一只空杯
Docker部署Nginx代理多个服务:公网域名与内网IP场景全解
编辑
2025-07-12
容器
00

目录

1. 公网环境下的 Nginx 部署与代理配置
1.1 Docker部署Nginx
1.2 Nginx配置文件
1.2.1 默认配置文件
1.2.2 应用配置文件
2. 内网环境中的 Nginx 多应用代理方案
2.1 使用不同的端口来区分应用
2.2 使用不同的路径来区分应用
2.3 结论

nginx.png

文章摘要

本文分享了我在公网和内网两种环境下,使用 Docker 部署 Nginx 并代理多个应用的完整实践。涵盖了常见的端口方式、路径方式、HTTPS 自动跳转、容器网络配置等关键细节,并附上完整的 docker-compose.yml 和 Nginx 配置模板。尤其是在内网环境下代理多个应用时,我也遇到了一些坑(如路径代理导致 SPA 应用失效),这里也详细记录了解决思路。适合需要部署内网服务、或希望统一 Nginx 入口管理多个容器服务的朋友参考。

1. 公网环境下的 Nginx 部署与代理配置

1.1 Docker部署Nginx

通常是云服务器有公网IP,并且有域名已经解析到这个公网IP了。

  • nginx-reverse-proxy网络负责Nginx和其他应用的交互。
  • internet网络负责Nginx发布接口的映射到服务器上。
  • 正常监听80和443端口。
  • 数据卷挂在Nginx的配置文件夹,日志及主机时间,证书和私钥。
bash
services:
  nginx:
    image: nginx:latest
    container_name: nginx-reverse-proxy
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx/conf.d:/etc/nginx/conf.d:ro
      - ./log:/var/log/nginx
      - /etc/letsencrypt/live/zenseek.site/fullchain.pem:/etc/nginx/certs/fullchain.pem:ro
      - /etc/letsencrypt/live/zenseek.site/privkey.pem:/etc/nginx/certs/privkey.pem:ro
      - /etc/localtime:/etc/localtime:ro
    networks:
      - nginx-reverse-proxy
      - internet
    restart: always

networks:
  nginx-reverse-proxy:
    external: true
  internet:
    external: true

1.2 Nginx配置文件

1.2.1 默认配置文件

  • 文件名default.conf
  • 默认配置主要负责将HTTP重定向到HTTPS上。
bash
server {
    listen 80;
    server_name _;

    # Redirect all HTTP requests to HTTPS
    return 301 https://$host$request_uri;
}

1.2.2 应用配置文件

  • 文件名app.conf
  • 将二级域名代理到容器内的应用。
bash
server {
    listen 443 ssl;
    server_name prefix_domain_name;
    
    省略。。。
    
    location / {
        proxy_pass http://vaultwarden:80;
        省略。。。
    }
}

2. 内网环境中的 Nginx 多应用代理方案

在内网环境部署Nginx和应用的话,除非是内网的生产应用会有内网的域名外,基本就是使用内网IP。在这种情况下,可以通过不同的端口号来区分应用,或是不同的路径名来区分应用。

2.1 使用不同的端口来区分应用

Nginx的容器配置是基本不变的,需要使用什么接口就发布什么接口。

bash
    ports:
      - "8080:8080"
      - "8443:8443"

也可以使用范围来发布连续的端口号,这样可以减少配置量。

bash
    ports:
      - "8000-8010:8000-8010"

Nginx的配置文件则是按应用区分。

bash
server {
    listen 8004 ssl;
    server_name Intranet_IP;

    省略。。。

    location / {
        proxy_pass http://keycloak_web:8080;  # Proxy to Keycloak
        
        省略。。。
    }
}

这样通过访问服务器的内网IP加端口号就可以访问后端的应用。但是这种方式有一个缺点,就是无法自动从HTTP跳转到HTTPS。所以必须使用https://IP:Port的格式才行. 这个非常规的端口号不能既监听HTTP又监听HTTPS流量。但是这个方式比较保险,因为https://IP:Port后面跟的是根路径,后端应用不易出现问题。

2.2 使用不同的路径来区分应用

Nginx容器的配置没有变化,就还是正常监听80和443端口。访问不同的应用则是通过后面的路径名来区分的。Nginx的配置文件则是变成一个文件,格式如下。

  • 第一个Server block是用于HTTP跳转到HTTPS。
  • 第二个Server block是用于处理HTTPS的访问。
  • 通过路径来区分将请求转到后端的哪个应用上。
bash
server {
    listen 80;
    server_name _;

    # Redirect all HTTP requests to HTTPS
    return 301 https://$host:$request_uri;
}


server {
    listen 443 ssl;
    server_name _;

     省略。。。

    # /draw -> Excalidraw
    location /draw/ {
        proxy_pass http://excalidraw:80; # reverse proxy to Excalidraw
        省略。。。
    }

    # /password -> Vaultwarden
    location /password/ {
        proxy_pass http://vaultwarden:80; # reverse proxy to Vaultwarden
        省略。。。
    }
}

但是通过不同路径来区分应用的方式会导致一些后端应用无法运行。譬如像Excalidraw这样的应用,后端期待的根路径/开始的,但是实际上传过去的是/draw/,导致无法识别路径。虽然后来我加上了路径改写rewrite ^/draw/(.*)$ /$1 break;,但是依然不生效,返回的路径也把/draw给去掉了。

2.3 结论

如果使用路径不影响应用的话,这种还是比较方便的,毕竟容易记,且还能重定向到HTTPS,也不用更改Nginx容器的发布端口的配置。

本文作者:潘晓可

本文链接:

版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!