user nginx; worker_processes auto; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; use epoll; multi_accept on; } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 30s; keepalive_requests 1000; # 安全响应头 add_header Strict-Transport-Security "max-age=63072000; includeSubDomains" always; add_header X-Content-Type-Options nosniff; add_header X-Frame-Options SAMEORIGIN; # --- SSL 配置 --- # 可以在 http 块中统一配置 SSL,然后 server 块继承,或者在 server 块中重复配置以覆盖 ssl_certificate /etc/nginx/certs/server.crt; ssl_certificate_key /etc/nginx/certs/server.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # --- 后端服务定义 --- upstream sys_ui { server sys-ui:80; } upstream lmg_ui { server lmg-ui:80; } upstream sys_api { server sys_api:19902; } upstream lmg_api { server lmg_api:19904; } upstream auth_api { server sys_api:19902; # 假设认证服务也由 sys_api 提供,并且端口是 19902 } # --- 合并后的网关服务配置 --- server { listen 8000 ssl reuseport; # 如果你的 IP 106.52.199.114 是你对外的服务地址,可以用它。 # 如果你有一个域名,比如 www.your-domain.com,那么 server_name 应该指向那个域名。 # 如果只有一个 IP,可以不写 server_name,或者写 IP 地址。 # server_name 106.52.199.114; # 或者你的域名 # SSL 配置 (如果 http 块已配置,这里可以省略,除非需要特定 server 的 SSL 设置) # ssl_certificate /etc/nginx/certs/server.crt; # ssl_certificate_key /etc/nginx/certs/server.key; # ... 其他 SSL 设置 ... # 统一代理头配置 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # --- Sys UI 静态资源服务 --- # 所有以 /sys/ 开头的请求,都代理到 sys_ui 容器 # nginx 的 location 会处理路径的匹配和剥离 location /sys/ { proxy_pass http://sys_ui/; # 注意这里的 / 后面的斜杠很重要,它会使代理到上游时保持路径 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 如果 sys-ui 的裏面 Nginx 配置了 try_files /index.html; # 那么这里代理到 http://sys_ui/ 即可,它会代理到 http://sys_ui/sys/ 后, # sys-ui 的 Nginx 会处理 /sys/index.html 的请求 } # --- Sys API 代理 --- # 所有以 /sys/api/ 开头的请求,都代理到 sys_api location /sys/api/ { proxy_pass https://sys_api/api/; # 注意这里,代理目标路径是 /api/,并且会保留原始请求的 /sys/api/ 之后的路径 proxy_ssl_server_name on; proxy_ssl_session_reuse off; # 生产环境建议开启证书验证:proxy_ssl_verify on; # 如果后端 sys_api 是 HTTP 而不是 HTTPS,请去掉 proxy_ssl_... 配置,直接使用 proxy_pass http://sys_api/api/; proxy_ssl_verify off; proxy_set_header Host $proxy_host; # 使用上游服务的 Host proxy_set_header Authorization $http_authorization; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host:$server_port; # 这是一个很关键的重写,确保上游的 Location Header 也正确指向新的路径 proxy_redirect https://sys_api/ /sys/api/; } # --- Lmg UI 静态资源服务 --- # 所有以 /lmg/ 开头的请求,都代理到 lmg_ui 容器 location /lmg/ { proxy_pass http://lmg_ui/; # 同样,这里的 / 后面的斜杠很重要 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } # --- Lmg API 代理 --- # 所有以 /lmg/api/ 开头的请求,都代理到 lmg_api location /lmg/api/ { proxy_pass https://lmg_api/api/; proxy_ssl_server_name on; proxy_ssl_session_reuse off; proxy_ssl_verify off; proxy_set_header Host $proxy_host; proxy_set_header Authorization $http_authorization; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host:$server_port; proxy_redirect https://lmg_api/ /lmg/api/; # 重写 Location 头 } # --- 认证服务代理 --- # 这个可以放在一个单独的 location 中,因为它不属于任何 UI # 假设认证服务在 /auth/ 下 location /auth/ { proxy_pass https://auth_api/auth/; proxy_ssl_server_name on; proxy_ssl_session_reuse off; proxy_ssl_verify off; proxy_set_header Host $proxy_host; proxy_set_header Authorization $http_authorization; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host:$server_port; proxy_redirect https://auth_api/ /auth/; # 重写 Location 头 } # 如果有其他的根路径请求,可以单独处理,或者暂时不做处理 # 例如,如果你想让访问根目录 `/` 的时候显示一个默认页面或跳转到某个 UI # location / { # return 301 /sys/; # 例如,将所有直接访问根目录的请求重定向到 sys-ui # } # 如果你的 sys-ui 和 lmg-ui 的构建配置是输出到 dist 目录, # 并且它们的 index.html 都在根目录下,那么代理到上游的时候, # Nginx 的 location directive 会处理路径。 # 例如访问 http://your-gateway:8000/sys/ 会代理到 http://sys-ui:80/ # 此时 sys-ui 内部的 Nginx 会去查找 / (或者 /sys/) 下的 index.html # 如果 sys-ui 的 Nginx 配置了 try_files $uri $uri/ /index.html; # 并且它的 index.html 在根目录,那么 Nginx 代理到 http://sys-ui:80/ 会找到 /index.html 并返回。 # 如果你希望它能处理 /sys/ 的路由,那么 sys-ui 的前端路由也需要支持 /sys/ 开头的路径。 # 在很多 SPA 应用中,前端会配置一个基础路径(base path),例如 Vue.js 的 publicPath。 # 如果你的 sys-ui 的 publicPath 是 /sys/,lmg-ui 的 publicPath 是 /lmg/ # 那么上面的配置就基本是正确的。 } }