Nginx配置域名转发及https访问

1.概述

当在一个服务器部署多个服务，不同服务需要通过不同域名访问时，可以通过Nginx代理进行域名转发，同时还可以通过配置SSL模块实现https访问。

本文示例的业务需求为：

在一个服务器同时部署3个服务：服务A，服务B和服务C。

服务需配置以下域名：

a.domain.com域名对应服务A；

b.domain.com域名对应服务B；

c.domain.com域名对应服务C。

服务通过https访问，http请求重定向至https。

本文Nginx使用Docker官方进行部署，自带SSL模块，如果安装的Nginx未开启该模块，可自行开启

2.服务代理配置

配置Nginx监听443端口，实现域名转发和https访问，本示例使用的证书是pem格式证书。

服务A的配置

server {
listen  443 ssl; #监听端口
server_name  a.domain.com; #请求域名
ssl on; #开启ssl
ssl_certificate /home/cert/a.domain.com.pem; #pem证书路径
ssl_certificate_key     /home/cert/a.domain.com.key; #pem证书key路径
ssl_session_timeout     5m; #会话超时时间
ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols   TLSv1 TLSv1.1 TLSv1.2; #SSL协议

# 拦截所有请求
location / {
proxy_http_version 1.1; #代理使用的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass http://127.0.0.1:8001; #服务A访问地址

}
}

服务B的配置

server {
listen  443 ssl; #监听端口
server_name  b.domain.com; #请求域名
ssl on; #开启ssl
ssl_certificate /home/cert/b.domain.com.pem; #pem证书路径
ssl_certificate_key     /home/cert/b.domain.com.key; #pem证书key路径
ssl_session_timeout     5m; #会话超时时间
ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols   TLSv1 TLSv1.1 TLSv1.2; #SSL协议

# 拦截所有请求
location / {
proxy_http_version 1.1; #代理使用的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass http://127.0.0.1:8002; #服务B访问地址

}
}

服务C的配置

server {
listen  443 ssl; #监听端口
server_name  c.domain.com; #请求域名
ssl on; #开启ssl
ssl_certificate /home/cert/c.domain.com.pem; #pem证书路径
ssl_certificate_key     /home/cert/c.domain.com.key; #pem证书key路径
ssl_session_timeout     5m; #会话超时时间
ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols   TLSv1 TLSv1.1 TLSv1.2; #SSL协议

# 拦截所有请求
location / {
proxy_http_version 1.1; #代理使用的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass http://127.0.0.1:8003; #服务C访问地址

}
}

3.http请求自动转发

增加server配置，监听80端口，对所有域名进行https重定向。

server {
listen       80; #监听端口
server_name  a.domain.com b.domain.com c.domain.com; #请求域名
return      301 https://$host$request_uri; #重定向至https访问。
}

4.websocket的SSL配置

假如服务A中使用到websocket（访问接口为：/websocket），需要将ws协议更换为wss协议，可在服务A的server配置中增加一个location配置，拦截websocket进行单独代理。

修改后的服务A的配置：

server {
listen  443 ssl; #监听端口
server_name  a.domain.com; #请求域名
ssl on; #开启ssl
ssl_certificate /home/cert/a.domain.com.pem; #pem证书路径
ssl_certificate_key     /home/cert/a.domain.com.key; #pem证书key路径
ssl_session_timeout     5m; #会话超时时间
ssl_ciphers     ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #加密算法
ssl_protocols   TLSv1 TLSv1.1 TLSv1.2; #SSL协议

# 拦截所有请求
location / {
proxy_http_version 1.1; #代理使用的http协议
proxy_set_header Host $host; #header添加请求host信息
proxy_set_header X-Real-IP $remote_addr; # header增加请求来源IP信息
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 增加代理记录
proxy_pass http://127.0.0.1:8001; #服务A访问地址
}

# 拦截websocket请求
location /websocket {
proxy_pass http://127.0.0.1:8001; proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}