目录，可以指定静态文件通过HTTP服务访问（比如：静态网站）。指定这个目录并开启（删除前面的叹号表示启用，添加叹号表示禁用）。当启用后，HTTP代理将不起作用，但FastCGI代理仍然需要指定这个目录，这是FastCGI协议规定的。目前不理解FastCGI协议也不重要，用到的时候才需要理解。

重定向到HTTPS，可以让浏览器访问网站的时候，自动从HTTP协议切换到HTTPS协议。

HTTPS证书，Https证书是网站安全的重要技术之一，证书可以保证你访问的网站是一个可以信任的网站，同时网站传输的数据通过证书进行加密，证书由第三方根证书组织签发给网站管理技术人员，技术人员把证书放到指定的目录并在虚拟机正确配置，那么网站就可以在路由的时候正确加载这个证书。证书配置是一个虚拟机配置子配置集合：

自己签发证书，一种为开发环境准备的签发证书的方式，启用这个功能后，那么自动生成的证书会保存到证书和私钥这两个路径里面。如果启用这个功能，在这个子集里面就不用配置其他选项了。

自动签发证书注册邮箱和自动签发证书，这两个参数是一起配置的，自动签发证书通过一种ACME协议向支持ACME服务的第三方根证书机构申请一个3个月的HTTPS证书，ACME协议最初由Let’s Encrypt开发（推荐使用AI工具提问更多信息）。这种短期证书需要在到期前重新申请（续约）才可以保证网站持续安全。自动签发证书注册邮箱是用于接收通知的，比如证书准备到期，根证书机构（CA）会通过这个Email给你发送通知。自动签发证书则是域名注册商提供的API接口，访问这个接口需要ID和密码参数等信息。用于认证这个域名是否属于你的。ACME签发的证书也保存在证书和私钥这两个路径里面。

证书和私钥，这两个路径是保存证书或私钥的路径，如果启用，这个参数会覆盖生产环境配置文件的虚拟机《HTTPS证书目录，默认是关闭的，即使用生产环境配置文件的目录作为保存目录。这个配置是为特别需要而设计的。

后端服务器代理，是虚拟机代理后端的配置子集，如果不是提供静态文件访问，这个就是必须配置的了。

瞄准路径，就是域名后面的路径，如果无特别需要，一般是根路径，即/。可以指定某个路径匹配后才路由到后端，比如/user。这时，只有访问http://test.shos/user才会请求后端地址选项里面指定的后端。

后端地址，后端地址是后端进程的真实地址，后端地址支持两种代理协议，一种是HTTP协议，一种是FastCGI协议。

只代理文件类型，只有访问特定的文件才把数据转发到后端，如果是HTTP协议，是*号，如果是FastCGI协议，则支持php，可以指定多种扩展名，扩展名之间使用逗号分开。