在 Docker 容器中运行 Nginx 的最佳实践

Nginx

文章字数: 1.8k

阅读时长: 7 分

嘿，各位开发者！在当下的微服务架构和容器化浪潮中，Nginx 绝对是大家工具箱里的“瑞士军刀”，无论是做反向代理、负载均衡还是静态内容服务，都少不了它的身影。而 Docker 作为最流行的容器化技术，将 Nginx “装进” Docker 容器里运行，已经成为现代应用部署的标配。

不过，怎么样才能确保咱们的 Nginx 容器既高效又安全呢？今天，我们就来聊聊在 Docker 中运行 Nginx 的一些最佳实践，带你轻松避坑，搭建一个生产级别的 Nginx 服务。文章里会有代码，有解析，还有实际案例，保证干货满满！

保持镜像的苗条身材：选择轻量级基础镜像

咱们都知道，Docker 镜像越小，拉取速度越快，存储占用的空间也越少，同时还能在一定程度上减少攻击面。Nginx 官方在 Docker Hub 上提供了多个版本的镜像，其中基于 Alpine Linux 的镜像（比如 nginx:alpine）就是一个非常不错的选择。

Alpine Linux 是一个面向安全的轻量级 Linux 发行版，体积非常小。相比于基于完整操作系统的镜像，nginx:alpine 能让你的镜像大小从几百兆锐减到几十兆。

Dockerfile 示例：

# 使用轻量级的 Alpine 基础镜像
FROM nginx:alpine

# 将自定义的 Nginx 配置文件拷贝到容器中
COPY nginx.conf /etc/nginx/nginx.conf

# 暴露 80 端口
EXPOSE 80

# 容器启动时运行 Nginx
CMD ["nginx", "-g", "daemon off;"]

解析：

FROM nginx:alpine：这行代码告诉 Docker，我们的新镜像是基于 nginx:alpine 这个官方镜像来构建的。
COPY nginx.conf /etc/nginx/nginx.conf：这里我们将本地的 nginx.conf 配置文件复制到容器内的相应位置，覆盖默认的配置。
CMD ["nginx", "-g", "daemon off;"]：这是容器启动时执行的命令。-g 'daemon off;' 参数是为了让 Nginx 在前台运行，这对于 Docker 容器来说是至关重要的，因为 Docker 要求容器的主进程在前台运行。

配置为王：优雅地管理你的 Nginx 配置

直接修改容器内的配置文件是一种非常不推荐的做法。正确的姿势是通过挂载配置文件或者在构建镜像时直接拷贝进去。

案例：使用 Docker Compose 挂载配置文件

假设我们有一个前端项目，需要用 Nginx 来提供静态文件服务。

首先，在你的项目根目录下创建一个 nginx 文件夹，并在里面放入你的 nginx.conf 文件。

nginx/nginx.conf 文件示例：

server {
    listen 80;
    server_name localhost;

    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
        try_files $uri $uri/ /index.html;
    }

    # 可以添加其他的 location 块来代理 API 请求
    # location /api/ {
    #     proxy_pass http://your-backend-service:8080;
    # }
}

然后，编写一个 docker-compose.yml 文件。

docker-compose.yml 文件示例：

version: '3.8'

services:
  web:
    image: nginx:alpine
    ports:
      - "8080:80"
    volumes:
      - ./nginx/nginx.conf:/etc/nginx/nginx.conf:ro
      - ./your-static-files:/usr/share/nginx/html:ro

networks:
  default:
    driver: bridge

解析：

ports: - "8080:80"：将主机的 8080 端口映射到容器的 80 端口。
volumes:
- ./nginx/nginx.conf:/etc/nginx/nginx.conf:ro：将本地的 nginx.conf 文件挂载到容器内，并设置为只读（:ro），这样可以防止在容器内意外修改配置文件。
- ./your-static-files:/usr/share/nginx/html:ro：将你的静态文件目录挂载到 Nginx 的默认网站根目录。

现在，只需要在项目根目录下运行 docker-compose up -d，你的 Nginx 服务就跑起来了，并且会使用你自定义的配置。

安全第一：加固你的 Nginx 容器

安全永远是重中之重。在 Docker 中运行 Nginx，我们可以从以下几个方面来提升安全性。

1. 使用非 Root 用户运行 Nginx

默认情况下，Nginx 的主进程以 root 用户身份运行。为了减少潜在的安全风险，我们可以创建一个非 root 用户，并让 Nginx 工作进程以该用户的身份运行。

修改 nginx.conf：

在 nginx.conf 的开头添加 user 指令：

user  nginx;
worker_processes  auto;

events {
    worker_connections  1024;
}

# ... 其他配置

修改 Dockerfile：

FROM nginx:alpine

# 创建一个非 root 用户和组
RUN addgroup -S nginx && adduser -S nginx -G nginx

COPY nginx.conf /etc/nginx/nginx.conf

# 确保 Nginx 的相关目录和文件对于新用户是可写的
RUN chown -R nginx:nginx /var/cache/nginx /var/log/nginx /etc/nginx/conf.d
RUN touch /var/run/nginx.pid && chown -R nginx:nginx /var/run/nginx.pid

# 切换到非 root 用户
USER nginx

EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]

2. 配置 TLS/SSL 加密

在生产环境中，为你的网站启用 HTTPS 是必须的。我们可以使用 Let’s Encrypt 来获取免费的 SSL 证书，并结合 Certbot 工具来自动续期。

案例：使用 Certbot 和 Nginx 容器实现 HTTPS

这个过程稍微复杂一些，通常会涉及到运行一个 Certbot 容器来获取证书，然后将证书共享给 Nginx 容器使用。

docker-compose.yml 示例：

version: '3.8'

services:
  nginx:
    image: nginx:alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx/conf:/etc/nginx/conf.d
      - ./certbot/conf:/etc/letsencrypt
      - ./certbot/www:/var/www/certbot
    command: "/bin/sh -c 'while :; do sleep 6h & wait $${!}; nginx -s reload; done & nginx -g \"daemon off;\"'"

  certbot:
    image: certbot/certbot
    volumes:
      - ./certbot/conf:/etc/letsencrypt
      - ./certbot/www:/var/www/certbot
    entrypoint: "/bin/sh -c 'trap exit TERM; while :; do certbot renew; sleep 12h & wait $${!}; done;'"

解析：

这个 docker-compose 文件启动了两个服务：nginx 和 certbot。
它们通过共享的 volumes 来交换证书文件和进行域名验证。
certbot 容器会定期尝试续订证书。
nginx 容器则会定期重新加载配置，以确保新的证书能够生效。

同时，你需要在 Nginx 配置中开启 443 端口的监听，并指定证书文件的路径。

nginx/conf/default.conf 示例：

server {
    listen 80;
    server_name your_domain.com;

    location /.well-known/acme-challenge/ {
        root /var/www/certbot;
    }

    location / {
        return 301 https://$host$request_uri;
    }
}

server {
    listen 443 ssl;
    server_name your_domain.com;

    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;

    # 其他 SSL 相关配置...
}

3. 限制请求方法和速率

为了防止恶意攻击，我们应该在 Nginx 配置中限制不必要的 HTTP 请求方法，并设置请求速率限制。

# 在 server 块中添加
if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 405;
}

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;

server {
    # ...
    location / {
        limit_req zone=mylimit burst=20 nodelay;
        # ...
    }
}

总结

将 Nginx 运行在 Docker 容器中可以极大地简化应用的部署和管理。通过遵循以上这些最佳实践，你可以构建出既轻量、高效，又足够安全的 Nginx 服务。

记住，关键点在于：

选择轻量级的基础镜像，为你的应用减负。
优雅地管理配置文件，让你的配置清晰可控。
时刻将安全放在首位，通过多层防御加固你的服务。

希望这篇文章能对你有所帮助！在容器化的世界里，不断学习和实践才是王道。动手试试吧，你会发现原来在 Docker 里玩转 Nginx 可以如此简单和有趣！

Nginx Docker 容器

搞定 Nginx 502 Bad Gateway：一篇面向“人类”的技术指南

2025-09-09 Nginx

Nginx Gateway 技术指南

搞定 WordPress 网站的 Nginx 配置，看这篇就够了！

2025-09-09 Nginx

Nginx 配置 WordPress