利用Nginx Proxy Manager实现容器服务流量隔离方案

方案概述

本方案使用Nginx Proxy Manager作为反向代理和流量管理工具，为容器化服务提供安全可靠的流量隔离解决方案。通过该方案可以实现：

1. 多容器服务的统一入口管理
2. 基于域名的流量隔离
3. HTTPS自动证书管理
4. 访问控制和权限管理
5. 流量监控和日志记录

技术架构

[外部用户]
   |
[Cloudflare/CDN] (可选)
   |
[Nginx Proxy Manager]
   ├── [容器服务A] (app1.example.com)
   ├── [容器服务B] (app2.example.com)
   └── [容器服务C] (api.example.com)

实施步骤

1. 部署Nginx Proxy Manager

使用Docker Compose部署Nginx Proxy Manager:

version: '3'
services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '80:80'
      - '81:81'
      - '443:443'
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt
    environment:
      DB_SQLITE_FILE: "/data/database.sqlite"
      DISABLE_IPV6: "true"

2. 配置代理主机

1. 访问Nginx Proxy Manager管理界面(默认端口81)
2. 添加"Proxy Host"配置：
   • 域名: yourdomain.com
   • Scheme: http
   • Forward Hostname/IP: 容器服务名称(如app1)
   • Forward Port: 容器服务端口(如3000)
   • 开启"Block Common Exploits"和"Websockets Support"

3. 配置SSL证书

1. 在代理主机配置中启用SSL
2. 使用Let's Encrypt申请免费证书
   • 提供有效的邮箱地址
   • 确保域名已解析到服务器IP
3. 开启"Force SSL"和"HTTP/2 Support"

4. 实现流量隔离

基于域名的隔离: - 为每个服务分配独立子域名(app1.domain.com, app2.domain.com) - 每个子域名指向不同的后端容器服务

基于路径的隔离(可选):

location /service1 {
    proxy_pass http://service1:port;
}

location /service2 {
    proxy_pass http://service2:port;
}

5. 访问控制配置

1. 基本认证:

   • 在"Access Lists"中创建访问控制列表
   • 添加需要认证的用户名和密码
   • 在代理主机配置中应用该访问列表

2. IP限制:

   • 创建自定义Nginx配置片段：

   allow 192.168.1.0/24;
   deny all;
   

6. 高级安全配置

1. 安全头部:

   add_header X-Frame-Options "SAMEORIGIN";
   add_header X-XSS-Protection "1; mode=block";
   add_header X-Content-Type-Options "nosniff";
   add_header Referrer-Policy "strict-origin";
   add_header Content-Security-Policy "default-src 'self'";
   

2. 速率限制:

   limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
   

监控与维护

1. 日志管理:

   • 配置日志轮转
   • 将日志发送到集中式日志系统(如ELK)

2. 性能监控:

   • 启用Nginx状态模块
   • 集成Prometheus监控

3. 定期维护:

   • 检查证书过期时间
   • 更新Nginx Proxy Manager版本
   • 审查访问日志中的异常请求

故障排查指南

1. 502 Bad Gateway:

   • 检查后端服务是否运行
   • 验证容器网络连接

2. 证书问题:

   • 确认域名解析正确
   • 检查Let's Encrypt速率限制

3. 性能问题:

   • 调整worker_processes和worker_connections
   • 启用缓存和压缩

最佳实践建议

1. 为生产环境配置数据库高可用(MySQL/PostgreSQL代替SQLite)
2. 实现配置即代码，将NPM配置纳入版本控制
3. 设置自动化证书续期监控
4. 定期进行安全审计和渗透测试
5. 考虑结合WAF(如Cloudflare或ModSecurity)增强防护

本方案通过Nginx Proxy Manager提供了简单易用但功能强大的流量管理解决方案，特别适合中小规模容器化部署环境，兼顾了安全性和易用性。