1. 为什么需要Nginx反向代理OnlyOffice在企业文档协作场景中OnlyOffice作为开源的Office套件解决方案越来越受欢迎。但直接暴露服务端口会带来安全隐患特别是当服务器需要同时运行多个服务时。我去年给一家金融公司部署时就遇到这个问题——他们要求所有对外服务只能通过80或443端口访问但内部有CRM系统、OnlyOffice文档服务和邮件系统三个应用。这时候Nginx反向代理就派上用场了。它就像个智能前台所有访客都从公司大门80端口进入然后由前台根据访客需求引导到不同部门。具体到OnlyOffice通过反向代理我们可以实现单端口多服务外部只需开放80/443端口内部可运行多个不同端口的服务负载均衡当文档编辑请求激增时可以无缝扩展到多台OnlyOffice服务器SSL终端在Nginx层统一处理HTTPS加密减轻后端服务压力安全过滤在代理层实现WAF防护拦截恶意请求实测下来这种架构不仅满足了客户的安全合规要求还意外收获了性能提升——Nginx的缓存机制让文档预览速度提升了40%。2. Docker环境准备与网络规划2.1 选择正确的Docker网络模式在开始配置前我们需要规划好Docker的网络架构。常见的有三种方案Bridge模式默认每个容器有独立IP通过端口映射访问Host模式容器直接使用宿主机网络栈自定义网络创建专属的Docker网络供容器间通信对于OnlyOffice这类需要与Nginx紧密配合的服务我强烈推荐使用自定义网络。这是我常用的创建命令docker network create -d bridge office_net这个网络会带来两个关键优势容器间可以通过服务名直接通信不需要记IP自动提供DNS解析服务隔离其他无关容器提升安全性2.2 部署OnlyOffice容器准备好网络后我们用这个命令启动OnlyOffice容器docker run --name onlyoffice \ --network office_net \ -e JWT_ENABLEDtrue \ -e JWT_SECRETyour_secure_key \ -d onlyoffice/documentserver这里有几个关键参数需要注意JWT_ENABLED开启API请求的令牌验证JWT_SECRET建议使用至少32位的复杂字符串--network接入刚创建的自定义网络我遇到过因为JWT配置不当导致的安全漏洞所以特别提醒千万不要使用默认密钥建议用这个命令生成随机密钥openssl rand -base64 323. Nginx核心配置详解3.1 基础反向代理配置先看一个最简化的OnlyOffice代理配置server { listen 80; server_name office.yourdomain.com; location / { proxy_pass http://onlyoffice:80; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }这个配置实现了将office.yourdomain.com的请求转发到onlyoffice容器传递原始客户端IP关键审计需求保持原始Host头避免OnlyOffice的跨域问题但实际生产环境需要更完善的配置。下面是我在电商平台项目中使用的增强版3.2 增强安全配置server { listen 80; server_name office.yourdomain.com; # 安全头部 add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection 1; modeblock; add_header X-Content-Type-Options nosniff; add_header Referrer-Policy strict-origin; # 文件上传大小限制 client_max_body_size 100M; location / { proxy_pass http://onlyoffice:80; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 超时设置 proxy_connect_timeout 300s; proxy_send_timeout 300s; proxy_read_timeout 300s; send_timeout 300s; } }这个配置的亮点在于添加了关键安全头部防止点击劫持等攻击调整了文件上传限制默认OnlyOffice支持到100MB完善了WebSocket支持文档协同编辑需要设置了合理的超时时间大文件上传需要4. 多服务整合与路径映射4.1 单端口多服务方案当需要在一个端口下同时代理多个服务时路径映射是最佳实践。比如/office - OnlyOffice/api - 业务系统/admin - 管理后台配置示例location /office/ { proxy_pass http://onlyoffice:80/; # 其他代理参数... } location /api/ { proxy_pass http://backend:8000/; # 其他代理参数... }这里有个巨坑我踩过proxy_pass结尾的斜杠。当配置为http://onlyoffice:80/时Nginx会把/office/hello映射到/hello如果没有结尾斜杠则会映射为//hello导致404错误。4.2 OnlyOffice特殊路径处理OnlyOffice有几个必须代理的静态资源路径location /web-apps/ { proxy_pass http://onlyoffice:80/web-apps/; } location /documents/ { proxy_pass http://onlyoffice:80/documents/; } location /assets/ { proxy_pass http://onlyoffice:80/assets/; }漏掉任何一个都会导致编辑器界面加载异常。有个快速验证方法在浏览器开发者工具中查看哪些资源加载失败然后补充对应的location块。5. HTTPS与性能优化5.1 自动SSL证书配置使用Lets Encrypt可以免费获取SSL证书。推荐用certbot-auto工具certbot --nginx -d office.yourdomain.com这会自动验证域名所有权获取证书修改Nginx配置启用HTTPS设置自动续期5.2 性能调优技巧经过多次压力测试我总结出这些优化点启用Gzip压缩gzip on; gzip_types text/plain text/css application/json application/javascript;调整缓冲区大小proxy_buffers 16 32k; proxy_buffer_size 64k;启用缓存适合静态资源location ~* \.(jpg|js|css)$ { proxy_cache my_cache; proxy_cache_valid 200 1d; expires 7d; }连接池优化upstream onlyoffice_backend { server onlyoffice:80; keepalive 32; }这些优化让我们的文档加载时间从平均2.3秒降到了0.8秒特别是在跨国访问场景下效果更明显。