核心概念:什么是它们?
可以把 IIS 服务器想象成一个大型办公楼。
(图片来源网络,侵删)
网站
网站就是你办公楼里的“公司”或“店铺”。
- 定义:网站是 IIS 中提供 Web 内容(如 HTML 页面、CSS、JavaScript、图片、API 服务等)的基本单位,它包含了如何访问这些内容的配置信息。
- 关键属性:
- 绑定:决定了客户如何找到你的“公司”,就像公司的地址一样。
- IP 地址:服务器上的哪个 IP 地址(
168.1.100)。 - 端口:通过哪个门进入(
80用于 HTTP,443用于 HTTPS)。 - 主机名:公司的名字是什么(
www.mycompany.com或localhost),这是实现虚拟主机(一台服务器托管多个域名)的关键。
- IP 地址:服务器上的哪个 IP 地址(
- 物理路径:存放该公司所有文件和资产的地方(
C:\inetpub\wwwroot\MyCompany)。 - 默认文档:当客户访问
www.mycompany.com时,默认打开哪个文件(index.html,default.aspx)。
- 绑定:决定了客户如何找到你的“公司”,就像公司的地址一样。
网站负责“接收”来自用户的 HTTP/HTTPS 请求。
应用程序池
应用程序池就是为每个“公司”专门配备的“独立办公室”或“独立工作区”。
- 定义:应用程序池是一组一个或多个网站(或 Web 应用)的集合,这些网站共享一组工作进程 的配置,工作进程(
w3wp.exe)是真正执行你的网站代码(如 ASP.NET, PHP, Node.js 等)的进程。 - 核心作用:隔离与安全
- 进程隔离:这是最重要的功能,每个应用程序池都在一个独立的
w3wp.exe进程中运行,这意味着:- A网站的崩溃不会影响B网站:公司A”(网站A)的程序出了问题导致其“办公室”(应用程序池A)崩溃,公司B”(网站B)在隔壁“办公室”(应用程序池B)里照常工作,不受任何影响。
- 资源隔离:你可以为不同的应用程序池分配不同的 CPU 和内存使用限制,一个重要的商业网站可以拥有更多资源,而一个不重要的内部测试网站则限制资源使用,防止其拖慢整个服务器。
- 版本隔离:你可以让一个应用程序池使用 .NET Framework 4.8,而另一个使用 .NET 6.0,这样,服务器上可以同时运行不同技术栈的网站而互不冲突。
- 身份验证:应用程序池可以配置一个 Windows 账户,用来访问服务器上的文件、数据库等资源,这比让所有网站都用同一个系统账户(如
IIS_IUSRS)要更安全和灵活。
- 进程隔离:这是最重要的功能,每个应用程序池都在一个独立的
应用程序池负责“执行”网站代码,并为不同的网站提供隔离和资源管理。
(图片来源网络,侵删)
它们之间的关系:一张图看懂
+-------------------------------------------------------+
| IIS 服务器 |
| |
| +---------------------+ +---------------------+ |
| | 网站 A | | 网站 B | |
| | (www.siteA.com) | | (www.siteB.com) | |
| | 绑定: 80, siteA.com | | 绑定: 80, siteB.com | |
| | 路径: C:\SiteA | | 路径: C:\SiteB | |
| +----------+----------+ +----------+----------+ |
| | | |
| +------------+ +------------+ |
| | | |
| +---------------------------------------------------+ |
| | 应用程序池 1 | |
| | (运行 .NET Framework 4.8, 高权限账户) | |
| | | |
| | +-----------------+ +------------------------+ | |
| | | w3wp.exe 进程 | | w3wp.exe 进程 | | |
| | | (执行网站A的代码) | | (执行网站B的代码) | | |
| | +-----------------+ +------------------------+ | |
| +---------------------------------------------------+ |
| |
| +---------------------+ |
| | 网站 C | |
| | (api.siteC.com) | |
| | 绑定: 443, api.siteC| |
| | 路径: C:\SiteC | |
| +----------+----------+ |
| | |
| +-------------------------------------------+ |
| | 应用程序池 2 | |
| | (运行 .NET 6.0, 低权限账户) | |
| | | |
| | +-----------------+ | |
| | | w3wp.exe 进程 | | |
| | | (执行网站C的代码) | | |
| | +-----------------+ | |
| +---------------------------------------------------+ |
+-------------------------------------------------------+关系总结:
- 一对一:一个网站可以单独分配一个应用程序池,这是最常见、最安全的做法,能实现完全的隔离。
- 一对多:多个网站可以共享同一个应用程序池,当这些网站技术栈相同、信任度相同时,这样做可以节省资源,但请注意,其中任何一个网站崩溃都会导致整个应用程序池(以及该池中的所有网站)重启。
- 多对一:一个网站内部可以有多个“应用程序”(在 IIS 管理器中称为“应用程序”),这些子应用程序可以继承或重写父网站的应用程序池设置。
实践应用与最佳实践
何时使用多个应用程序池?
- 不同技术栈:一个用 .NET Framework,一个用 PHP,一个用 Node.js,必须分开。
- 不同安全级别:一个是对外的高流量电商网站,另一个是内部员工使用的低流量工具,分开可以隔离风险,并为电商网站分配更多资源。
- 高可用性要求:核心业务网站必须独立,防止其他无关网站的故障影响到它。
- 资源管理:需要为某个网站设置严格的 CPU 或内存配额时。
何时共享应用程序池?
- 小型网站或测试环境:当服务器上运行的都是同一个小型、低流量的内部网站时,共享一个池可以简化管理。
- 应用程序组:一个大型网站被拆分成多个子应用(一个主站,一个博客,一个商城),它们都使用相同的技术框架,并且希望共享会话状态等,可以放在同一个池中。
- 默认创建,独立分配:为每个新创建的网站创建一个新的、同名的应用程序池,这是最稳妥的起点。
- 按需合并:只有在明确知道多个网站可以安全地共享资源且技术相同时,才考虑将它们合并到同一个应用程序池中。
- 命名规范:保持网站名和其使用的应用程序池名一致,方便管理和排查问题(在任务管理器或性能监视器中看到
w3wp.exe进程时,能知道它对应哪个网站)。 - 为应用程序池指定身份:不要使用默认的
NetworkService账户,为每个应用程序池创建一个专用的、权限最低的 Windows 账户,遵循“最小权限原则”。
如何操作(以 IIS 管理器为例)
创建和管理应用程序池
- 打开 IIS 管理器。
- 在左侧“连接”面板中,点击“应用程序池”。
- 在右侧“操作”面板中,点击“添加应用程序池...”。
- 输入名称,选择 .NET CLR 版本(如果适用),点击“确定”。
- 选中一个应用程序池,可以在右侧“操作”面板中对其进行“高级设置”(如 .NET 版本、进程模型、回收条件等)或“编辑权限”(设置其运行账户)。
将网站分配到应用程序池
- 在 IIS 管理器左侧“连接”面板中,展开你的“网站”。
- 右键点击目标网站(默认网站”),选择“管理网站” -> “高级设置...”。
- 在弹出的窗口中,找到“应用程序池”这一项,点击右侧的下拉箭头,选择你想要的应用程序池,然后点击“确定”。
希望这个详细的解释能帮助你彻底理解 IIS 中应用程序池和网站的关系!
