gateway/nginx.conf.gateway

user nginx;
worker_processes auto;

error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;

events {
    worker_connections 1024;
    use epoll;
    multi_accept on;
}

http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';
    access_log /var/log/nginx/access.log main;

    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;

    keepalive_timeout 30s;
    keepalive_requests 1000;

    # 安全响应头
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always;
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options SAMEORIGIN;

    # --- SSL 配置 ---
    # 可以在 http 块中统一配置 SSL，然后 server 块继承，或者在 server 块中重复配置以覆盖
    ssl_certificate /etc/nginx/certs/server.crt;
    ssl_certificate_key /etc/nginx/certs/server.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;

    # --- 后端服务定义 ---
    upstream sys_ui {
        server sys-ui:80;
    }
    upstream lmg_ui {
        server lmg-ui:80;
    }
    upstream sys_api {
        server sys_api:19902;
    }
    upstream lmg_api {
        server lmg_api:19904;
    }
    upstream auth_api {
        server sys_api:19902; # 假设认证服务也由 sys_api 提供，并且端口是 19902
    }

    # --- 合并后的网关服务配置 ---
    server {
        listen 8000 ssl reuseport;
        # 如果你的 IP 106.52.199.114 是你对外的服务地址，可以用它。
        # 如果你有一个域名，比如 www.your-domain.com，那么 server_name 应该指向那个域名。
        # 如果只有一个 IP，可以不写 server_name，或者写 IP 地址。
        # server_name 106.52.199.114; # 或者你的域名

        # SSL 配置 (如果 http 块已配置，这里可以省略，除非需要特定 server 的 SSL 设置)
        # ssl_certificate /etc/nginx/certs/server.crt;
        # ssl_certificate_key /etc/nginx/certs/server.key;
        # ... 其他 SSL 设置 ...

        # 统一代理头配置
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # --- Sys UI 静态资源服务 ---
        # 所有以 /sys/ 开头的请求，都代理到 sys_ui 容器
        # nginx 的 location 会处理路径的匹配和剥离
        location /sys/ {
            proxy_pass http://sys_ui/; # 注意这里的 / 后面的斜杠很重要，它会使代理到上游时保持路径
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            # 如果 sys-ui 的裏面 Nginx 配置了 try_files /index.html;
            # 那么这里代理到 http://sys_ui/ 即可，它会代理到 http://sys_ui/sys/ 后，
            # sys-ui 的 Nginx 会处理 /sys/index.html 的请求
        }

        # --- Sys API 代理 ---
        # 所有以 /sys/api/ 开头的请求，都代理到 sys_api
        location /sys/api/ {
            proxy_pass https://sys_api/api/; # 注意这里，代理目标路径是 /api/，并且会保留原始请求的 /sys/api/ 之后的路径
            proxy_ssl_server_name on;
            proxy_ssl_session_reuse off;
            # 生产环境建议开启证书验证：proxy_ssl_verify on;
            # 如果后端 sys_api 是 HTTP 而不是 HTTPS，请去掉 proxy_ssl_... 配置，直接使用 proxy_pass http://sys_api/api/;
            proxy_ssl_verify off;

            proxy_set_header Host $proxy_host; # 使用上游服务的 Host
            proxy_set_header Authorization $http_authorization;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header X-Forwarded-Host $host:$server_port;

            # 这是一个很关键的重写，确保上游的 Location Header 也正确指向新的路径
            proxy_redirect https://sys_api/ /sys/api/;
        }

        # --- Lmg UI 静态资源服务 ---
        # 所有以 /lmg/ 开头的请求，都代理到 lmg_ui 容器
        location /lmg/ {
            proxy_pass http://lmg_ui/; # 同样，这里的 / 后面的斜杠很重要
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }

        # --- Lmg API 代理 ---
        # 所有以 /lmg/api/ 开头的请求，都代理到 lmg_api
        location /lmg/api/ {
            proxy_pass https://lmg_api/api/;
            proxy_ssl_server_name on;
            proxy_ssl_session_reuse off;
            proxy_ssl_verify off;

            proxy_set_header Host $proxy_host;
            proxy_set_header Authorization $http_authorization;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header X-Forwarded-Host $host:$server_port;

            proxy_redirect https://lmg_api/ /lmg/api/; # 重写 Location 头
        }

        # --- 认证服务代理 ---
        # 这个可以放在一个单独的 location 中，因为它不属于任何 UI
        # 假设认证服务在 /auth/ 下
        location /auth/ {
            proxy_pass https://auth_api/auth/;
            proxy_ssl_server_name on;
            proxy_ssl_session_reuse off;
            proxy_ssl_verify off;

            proxy_set_header Host $proxy_host;
            proxy_set_header Authorization $http_authorization;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header X-Forwarded-Host $host:$server_port;

            proxy_redirect https://auth_api/ /auth/; # 重写 Location 头
        }

        # 如果有其他的根路径请求，可以单独处理，或者暂时不做处理
        # 例如，如果你想让访问根目录 `/` 的时候显示一个默认页面或跳转到某个 UI
        # location / {
        #     return 301 /sys/; # 例如，将所有直接访问根目录的请求重定向到 sys-ui
        # }

        # 如果你的 sys-ui 和 lmg-ui 的构建配置是输出到 dist 目录，
        # 并且它们的 index.html 都在根目录下，那么代理到上游的时候，
        # Nginx 的 location directive 会处理路径。
        # 例如访问 http://your-gateway:8000/sys/ 会代理到 http://sys-ui:80/
        # 此时 sys-ui 内部的 Nginx 会去查找 / (或者 /sys/) 下的 index.html
        # 如果 sys-ui 的 Nginx 配置了 try_files $uri $uri/ /index.html;
        # 并且它的 index.html 在根目录，那么 Nginx 代理到 http://sys-ui:80/ 会找到 /index.html 并返回。
        # 如果你希望它能处理 /sys/ 的路由，那么 sys-ui 的前端路由也需要支持 /sys/ 开头的路径。
        # 在很多 SPA 应用中，前端会配置一个基础路径（base path），例如 Vue.js 的 publicPath。
        # 如果你的 sys-ui 的 publicPath 是 /sys/，lmg-ui 的 publicPath 是 /lmg/
        # 那么上面的配置就基本是正确的。
    }
}