文章目录服务器部署指南第一步购买 Hetzner 服务器选规格关键是内存因为要在服务器上构建镜像创建步骤Hetzner Cloud Console1. 注册 [https://console.hetzner.cloud](https://console.hetzner.cloud) → 建一个 Project如 jobcopilot2. Add Server:- **Location**按目标用户选。面向中国/亚洲 → Hillsboro, OR (US West) 延迟相对好面向欧洲 → Helsinki / Falkenstein- **Image**Ubuntu 24.04 LTS- **Type**Shared vCPU → CX32没看到这个- **Networking**勾选 Public IPv4现在 Hetzner 对 IPv4 收极小月费必须有Lets Encrypt 和 DNS 都要它- **SSH Key**先在本地生成再粘贴公钥见下不要用密码登录- **volumes**暂时先跳过- **Firewalls**跳过- **Placement groups**跳过- **Labels**跳过- **Cloud config**跳过- **Backups**可选勾上自动快照20% 费用。我们也会另配 pg_dump双保险- 其余默认 → Create Buy now3. 创建后记下**公网 IPv4 地址**后面 Cloudflare 和部署都要用创建前在本地生成 SSH key如果还没有第二步配置 Cloudflare DNS拿到 IP 后第三步服务器基础加固SSH 进去后部署前服务器部署指南顺序很重要先买 Hetzner拿到 IP→ 再用这个 IP 配 Cloudflare DNS。因为 DNS 的 A 记录要指向服务器 IP服务器没买就没 IP。下面分两步给你具体方案。第一步购买 Hetzner 服务器选规格关键是内存因为要在服务器上构建镜像机型配置价格适用CX32推荐4 vCPU / 8GB / 80GB~€6.8/月默认选这个。8 服务 Postgres/Redis/RabbitMQ/Qdrant/Temporal/Keycloak/Kong/Caddy Playwright 构建都吃内存8GB 才稳CX22最低2 vCPU / 4GB / 40GB~€3.8/月能跑但构建时易 OOM要加 swapCAX21ARM更省4 vCPU / 8GB / 80GB~€6.5/月便宜一点但 ARM 架构极个别 Python wheel 可能没预编译包。求稳用 CX32x86结论选 CX32。预算紧再考虑 CX22 加 swap。注意Cost-Optimized系列有时会卖光但价格最实惠如果买不到就多刷新几次创建步骤Hetzner Cloud Console1. 注册https://console.hetzner.cloud → 建一个 Project如 jobcopilot2. Add Server:-Location按目标用户选。面向中国/亚洲 → Hillsboro, OR (US West) 延迟相对好面向欧洲 → Helsinki / Falkenstein注意这个要根据服务器配置有的地区没有相应配置可能卖光了多刷新刷新-ImageUbuntu 24.04 LTS注意别选太新的版本比如当前才推出两个月的Ubuntu26.04很多第三方库都还没来及的兼容-TypeShared vCPU → CX32没看到这个-Networking勾选 Public IPv4现在 Hetzner 对 IPv4 收极小月费必须有Let’s Encrypt 和 DNS 都要它-SSH Key先在本地生成再粘贴公钥见下不要用密码登录-volumes暂时先跳过-Firewalls跳过-Placement groups跳过-Labels跳过-Cloud config跳过-Backups可选勾上自动快照20% 费用。我们也会另配 pg_dump双保险- 其余默认 → Create Buy now3. 创建后记下公网 IPv4 地址后面 Cloudflare 和部署都要用创建前在本地生成 SSH key如果还没有ssh-keygen-ted25519-f~/.ssh/hetzner_jobcopilot-Ncat~/.ssh/hetzner_jobcopilot.pub# 把这行公钥内容粘到 Hetzner 的 SSH Key 框这个命令是用来生成SSH密钥对的让我详细解释每个参数的含义命令分解ssh-keygen-ted25519-f~/.ssh/hetzner_jobcopilot-N参数说明ssh-keygen- SSH密钥生成工具用于创建公钥和私钥对-t ed25519- 指定密钥类型为ed25519ed25519是一种现代的椭圆曲线加密算法比传统的RSA更安全、更高效生成的密钥更短但安全性更高-f ~/.ssh/hetzner_jobcopilot- 指定密钥文件的保存路径和文件名~/.ssh/是用户的SSH配置目录hetzner_jobcopilot是密钥文件的名称没有扩展名这会生成两个文件私钥~/.ssh/hetzner_jobcopilot公钥~/.ssh/hetzner_jobcopilot.pub-N - 指定空密码不设置密码-N参数用于设置密钥的密码表示空字符串即不设置任何密码这样使用密钥时不需要输入密码但安全性会降低使用场景这个命令通常用于为Hetzner云服务器德国主机服务商设置无密码SSH登录配置自动化脚本或CI/CD工具如JobCopilot的SSH访问需要免密登录的自动化任务安全提示由于使用了-N 参数生成的私钥没有密码保护建议仅在可信环境中使用限制私钥文件的权限通常应为600考虑使用SSH代理来管理密钥注意用我的部署脚本hcloud CLI 自动建机还是用网页 Console 手动建两种都行。手动建更直观、你第一次更有掌控感脚本适合以后重复部署。第一次建议你手动 Console 建机我把部署脚本聚焦在「连上已有服务器后的配置」。这样也更安全API Token 可以暂时不用。第二步配置 Cloudflare DNS拿到 IP 后进 Cloudflare → 选你的域名 → DNS → Records → Add record加两条TypeNameIPv4 addressProxy statusTTLA你的Hetzner IPDNS only灰云AutoAauth你的Hetzner IPDNS only灰云Auto 主域前端 Kong API /v1/*auth Keycloakauth.你的域名务必点掉橙色云朵变成灰色DNS only。开着 Cloudflare 代理会拦截 Let’s Encrypt 的验证、且和 Caddy 的 TLS 打架。Cloudflare 的 SSL/TLS 设置这时不用管流量绕过 CF 直连服务器Caddy 自己签证书验证 DNS 生效dig short 你的域名和dig short auth.你的域名都应返回你的 Hetzner IP可能要等几分钟。第三步服务器基础加固SSH 进去后部署前这部分我会写进 server-setup.sh 自动化但核心是装 Docker、关 SSH 密码登录、装 fail2ban、配防火墙ufw 或 Hetzner Cloud Firewall 放行 22/80/443。等你服务器和 DNS 好了我把脚本写出来你跑一遍即可。你现在可以去买服务器了。两件事麻烦告诉我我好把配置写精确你的域名是什么我要填进 Caddyfile 和 .env目标用户主要在哪个地区帮你定 Hetzner location不确定就默认 US West Hillsboro买好服务器、配好 DNS 后把公网 IP 也发我我就开始落地代码 部署脚本。