Docker部署Nginx代理多个服务：公网域名与内网IP场景全解

本文分享了我在公网和内网两种环境下，使用 Docker 部署 Nginx 并代理多个应用的完整实践。涵盖了常见的端口方式、路径方式、HTTPS 自动跳转、容器网络配置等关键细节，并附上完整的 docker-compose.yml 和 Nginx 配置模板。尤其是在内网环境下代理多个应用时，我也遇到了一些坑（如路径代理导致 SPA 应用失效），这里也详细记录了解决思路。适合需要部署内网服务、或希望统一 Nginx 入口管理多个容器服务的朋友参考。

1. 公网环境下的 Nginx 部署与代理配置

1.1 Docker部署Nginx

通常是云服务器有公网IP，并且有域名已经解析到这个公网IP了。

• nginx-reverse-proxy网络负责Nginx和其他应用的交互。
  
• internet网络负责Nginx发布接口的映射到服务器上。
  
• 正常监听80和443端口。
  
• 数据卷挂在Nginx的配置文件夹，日志及主机时间，证书和私钥。
  

1. services:
2.   nginx:
3.     image: nginx:latest
4.     container_name: nginx-reverse-proxy
5.     ports:
6.       - "80:80"
7.       - "443:443"
8.     volumes:
9.       - ./nginx/conf.d:/etc/nginx/conf.d:ro
10.       - ./log:/var/log/nginx
11.       - /etc/letsencrypt/live/zenseek.site/fullchain.pem:/etc/nginx/certs/fullchain.pem:ro
12.       - /etc/letsencrypt/live/zenseek.site/privkey.pem:/etc/nginx/certs/privkey.pem:ro
13.       - /etc/localtime:/etc/localtime:ro
14.     networks:
15.       - nginx-reverse-proxy
16.       - internet
17.     restart: always
19. networks:
20.   nginx-reverse-proxy:
21.     external: true
22.   internet:
23.     external: true

复制代码

1.2 Nginx配置文件

1.2.1 默认配置文件

• 文件名default.conf
  
• 默认配置主要负责将HTTP重定向到HTTPS上。
  

1. server {
2.     listen 80;
3.     server_name _;
5.     # Redirect all HTTP requests to HTTPS
6.     return 301 https://$host$request_uri;
7. }

复制代码

1.2.2 应用配置文件

• 文件名app.conf
  
• 将二级域名代理到容器内的应用。
  

1. server {
2.     listen 443 ssl;
3.     server_name prefix_domain_name;
4.    
5.     省略。。。
6.    
7.     location / {
8.         proxy_pass http://vaultwarden:80;
9.         省略。。。
10.     }
11. }

复制代码

2. 内网环境中的 Nginx 多应用代理方案

在内网环境部署Nginx和应用的话，除非是内网的生产应用会有内网的域名外，基本就是使用内网IP。在这种情况下，可以通过不同的端口号来区分应用，或是不同的路径名来区分应用。
2.1 使用不同的端口来区分应用

Nginx的容器配置是基本不变的，需要使用什么接口就发布什么接口。

1.     ports:
2.       - "8080:8080"
3.       - "8443:8443"

复制代码

也可以使用范围来发布连续的端口号，这样可以减少配置量。

1.     ports:
2.       - "8000-8010:8000-8010"

复制代码

Nginx的配置文件则是按应用区分。

1. server {
2.     listen 8004 ssl;
3.     server_name Intranet_IP;
5.     省略。。。
7.     location / {
8.         proxy_pass http://keycloak_web:8080;  # Proxy to Keycloak
9.         
10.         省略。。。
11.     }
12. }

复制代码

这样通过访问服务器的内网IP加端口号就可以访问后端的应用。但是这种方式有一个缺点，就是无法自动从HTTP跳转到HTTPS。所以必须使用https://IPort的格式才行. 这个非常规的端口号不能既监听HTTP又监听HTTPS流量。但是这个方式比较保险，因为https://IPort后面跟的是根路径，后端应用不易出现问题。
2.2 使用不同的路径来区分应用

Nginx容器的配置没有变化，就还是正常监听80和443端口。访问不同的应用则是通过后面的路径名来区分的。Nginx的配置文件则是变成一个文件，格式如下。

• 第一个Server block是用于HTTP跳转到HTTPS。
  
• 第二个Server block是用于处理HTTPS的访问。
  
• 通过路径来区分将请求转到后端的哪个应用上。
  

1. server {
2.     listen 80;
3.     server_name _;
5.     # Redirect all HTTP requests to HTTPS
6.     return 301 https://$host:$request_uri;
7. }
10. server {
11.     listen 443 ssl;
12.     server_name _;
14.      省略。。。
16.     # /draw -> Excalidraw
17.     location /draw/ {
18.         proxy_pass http://excalidraw:80; # reverse proxy to Excalidraw
19.         省略。。。
20.     }
22.     # /password -> Vaultwarden
23.     location /password/ {
24.         proxy_pass http://vaultwarden:80; # reverse proxy to Vaultwarden
25.         省略。。。
26.     }
28. }

复制代码

但是通过不同路径来区分应用的方式会导致一些后端应用无法运行。譬如像Excalidraw这样的应用，后端期待的根路径/开始的，但是实际上传过去的是/draw/，导致无法识别路径。虽然后来我加上了路径改写rewrite ^/draw/(.*)$ /$1 break;，但是依然不生效，返回的路径也把/draw给去掉了。
2.3 结论

如果使用路径不影响应用的话，这种还是比较方便的，毕竟容易记，且还能重定向到HTTPS，也不用更改Nginx容器的发布端口的配置。

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！