aptible/nginx-tcp

NGiNX TCP 反向代理服务器镜像

镜像概述和主要用途

该镜像基于NGiNX构建，是一个轻量级TCP反向代理服务器，专注于在TCP传输层实现网络流量的转发与管理。通过接收客户端TCP连接请求并转发至后端服务，可实现隐藏后端服务、均衡流量负载、提升系统可用性与安全性的核心目标。主要用于保护后端TCP服务不直接暴露、分发高并发流量、简化多服务网络架构，适用于各类基于TCP协议的网络应用。

核心功能和特性

核心功能

• TCP流量转发：支持将客户端TCP连接请求转发至单个或多个后端服务节点
• 负载均衡：提供轮询、加权轮询、最少连接、IP哈希等多种负载均衡策略，实现后端服务流量分发
• 健康检查：自动检测后端服务健康状态，剔除不可用节点，保障服务连续性
• 连接管理：支持TCP连接复用、超时控制、连接数限制，优化资源利用率
• SSL/TLS终止：可配置在代理层终止SSL/TLS连接，减轻后端服务加密解密负担（需手动启用）
• 灵活配置：基于NGiNX stream模块，支持自定义转发规则、后端服务定义及参数调整

特性

• 高性能：继承NGiNX事件驱动架构，支持高并发TCP连接处理
• 轻量级：镜像体积小，资源占用低，部署高效
• 稳定可靠：基于NGiNX成熟内核，适合生产环境长期运行
• 易于集成：兼容Docker生态，可与Kubernetes、Docker Compose等容器编排工具无缝集成

使用场景和适用范围

典型使用场景

• 后端服务集群负载均衡：为数据库（如MySQL、PostgreSQL）、消息队列（如RabbitMQ、Kafka）等TCP服务集群提供统一入口，均衡流量负载
• 服务安全隔离：隐藏后端服务真实IP与端口，通过代理层隔离内外网，降低直接暴露风险
• 跨网络TCP转发：实现不同网络环境（如私有网络与公网、多数据中心）间的TCP流量转发
• 多服务统一入口：集中管理多个TCP服务（如SSH、游戏服务器、物联网设备通信），简化客户端连接配置

适用范围

• 数据库服务（MySQL、MongoDB、Redis等）
• 消息队列与缓存系统（Kafka、RabbitMQ、Memcached）
• 远程访问服务（SSH、RDP、VNC）
• 游戏服务器、物联网设备、工业控制等自定义TCP应用
• 需要统一入口或流量控制的TCP服务集群

使用方法和配置说明

基本使用步骤

1. 拉取镜像

bash
docker pull docker.xuanyuan.run/nginx-tcp-proxy  # 实际镜像名称需替换为官方/私有仓库地址

2. 创建配置文件

在宿主机创建NGiNX配置文件（如nginx.conf），示例配置如下：

nginx
worker_processes auto;

events {
    worker_connections 1024;  # 调整最大连接数
}

stream {
    # 定义后端服务集群
    upstream backend_servers {
        server backend-node1:3306 weight=5;  # 后端节点1，权重5
        server backend-node2:3306;           # 后端节点2，默认权重1
        server backend-node3:3306 backup;    # 备份节点，主节点不可用时启用
        
        # 负载均衡策略（默认轮询，可选配置）
        # least_conn;  # 优先转发至连接数最少的节点
        # ip_hash;     # 基于客户端IP哈希，确保会话一致性
    }

    # 配置代理服务
    server {
        listen 3306;  # 代理监听端口（对外提供服务的端口）
        proxy_pass backend_servers;  # 转发至定义的后端集群
        
        # 连接超时配置
        proxy_connect_timeout 5s;   # 与后端建立连接超时时间
        proxy_timeout 30s;          # 客户端-后端连接持续超时时间
        
        # 故障转移配置：连接失败时尝试下一个节点
        proxy_next_upstream error timeout;
    }
}

3. 运行容器

bash
docker run -d \
  --name nginx-tcp-proxy \
  -p 3306:3306 \  # 映射代理监听端口到宿主机
  -v /path/to/nginx.conf:/etc/nginx/nginx.conf:ro \  # 挂载配置文件
  # 如需SSL证书，添加证书挂载：-v /path/to/certs:/etc/nginx/certs:ro \
  nginx-tcp-proxy

4. Docker Compose配置示例

yaml
version: '3'

services:
  tcp-proxy:
    image: docker.xuanyuan.run/nginx-tcp-proxy
    ports:
      - "3306:3306"  # 代理端口映射
    volumes:
      - ./nginx.conf:/etc/nginx/nginx.conf:ro
      # - ./certs:/etc/nginx/certs:ro  # 如需SSL证书
    depends_on:
      - backend-node1
      - backend-node2
    restart: always

  backend-node1:
    image: docker.xuanyuan.run/mysql:5.7
    environment:
      MYSQL_ROOT_PASSWORD: password
    # 后端服务1配置

  backend-node2:
    image: docker.xuanyuan.run/mysql:5.7
    environment:
      MYSQL_ROOT_PASSWORD: password
    # 后端服务2配置

关键配置参数说明

stream模块核心配置

• upstream块：定义后端服务集群

  • server <address>:<port> [参数]：后端服务地址，支持参数：
    • weight=num：权重值（默认为1，值越高分配流量越多）
    • backup：标记为备份节点，仅主节点全部不可用时启用
    • down：临时下线节点，不参与流量分配
  • 负载均衡策略：
    • round_robin（默认）：按顺序轮询转发请求
    • least_conn：优先转发至当前连接数最少的节点
    • ip_hash：基于客户端IP哈希，确保同一客户端请求始终转发至同一节点
    • hash $remote_addr consistent：基于客户端IP的一致性哈希，节点变化时减少请求漂移

• server块：配置代理监听与转发规则

  • listen <port>：指定代理监听的TCP端口（如3306、22）
  • proxy_pass <upstream名称>：将流量转发至指定后端集群（如proxy_pass backend_servers）
  • proxy_connect_timeout <time>：与后端服务建立连接的超时时间（默认60s，建议设为5-10s）
  • proxy_timeout <time>：客户端与后端服务连接的持续超时时间（默认60s，根据业务调整）
  • proxy_next_upstream <conditions>：定义切换至下一个后端节点的条件（如error、timeout、invalid_header）

SSL/TLS终止配置（可选）

如需在代理层处理SSL/TLS加密，在server块中添加：

nginx
ssl on;
ssl_certificate /etc/nginx/certs/server.crt;  # 证书路径
ssl_certificate_key /etc/nginx/certs/server.key;  # 私钥路径
ssl_protocols TLSv1.2 TLSv1.3;  # 支持的TLS协议版本
ssl_ciphers HIGH:!aNULL:!MD5;  # 加密套件配置

注意事项

• 确保容器与后端服务网络互通（如使用Docker网络连接后端容器，或配置可访问的IP地址）
• 生产环境建议启用健康检查（如结合Docker健康检查或外部监控工具）
• 根据业务负载调整worker_connections、超时时间等参数，避免连接瓶颈
• 配置文件修改后需重启容器或通过nginx -s reload热加载配置
• 敏感场景建议限制代理服务器的网络访问权限，仅允许授权客户端连接