Nginx玩转TCP反向代理：从基础配置到实战应用

在微服务架构与分布式系统中，后端服务常以非HTTP协议形式存在——数据库、消息队列、Redis缓存、WebSocket服务等。传统Nginx虽以HTTP反向代理闻名，但面对TCP协议服务时，其四层代理能力（OSI模型第四层）能实现更底层的透明转发，成为隐藏后端细节、保障服务安全的关键工具。本文将从核心概念、配置实战到场景应用，全面解析Nginx TCP反向代理的实现方法。

一、TCP反向代理：为何需要它？

反向代理的核心价值是隐藏后端服务、实现负载均衡与安全隔离。HTTP反向代理（七层代理）基于HTTP协议解析请求，仅适用于Web服务；而TCP反向代理（四层代理）直接转发TCP数据包，不解析应用层内容，天然适配非HTTP服务。

典型场景：

• 数据库代理：隐藏MySQL/PostgreSQL后端IP，通过Nginx实现读写分离与故障转移；
• 缓存服务：代理Redis/Memcached，统一入口并负载均衡多节点；
• 长连接服务：WebSocket、游戏服务器等需保持TCP连接的场景；
• 消息队列：代理RabbitMQ/Kafka，简化客户端配置。

二、核心配置：Nginx Stream模块实战

Nginx通过stream模块（需编译时启用--with-stream）支持TCP/UDP代理，配置逻辑基于四层协议而非HTTP。以下是基础配置流程：

1. 基础配置示例（以MySQL代理为例）

# 在nginx.conf的stream块中定义代理规则
stream {
    server {
        listen 3306;  # 代理MySQL的3306端口
        proxy_pass backend_mysql:3306;  # 后端MySQL集群地址
        proxy_connect_timeout 10s;     # 连接超时
        proxy_timeout 300s;            # 数据传输超时
        proxy_buffer_size 16k;         # 缓冲区大小
        proxy_buffers 4 16k;           # 缓冲区数量
    }
}

• 关键参数：
  • listen：Nginx监听的前端端口；
  • proxy_pass：后端服务地址（支持upstream定义多节点）；
  • 超时参数：避免连接挂起或资源浪费。

2. 负载均衡与高可用

通过upstream模块实现多后端服务的轮询或权重分配：

stream {
    upstream backend_mysql {
        server 192.168.1.10:3306 weight=3;  # 主节点权重3
        server 192.168.1.11:3306 backup;     # 从节点（主故障时启用）
    }
    server {
        listen 3306;
        proxy_pass backend_mysql;  # 指向upstream组
        proxy_keepalive_timeout 60s;  # 保持长连接
    }
}

3. 高级场景：SSL/TLS终止

若后端服务不支持HTTPS，可在Nginx层终止SSL连接：

stream {
    server {
        listen 6379 ssl;  # 监听带SSL的Redis端口
        proxy_pass redis_backend:6379;
        ssl_certificate /etc/nginx/ssl/cert.pem;  # SSL证书
        ssl_certificate_key /etc/nginx/ssl/key.pem;
        proxy_ssl_verify off;  # 跳过后端证书验证（测试环境）
    }
}

三、实战场景：从配置到落地

1. Redis集群代理

stream {
    upstream redis_cluster {
        server redis-node1:6379;
        server redis-node2:6379;
    }
    server {
        listen 6379;
        proxy_pass redis_cluster;
        proxy_timeout 180s;  # 缓存连接超时（Redis默认超时）
        proxy_ignore_eof on;  # 忽略连接提前关闭
    }
}

• 优势：外部客户端无需直接连接Redis节点，通过Nginx实现读写分离与故障自动切换。

2. WebSocket服务代理

WebSocket基于TCP，配置类似普通TCP代理：

stream {
    server {
        listen 8080;  # WebSocket服务端口
        proxy_pass websocket_server:8080;
        proxy_pass_request_headers on;  # 透传请求头
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

• 关键：需透传Upgrade和Connection头，确保WebSocket握手成功。

四、避坑指南：关键注意事项

1. 模块检查：确认Nginx已编译stream模块（nginx -V | grep stream）；
2. 健康检查：Nginx无原生健康检查，可通过ngx_http_upstream_check_module或第三方脚本实现；
3. 性能优化：设置proxy_buffer_size与proxy_buffers匹配业务流量，避免内存溢出；
4. 安全隔离：限制limit_conn防止连接泛滥，或通过geo模块仅允许白名单IP访问。

结语

Nginx的TCP反向代理能力（基于stream模块）打破了HTTP协议的边界，让非HTTP服务也能享受反向代理的安全与管理优势。从数据库到消息队列，从缓存到实时通信，它是构建高可用、易扩展服务架构的重要工具。掌握四层代理配置，可大幅提升复杂系统的运维效率与安全性。

（全文约780字）