Docker Nginx HTTPS配置指南：二级域名无端口访问多Web项目

一、引言：为何需要Docker+Nginx实现多项目无端口访问？

在微服务架构和DevOps普及的今天，开发者常需在同一服务器上部署多个Web项目（如前端应用、API服务、管理后台等）。传统方案中，每个项目需绑定不同端口（如8080、8081），用户需手动输入端口号访问，体验差且易出错。通过Docker容器化与Nginx反向代理结合，可实现：

1. 二级域名无端口访问：用户通过project1.example.com、project2.example.com直接访问，无需记忆端口。
2. HTTPS安全加密：自动配置SSL证书，保障数据传输安全。
3. 资源隔离与扩展性：每个项目独立容器运行，便于横向扩展。

二、技术原理与核心组件

1. Docker容器化

Docker将每个Web项目打包为独立容器，通过docker-compose.yml定义服务依赖和网络配置。例如：

version: '3'
services:
  project1:
    image: nginx:alpine
    volumes:
      - ./project1/dist:/usr/share/nginx/html
    networks:
      - web_network
  project2:
    image: node:alpine
    command: npm start
    volumes:
      - ./project2:/app
    networks:
      - web_network
networks:
  web_network:
    driver: bridge

2. Nginx反向代理与负载均衡

Nginx作为反向代理服务器，接收外部请求后根据域名路由至对应容器。关键配置包括：

• server_name：匹配二级域名（如project1.example.com）。
• proxy_pass：指向Docker容器内部端口（如http://project1:80）。
• SSL证书：通过Let’s Encrypt或自签名证书实现HTTPS。

3. 二级域名解析

需在DNS服务商（如阿里云、Cloudflare）配置CNAME记录，将*.example.com指向服务器公网IP。

三、详细配置步骤

1. 准备环境

• 安装Docker与Docker Compose：

  curl -fsSL https://get.docker.com | sh
  sudo curl -L "https://github.com/docker/compose/releases/download/v2.20.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
  sudo chmod +x /usr/local/bin/docker-compose

• 获取SSL证书（以Certbot为例）：

  sudo apt install certbot python3-certbot-nginx
  sudo certbot certonly --manual --preferred-challenges dns -d *.example.com

2. 配置Nginx容器

创建nginx.conf文件，定义多个server块：

http {
  server {
    listen 443 ssl;
    server_name project1.example.com;
    ssl_certificate /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/privkey.pem;
    location / {
      proxy_pass http://project1:80;
      proxy_set_header Host $host;
    }
  }
  server {
    listen 443 ssl;
    server_name project2.example.com;
    ssl_certificate /etc/nginx/ssl/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/privkey.pem;
    location / {
      proxy_pass http://project2:3000;
      proxy_set_header Host $host;
    }
  }
}

通过Docker卷挂载证书与配置：

services:
  nginx:
    image: nginx:alpine
    ports:
      - "443:443"
    volumes:
      - ./nginx.conf:/etc/nginx/nginx.conf
      - /etc/letsencrypt/live/example.com:/etc/nginx/ssl
    depends_on:
      - project1
      - project2

3. 启动容器并验证

docker-compose up -d
curl -I https://project1.example.com  # 应返回200状态码

四、高级优化与问题排查

1. 自动续期SSL证书

配置Certbot定时任务：

(crontab -l 2>/dev/null; echo "0 3 * * * /usr/bin/certbot renew --quiet") | crontab -

2. 负载均衡与健康检查

对高并发项目，可配置Nginx上游模块：

upstream project1_servers {
  server project1:80 weight=3;
  server project1_backup:80 backup;
}

3. 常见问题

• 502 Bad Gateway：检查容器是否启动、端口是否暴露。
• DNS解析失败：确认CNAME记录已生效，使用dig project1.example.com验证。
• SSL证书错误：检查证书路径与权限，确保证书未过期。

五、扩展场景：多环境与自动化

1. 多环境配置

通过docker-compose.override.yml区分开发、测试、生产环境：

# docker-compose.override.yml
services:
  project1:
    environment:
      - NODE_ENV=development
    ports:
      - "8080:80"  # 开发环境暴露端口

2. CI/CD集成

在GitLab CI或Jenkins中添加步骤：

deploy:
  stage: deploy
  script:
    - docker-compose build
    - docker-compose up -d
  only:
    - master

六、总结与建议

通过Docker与Nginx的组合，开发者可高效实现二级域名无端口访问多个Web项目，核心步骤包括：

1. 容器化每个项目并定义网络。
2. 配置Nginx反向代理与SSL证书。
3. 解析二级域名至服务器IP。
4. 优化负载均衡与自动化运维。

建议：

• 使用Traefik替代Nginx可简化动态路由配置。
• 对敏感项目，启用Nginx的auth_basic或JWT验证。
• 定期备份证书与配置文件。

此方案适用于中小型团队快速部署多项目，兼顾安全性与可维护性，是现代Web架构的优选实践之一。