![nocodb.jpg](/static/img/3647134419eeee2a2f655156ecb07501.nocodb.webp)
> 本文全面介绍了 NocoDB，一个将传统关系型数据库转化为直观智能电子表格界面的开源无代码平台，被誉为 Airtable 的强大开源替代方案。文章详细阐述了 NocoDB 的核心特性，包括多数据源连接、丰富的电子表格视图、自动 API 生成以及灵活的权限管理。此外，还深入对比了 NocoDB 社区版与付费版之间的功能差异，涵盖了企业级特性如工作区管理、高级安全和自动化增强。最后，提供了详细的 Docker Compose 部署指南，包括无代理模式和通过 Nginx 代理的配置示例，旨在帮助读者轻松部署和高效利用 NocoDB 进行数据管理。



# 1. NocoDB 概览：核心功能与定位

NocoDB 是一款开源的无代码数据库平台，可以将传统的关系型数据库（如 MySQL、PostgreSQL、SQL Server、SQLite 等）转化为直观易用的智能电子表格界面。 作为Airtable的开源替代，NocoDB 提供了免费且可自托管的解决方案，使用起来既有类似于表格的易用性，又有数据库的丰富功能，尤其是推荐使用PostgeSQL。 

## 1.1 NocoDB 主要功能特性

- **数据源连接**：支持连接多种主流关系型数据库，并将它们以表格形式展现。
- **电子表格视图**：提供类似电子表格的界面，方便用户进行数据的查看、录入、编辑、删除和查询。
- **API 自动生成**：每个表格和视图都会自动生成 RESTful API，便于与其他系统集成和数据交互。
- **权限管理**：支持对不同用户和团队设置数据访问权限，确保数据安全。
- **多视图支持**：提供表格、画廊、日历、看板等多种视图类型，以适应不同的数据管理需求。

## 1.2 NocoDB 版本对比：社区版与付费版差异

社区版是完全免费的，并且遵循 AGPLv3 开源许可协议。这意味着用户可以自由地使用、修改和分发代码。社区版提供了 NocoDB 的核心功能，包括：
- 连接多种关系型数据库（如 MySQL, PostgreSQL, SQLite 等），并将其转化为智能电子表格界面。
- 提供表格、画廊、看板、日历等多种数据视图。
- 支持无限数量的 Bases、用户和数据库行（记录），以及文件存储。
- 基础的数据筛选、排序、分组和搜索功能。
- 自动生成 RESTful API。
适用于个人开发者、小型团队、教育研究机构以及对成本敏感且具备一定技术能力进行自托管和维护的用户。

付费版在社区版的基础上，提供了更多面向企业级用户和大规模部署的高级功能和支持：
- **工作区管理：** 支持无限数量的工作区，社区版只有一个。
- **基础快照（Base Snapshot）：** 支持对数据库进行快照备份。
- **更多视图类型：** 包含社区版没有的视图，例如 Timeline 视图（计划在 Q4 2025 推出）。
- **扩展记录布局：** 提供文件布局和讨论布局等。
- **表单视图增强：** 支持自定义 Logo 和 Banner、隐藏 NocoDB 品牌、提交后跳转 URL、自定义和缩短共享 URL、字段输入验证以及条件显示字段等。
- **AI 功能：** 包括 AI 按钮和 AI 提示等，主要是AI的集成。
- **企业级安全特性：** 包含单点登录（SSO/SAML）功能，这对于大型企业来说是关键的安全和管理特性。
- **权限管理：** 更细致的权限控制，甚至可以实现单元格级别的权限管理。
- **自动化和工作流：** 比社区版提供更深入的自动化功能，例如与企业系统的集成，而社区版主要通过 Webhooks 提供基本自动化。

详细的对比表格参照官网  [nocodb](https://nocodb.com/docs/product-docs/cloud-enterprise-edition/community-vs-paid-editions)
# 2. NocoDB 部署实践

官方文档有多种部署方式，包括直接部署，通过Nginx或是Traefik进行代理，还有部署Nginx Proxy Manager的。具体如 [Github Nobodb docker-compose](https://github.com/nocodb/nocodb/tree/develop/docker-compose)

## 2.1 Docker Compose 部署：无反向代理模式

测试使用，直接映射端口到服务器上。官方的docker compose使用的是Postgres 16.6，所以我这里也使用这个版本。对比官方版本，我省略了Postgres的healthcheck。但是增加了Nocodb的JWT的设置。
`NC_AUTH_JWT_SECRET`：随机字符串，用于签发和验证JWT。如果不设置这个值，每次容器启动都会随机生成新的密钥，则已有的JWT都会失效。

```
services:
  nocodb:
    image: nocodb/nocodb:latest
    container_name: nocodb
    restart: unless-stopped
    ports:
      - "8018:8080"
    environment:
      - NC_DB=pg://db:5432?u=nocodb_user&p=r9E69z2wQWufdJ&d=nocodb_db
      - NC_AUTH_JWT_SECRET=rpl924yxalpus0fo83di2lxodp0ot8f4
    volumes:
      - nocodb_data:/usr/app/data
    depends_on:
      - db

  db:
    image: postgres:16.6
    container_name: nocodb_postgres_db
    restart: unless-stopped
    environment:
      - POSTGRES_USER=nocodb_user
      - POSTGRES_PASSWORD=r9E69z2wQWufdJ
      - POSTGRES_DB=nocodb_db
    volumes:
      - db_data:/var/lib/postgresql/data

volumes:
  nocodb_data:
  db_data:
```

## 2.2 Docker Compose 部署：Nginx 反向代理模式

Nocodb的WebUI作为前端，通过Nginx代理。将数据库和Nocodb放入到另一个专门放数据库的网络，这样Nocodb可以直接连接到那些数据库里。

```
services:
  nocodb:
    image: nocodb/nocodb:latest
    container_name: nocodb
    restart: unless-stopped
    expose:
      - 8080
    environment:
      - NC_DB=pg://db:5432?u=nocodb_user&p=r9E69z2wQWufdJ&d=nocodb_db
      - NC_AUTH_JWT_SECRET=rpl924yxalpus0fo83di2lxodp0ot8f4
    volumes:
      - ./nocodb_data:/usr/app/data
    depends_on:
      - db
    networks:
      - database-pool
      - nginx-reverse-proxy

  db:
    image: postgres:16.6
    container_name: nocodb_postgres_db
    restart: unless-stopped
    environment:
      - POSTGRES_USER=nocodb_user
      - POSTGRES_PASSWORD=r9E69z2wQWufdJ
      - POSTGRES_DB=nocodb_db
    volumes:
      - ./db_data:/var/lib/postgresql/data
    networks:
      - database-pool

networks:
  database-pool:
    external: true
  nginx-reverse-proxy:
    external: true
```

Nginx的配置文件。

```
server {
    listen Port ssl;
    server_name Server_IP;

    ssl_certificate /etc/nginx/certs/Server_IP.crt;
    ssl_certificate_key /etc/nginx/certs/Server_IP.key;

    location / {
        proxy_pass http://nocodb:8080;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection 'upgrade';
        proxy_set_header Host $host;
    }
}
```

# 3. NocoDB 访问与基础操作

访问 https://Server_IP:Port 首先会让你注册超级用户。

![nocodb1.jpg](/static/img/dfe76627267b606cf04fb5796266239c.nocodb1.webp)

应用内部已经有了一个默认的数据库叫做Getting Started，也可以通过上面的Create Base按钮创建新的数据库。

![nocodb2.jpg](/static/img/aa108c2c96f067c794549919c85362ed.nocodb2.webp)

左侧侧边栏是有一个按钮叫Teams & Settings，可以进行用户的管理或是设置邮件和存储。

![nocodb4.jpg](/static/img/ff9428988ba091e8a5947f3c01898bc6.nocodb4.webp)

点击默认的数据，在Overview部分可以创建新表，导入数据或是连接外部数据库。

![nocodb3.jpg](/static/img/9970a18f0918b9a3ad9a908bb7131b7c.nocodb3.webp)

默认数据库里有一张默认表叫Features，可以在下面创建不同的View。

![nocodb5.jpg](/static/img/347fb07d2fd76f20f6453f8f6f12663a.nocodb5.webp)

探索 NocoDB：开源无代码数据库的特性、版本对比与 Docker 部署实践

![openldap.jpg](/static/img/bd9aab9370a70fab7a989b638685de96.openldap.webp)

> 本文介绍了 OpenLDAP 的基本概念与数据结构，阐述了其作为目录服务的作用与存储特点，并通过 Docker Compose 提供了两种部署方式示例：一种为无证书的测试环境，另一种为启用 TLS 与 Nginx 反向代理的生产环境配置。同时附带了 nginx 配置文件，方便将 phpLDAPadmin 接入 HTTPS 访问。



# 1. OpenLDAP介绍

OpenLDAP 是一个开源的轻量级目录访问协议**LDAP**（Lightweight Directory Access Protocol）的实现。当谈到“目录访问协议”时，**LDAP**是目前唯一广泛使用和被公认为标准的协议。它被广泛应用于企业中，用于实现账号的集中管理和认证。

## 1.1 目录服务

目录服务是一种特殊的数据库系统，它优化了数据的读取、浏览和搜索操作。 它以树状结构组织数据，类似于文件系统。 OpenLDAP默认以Berkeley DB作为后端数据库，主要以键值对（key-value pair）的方式存储数据，这种方式通常非常适合快速读取和查找的场景。目录数据库与传统的关系型数据库不同，它写入性能相对较差，并且不支持复杂的事务管理或回滚策略，因此不适合存储频繁修改的数据。

## 1.2 数据结构

![openldap1.jpg](/static/img/39a8cba6beb00e8dec09e461c1f4ec9a.openldap1.webp)

- **目录信息树 (DIT)**：OpenLDAP目录中的信息以树形结构组织。
- **条目 (Entry)**：目录树中的每个节点都是一个条目，可以看作是关系数据库中的一条记录。条目是LDAP中最基本的颗粒，添加、删除、更改、检索等操作都以条目为基本对象。
- **区别名 (Distinguished Name, DN)**：每个条目都有一个唯一的区别名（DN），由一系列的相对区别名 (RDN) 组成，例如`cn=admin,dc=example,dc=com`。
- **属性 (Attribute)**：条目由一个或多个属性组成，每个属性由类型（type）和一个或多个值（value）构成，类似于关系数据库中的字段。
- **定义与Schema (模式)**：
	- 所有的属性类型都必须在LDAP服务器的 **Schema（模式）** 中进行定义。Schema 是LDAP目录的蓝图，它规定了哪些 **对象类（ObjectClass）** 可以使用，以及每个对象类可以包含哪些属性类型。
    - 每个属性类型都有一个唯一的**对象标识符（Object Identifier, OID）**，这是一个数字串，用于在全球范围内唯一标识该属性类型。
- 常见属性：
	- **DC（Domain Component）**： 域的组成部分，譬如是你的域名是google.com，则可以写成 dc=google,dc=com。
	- **CN（Common Name）** ：可以用于标识目录条目的名称，譬如admin，billgates。再一个域下的用户名应该是是唯一的。CN + DC = DN，这是条目的唯一标识。
	- **OU（Organizational Unit）** ：可以用于标识公司或组织内部的信息分类，譬如人事部，设计部，ou=hr 或 ou=engineering。
	- **UID（User ID）**：可以用于标识用户的属性类型，或者是数字UID譬如1000，或是用户名譬如admin。

# 2. 部署OpenLDAP

## 2.1 OpenLDAP和WebUI无任何证书

OpenLDAP对外发布了389和636端口。Phpldapadmin作为WebUI，通过ldap协议在docker network内部连接到OpenLDAP，它们之间没有启用SSL加密。Phpldapadmin的访问也只是通过HTTP来访问，没有启用证书。这是最简单的方式来进行OpenLDAP的测试。

```yaml
services:
  ldap:
    image: osixia/openldap:latest
    container_name: openldap
    environment:
      - LDAP_ORGANISATION=MyOrg
      - LDAP_DOMAIN=example.com
      - LDAP_ADMIN_PASSWORD=LDAP_password
    ports:
      - "389:389"     # LDAP port
      - "636:636"     # LDAPS port
    volumes:
      - ./ldap_data:/var/lib/ldap      # Persistent data for LDAP
      - ./ldap_config:/etc/ldap/slapd.d  # Configuration for LDAP
    restart: always

  phpldapadmin:
    image: osixia/phpldapadmin:latest
    container_name: phpldapadmin
    environment:
      - PHPLDAPADMIN_LDAP_HOSTS=ldap
      - PHPLDAPADMIN_HTTPS=false
    ports:
      - "8080:80"     # HTTP port for phpLDAPadmin
    depends_on:
      - ldap
    restart: always
```

## 2.2 OpenLDAP和WebUI有证书和代理
如果是生产环境，phpldapadmin在Nginx后面。

![openldap2.jpg](/static/img/b0a39f529c045dad1376807d9fe76fbc.openldap2.webp)

```yaml
services:
  ldap:
    image: osixia/openldap:latest
    container_name: openldap
    environment:
      - LDAP_ORGANISATION=MyOrg
      - LDAP_DOMAIN=example.com
      - LDAP_ADMIN_PASSWORD=LDAP_password
    expose:
      - 389    # LDAP port
      - 636    # LDAPS port
    volumes:
      - ./ldap_data:/var/lib/ldap        # Persistent data for LDAP
      - ./ldap_config:/etc/ldap/slapd.d  # Configuration for LDAP
    restart: always
    networks:
      - ldap-net

  phpldapadmin:
    image: osixia/phpldapadmin:latest
    container_name: phpldapadmin
    environment:
      - PHPLDAPADMIN_LDAP_HOSTS=ldap
      - PHPLDAPADMIN_HTTPS=false
    expose:
      - 80    # HTTP port for phpLDAPadmin
    depends_on:
      - ldap
    restart: always
    networks:
      - nginx-reverse-proxy
      - ldap-net

networks:
  nginx-reverse-proxy:
    external: true
  ldap-net:
    external: true
```

Nginx配置文件
```bash
server {
    listen 8005 ssl;
    server_name HOST_IP;

    ssl_certificate /etc/nginx/certs/HOST_IP.crt;
    ssl_certificate_key /etc/nginx/certs/HOST_IP.key;

    # Optional security headers
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;

    location / {
        proxy_pass http://phpldapadmin:80/;
        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # To support login forms and large payloads
        client_max_body_size 10M;
    }
}
```

![openldap3.jpg](/static/img/98b54fe218d0054595eea0b6d9f690d8.openldap3.webp)

OpenLDAP 部署与基本原理解析（含 Docker Compose 与 Nginx 代理配置）

![keycoak.jpg](/static/img/561960082d73a9e2584c7452bc03d776.keycoak.webp)

> Keycloak 是企业级开源身份认证和访问控制解决方案，功能强大、支持多协议，并适合自建部署。本文将手把手教你如何基于 Docker 快速部署 Keycloak，涵盖 HTTP 模式、HTTPS 模式（自签证书）、以及结合 Nginx 的反向代理部署方案。每种模式都适用于不同的内网或生产环境场景，助你构建安全、稳定的身份认证系统。
> 



# 🔍 1. Keycloak 简介
Keycloak 是一款开源的身份与访问管理（IAM）解决方案，支持 OAuth 2.0、OpenID Connect、SAML 等标准协议。它具备如下核心能力：

- 用户与角色管理
- 单点登录（SSO）与登出
- 多因素认证（MFA）
- 社交账号登录集成（Google、GitHub 等）
- 客户端权限控制与资源保护

![keycloak core concept.jpg](/static/img/0b142a3ca8adfc49debd1d48f3a32f4d.keycloak%20core%20concept.webp)

# ⚙️ 2. Docker 快速部署 Keycloak
## 🚀 2.1 无代理 HTTP 快速部署（开发环境推荐）
适用于测试和开发，直接启用 HTTP 服务。

✅ 建议部署后尽快创建正式管理员账号，并删除初始的 KEYCLOAK_ADMIN 用户。

配置说明：
- 使用 PostgreSQL 作为持久数据库
- 通过 KC_HTTP_ENABLED=true 开启 HTTP 支持
- 监听容器的 8080 端口


```yaml
services:
  postgres:
    image: postgres:15-alpine
    container_name: keycloak_postgres
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: supersecret
    volumes:
      - keycloak-db:/var/lib/postgresql/data

  keycloak:
    image: quay.io/keycloak/keycloak:latest
    container_name: keycloak
    command: start
    environment:
      KC_DB: postgres
      KC_DB_URL: jdbc:postgresql://postgres:5432/keycloak
      KC_DB_USERNAME: keycloak
      KC_DB_PASSWORD: supersecret

      KEYCLOAK_ADMIN: admin
      KEYCLOAK_ADMIN_PASSWORD: admin

      KC_HOSTNAME_STRICT: false
      KC_HTTP_ENABLED: true
    ports:
      - "8080:8080"
    depends_on:
      - postgres

volumes:
  keycloak-db:
```

访问地址：http://<your-ip>:8080

## 🔐 2.2 启用原生 HTTPS：Keycloak 自持证书（适用于小规模生产）
此方式下 Keycloak 自行监听 8443，并启用 TLS。

关键点：
    
- 本地挂载证书并确保所有者为 UID 1000（非 root）
- 去除 KC_HTTP_ENABLED
- 设置 KC_PROXY=edge 告诉 Keycloak 它是直接暴露的边缘服务

```yaml
    keycloak:
    image: quay.io/keycloak/keycloak:latest
    container_name: keycloak
    command: start
    environment:
      KC_DB: postgres
      KC_DB_URL: jdbc:postgresql://postgres:5432/keycloak
      KC_DB_USERNAME: keycloak
      KC_DB_PASSWORD: supersecret

      KEYCLOAK_ADMIN: admin
      KEYCLOAK_ADMIN_PASSWORD: admin

      KC_HTTPS_CERTIFICATE_FILE: /etc/certs/IP.cert.pem
      KC_HTTPS_CERTIFICATE_KEY_FILE: /etc/certs/IP.key.pem
      KC_HOSTNAME_STRICT: false
      KC_PROXY: edge 
    volumes:
      - /etc/certs:/etc/certs:ro
      - /etc/localtime:/etc/localtime
    depends_on:
      - postgres
    ports:
      - "8443:8443"
```
  
## 🌐 2.3 结合 Nginx 做 HTTPS 卸载（推荐：中大型部署）
Nginx 负责 TLS，Keycloak 后端使用 HTTP 通信，部署灵活、适合域名区分服务的场景。内网环境可以使用端口来却分服务。

关键配置：
    
- KC_HOSTNAME 设置为对外访问地址（IP 或域名）
- 设置 KC_HTTP_ENABLED: true 以接受 HTTP 流量
- 设置 KC_PROXY: edge 告知 Keycloak 它处于边缘（有代理）
- 注意 KC_HOSTNAME_PORT 配置端口以防重定向丢失端口
    
```yaml
services:
  postgres:
    image: postgres:15-alpine
    container_name: keycloak_postgres
    environment:
      POSTGRES_DB: keycloak
      POSTGRES_USER: keycloak
      POSTGRES_PASSWORD: supersecret
    volumes:
      - keycloak-db:/var/lib/postgresql/data
    networks:
      - keycloak-net

  keycloak:
    image: quay.io/keycloak/keycloak:latest
    container_name: keycloak
    command: start
    environment:
      KC_DB: postgres
      KC_DB_URL: jdbc:postgresql://postgres:5432/keycloak
      KC_DB_USERNAME: keycloak
      KC_DB_PASSWORD: supersecret
      KEYCLOAK_ADMIN: admin
      KEYCLOAK_ADMIN_PASSWORD: admin

      KC_HOSTNAME: Intranet_IP
      KC_HOSTNAME_PORT: Custom_Port
      KC_HOSTNAME_STRICT: true
      KC_HOSTNAME_STRICT_HTTPS: true

      KC_HTTP_ENABLED: true
      KC_PROXY: edge 
    volumes:
      - /etc/localtime:/etc/localtime
    expose:
      - 8080
    networks:
      - nginx-proxy-network
      - keycloak-net

volumes:
  keycloak-db:

networks:
  nginx-proxy-network:
    external: true
  keycloak-net:
    external: true
```

Nginx 配置示例：
 
```bash
server {
    listen Custom_Port ssl;
    server_name Intranet_IP;

    ssl_certificate /etc/nginx/certs/IP.cert.pem;
    ssl_certificate_key /etc/nginx/certs/IP.key.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers HIGH:!aNULL:!MD5;
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

    location / {
        proxy_pass http://keycloak:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header Upgrade $http_upgrade;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Forwarded-Host $host:$server_port;
    }
}
```

# ✅ 3. 最佳实践建议
🚫 删除默认管理用户（bootstrap admin）

✅ 使用 realm-management → realm-admin 角色创建正式管理员

🧠 优先使用 Nginx 模式，在多个服务和网段之间更灵活

🔐 为生产部署配置正式证书与强密码策略

🛡️ 零信任时代的身份利器：Keycloak Docker化部署全攻略

![minio.jpg](/static/img/62314955b6dbc97fe305b9b4620c2cca.minio.webp)

> 在现代应用中，海量非结构化数据的存储和管理愈发重要。MinIO，作为开源且高性能的对象存储解决方案，凭借兼容S3 API和简洁部署方式，成为了开发者和企业用户的首选。本文将带你从基础认识MinIO开始，逐步深入，实战部署单机单盘模式，覆盖Docker Compose部署、HTTPS配置、自签与CA证书管理，最终通过Nginx实现内网端口代理访问，打造一个安全可靠的本地对象存储系统。无论你是初学者还是运维老手，这份教程都值得收藏！



# 1. MinIO介绍

MinIO是一个高性能、分布式、开源的对象存储系统，主要用于存储非结构化数据，如图片、视频、日志文件、备份数据以及容器/虚拟机镜像等。它基于Go语言开发，并实现了大部分亚马逊S3云存储服务接口，因此可以看作是S3的开源版本，能够与现有的S3生态系统无缝集成。

它分为社区版和企业版，其中社区版是完全开源的。它的部署方式分为单机单盘，单机多盘和多机多盘。生产环境是分布式部署，基本要求一个集群至少是3太分布在不同地方的服务器，每台服务器至少4张硬盘。我们自己使用基本就是单机单盘，所以除了没有额外的高可用性和容错性等特性。我们使用单机单盘的模式来进行MinIOn的学习。

# 2. 部署条件

只有在下列条件下MinIO才会以单机单盘的模式启动

- 数据卷或是挂载点是空的。
- 数据卷包含之前由单机单盘部署而储存的文件。

如果数据卷里不为空，但是不包含MinIO后端数据，则会启动失败。

| 数据卷状态 | MinIO行为 |
| --- | --- |
| 无文件，目录和MinIO后端数据 | MinIO以单机单盘模式启动并创建0冗余（纠删码中的冗余级别）后端 |
| 带偶数校验的对象和MinIO后端数据 | MinIO恢复单机单盘模式 |
| 带文件系统的目录和文件，无MinIO后端数据 | MinIO无法启动并报错|


# 3. Docker无代理模式部署

虽然可以使用http来访问，但是个人使用的情况下也建议使用https。如果使用http，可以忽略整数的部分。

## 3.1 Docker Compose文件详解

- 数据卷是存储位置`/data`
- 默认的证书位置为`/root/.minio/certs`
- 环境变量设置Root用户名密码
- 命令设置Admin Console监听的端口
- 9000端口用于API，9001端口用于Admin Console

```yaml
services:
  minio:
    image: minio/minio:latest
    container_name: minio
    volumes:
      - ./minio-data:/data
      - ./etc/minio/certs:/root/.minio/certs:ro # Optional for HTTPS
    environment:
      - MINIO_ROOT_USER=minioadmin
      - MINIO_ROOT_PASSWORD=minioadmin123
    command: server /data --console-address ":9001"
    ports:
      - "9000:9000"   # API
      - "9001:9001"   # Admin Console
    restart: unless-stopped
```
## 3.2 证书
如果证书不是以X.509标准生成的，则会被MinIO自动忽略。

### 3.2.1 自签证书

对于默认域名，密钥的格式如下。其他域名则再添加一个影响的目录。

```bash
/opts/certs
  private.key    # 默认域名
  public.crt
  s3-example.net/   # 非默认域名
    private.key
    public.crt
```

### 3.2.2 三方CA签发的证书

需要将CA的根证书放到/CAs下。如果由中间CA，也要放到这个目录下。

```bash
/opts/certs
  private.key
  public.crt
  /CAs
    my-ca.crt
```
## 3.3 测试

可以通过`https://域名/IP:9001`来访问Admin Console。
查看容器内的日志，可以看到已经切换到https了。

```bash
MinIO Object Storage Server

Copyright: 2015-2025 MinIO, Inc.

License: GNU AGPLv3 - https://www.gnu.org/licenses/agpl-3.0.html

Version: RELEASE.2025-06-13T11-33-47Z (go1.24.4 linux/amd64)

API: https://172.18.0.2:9000  https://127.0.0.1:9000 

WebUI: https://172.18.0.2:9001 https://127.0.0.1:9001 

Docs: https://docs.min.io
```

# 4. Docker部署在Nginx代理后

我的Nginx是已经部署了的，代理了不同的应用。由于我是在内网环境，我是通过端口来区分应用的。可以查看 [Docker部署Nginx代理多个服务：公网域名与内网IP场景全解](https://www.zenseek.site/post/5) Nginx的部署。

## 4.1 Docker Compose文件详解

- nginx-proxy-network网络是用于Nginx代理到容器
- minio-network网络是用于应用使用对象存储
- 使用MINIO_BROWSER_REDIRECT_URL来跳转到特定的路径，通过Nginx将特定的路径转发的后端的9001端口上，来实现Admin Console的访问。

```yaml
services:
  minio:
    image: minio/minio:latest
    container_name: minio
    volumes:
      - ./minio-data:/data
    environment:
      - MINIO_ROOT_USER=minioadmin
      - MINIO_ROOT_PASSWORD=minioadmin123
      - MINIO_SERVER_URL=https://HOST_IP:Port
      - MINIO_BROWSER_REDIRECT_URL=https://HOST_IP:Port/minio/ui
    command: server /data --console-address ":9001"
    networks:
      - nginx-proxy-network
      - minio-network
    expose:
      - 9000
      - 9001
    restart: unless-stopped

networks:
  nginx-proxy-network:
    external: true
  minio-network:
    external: true
```

## 4.2 Nginx 配置文件

我用宿主机的8010端口代理到MinIO容器。只有/minio/ui路径会代理到MinIO的Admin Console 9001端口上，其他路径代理到MinIO的API 9000端口。

```bash
server {
    listen 8010 ssl;
    server_name HOST_IP;

    ssl_certificate /etc/nginx/certs/HOST_IP.cert.pem;
    ssl_certificate_key /etc/nginx/certs/HOST_IP.key.pem;

    # Allow special characters in headers
    ignore_invalid_headers off;
    # Allow any size file to be uploaded.
    # Set to a value such as 1000m; to restrict file size to a specific value
    client_max_body_size 0;
    # Disable buffering
    proxy_buffering off;
    proxy_request_buffering off;

    location / {
        proxy_pass http://minio:9000;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_connect_timeout 300;
        # Default is HTTP/1, keepalive is only enabled in HTTP/1.1
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        chunked_transfer_encoding off;
    }

    location /minio/ui/ {
        proxy_pass http://minio:9001; 
        rewrite ^/minio/ui/(.*) /$1 break;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-NginX-Proxy true;
            
        # This is necessary to pass the correct IP to be hashed
        real_ip_header X-Real-IP;
            
        proxy_connect_timeout 300;
            
        # To support websockets in MinIO versions released after January 2023
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

        chunked_transfer_encoding off;
    }
}
```

## 4.4 测试

可以通过宿主机的`https://域名/IP:8010`访问MinIO的Admin Console。
```bash
MinIO Object Storage Server

Copyright: 2015-2025 MinIO, Inc.

License: GNU AGPLv3 - https://www.gnu.org/licenses/agpl-3.0.html

Version: RELEASE.2025-06-13T11-33-47Z (go1.24.4 linux/amd64)

API: https://HOST_IP:Port:8010 

WebUI: https://HOST_IP:Port:8010/minio/ui 

Docs: https://docs.min.io
```

🚀 从零开始部署MinIO对象存储：单机单盘+Docker+Nginx代理全攻略！

![nginx.png](/static/img/2944962818cd1401df6bd8b0d9b54416.nginx.webp)


:::info{title="文章摘要"}
本文分享了我在公网和内网两种环境下，使用 Docker 部署 Nginx 并代理多个应用的完整实践。涵盖了常见的端口方式、路径方式、HTTPS 自动跳转、容器网络配置等关键细节，并附上完整的 docker-compose.yml 和 Nginx 配置模板。尤其是在内网环境下代理多个应用时，我也遇到了一些坑（如路径代理导致 SPA 应用失效），这里也详细记录了解决思路。适合需要部署内网服务、或希望统一 Nginx 入口管理多个容器服务的朋友参考。
:::



# 1. 公网环境下的 Nginx 部署与代理配置

## 1.1 Docker部署Nginx

通常是云服务器有公网IP，并且有域名已经解析到这个公网IP了。
- nginx-reverse-proxy网络负责Nginx和其他应用的交互。
- internet网络负责Nginx发布接口的映射到服务器上。
- 正常监听80和443端口。
- 数据卷挂在Nginx的配置文件夹，日志及主机时间，证书和私钥。

```bash
services:
  nginx:
    image: nginx:latest
    container_name: nginx-reverse-proxy
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx/conf.d:/etc/nginx/conf.d:ro
      - ./log:/var/log/nginx
      - /etc/letsencrypt/live/zenseek.site/fullchain.pem:/etc/nginx/certs/fullchain.pem:ro
      - /etc/letsencrypt/live/zenseek.site/privkey.pem:/etc/nginx/certs/privkey.pem:ro
      - /etc/localtime:/etc/localtime:ro
    networks:
      - nginx-reverse-proxy
      - internet
    restart: always

networks:
  nginx-reverse-proxy:
    external: true
  internet:
    external: true
```

## 1.2 Nginx配置文件

### 1.2.1 默认配置文件

- 文件名`default.conf`
- 默认配置主要负责将HTTP重定向到HTTPS上。

```bash
server {
    listen 80;
    server_name _;

    # Redirect all HTTP requests to HTTPS
    return 301 https://$host$request_uri;
}
```

### 1.2.2 应用配置文件

- 文件名`app.conf`
- 将二级域名代理到容器内的应用。

```bash
server {
    listen 443 ssl;
    server_name prefix_domain_name;
    
    省略。。。
    
    location / {
        proxy_pass http://vaultwarden:80;
        省略。。。
    }
}
```

# 2. 内网环境中的 Nginx 多应用代理方案

在内网环境部署Nginx和应用的话，除非是内网的生产应用会有内网的域名外，基本就是使用内网IP。在这种情况下，可以通过不同的端口号来区分应用，或是不同的路径名来区分应用。

## 2.1 使用不同的端口来区分应用

Nginx的容器配置是基本不变的，需要使用什么接口就发布什么接口。

```bash
    ports:
      - "8080:8080"
      - "8443:8443"
```
也可以使用范围来发布连续的端口号，这样可以减少配置量。

```bash
    ports:
      - "8000-8010:8000-8010"
```

Nginx的配置文件则是按应用区分。

```bash
server {
    listen 8004 ssl;
    server_name Intranet_IP;

    省略。。。

    location / {
        proxy_pass http://keycloak_web:8080;  # Proxy to Keycloak
        
        省略。。。
    }
}
```

这样通过访问服务器的内网IP加端口号就可以访问后端的应用。但是这种方式有一个缺点，就是无法自动从HTTP跳转到HTTPS。所以必须使用`https://IP:Port`的格式才行. 这个非常规的端口号不能既监听HTTP又监听HTTPS流量。但是这个方式比较保险，因为`https://IP:Port`后面跟的是根路径，后端应用不易出现问题。

## 2.2 使用不同的路径来区分应用

Nginx容器的配置没有变化，就还是正常监听80和443端口。访问不同的应用则是通过后面的路径名来区分的。Nginx的配置文件则是变成一个文件，格式如下。

- 第一个Server block是用于HTTP跳转到HTTPS。
- 第二个Server block是用于处理HTTPS的访问。
- 通过路径来区分将请求转到后端的哪个应用上。


```bash
server {
    listen 80;
    server_name _;

    # Redirect all HTTP requests to HTTPS
    return 301 https://$host:$request_uri;
}


server {
    listen 443 ssl;
    server_name _;

     省略。。。

    # /draw -> Excalidraw
    location /draw/ {
        proxy_pass http://excalidraw:80; # reverse proxy to Excalidraw
        省略。。。
    }

    # /password -> Vaultwarden
    location /password/ {
        proxy_pass http://vaultwarden:80; # reverse proxy to Vaultwarden
        省略。。。
    }
}
```

但是通过不同路径来区分应用的方式会导致一些后端应用无法运行。譬如像Excalidraw这样的应用，后端期待的根路径`/`开始的，但是实际上传过去的是`/draw/`，导致无法识别路径。虽然后来我加上了路径改写`rewrite ^/draw/(.*)$ /$1 break;`，但是依然不生效，返回的路径也把`/draw`给去掉了。

## 2.3 结论

如果使用路径不影响应用的话，这种还是比较方便的，毕竟容易记，且还能重定向到HTTPS，也不用更改Nginx容器的发布端口的配置。