Nginx Proxy终极使用手册：从入门到精通

一、Nginx Proxy基础概念

1.1 什么是反向代理

Nginx Proxy的核心功能是作为反向代理服务器，接收客户端请求并转发至后端服务。与正向代理不同，反向代理隐藏了真实服务器信息，提供以下核心价值：

• 请求分发：根据规则路由到不同后端
• 负载均衡：通过upstream模块实现流量分配
• SSL终端：集中管理HTTPS证书
• 缓存加速：静态资源缓存减轻后端压力

1.2 典型应用场景

• 多服务统一入口（如微服务网关）
• 跨域API代理
• A/B测试流量分配
• 灰度发布控制

二、核心配置详解

2.1 基础代理配置

server {
    listen 80;
    server_name proxy.example.com;
    location / {
        proxy_pass http://backend_server;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

关键参数说明：

• proxy_pass：定义后端服务地址（支持HTTP/HTTPS/Unix Socket）
• proxy_set_header：必须传递的标头，否则可能导致后端服务无法获取真实客户端IP

2.2 负载均衡配置

upstream backend {
    least_conn;           # 最少连接算法
    server 10.0.0.1:8080 weight=3;
    server 10.0.0.2:8080;
    server 10.0.0.3:8080 backup;  # 备用节点
}
server {
    location / {
        proxy_pass http://backend;
    }
}

负载策略对比：
| 算法 | 指令 | 适用场景 |
|——————-|————————|—————————-|
| 轮询 | 默认 | 各服务器性能均衡 |
| 加权轮询 | weight参数 | 异构服务器环境 |
| IP哈希 | ip_hash | 会话保持需求 |
| 最少连接 | least_conn | 长连接服务 |

三、高级功能实现

3.1 WebSocket代理

需显式设置连接升级头：

location /wsapp/ {
    proxy_pass http://ws_backend;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
}

3.2 缓存加速

proxy_cache_path /data/nginx/cache levels=1:2 keys_zone=mycache:10m;
server {
    location /static/ {
        proxy_cache mycache;
        proxy_cache_valid 200 302 10m;
        proxy_cache_use_stale error timeout updating;
    }
}

缓存调优建议：

• 使用proxy_cache_lock防止缓存击穿
• 通过proxy_cache_bypass实现动态内容跳过缓存
• 定期清理过期缓存文件

四、安全加固方案

4.1 HTTPS配置最佳实践

server {
    listen 443 ssl;
    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
}

4.2 访问控制

• IP白名单：allow 192.168.1.0/24; deny all;
• 基础认证：auth_basic "Restricted"; auth_basic_user_file /etc/nginx/.htpasswd;
• Rate Limiting：limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;

五、性能优化指南

5.1 关键参数调优

proxy_buffering on;
proxy_buffer_size 4k;
proxy_buffers 8 16k;
proxy_busy_buffers_size 32k;
proxy_temp_file_write_size 64k;
keepalive_timeout 75s;
keepalive_requests 100;

5.2 监控指标说明

• ngx_http_proxy_module统计项：
  • proxy_connect_time
  • proxy_response_time
  • proxy_upstream_calls
• 推荐监控工具：
  • Prometheus + nginx-exporter
  • Datadog APM

六、故障排查手册

6.1 常见错误代码

错误码	可能原因	解决方案
502	后端服务不可达	检查upstream服务器状态及防火墙
504	后端响应超时	调整proxy_read_timeout参数
413	请求体过大	修改client_max_body_size

6.2 日志分析技巧

# 查看上游响应时间超过3秒的请求
tail -f /var/log/nginx/access.log | awk '$NF > 3'
# 统计5xx错误分布
grep 'HTTP/1.1" 50[0-9]' access.log | cut -d' ' -f7 | sort | uniq -c

七、实战案例集合

7.1 多域名代理配置

map $host $backend {
    hostnames;
    default        http://default_backend;
    api.example.com http://api_server:8000;
    app.example.com http://app_server:8080;
}
server {
    listen 80;
    server_name _;
    location / {
        proxy_pass $backend;
    }
}

7.2 Docker环境代理配置

upstream docker_services {
    server container1:3000;
    server container2:3000;
}
server {
    location / {
        proxy_redirect off;
        proxy_pass http://docker_services;
        proxy_set_header Host $http_host;
    }
}

本手册将持续更新维护，建议结合Nginx官方文档（https://nginx.org/en/docs/）使用。遇到特殊场景时，可通过`nginx -T命令验证完整配置，并使用nginx -s reload`安全重载配置。