Docker部署Nginx代理多个服务：公网域名与内网IP场景全解

本文分享了我在公网和内网两种环境下，使用 Docker 部署 Nginx 并代理多个应用的完整实践。涵盖了常见的端口方式、路径方式、HTTPS 自动跳转、容器网络配置等关键细节，并附上完整的 docker-compose.yml 和 Nginx 配置模板。尤其是在内网环境下代理多个应用时，我也遇到了一些坑（如路径代理导致 SPA 应用失效），这里也详细记录了解决思路。适合需要部署内网服务、或希望统一 Nginx 入口管理多个容器服务的朋友参考。

1. 公网环境下的 Nginx 部署与代理配置

1.1 Docker部署Nginx

通常是云服务器有公网IP，并且有域名已经解析到这个公网IP了。

• nginx-reverse-proxy网络负责Nginx和其他应用的交互。
• internet网络负责Nginx发布接口的映射到服务器上。
• 正常监听80和443端口。
• 数据卷挂在Nginx的配置文件夹，日志及主机时间，证书和私钥。

services:
  nginx:
    image: nginx:latest
    container_name: nginx-reverse-proxy
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx/conf.d:/etc/nginx/conf.d:ro
      - ./log:/var/log/nginx
      - /etc/letsencrypt/live/zenseek.site/fullchain.pem:/etc/nginx/certs/fullchain.pem:ro
      - /etc/letsencrypt/live/zenseek.site/privkey.pem:/etc/nginx/certs/privkey.pem:ro
      - /etc/localtime:/etc/localtime:ro
    networks:
      - nginx-reverse-proxy
      - internet
    restart: always

networks:
  nginx-reverse-proxy:
    external: true
  internet:
    external: true

1.2 Nginx配置文件

1.2.1 默认配置文件

• 文件名default.conf
• 默认配置主要负责将HTTP重定向到HTTPS上。

server {
    listen 80;
    server_name _;

    # Redirect all HTTP requests to HTTPS
    return 301 https://$host$request_uri;
}

1.2.2 应用配置文件

• 文件名app.conf
• 将二级域名代理到容器内的应用。

server {
    listen 443 ssl;
    server_name prefix_domain_name;

    省略。。。

    location / {
        proxy_pass http://vaultwarden:80;
        省略。。。
    }
}

2. 内网环境中的 Nginx 多应用代理方案

在内网环境部署Nginx和应用的话，除非是内网的生产应用会有内网的域名外，基本就是使用内网IP。在这种情况下，可以通过不同的端口号来区分应用，或是不同的路径名来区分应用。

2.1 使用不同的端口来区分应用

Nginx的容器配置是基本不变的，需要使用什么接口就发布什么接口。

    ports:
      - "8080:8080"
      - "8443:8443"

也可以使用范围来发布连续的端口号，这样可以减少配置量。

    ports:
      - "8000-8010:8000-8010"

Nginx的配置文件则是按应用区分。

server {
    listen 8004 ssl;
    server_name Intranet_IP;

    省略。。。

    location / {
        proxy_pass http://keycloak_web:8080;  # Proxy to Keycloak

        省略。。。
    }
}

这样通过访问服务器的内网IP加端口号就可以访问后端的应用。但是这种方式有一个缺点，就是无法自动从HTTP跳转到HTTPS。所以必须使用https://IP:Port的格式才行. 这个非常规的端口号不能既监听HTTP又监听HTTPS流量。但是这个方式比较保险，因为https://IP:Port后面跟的是根路径，后端应用不易出现问题。

2.2 使用不同的路径来区分应用

Nginx容器的配置没有变化，就还是正常监听80和443端口。访问不同的应用则是通过后面的路径名来区分的。Nginx的配置文件则是变成一个文件，格式如下。

• 第一个Server block是用于HTTP跳转到HTTPS。
• 第二个Server block是用于处理HTTPS的访问。
• 通过路径来区分将请求转到后端的哪个应用上。

server {
    listen 80;
    server_name _;

    # Redirect all HTTP requests to HTTPS
    return 301 https://$host:$request_uri;
}

server {
    listen 443 ssl;
    server_name _;

     省略。。。

    # /draw -> Excalidraw
    location /draw/ {
        proxy_pass http://excalidraw:80; # reverse proxy to Excalidraw
        省略。。。
    }

    # /password -> Vaultwarden
    location /password/ {
        proxy_pass http://vaultwarden:80; # reverse proxy to Vaultwarden
        省略。。。
    }

}

但是通过不同路径来区分应用的方式会导致一些后端应用无法运行。譬如像Excalidraw这样的应用，后端期待的根路径/开始的，但是实际上传过去的是/draw/，导致无法识别路径。虽然后来我加上了路径改写rewrite ^/draw/(.*)$ /$1 break;，但是依然不生效，返回的路径也把/draw给去掉了。

2.3 结论

如果使用路径不影响应用的话，这种还是比较方便的，毕竟容易记，且还能重定向到HTTPS，也不用更改Nginx容器的发布端口的配置。

延伸阅读

更多内容持续更新于我的博客：https://www.zenseek.site