本文详解如何使用 nginx 作为反向代理,将特定子域名(如 api.example.com)无缝转发至本地运行的 go http 服务,无需 fastcgi 或中间层,仅需标准 `net/http` 和简洁的 nginx 配置。
在生产环境中,Go 程序通常以独立 HTTP 服务器形式运行(例如监听 :8080),而 Nginx 则承担 TLS 终止、负载均衡、静态资源托管及多域名/子域名路由等职责。将子域名(如 api.yourdomain.com)指向 Go 服务,核心在于 Nginx 的 proxy_pass 指令——它能将 HTTP 请求透明转发至后端 Go 进程,实现零耦合集成。
以下是一个完整可运行的示例:
1. 启动 Go Web 服务(监听本地端口)
确保 Go 服务绑定到 127.0.0.1(而非 0.0.0.0)以增强安全性,并明确指定端口(如 :8080):
package main
import (
"fmt"
"log"
"net/http"
)
func handler(w http.ResponseWriter, r *http.Request) {
w.Header().Set("Content-Type", "application/json; charset=utf-8")
fmt.Fprintf(w, `{"message": "Hello from Go on %s", "path": "%s"}`,
r.Host, r.URL.Path)
}
func main() {
http.HandleFunc("/", handler)
log.Println("Go server starting on :8080...")
log.Fatal(http.ListenAndServe("127.0.0.1:8080", nil))
}✅ 关键点:ListenAndServe("127.0.0.1:8080", nil) 限制仅本机访问,避免端口暴露至公网。
2. 配置 Nginx 子域名虚拟主机
在 /etc/nginx/sites-available/api.yourdomain.com 中创建配置(软链至 sites-enabled):
server {
listen 80;
server_name api.yourdomain.com;
# 可选:HTTP → HTTPS 强制跳转
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl http2;
server_name api.yourdomain.com;
# SSL 配置(使用 Certbot 自动续期时路径通常如下)
ssl_certificate /etc/letsencrypt/live/api.yourdomain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/api.yourdomain.com/privkey.pem;
# 安全加固头
add_header X-Frame-Options "DENY" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
# 核心:将所有请求代理至 Go 服务
location / {
proxy_pass http://127.0.0.1:8080;
# 必须透传关键头部,否则 Go 中 r.Host、r.RemoteAddr 等可能失真
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# 超时设置(防止长连接阻塞)
proxy_connect_timeout 5s;
proxy_send_timeout 30s;
proxy_read_timeout 30s;
# 启用缓冲优化吞吐
proxy_buffering on;
proxy_buffer_size 128k;
proxy_buffers 4 256k;
proxy_busy_buffers_size 256k;
}
}3. 验证与重启
# 测试配置语法 sudo nginx -t # 重载配置(不中断服务) sudo systemctl reload nginx # 确保 Go 服务已运行 go run main.go & # 或使用 systemd 托管
注意事项与最佳实践
- ? 安全边界:Go 服务必须监听 127.0.0.1(非 0.0.0.0),Nginx 是唯一对外入口,杜绝直接端口暴露;
- ? Host 头透传:proxy_set_header Host $host 确保 Go 中 r.Host 正确反映子域名(对 JWT issuer、CORS、生成绝对 URL 至关重要);
- ⚡ 性能调优:根据并发量调整 proxy_*_timeout 和缓冲区大小,避免“upstream timed out”错误;
- ? 生产部署建议:使用 systemd 管理 Go 进程(自动重启、日志归集),并配合 Let’s Encrypt 实现 HTTPS 全自动签发;
- ? 调试技巧:在 Go 中打印 r.Header 可验证 Nginx 是否成功注入 X-Forwarded-* 头,快速定位代理链路问题。
至此,访问 https://api.yourdomain.com/health 即可由 Nginx 转发至 Go 服务的 /:8080/health,完成子域名到 Go 应用的专业级集成。
