Nginx反向代理配置全流程实战:从环境搭建到HTTPS部署
在开发和部署Web应用时,反向代理是实现负载均衡、SSL证书管理和域名访问的关键技术。本文将以Nginx为例,详细记录如何配置反向代理,解决“域名+端口可访问但直接域名访问失败”的问题,并最终实现HTTPS加密访问(全程基于实际操作场景,避免冗余步骤)。
一、问题背景与核心需求
- 场景:后端服务运行在服务器3000端口,通过
your-domain.com:3000可正常访问,但直接输入your-domain.com(默认80端口)时无法加载页面。 - 目标:配置Nginx反向代理,让域名(不带端口)直接指向后端服务,并启用HTTPS加密。
二、Nginx反向代理核心配置流程
1. 环境准备:创建站点配置目录
Nginx默认没有sites-available目录,需手动创建(用于集中管理单个站点的配置文件,便于后续维护):
# 创建站点配置目录(存放反向代理配置文件)
sudo mkdir -p /etc/nginx/sites-available
2. 修改主配置文件(nginx.conf):引入自定义配置
Nginx主配置文件位于/etc/nginx/nginx.conf,关键是在http块内添加include指令,让Nginx能读取sites-available目录下的配置:
# 编辑主配置文件
sudo vim /etc/nginx/nginx.conf# 在http块内添加以下内容(示例核心结构)
http {# 原有默认配置(如log_format、sendfile、include mime.types等,保留不变)# 关键:引入sites-available目录下的所有.conf配置文件include /etc/nginx/sites-available/*.conf;
}
注意:
include指令必须放在http块内,否则会报“serverdirective is not allowed here”错误(server块只能在http层级下生效)。
3. 编写反向代理配置文件
在sites-available目录下创建当前域名的配置文件(如your-domain.com.conf),内容包含“HTTP自动跳HTTPS”和“HTTPS反向代理”两部分:
# 创建并编辑反向代理配置文件
sudo vim /etc/nginx/sites-available/your-domain.com.conf
配置文件内容(替换your-domain.com为实际域名,证书路径为实际路径):
# 1. HTTP请求(80端口)自动跳转HTTPS(强制加密访问)
server {listen 80; # 监听默认HTTP端口server_name your-domain.com; # 绑定你的域名# 所有HTTP请求301重定向到HTTPSreturn 301 https://$server_name$request_uri;
}# 2. HTTPS请求(443端口)反向代理到后端3000端口
server {listen 443 ssl; # 监听HTTPS默认端口server_name your-domain.com; # 绑定你的域名# SSL证书配置(替换为实际证书路径)ssl_certificate /etc/nginx/ssl/your-domain.com.pem; # 公钥(PEM格式)ssl_certificate_key /etc/nginx/ssl/your-domain.com.key; # 私钥# 核心:反向代理到后端服务(3000端口)location / {proxy_pass http://127.0.0.1:3000; # 转发到本地3000端口# 传递客户端真实IP和请求信息(后端服务可获取真实访问来源)proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme; # 告诉后端当前是HTTPS协议}
}
4. 验证配置并生效
配置写完后,必须检查语法是否正确,再重新加载Nginx服务:
# 1. 检查Nginx配置语法(关键!避免配置错误导致服务无法启动)
sudo nginx -t# 若输出以下内容,说明语法正确:
# nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
# nginx: configuration file /etc/nginx/nginx.conf test is successful# 2. 重新加载配置(不中断现有连接,平滑生效)
sudo nginx -s reload
三、后端服务关键调整(以NestJS为例)
反向代理生效的前提是后端服务能正确响应Nginx的转发请求,需注意两点:
1. 绑定地址:允许所有IP访问
确保后端服务绑定到0.0.0.0(而非127.0.0.1),否则仅能本地访问,Nginx无法转发:
// 后端启动文件(如main.js)
async function bootstrap() {const app = await NestFactory.create(AppModule);// 绑定0.0.0.0:3000,允许服务器所有IP(包括127.0.0.1)访问await app.listen(3000, '0.0.0.0');console.log('后端服务启动:http://localhost:3000');
}
bootstrap();
2. 协议统一:后端禁用HTTPS(让Nginx处理加密)
若后端服务自己配置了HTTPS(如加载证书),会与Nginx的HTTPS形成“协议冲突”(Nginx用HTTP转发到后端HTTPS端口,导致连接被拒绝)。
正确做法:后端仅用HTTP,让Nginx统一处理SSL加密(简化架构,便于证书管理)。
四、常见错误排查(实战踩坑记录)
1. 502 Bad Gateway错误
- 现象:访问域名显示“502”,Nginx日志提示“
upstream prematurely closed connection”。 - 原因:Nginx能连接后端端口,但后端未返回响应(如协议冲突、后端崩溃)。
- 排查步骤:
- 测试本地访问后端:
curl http://127.0.0.1:3000(若返回“Empty reply”,说明后端服务异常); - 查看后端日志:
pm2 logs(若用PM2管理,检查是否有代码报错或证书加载失败); - 确认后端协议:确保后端是HTTP,而非HTTPS。
- 测试本地访问后端:
2. 配置语法错误
- 现象:
nginx -t报错“server directive is not allowed here”。 - 原因:
include /etc/nginx/sites-available/*.conf;写在了http块外面。 - 解决:将
include指令移到nginx.conf的http块内。
3. 域名无法访问(但域名+端口可访问)
- 现象:
your-domain.com:3000能打开,your-domain.com打不开。 - 原因:80/443端口未开放,或Nginx未监听80/443端口。
- 解决:
- 开放端口(以firewalld为例):
sudo firewall-cmd --add-port=80/tcp --permanent sudo firewall-cmd --add-port=443/tcp --permanent sudo firewall-cmd --reload - 确认Nginx监听端口:
netstat -tulpn | grep nginx(需显示0.0.0.0:80和0.0.0.0:443)。
- 开放端口(以firewalld为例):
五、最终验证与最佳实践
1. 验证反向代理生效
- 浏览器访问:输入
https://your-domain.com,应直接显示后端服务内容(无需加3000端口); - 命令行验证:
curl -v https://your-domain.com(查看响应是否来自后端服务)。
2. 最佳实践建议
- 配置分离:用
sites-available管理单站点配置,避免主配置文件臃肿; - 证书权限:确保Nginx能读取证书文件,执行
chown nginx:nginx /etc/nginx/ssl/*; - 日志监控:定期查看Nginx错误日志:
tail -f /var/log/nginx/error.log(快速定位问题); - 性能优化:在
http块内添加Gzip压缩(减少传输体积):gzip on; gzip_types text/plain text/css application/json application/javascript;
六、总结
Nginx反向代理的核心是“配置路径正确+协议统一”:
- 主配置
nginx.conf的http块内必须引入sites-available目录; - 后端服务绑定
0.0.0.0且用HTTP,让Nginx处理HTTPS; - 配置后先
nginx -t检查语法,再reload生效,避免服务中断。
按此流程操作,即可解决“域名+端口可访问但直接域名不可访问”的问题,实现安全、规范的Web服务部署。