nginx-proxy增强版镜像文档

镜像概述

本镜像基于nginx-proxy项目构建，针对实际生产环境需求进行优化。通过预设常用配置解决常规部署中的痛点，简化反向代理服务的搭建流程，特别适合需要处理大请求体（如文件上传）及关注基础安全加固的场景。

核心功能和特性

主要增强点

• 调整请求体大小限制：默认将max_client_body_size设置为100m，解决默认配置下无法处理大文件上传等大请求体场景的问题。
• 隐藏nginx版本信息：移除响应头中的Server: nginx/[version]字段，通过隐藏服务器版本信息降低被针对性攻击的风险。

继承特性

完整保留nginx-proxy核心能力，包括：

• 自动发现Docker容器并生成反向代理配置
• 支持HTTP/HTTPS协议
• 动态更新虚拟主机配置
• 与Let's Encrypt等证书工具兼容

使用场景

• 需要处理大文件上传的Web服务（如内容管理系统、文件存储服务）
• 注重基础安全加固，需隐藏服务器版本信息的生产环境
• 多容器应用的统一入口反向代理（如微服务架构、多网站托管）

使用方法

前置准备

1. 确保Docker和Docker Compose已安装
2. 创建必要的本地目录（如./ssl存放证书、./vhost存放虚拟主机配置）

网络创建

首先创建专用网络（示例使用10.10.255.0/24子网）：

docker network create \
                --driver=bridge \
                --subnet=10.10.255.0/24 \
                --ip-range=10.10.255.0/24 \
                --gateway=10.10.255.254 \
                proxy

docker-compose配置

创建docker-compose.yml文件，配置如下：

version: "3"
services:
  nginx-proxy:
    image: "davyinsa/nginx-proxy"
    container_name: proxy
    volumes:
      # 挂载Docker sock以动态发现容器（必需）
      - /var/run/docker.sock:/tmp/docker.sock:ro
      # SSL证书存放目录（需提前创建，存放.crt和.key文件）
      - ./ssl:/etc/nginx/certs
      # 虚拟主机配置目录（自定义虚拟主机规则存放于此）
      - ./vhost:/etc/nginx/vhost.d
      # 可选：挂载自定义配置覆盖默认nginx配置
      #- ./nginx/custom.conf:/etc/nginx/conf.d/custom.conf
    restart: always
    ports:
      - "80:80"   # HTTP端口映射
      - "443:443" # HTTPS端口映射
    environment:
      # 可选：禁用HTTPS（默认自动启用）
      #- HTTPS_METHOD=nohttps
      # 启用IPv6支持
      - ENABLE_IPV6=true
      # 禁用HSTS（根据安全需求调整，可选on/off）
      - HSTS=off
      # SSL策略配置（可选Mozilla-Modern/Mozilla-Intermediate等）
      - SSL_POLICY=Mozilla-Intermediate
networks:
  default:
    external:
      name: proxy  # 使用已创建的proxy网络

启动服务

执行以下命令启动容器：

docker-compose up -d

配置说明

关键挂载项说明

• /var/run/docker.sock:ro：只读挂载Docker守护进程套接字，nginx-proxy通过此套接字动态发现运行中的容器并生成反向代理规则。
• ./ssl:/etc/nginx/certs：存放SSL证书，证书文件需命名为[域名].crt和[域名].key，nginx-proxy会自动应用对应域名的证书。
• ./vhost:/etc/nginx/vhost.d：存放虚拟主机自定义配置，支持按域名创建配置文件（如example.com），覆盖默认规则。

环境变量说明

• ENABLE_IPV6：是否启用IPv6支持，取值true/false（默认false）。
• HSTS：是否启用HTTP Strict Transport Security，取值on/off（默认on，启用时浏览器会强制使用HTTPS访问）。
• SSL_POLICY：SSL协议和密码套件策略，推荐取值：
  • Mozilla-Intermediate：兼容现代浏览器（推荐）
  • Mozilla-Modern：仅支持最新浏览器，安全性更高但兼容性较差

自定义配置扩展

如需添加额外nginx全局配置（如自定义client_max_body_size或其他参数），可通过挂载自定义配置文件实现：

volumes:
  - ./nginx/custom.conf:/etc/nginx/conf.d/custom.conf

在custom.conf中添加配置，例如：

# 进一步调整请求体大小（如设置为200m）
client_max_body_size 200m;