Nginx反向代理配置：子域名转Go服务

本文深入讲解了如何利用 Nginx 作为轻量高效反向代理，将子域名（如 api.yourdomain.com）安全、无缝地路由至本地运行的 Go HTTP 服务——无需复杂中间件，仅依赖标准 net/http 和精心配置的 proxy_pass；文章不仅提供开箱即用的完整代码与 Nginx 配置示例，更强调生产级关键实践：绑定 127.0.0.1 提升安全性、透传 Host/X-Forwarded-* 头保障业务逻辑正确性、集成 Let’s Encrypt 实现 HTTPS 自动化、配合 systemd 可靠托管 Go 进程，助你快速构建高可用、可扩展且符合安全规范的 Go Web 服务部署方案。

本文详解如何使用 Nginx 作为反向代理，将特定子域名（如 api.example.com）无缝转发至本地运行的 Go HTTP 服务，无需 FastCGI 或中间层，仅需标准 `net/http` 和简洁的 Nginx 配置。

在生产环境中，Go 程序通常以独立 HTTP 服务器形式运行（例如监听 :8080），而 Nginx 则承担 TLS 终止、负载均衡、静态资源托管及多域名/子域名路由等职责。将子域名（如 api.yourdomain.com）指向 Go 服务，核心在于 Nginx 的 proxy_pass 指令——它能将 HTTP 请求透明转发至后端 Go 进程，实现零耦合集成。

以下是一个完整可运行的示例：

1. 启动 Go Web 服务（监听本地端口）
确保 Go 服务绑定到 127.0.0.1（而非 0.0.0.0）以增强安全性，并明确指定端口（如 :8080）：

package main

import (
    "fmt"
    "log"
    "net/http"
)

func handler(w http.ResponseWriter, r *http.Request) {
    w.Header().Set("Content-Type", "application/json; charset=utf-8")
    fmt.Fprintf(w, `{"message": "Hello from Go on %s", "path": "%s"}`, 
        r.Host, r.URL.Path)
}

func main() {
    http.HandleFunc("/", handler)
    log.Println("Go server starting on :8080...")
    log.Fatal(http.ListenAndServe("127.0.0.1:8080", nil))
}

✅ 关键点：ListenAndServe("127.0.0.1:8080", nil) 限制仅本机访问，避免端口暴露至公网。

2. 配置 Nginx 子域名虚拟主机
在 /etc/nginx/sites-available/api.yourdomain.com 中创建配置（软链至 sites-enabled）：

server {
    listen 80;
    server_name api.yourdomain.com;

    # 可选：HTTP → HTTPS 强制跳转
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl http2;
    server_name api.yourdomain.com;

    # SSL 配置（使用 Certbot 自动续期时路径通常如下）
    ssl_certificate /etc/letsencrypt/live/api.yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/api.yourdomain.com/privkey.pem;

    # 安全加固头
    add_header X-Frame-Options "DENY" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;

    # 核心：将所有请求代理至 Go 服务
    location / {
        proxy_pass http://127.0.0.1:8080;

        # 必须透传关键头部，否则 Go 中 r.Host、r.RemoteAddr 等可能失真
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # 超时设置（防止长连接阻塞）
        proxy_connect_timeout 5s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;

        # 启用缓冲优化吞吐
        proxy_buffering on;
        proxy_buffer_size 128k;
        proxy_buffers 4 256k;
        proxy_busy_buffers_size 256k;
    }
}

3. 验证与重启

# 测试配置语法
sudo nginx -t

# 重载配置（不中断服务）
sudo systemctl reload nginx

# 确保 Go 服务已运行
go run main.go &  # 或使用 systemd 托管

注意事项与最佳实践

• ? 安全边界：Go 服务必须监听 127.0.0.1（非 0.0.0.0），Nginx 是唯一对外入口，杜绝直接端口暴露；
• ? Host 头透传：proxy_set_header Host $host 确保 Go 中 r.Host 正确反映子域名（对 JWT issuer、CORS、生成绝对 URL 至关重要）；
• ⚡ 性能调优：根据并发量调整 proxy_*_timeout 和缓冲区大小，避免“upstream timed out”错误；
• ? 生产部署建议：使用 systemd 管理 Go 进程（自动重启、日志归集），并配合 Let’s Encrypt 实现 HTTPS 全自动签发；
• ? 调试技巧：在 Go 中打印 r.Header 可验证 Nginx 是否成功注入 X-Forwarded-* 头，快速定位代理链路问题。

至此，访问 https://api.yourdomain.com/health 即可由 Nginx 转发至 Go 服务的 /:8080/health，完成子域名到 Go 应用的专业级集成。

好了，本文到此结束，带大家了解了《Nginx反向代理配置：子域名转Go服务》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多Golang知识！