本文分享了我在公网和内网两种环境下,使用 Docker 部署 Nginx 并代理多个应用的完整实践。涵盖了常见的端口方式、路径方式、HTTPS 自动跳转、容器网络配置等关键细节,并附上完整的 docker-compose.yml 和 Nginx 配置模板。尤其是在内网环境下代理多个应用时,我也遇到了一些坑(如路径代理导致 SPA 应用失效),这里也详细记录了解决思路。适合需要部署内网服务、或希望统一 Nginx 入口管理多个容器服务的朋友参考。
1. 公网环境下的 Nginx 部署与代理配置
1.1 Docker部署Nginx
通常是云服务器有公网IP,并且有域名已经解析到这个公网IP了。
- nginx-reverse-proxy网络负责Nginx和其他应用的交互。
- internet网络负责Nginx发布接口的映射到服务器上。
- 正常监听80和443端口。
- 数据卷挂在Nginx的配置文件夹,日志及主机时间,证书和私钥。
bash
services:
nginx:
image: nginx:latest
container_name: nginx-reverse-proxy
ports:
- "80:80"
- "443:443"
volumes:
- ./nginx/conf.d:/etc/nginx/conf.d:ro
- ./log:/var/log/nginx
- /etc/letsencrypt/live/zenseek.site/fullchain.pem:/etc/nginx/certs/fullchain.pem:ro
- /etc/letsencrypt/live/zenseek.site/privkey.pem:/etc/nginx/certs/privkey.pem:ro
- /etc/localtime:/etc/localtime:ro
networks:
- nginx-reverse-proxy
- internet
restart: always
networks:
nginx-reverse-proxy:
external: true
internet:
external: true1.2 Nginx配置文件
1.2.1 默认配置文件
- 文件名
default.conf - 默认配置主要负责将HTTP重定向到HTTPS上。
bash
server {
listen 80;
server_name _;
# Redirect all HTTP requests to HTTPS
return 301 https://$host$request_uri;
}1.2.2 应用配置文件
- 文件名
app.conf - 将二级域名代理到容器内的应用。
bash
server {
listen 443 ssl;
server_name prefix_domain_name;
省略。。。
location / {
proxy_pass http://vaultwarden:80;
省略。。。
}
}2. 内网环境中的 Nginx 多应用代理方案
在内网环境部署Nginx和应用的话,除非是内网的生产应用会有内网的域名外,基本就是使用内网IP。在这种情况下,可以通过不同的端口号来区分应用,或是不同的路径名来区分应用。
2.1 使用不同的端口来区分应用
Nginx的容器配置是基本不变的,需要使用什么接口就发布什么接口。
bash
ports:
- "8080:8080"
- "8443:8443"也可以使用范围来发布连续的端口号,这样可以减少配置量。
bash
ports:
- "8000-8010:8000-8010"Nginx的配置文件则是按应用区分。
bash
server {
listen 8004 ssl;
server_name Intranet_IP;
省略。。。
location / {
proxy_pass http://keycloak_web:8080; # Proxy to Keycloak
省略。。。
}
}这样通过访问服务器的内网IP加端口号就可以访问后端的应用。但是这种方式有一个缺点,就是无法自动从HTTP跳转到HTTPS。所以必须使用https://IP:Port的格式才行. 这个非常规的端口号不能既监听HTTP又监听HTTPS流量。但是这个方式比较保险,因为https://IP:Port后面跟的是根路径,后端应用不易出现问题。
2.2 使用不同的路径来区分应用
Nginx容器的配置没有变化,就还是正常监听80和443端口。访问不同的应用则是通过后面的路径名来区分的。Nginx的配置文件则是变成一个文件,格式如下。
- 第一个Server block是用于HTTP跳转到HTTPS。
- 第二个Server block是用于处理HTTPS的访问。
- 通过路径来区分将请求转到后端的哪个应用上。
bash
server {
listen 80;
server_name _;
# Redirect all HTTP requests to HTTPS
return 301 https://$host:$request_uri;
}
server {
listen 443 ssl;
server_name _;
省略。。。
# /draw -> Excalidraw
location /draw/ {
proxy_pass http://excalidraw:80; # reverse proxy to Excalidraw
省略。。。
}
# /password -> Vaultwarden
location /password/ {
proxy_pass http://vaultwarden:80; # reverse proxy to Vaultwarden
省略。。。
}
}但是通过不同路径来区分应用的方式会导致一些后端应用无法运行。譬如像Excalidraw这样的应用,后端期待的根路径/开始的,但是实际上传过去的是/draw/,导致无法识别路径。虽然后来我加上了路径改写rewrite ^/draw/(.*)$ /$1 break;,但是依然不生效,返回的路径也把/draw给去掉了。
2.3 结论
如果使用路径不影响应用的话,这种还是比较方便的,毕竟容易记,且还能重定向到HTTPS,也不用更改Nginx容器的发布端口的配置。
📚 延伸阅读
更多内容持续更新于我的博客:https://www.zenseek.site