Radarr反向代理配置错误导致地址无法访问的深度排查与解决方案

1. 问题背景与现象描述

在部署Radarr等媒体管理服务时，用户常通过Nginx或Apache进行反向代理以实现域名访问、HTTPS加密及端口隐藏。然而，大量用户反馈Radarr地址无法访问，典型表现为：

• 浏览器返回“502 Bad Gateway”
• 页面加载空白，无任何响应内容
• 出现403 Forbidden错误
• 重定向至错误的URL（如http://localhost:8989）

2. 常见技术问题分析

从网络请求流视角出发，客户端 → 反向代理 → Radarr服务，任一环节配置不当均会导致通信失败。主要问题集中在以下三个层面：

3. 深度排查流程图

    graph TD
        A[客户端访问失败] --> B{是否返回502?}
        B -- 是 --> C[检查反向代理与后端连接]
        B -- 否 --> D{是否重定向到localhost?}
        D -- 是 --> E[检查X-Forwarded-Proto/Host头]
        D -- 否 --> F{页面空白或403?}
        F -- 是 --> G[检查Radarr BindAddress和URLBase]
        G --> H[验证Nginx/Apache代理头配置]
        H --> I[确认防火墙与端口映射]
    

4. 核心配置项详解

以下是影响Radarr可访问性的关键配置点：

1. X-Forwarded-For：标识原始客户端IP，用于日志审计与安全策略。
2. X-Forwarded-Proto：告知后端当前协议（HTTP/HTTPS），避免强制跳转HTTP。
3. X-Forwarded-Host：确保Radarr生成正确回调URL。
4. URLBase：若使用子路径（如/example/radarr），必须在Radarr中设置对应值。
5. BindAddress：应设为0.0.0.0以监听所有接口，而非仅localhost。
6. Proxy Pass Target：确保Nginx/Apache指向正确的内部端口（默认8989）。
7. WebSocket支持：Radarr UI依赖WebSocket，需启用Upgrade头。
8. 缓存控制：静态资源代理时避免误缓存动态接口。
9. SSL终结位置：明确SSL由代理层处理，Radarr无需启用HTTPS。
10. 防火墙规则：确保容器或主机开放内部通信端口。

5. Nginx反向代理配置示例

以下是一个生产级Nginx配置片段，适用于带URLBase的Radarr部署：

server {
    listen 80;
    server_name radarr.example.com;

    location /radarr/ {
        proxy_pass http://127.0.0.1:8989/;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Uri $request_uri;
        proxy_redirect off;

        # WebSocket support
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}
    

6. Radarr应用级配置调整

编辑config.xml文件（通常位于~/.config/Radarr/config.xml），确保以下字段正确：

<UrlBase>/radarr</UrlBase>
<BindAddress>0.0.0.0</BindAddress>
<Port>8989</Port>
<SslPort>9898</SslPort>
<EnableSsl>False</EnableSsl>