这篇教程适合谁?—— 你大概懂一点命令行,但从没在生产环境部署过 Node 项目
最终目标:把你的 NestJS / Express 后端安全跑在 Windows 服务器上,并且用 HTTPS 对外提供服务

📖 先说说我为什么要搞这件事

最近我“Vibe Coding”了一个小网站,技术栈如下:

  • 前端:Next.js 16 (App Router) + Tailwind CSS v4 + shadcn/ui
  • 后端:NestJS (Node.js)
  • 数据库:Supabase PostgreSQL

一开始我想着:全部扔到 Vercel 上不就完事了?毕竟 Vercel 对 Next.js 太友好了,一键部署,自动给 HTTPS,爽得很。

结果很快就被打脸了:Vercel 其实不适合部署 Node.js 后端
它虽然有 Serverless Functions,但限制一大堆(响应时间、包大小、WebSocket 支持……),我这个 NestJS 项目体积不小,还用了不少传统的 Node 库,硬塞进去就是自找麻烦。

所以只能把后端单独部署出来。正好手里有一台阿里云的 Windows Server(上面已经跑着一些 .NET 站点),而且我本人从来没在生产环境部署过 Node 项目——这是纯纯的第一次实操,踩了无数坑。

于是我把整个折腾过程记了下来,整理成这篇小白照着做就能成功的教程。
如果你也跟我一样,想把一个真实的 Node 后端扔到自己的 Windows 云服务器上,那这篇文章就是为你写的。

🧰 你需要提前准备好这些东西

  • 一台 Windows Server(2016 / 2019 / 2022 都行),要有管理员权限
  • 你的后端项目代码(我用的是 NestJS,但 Express 之类的也一样)
  • 一个域名(后面要配 HTTPS 用)
  • 阿里云 / 腾讯云 / 其他云厂商的免费 SSL 证书(或者你知道怎么用 Let's Encrypt 也行)

一、装好基础环境

1. 装 Node.js

  1. 打开官网:https://nodejs.org/

Nodejs官网截图

  1. 下载 LTS 版本(比如 22.x)的 .msi 安装包
  2. 双击安装,一路点“下一步”,不要乱改安装路径(默认装在 C:\Program Files\nodejs
  3. 装完之后,以管理员身份打开 PowerShell,敲下面两行检查一下:
node -v   # 应该显示 v22.x.x
npm -v    # 应该显示 10.x.x 或更高

powershell 查看node和npm版本

2. 装 PM2(进程守护工具)

PM2 的作用就是让你的 Node 程序在后台跑着,挂了能自动重启,服务器重启了也能自己起来。

npm install -g pm2
npm install -g pm2-windows-startup
pm2-startup install

这三条命令分别是:装 PM2 → 装 Windows 开机自启插件 → 把 PM2 注册成系统服务。搞定之后,重启服务器也不用怕了。

二、把项目代码弄到服务器上

1. 创建目录

mkdir C:\wwwroot\my-node-project
cd C:\wwwroot\my-node-project

2. 上传或克隆代码

  • 方法一(推荐):用 Git 直接拉下来
git clone https://github.com/你的用户名/你的仓库.git .
  • 方法二:用远程桌面或者 FTP 把文件夹整个复制进去

3. 重要安全提醒:检查 .gitignore

确保你的项目根目录或 backend 目录下有一个 .gitignore 文件,里面至少包含:

node_modules/
dist/
.env
*.log

如果你的 .env 文件已经被提交到 Git 了,赶紧把它从版本控制里移除(但本地文件要保留):

git rm --cached .env
git commit -m "remove env from git"

⚠️ .env 里存着数据库密码、JWT 密钥这些敏感信息,死活不能上传到 Git,记住了嗷。

三、装依赖 + 构建项目

1. 进入后端目录(如果你的前后端是分开的)

cd C:\wwwroot\my-node-project\backend   # 根据你的实际路径来

2. 装依赖

npm install

这个过程可能会花几分钟,耐心等一等。

3. 配置生产环境变量

backend 目录下创建 .env 文件(如果没有的话):

New-Item -Path .env -ItemType File

然后用记事本或 VS Code 打开 .env,写上类似下面的内容(按你自己的项目来):

PORT=3000
JWT_SECRET=一定改成一个超长的随机字符串
DATABASE_URL=你的数据库连接地址

🔐 想生成一个随机 JWT_SECRET?在 PowerShell 里直接跑这条命令:

-join ((48..57)+(65..90)+(97..122) | Get-Random -Count 64 | ForEach-Object {[char]$_})

4. 构建项目(这一步容易踩坑 ⚠️)

大部分 Node 项目(尤其是 NestJS)需要把 TypeScript 编译成 JavaScript。

通常的命令是:

npm run build

但是:如果你的项目用了 module: "nodenext" 这种配置,直接跑 nest build 可能会失败,导致 dist 目录是空的。

解决办法(以 NestJS 为例):

打开 package.json,找到 "build" 脚本,把:

"build": "nest build"

改成:

"build": "tsc -p tsconfig.build.json"

如果你不是 NestJS,而是普通的 TypeScript + Node,那构建命令一般就是 tsc 或者 tsc --project tsconfig.json

改完之后,重新跑一遍构建:

npm run build

检查一下编译产物

Test-Path dist/main.js   # 或者 dist/src/main.js(看你的配置)

如果返回 True,说明编译成功了。

💡 实在不行,你也可以在本地编译好了,把整个 dist 文件夹直接上传到服务器,跳过服务器上编译这一步。

四、用 PM2 启动后端

1. 写 PM2 配置文件

在项目的根目录(比如 C:\wwwroot\my-node-project)下新建一个文件,叫 ecosystem.config.js,内容如下:

module.exports = {
  apps: [
    {
      name: 'my-node-backend',          // 给你的应用起个好认的名字
      cwd: './backend',                 // 入口文件在哪个目录(按你实际的改)
      script: 'dist/main.js',           // 编译后的入口文件
      instances: 1,
      autorestart: true,
      watch: false,
      max_memory_restart: '500M',
      env: {
        NODE_ENV: 'production',
        PORT: 3000,
      },
      error_file: './logs/backend-error.log',
      out_file: './logs/backend-out.log',
      log_date_format: 'YYYY-MM-DD HH:mm:ss',
    },
  ],
};

📁 别忘了先创建 logs 文件夹: mkdir C:\wwwroot\my-node-project\backend\logs

2. 启动应用

cd C:\wwwroot\my-node-project
pm2 start ecosystem.config.js
pm2 save

3. 看看到底跑起来没有

pm2 status

你应该会看到类似这样的输出:

pm2 status 状态截图

只要 statusonline,就说明成了。

4. 本地测试一下接口

curl http://localhost:3000/api/health   # 换成你项目里真实存在的接口

如果返回了数据(哪怕是 401 未授权也没关系,起码说明服务在跑),就恭喜你,Node 程序已经在后台欢快地工作了。

五、配置 HTTPS 反向代理(用 Caddy)

为啥要搞这个?

因为你的前端(比如部署在 Vercel)强制用了 HTTPS,而浏览器有个安全策略:HTTPS 页面不能去请求 HTTP 接口,否则会报 Mixed Content 错误。
所以你的后端也必须通过 HTTPS 对外暴露。

但是:你服务器上可能已经有 IIS 或者其他服务占用了 80 和 443 端口。
所以我们换个思路:用 Caddy 监听一个高位端口(比如 8443),手动挂上 SSL 证书,这样就不会跟 IIS 打架了。

1. 下载 Caddy

在 PowerShell 里执行:

Invoke-WebRequest -Uri "https://github.com/caddyserver/caddy/releases/download/v2.9.1/caddy_2.9.1_windows_amd64.zip" -OutFile "$env:TEMP\caddy.zip"
New-Item -Path "C:\caddy" -ItemType Directory -Force
Expand-Archive "$env:TEMP\caddy.zip" -DestinationPath "C:\caddy" -Force

2. 搞一张免费 SSL 证书(以阿里云为例)

  1. 登录阿里云控制台,搜索“SSL 证书”
  2. 点“免费证书” → “立即购买”(0 元)
  3. 选“DV 单域名证书”,证书绑定的域名写你的 API 域名,比如 api.yourdomain.com
  4. 验证方式选 DNS(如果你的域名也在阿里云,它会自动帮你添加 TXT 记录)
  5. 签发成功后下载证书,格式选 Nginx
  6. 你会得到两个文件:.pem(证书)和 .key(私钥)

把这两个文件放到 C:\caddy\ 目录下,像这样:

C:\caddy\api.yourdomain.com.pem
C:\caddy\api.yourdomain.com.key

3. 配置 DNS 解析

去你的域名管理后台,加一条 A 记录

主机记录 记录类型 记录值
api A 你服务器的公网 IP

等几分钟让解析生效,可以用这条命令验证:

Resolve-DnsName api.yourdomain.com

应该会返回你的公网 IP。

4. 写 Caddyfile

C:\caddy\ 目录下新建一个文件,就叫 Caddyfile(没有扩展名),内容如下:

{
    auto_https off
}

api.yourdomain.com:8443 {
    tls C:\caddy\api.yourdomain.com.pem C:\caddy\api.yourdomain.com.key
    reverse_proxy localhost:3000
}

⚠️ 这一行的 auto_https off 千万不能少,不然 Caddy 会试图去占 80 端口做自动重定向,然后就报错了。

Caddy文件目录展示截图

5. 测试一下 Caddy 能不能跑

cd C:\caddy
.\caddy.exe run --config Caddyfile --resume=false

如果你看到了 server running 并且没有报错,那就成功了。按 Ctrl+C 先停掉。

6. 让 Caddy 开机自启(用任务计划)

关掉刚才的 Caddy 窗口,然后以管理员身份打开 PowerShell,执行下面这一大坨命令:

$action = New-ScheduledTaskAction `
    -Execute "C:\caddy\caddy.exe" `
    -Argument "run --config C:\caddy\Caddyfile" `
    -WorkingDirectory "C:\caddy"

$trigger = New-ScheduledTaskTrigger -AtStartup

$settings = New-ScheduledTaskSettingsSet `
    -AllowStartIfOnBatteries `
    -DontStopIfGoingOnBatteries `
    -StartWhenAvailable `
    -RestartCount 5 `
    -RestartInterval (New-TimeSpan -Minutes 1)

Register-ScheduledTask `
    -TaskName "Caddy-API-Proxy" `
    -Action $action `
    -Trigger $trigger `
    -Settings $settings `
    -RunLevel Highest `
    -Force

Start-ScheduledTask -TaskName "Caddy-API-Proxy"

检查一下 8443 端口是不是已经在监听了:

netstat -ano | findstr :8443

应该会显示 LISTENING

7. 开放防火墙端口

netsh advfirewall firewall add rule name="Allow HTTPS 8443" dir=in action=allow protocol=TCP localport=8443

另外,如果你的云服务器还有安全组(阿里云叫安全组规则),也要去控制台添加入方向规则:允许 TCP 8443。

8. 测试 HTTPS 接口

打开浏览器,或者直接敲命令:

curl https://api.yourdomain.com:8443/api/health

如果能返回数据(哪怕是 401),就说明 HTTPS 反向代理大功告成了。

六、日常更新代码的流程

以后每次改了代码,在服务器上走这几步:

cd C:\wwwroot\my-node-project
git pull

cd backend
npm install               # 如果有新依赖就装一下
npm run build             # 重新编译

pm2 restart my-node-backend
pm2 logs my-node-backend  # 看一眼启动日志,确认没报错

七、常见翻车现场 & 解决办法

现象 可能原因 怎么办
PM2 状态是 errored 入口文件路径不对,或者依赖没装全 检查 ecosystem.config.js 里的 script 路径;手动 node dist/main.js 看看报什么错
curl localhost:3000 没反应 Node 没启动,或者端口被占 netstat -ano \| findstr :3000 看端口;pm2 logs 看日志
Caddy 启动报 80 端口错误 忘了加 auto_https off 检查 Caddyfile 第一行
浏览器提示“连接不安全” 证书域名不匹配,或者证书过期 重新申请证书,确认 Caddyfile 里的域名跟证书域名完全一样
前端调用接口报 CORS 错误 后端的 .env 没配允许的前端域名 加上 CORS_ORIGIN=https://你的前端域名,然后 pm2 restart
改了 .env 但没生效 PM2 没重启,环境变量没重新读 pm2 restart my-node-backend 就好了

八、你成功完成了这些事

  • ✅ 装了 Node.js 和 PM2
  • ✅ 把代码弄到服务器上,装了依赖
  • ✅ 解决了 TypeScript 编译的小坑
  • ✅ 用 PM2 把 Node 进程守护起来,还能开机自启
  • ✅ 用 Caddy + 免费 SSL 证书 搞定了 HTTPS 反向代理
  • ✅ 开了防火墙端口,配置了开机启动任务

现在你的 Node.js 后端已经安安稳稳地跑在生产环境,可以通过 https://api.yourdomain.com:8443 对外提供服务了。

📌 最后再啰嗦几句:

  • 定期(比如每个月)登录阿里云控制台,瞅一眼 SSL 证书过期了没,快到期的重新申请替换一下
  • 每天有空就 pm2 logs --lines 50 看看有没有报错
  • 永远、永远不要把 .env 文件发给任何人,也不要传到 Git 上去

祝你部署顺顺利利,永不宕机!