Nginx内网需带端口访问，如何实现外网仅用域名直连？

一、问题定位：从现象到根因的四层诊断法

当用户访问 https://example.com 出现 502 Bad Gateway、空白页或混合内容警告时，需按以下层级逐级验证：

1. DNS 层：确认 dig example.com +short 返回公网 Nginx 所在服务器 IP（非内网 IP）；
2. 网络层：检查云厂商安全组/防火墙是否放行 443/tcp 和 80/tcp，且未拦截内网回环流量；
3. Nginx 运行层：执行 sudo nginx -t && sudo systemctl reload nginx 验证配置语法与重载有效性；
4. 代理逻辑层：用 curl -H "Host: example.com" http://127.0.0.1:8080/health 模拟后端直连，排除服务自身异常。

二、核心配置：生产级 Nginx HTTPS 反向代理模板

以下为兼顾安全性、兼容性与可维护性的最小完备配置（含 WebSocket 支持与 HTTPS 卸载）：

upstream backend_app {
    server 192.168.10.5:3000;  # 内网 Node.js/Spring Boot 地址
    keepalive 32;
}

server {
    listen 80;
    server_name example.com;
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl http2;
    server_name example.com;

    # SSL 证书（推荐使用 Certbot 自动续期）
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

    # HSTS（强制 HTTPS，避免混合内容）
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

    # 反向代理关键头透传
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Host $host;
    proxy_set_header X-Forwarded-Port $server_port;

    # WebSocket 支持（必须！）
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";

    # 超时与缓冲优化
    proxy_connect_timeout 10s;
    proxy_send_timeout 300s;
    proxy_read_timeout 300s;
    proxy_buffering off;
    proxy_cache off;

    location / {
        proxy_pass http://backend_app;
        proxy_redirect off;
    }

    # 静态资源缓存（可选增强）
    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ {
        expires 1y;
        add_header Cache-Control "public, immutable";
        proxy_pass http://backend_app;
    }
}

三、高频踩坑点对照表

四、进阶架构：Nginx 边缘代理与内网服务解耦流程图

五、验证清单：上线前必检的 7 项动作

• ✅ 使用 openssl s_client -connect example.com:443 -servername example.com 验证证书链完整性
• ✅ 访问 https://example.com/.well-known/security.txt 检查 HSTS 响应头是否存在
• ✅ 在浏览器开发者工具 Network 标签中确认所有请求 Protocol 列显示 h2（HTTP/2）
• ✅ 执行 curl -I http://example.com 验证 301 重定向是否精准指向 HTTPS
• ✅ 启动 WebSocket 客户端（如 wscat -c wss://example.com/ws）测试长连接稳定性
• ✅ 查看 Nginx error.log：tail -f /var/log/nginx/error.log | grep -i "upstream\|timeout"
• ✅ 对比 $host 与 $http_host 在 access_log 中的实际值，确保 Host 头透传无损

六、长期运维建议：自动化与可观测性加固

对 5 年以上经验的工程师，建议将以下实践纳入 CI/CD 流水线：

• 证书自动续期：通过 systemd timer + Certbot hook 自动重载 Nginx（避免中断）
• 配置版本化：将 /etc/nginx/conf.d/*.conf 纳入 Git 仓库，每次变更触发 Nginx 语法检查
• 健康探针集成：在 location /health 返回 JSON 状态，供 Prometheus + Blackbox Exporter 监控
• 日志结构化：使用 log_format json '{ "time": "$time_iso8601", "host": "$host", "status": "$status", "upstream": "$upstream_addr" }';