后端开发:Nginx 配置的自动化管理
关键词:Nginx 配置管理 自动化工具 Ansible Docker CI/CD 配置模板 服务编排
摘要:在后端开发中,Nginx 作为"流量守门人"被广泛用于反向代理、负载均衡和静态资源服务。但随着业务扩张,手动管理 Nginx 配置文件会像用手捡散落的积木一样低效易错。本文将用生活化的比喻和实战案例,从"为什么需要自动化"到"如何落地实现",一步步拆解 Nginx 配置自动化管理的核心思想、工具链和最佳实践。你将学到如何用配置模板、自动化工具和 CI/CD 流程,让 Nginx 配置从"手写记事本"升级为"智能管理系统",最终实现配置变更的"一键生效、全程可追溯"。
背景介绍
目的和范围
想象你经营着一家网红奶茶店,刚开始只有1台收银机(Nginx 服务器),菜单(配置文件)手写在纸上,改价格时直接划掉重写就行。但随着分店开到10家、100家,每台收银机都要手动改菜单——不仅容易写错价格(配置错误),还可能有的店没改(配置不一致),甚至改完后收银机死机(服务中断)。
Nginx 配置的自动化管理,就是给奶茶店装上"中央菜单管理系统":总部更新菜单后,所有分店自动同步最新版本,还能提前检查菜单是否有错别字(配置校验),确保改完后收银机能正常工作。本文将聚焦后端开发中最常见的 Nginx 配置场景(反向代理、负载均衡、SSL 配置等),讲解如何用工具和流程实现配置的"自动生成、测试、部署和回滚"。
预期读者
无论你是:
- 刚接触 Nginx 的后端开发新人(想知道如何规范管理配置);
- 每天手动改配置的运维同学(被"改完配置重启崩了"坑过);
- 负责多服务器集群的架构师(需要解决配置一致性问题)——
本文都能帮你理解自动化管理的本质,并掌握落地方法。无需深入的运维知识,我们从"为什么"到"怎么做"逐步推进。
文档结构概述
本文将像拼乐高一样分模块讲解:
- 基础认知:Nginx 配置的"前世今生"(手动管理的痛点);
- 核心思想:自动化管理的3个"魔法工具"(模板、变量、流程);
- 实战落地:用 Ansible/Docker/CI/CD 搭建自动化系统(附代码案例);
- 进阶技巧:处理多环境、敏感信息和故障回滚;
- 未来趋势:云原生时代的配置管理新玩法。
术语表
核心术语定义
- Nginx 配置文件:像奶茶店的"操作手册",包含服务器监听端口、反向代理规则、缓存策略等指令,Nginx 启动时会读取这些规则工作。
- 配置自动化:用工具代替人工,自动完成配置文件的生成、分发、测试和部署,就像"自动打印机+快递员",确保所有分店的手册同步更新。
- 配置模板:带"空白占位符"的配置文件,比如菜单模板里"[奶茶名称]“可以替换成"珍珠奶茶"或"杨枝甘露”,通过填充不同内容生成具体配置。
- Ansible:自动化运维"瑞士军刀",可以批量给多台服务器发送指令(如"更新 Nginx 配置并重启"),就像用遥控器同时操作多个家电。
- Docker:容器化"包装盒",能把 Nginx 和配置文件打包成一个独立"快递盒",确保在任何服务器上都能"开箱即用"。
- CI/CD:持续集成/持续部署的"流水线",像工厂生产线一样自动完成"代码提交→配置生成→测试→部署"全流程,确保每个环节不出错。
相关概念解释
- 配置漂移:手动修改服务器配置后,不同服务器的配置逐渐变得不一样(就像分店店长私自改菜单价格),导致管理混乱。
- 幂等性:自动化操作多次执行的结果和执行一次相同(比如按3次"同步菜单"按钮,和按1次效果一样),避免重复操作导致错误。
- 蓝绿部署:同时准备两套配置(蓝版和绿版),新版本测试通过后切换流量,出问题时能瞬间切回旧版本(像奶茶店准备两套菜单,新菜单有问题立刻换回旧的)。
缩略词列表
- Nginx: Engine X(高性能 HTTP 和反向代理服务器)
- YAML: Yet Another Markup Language(一种易读的数据序列化格式,常用于配置文件)
- Jinja2: Python 模板引擎(用于生成配置文件)
- CI/CD: Continuous Integration/Continuous Deployment(持续集成/持续部署)
- SSL/TLS: Secure Sockets Layer/Transport Layer Security(用于加密传输的安全协议)
核心概念与联系
故事引入:从"手写菜单"到"中央厨房"
小明是一家电商公司的后端开发,公司刚起步时只有1台 Nginx 服务器,配置文件长这样:
server {
listen 80;
server_name api.example.com;
location / {
proxy_pass http://127.0.0.1:8080; # 后端服务地址
}
}
小明每次改配置都直接 SSH 登录服务器,用 vi 编辑器修改后执行 nginx -s reload,简单粗暴。
半年后公司业务爆发:
- 后端服务从1台扩到10台(需要配置负载均衡);
- 新增了用户端、管理端、支付端3个域名(需要3个
server块); - 要求所有服务启用 HTTPS(需要配置 SSL 证书路径);
- 开发、测试、生产环境需要不同配置(比如测试环境用测试数据库)。
这时小明的"手写菜单"模式彻底崩了:
- 改负载均衡服务器列表时,10台 Nginx 要手动改10次,漏改2台导致部分用户访问失败;
- SSL 证书到期忘了更新,网站突然变成"不安全",被用户投诉;
- 测试环境配置不小心同步到生产,导致线上服务连到测试数据库,数据错乱。
"要是有个工具能自动生成配置、同步到所有服务器,还能提前检查有没有错就好了!"小明感叹道。
这就是 Nginx 配置自动化管理要解决的问题:让配置从"人工手写维护"变成"机器自动生成+分发",避免人为错误,提高效率。
核心概念解释(像给小学生讲故事一样)
核心概念一:Nginx 配置的"积木结构"
Nginx 配置文件就像搭积木,由一个个"积木块"组成:
- 主配置文件(
nginx.conf):相当于"地基",定义全局规则(如 worker 进程数、日志路径); - 虚拟主机配置(通常在
conf.d/目录下的.conf文件):相当于"楼层",每个文件对应一个网站/服务(如api.conf、web.conf); - 指令(如
listen 80、proxy_pass):相当于"积木零件",每个指令告诉 Nginx 具体怎么做。
手动管理时,这些"积木"需要人工拼接;自动化管理则是用"模具"(模板)批量生产相同规格的积木,再用"机器手臂"(工具)自动组装。
核心概念二:配置模板——带"填空题"的菜单
假设你要给10家奶茶店印菜单,每家店的地址和联系电话不同,但其他内容(奶茶名称、价格)相同。你会怎么做?
- 笨办法:手写10份菜单,每次改价格要改10份;
- 聪明办法:设计一个带"[店铺地址]“、”[联系电话]"空白的模板,然后用打印机批量填充内容。
配置模板就是这个"聪明办法"。以 Nginx 反向代理配置为例,传统的静态配置是这样的:
server {
listen 80;
server_name api.example.com;
location / {
proxy_pass http://192.168.1.100:8080; # 固定的后端地址
}
}
而模板会把变化的部分(如域名、后端地址)变成"填空题"(变量):
server {
listen {{ port }}; # 变量:端口号
server_name {{ domain }}; # 变量:域名
location / {
proxy_pass http://{{ backend_ip }}:{{ backend_port }}; # 变量:后端服务地址和端口
}
}
然后通过工具(如 Jinja2)给变量赋值,生成不同环境的配置文件:
- 开发环境:
port=8080,domain=api.dev.example.com,backend_ip=10.0.0.10 - 生产环境:
port=80,domain=api.example.com,backend_ip=192.168.1.100
核心概念三:自动化工具——配置管理的"智能快递员"
有了模板和变量,如何把生成的配置文件"送到"所有 Nginx 服务器?这就需要自动化工具,常见的有3类:
-
脚本类工具:像"自行车快递",适合简单场景。比如用 Shell 脚本循环登录服务器,上传配置文件:
# 伪代码:Shell 脚本分发配置 for server in server1 server2 server3; do scp ./nginx.conf user@$server:/etc/nginx/ # 复制配置文件 ssh user@$server "nginx -t && nginx -s reload" # 测试并重启 Nginx done但缺点是:脚本复杂后难维护,没有错误重试机制,服务器多了会很慢。
-
配置管理工具:像"快递柜系统",适合多服务器集群。比如 Ansible,只需写一个"任务清单"(playbook),就能批量执行操作:
# Ansible playbook 示例:分发 Nginx 配置 - name: 同步 Nginx 配置 hosts: nginx_servers # 目标服务器组(在 inventory 文件中定义) tasks: - name: 复制配置文件到服务器 copy: src: ./nginx.conf dest: /etc/nginx/nginx.conf - name: 测试配置是否正确 command: nginx -t - name: 重启 Nginx 服务 service: name: nginx state: reloadedAnsible 的优势是:无需在服务器上装客户端(基于 SSH),支持幂等性操作(重复执行不会出错),还能集成模板引擎动态生成配置。
-
容器编排工具:像"集装箱货轮",适合容器化环境。比如用 Docker 把 Nginx 和配置文件打包成镜像,再用 Docker Compose 或 Kubernetes 管理:
# docker-compose.yml 示例:用容器运行 Nginx version: '3' services: nginx: image: nginx:alpine ports: - "80:80" volumes: - ./nginx.conf:/etc/nginx/nginx.conf # 挂载本地配置文件到容器 restart: always容器化的好处是:配置和应用"绑定",换服务器时直接迁移容器,避免"在这台服务器能跑,换台就不行"的问题。
核心概念四:CI/CD 流水线——配置变更的"质检+生产"流水线
即使有了模板和工具,配置变更仍可能出错:比如变量填错、模板语法错误。CI/CD 流水线就像工厂的"质检+生产"流程,自动完成以下步骤:
- 代码提交:配置模板和变量文件存放在 Git 仓库(如 GitHub/GitLab),修改后提交代码;
- 自动构建:CI 工具(如 Jenkins/GitHub Actions)检测到代码变更,自动用模板生成配置文件;
- 配置校验:执行
nginx -t检查配置语法是否正确,模拟请求测试反向代理是否生效; - 自动部署:校验通过后,用 Ansible 或 Docker 把配置部署到目标服务器;
- 结果通知:部署成功/失败通过邮件或钉钉通知管理员。
就像奶茶店的新品上线流程:配方(模板)修改后,先在实验室(CI)做小样测试(配置校验),没问题再批量生产(部署),全程不需要人工干预。
核心概念之间的关系(用小学生能理解的比喻)
Nginx 配置自动化管理就像"生日蛋糕工厂",各个概念的关系如下:
配置模板 vs 变量:蛋糕模具和奶油口味
- 配置模板是"蛋糕模具":固定了蛋糕的形状(配置文件的结构),比如圆形模具对应"反向代理配置",方形模具对应"负载均衡配置";
- 变量是"奶油口味":模具相同,但可以加草莓奶油(开发环境变量)、巧克力奶油(生产环境变量),生成不同口味的蛋糕(配置文件)。
自动化工具 vs CI/CD:烤箱和生产线
- 自动化工具(Ansible/Docker)是"烤箱":负责把"面团+奶油"(模板+变量)变成成品蛋糕(可用的配置),并送到顾客手中(部署到服务器);
- CI/CD 是"生产线":把"模具准备→奶油调配→烤箱烘烤→质量检查→包装配送"串联起来,确保每个环节按顺序执行,出问题时自动停机报警。
Nginx 配置 vs 自动化系统:演员和导演
- Nginx 配置是"演员":负责具体的"表演"(处理请求、反向代理);
- 自动化系统是"导演":负责"演员"的"服装道具"(配置文件)、“排练流程”(测试)和"舞台调度"(部署),确保表演顺利进行。
核心概念原理和架构的文本示意图(专业定义)
Nginx 配置自动化管理的核心架构可分为4层,从下到上依次为:
┌─────────────────────────────────────────────────────────┐
│ 表现层:Nginx 服务器集群 │
│ (执行配置文件,处理实际流量) │
├─────────────────────────────────────────────────────────┤
│ 部署层:自动化工具(Ansible/Docker/K8s) │
│ (将配置文件分发到服务器,确保服务可用) │
├─────────────────────────────────────────────────────────┤
│ 构建层:模板引擎 + 变量管理 │
│ (根据模板和变量生成具体环境的配置文件) │
├─────────────────────────────────────────────────────────┤
│ 源头层:版本控制系统(Git)+ CI/CD 流水线 │
│ (存储模板和变量,触发自动构建和部署流程) │
└─────────────────────────────────────────────────────────┘
工作流程:
- 开发人员在 Git 仓库修改配置模板或变量文件并提交;
- CI/CD 流水线检测到提交,触发构建任务;
- 模板引擎(如 Jinja2)读取模板和变量,生成目标环境的 Nginx 配置文件;
- 自动化工具(如 Ansible)将生成的配置文件分发到所有 Nginx 服务器;
- 自动化工具执行
nginx -t校验配置,通过后执行nginx -s reload使配置生效; - 监控系统检查 Nginx 服务状态,确认配置变更成功。
Mermaid 流程图:Nginx 配置自动化管理流程
核心算法原理 & 具体操作步骤
配置模板引擎的工作原理(以 Jinja2 为例)
模板引擎的核心功能是"变量替换"和"逻辑控制",就像给配置文件"加了个大脑"。以 Python 生态最常用的 Jinja2 为例,我们用代码演示它如何生成 Nginx 配置文件。
步骤1:安装 Jinja2
pip install jinja2
步骤2:定义 Nginx 配置模板(nginx_template.j2)
模板中用 {{ 变量名 }} 表示变量,用 {% ... %} 表示逻辑控制(如循环、条件判断):
# 全局配置
worker_processes {{ worker_processes }}; # 变量:worker 进程数
events {
worker_connections {{ worker_connections }}; # 变量:每个进程的最大连接数
}
http {
include mime.types;
default_type application/octet-stream;
{% for server in servers %} # 循环:生成多个 server 块
server {
listen {{ server.port }};
server_name {{ server.domain }};
{% if server.ssl_enabled %} # 条件判断:是否启用 SSL
listen 443 ssl;
ssl_certificate {{ server.ssl_cert_path }};
ssl_certificate_key {{ server.ssl_key_path }};
{% endif %}
location / {
proxy_pass http://{{ server.backend_ip }}:{{ server.backend_port }};
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
{% endfor %}
}
步骤3:定义变量(variables.yaml)
用 YAML 文件存储不同环境的变量(也可以用 JSON、Python 字典等):
# 开发环境变量
worker_processes: auto
worker_connections: 1024
servers:
- port: 8080
domain: api.dev.example.com
ssl_enabled: false
backend_ip: 10.0.0.10
backend_port: 8080
- port: 8081
domain: web.dev.example.com
ssl_enabled: false
backend_ip: 10.0.0.11
backend_port: 8080
步骤4:用 Python 渲染模板
编写 Python 脚本,读取模板和变量,生成最终配置文件:
from jinja2 import Environment, FileSystemLoader
import yaml
# 1. 加载模板文件
env = Environment(loader=FileSystemLoader('.')) # 模板文件所在目录
template = env.get_template('nginx_template.j2') # 加载模板
# 2. 加载变量(从 YAML 文件读取)
with open('variables.yaml', 'r') as f:
variables = yaml.safe_load(f)
# 3. 渲染模板(替换变量和执行逻辑)
rendered_config = template.render(**variables)
# 4. 将渲染结果写入文件
with open('nginx.conf', 'w') as f:
f.write(rendered_config)
print("配置文件生成成功!")
步骤5:执行脚本,查看生成的配置
运行 Python 脚本后,会生成 nginx.conf 文件,内容如下(开发环境):
# 全局配置
worker_processes auto;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
server {
listen 8080;
server_name api.dev.example.com;
location / {
proxy_pass http://10.0.0.10:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
server {
listen 8081;
server_name web.dev.example.com;
location / {
proxy_pass http://10.0.0.11:8080;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
}
}
核心原理:模板引擎通过解析 {{ }} 和 {% %} 标签,将变量和逻辑转换为具体内容。就像用"填字游戏"的规则,把空白处(变量)填上答案,再根据条件(if)决定是否保留某些句子,最终生成完整的"文章"(配置文件)。
Ansible 自动化部署 Nginx 配置的步骤
Ansible 是配置管理的"利器",尤其适合多服务器场景。下面通过一个完整案例,演示如何用 Ansible 实现 Nginx 配置的自动化部署。
步骤1:环境准备
- 控制节点(安装 Ansible 的机器):可以是本地电脑或服务器,需安装 Ansible:
# Ubuntu/Debian sudo apt update && sudo apt install ansible -y # CentOS/RHEL sudo yum install ansible -y - 目标节点(运行 Nginx 的服务器):至少1台,确保控制节点能通过 SSH 免密登录(推荐用密钥登录)。
步骤2:创建 Ansible 项目结构
nginx-automation/
├── inventory/ # inventory 文件(定义目标服务器)
│ └── production.ini # 生产环境服务器列表
├── templates/ # 配置模板目录
│ └── nginx.conf.j2 # Nginx 主配置模板
├── vars/ # 变量目录
│ └── production.yaml # 生产环境变量
└── deploy.yml # Ansible playbook(任务清单)
步骤3:编写 inventory 文件(inventory/production.ini)
定义目标服务器的 IP 或域名,以及 SSH 登录信息:
[nginx_servers] # 服务器组名称,playbook 中通过此名称指定目标
server1 ansible_host=192.168.1.101 ansible_user=root # 服务器1
server2 ansible_host=192.168.1.102 ansible_user=root # 服务器2
步骤4:编写配置模板(templates/nginx.conf.j2)
使用 Jinja2 语法,和前面的模板类似,但可以引用 Ansible 的内置变量(如 ansible_facts 获取服务器信息):
worker_processes {{ worker_processes }};
events {
worker_connections {{ worker_connections }};
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
{% for server in servers %}
server {
listen {{ server.port }};
server_name {{ server.domain }};
{% if server.ssl_enabled %}
listen 443 ssl;
ssl_certificate {{ server.ssl_cert_path }};
ssl_certificate_key {{ server.ssl_key_path }};
{% endif %}
location / {
proxy_pass http://{{ server.backend_ip }}:{{ server.backend_port }};
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
# 日志配置(使用服务器 hostname 作为日志文件名)
access_log /var/log/nginx/{{ server.domain }}-access.log;
error_log /var/log/nginx/{{ server.domain }}-error.log;
}
{% endfor %}
}
步骤5:编写变量文件(vars/production.yaml)
worker_processes: auto
worker_connections: 2048
servers:
- port: 80
domain: api.example.com
ssl_enabled: true
ssl_cert_path: /etc/nginx/ssl/api.crt
ssl_key_path: /etc/nginx/ssl/api.key
backend_ip: 192.168.2.100
backend_port: 8080
- port: 80
domain: web.example.com
ssl_enabled: true
ssl_cert_path: /etc/nginx/ssl/web.crt
ssl_key_path: /etc/nginx/ssl/web.key
backend_ip: 192.168.2.101
backend_port: 8080
步骤6:编写 Ansible Playbook(deploy.yml)
Playbook 是 Ansible 的"任务清单",定义要执行的操作:
- name: 自动化部署 Nginx 配置
hosts: nginx_servers # 目标服务器组(对应 inventory 中的 [nginx_servers])
vars_files:
- ./vars/production.yaml # 加载变量文件
tasks:
# 任务1:确保 Nginx 已安装
- name: 安装 Nginx
package:
name: nginx
state: present # 确保已安装,若未安装则自动安装
# 任务2:创建 SSL 证书目录(如果启用了 SSL)
- name: 创建 SSL 目录
file:
path: /etc/nginx/ssl
state: directory
mode: '0755'
when: item.ssl_enabled | default(false) # 仅当 ssl_enabled 为 true 时执行
loop: "{{ servers }}" # 循环遍历 servers 列表中的每个服务
# 任务3:复制 SSL 证书到服务器(假设本地证书目录为 ./ssl)
- name: 复制 SSL 证书
copy:
src: "./ssl/{{ item.domain }}.crt" # 本地证书路径
dest: "{{ item.ssl_cert_path }}" # 目标路径(来自变量)
mode: '0644'
when: item.ssl_enabled | default(false)
loop: "{{ servers }}"
# 任务4:复制 SSL 私钥到服务器
- name: 复制 SSL 私钥
copy:
src: "./ssl/{{ item.domain }}.key"
dest: "{{ item.ssl_key_path }}"
mode: '0600' # 私钥权限设为 0600,仅 root 可读写
when: item.ssl_enabled | default(false)
loop: "{{ servers }}"
# 任务5:用模板生成 Nginx 配置文件
- name: 生成 Nginx 配置文件
template:
src: ./templates/nginx.conf.j2 # 本地模板路径
dest: /etc/nginx/nginx.conf # 目标配置文件路径
mode: '0644'
backup: yes # 生成新配置前备份旧配置(用于回滚)
# 任务6:校验 Nginx 配置是否正确
- name: 校验 Nginx 配置
command: nginx -t
register: nginx_test_result # 保存命令执行结果
failed_when: "'test failed' in nginx_test_result.stderr" # 配置错误时任务失败
# 任务7:重启 Nginx 服务(配置变更后生效)
- name: 重启 Nginx
service:
name: nginx
state: reloaded # reload 比 restart 更轻量,不中断服务
when: nginx_test_result.rc == 0 # 仅当配置校验通过时执行
步骤7:执行 Playbook,部署配置
在控制节点上运行以下命令,Ansible 会自动完成所有任务:
ansible-playbook -i inventory/production.ini deploy.yml
执行过程解析:
- Ansible 会读取
inventory/production.ini,连接到server1和server2; - 按顺序执行
deploy.yml中的任务:安装 Nginx → 创建 SSL 目录 → 复制证书 → 生成配置 → 校验配置 → 重启服务; - 所有服务器的操作结果会实时显示在控制台,失败时会停止并提示错误原因。
关键特性说明
- 幂等性:多次执行
ansible-playbook,结果相同。例如"安装 Nginx"任务,若已安装则跳过;"复制证书"任务,若本地和远程文件一致则跳过。 - 条件执行:通过
when语句实现"仅 SSL 服务才复制证书",避免无用操作。 - 错误处理:配置校验失败(
nginx -t报错)时,failed_when会标记任务失败,后续的"重启 Nginx"任务不会执行,防止错误配置上线。 - 备份机制:
template模块的backup: yes会在生成新配置前备份旧文件(如nginx.conf.20240520-123456),出错时可手动恢复。
项目实战:基于 Docker + CI/CD 的 Nginx 配置自动化
场景说明
假设我们需要为一个电商网站搭建 Nginx 服务,要求:
- 支持开发、测试、生产3个环境的配置隔离;
- 每次修改配置后自动测试并部署到对应环境;
- 用 Docker 容器运行 Nginx,确保环境一致性。
下面我们用 GitLab + GitLab CI/CD + Docker 实现这一目标。
开发环境搭建
准备工具
- GitLab 仓库(也可用 GitHub/Gitea,原理类似);
- 本地安装 Docker 和 Docker Compose;
- 目标服务器(开发/测试/生产)安装 Docker。
项目结构
nginx-docker-ci/
├── .gitlab-ci.yml # GitLab CI/CD 配置文件
├── docker-compose.yml # Docker Compose 配置(定义服务)
├── templates/ # Nginx 配置模板
│ └── default.conf.j2
├── vars/ # 环境变量目录
│ ├── dev.yaml
│ ├── test.yaml
│ └── prod.yaml
├── ssl/ # SSL 证书(仅生产环境)
│ ├── api.example.com.crt
│ └── api.example.com.key
└── scripts/ # 辅助脚本
└── render_config.py # 用 Jinja2 渲染模板的脚本
源代码详细实现和代码解读
1. 配置模板(templates/default.conf.j2)
server {
listen {{ port }};
server_name {{ domain }};
{% if ssl_enabled %}
listen 443 ssl;
ssl_certificate /etc/nginx/ssl/{{ domain }}.crt;
ssl_certificate_key /etc/nginx/ssl/{{ domain }}.key;
{% endif %}
location / {
proxy_pass http://{{ backend_service }}:{{ backend_port }};
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
}
# 静态资源缓存配置
location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
proxy_pass http://{{ backend_service }}:{{ backend_port }};
expires {{ static_cache_expire }}; # 缓存时间(如 30d)
add_header Cache-Control "public, max-age={{ static_cache_max_age }}";
}
}
2. 变量文件(以生产环境为例,vars/prod.yaml)
port: 80
domain: api.example.com
ssl_enabled: true
backend_service: backend-prod # Docker 服务名(通过 Docker Compose 链接)
backend_port: 8080
static_cache_expire: 30d
static_cache_max_age: 2592000 # 30天的秒数(30*24*60*60)
3. 模板渲染脚本(scripts/render_config.py)
#!/usr/bin/env python3
import os
import yaml
from jinja2 import Environment, FileSystemLoader
def render_config(template_dir, template_name, vars_file, output_path):
# 加载模板
env = Environment(loader=FileSystemLoader(template_dir))
template = env.get_template(template_name)
# 加载变量
with open(vars_file, 'r') as f:
variables = yaml.safe_load(f)
# 渲染并写入文件
with open(output_path, 'w') as f:
f.write(template.render(**variables))
print(f"配置文件已生成:{output_path}")
if __name__ == "__main__":
# 从环境变量获取参数(CI 环境中设置)
template_dir = os.getenv("TEMPLATE_DIR", "templates")
template_name = os.getenv("TEMPLATE_NAME", "default.conf.j2")
vars_file = os.getenv("VARS_FILE", "vars/dev.yaml")
output_path = os.getenv("OUTPUT_PATH", "nginx/conf.d/default.conf")
render_config(template_dir, template_name, vars_file, output_path)
4. Docker Compose 配置(docker-compose.yml)
定义 Nginx 服务和后端服务的关联(假设后端服务也是 Docker 容器):
version: '3.8'
services:
nginx:
image: nginx:alpine
ports:
- "{{ nginx_http_port }}:80" # HTTP 端口(来自环境变量)
- "{{ nginx_https_port }}:443" # HTTPS 端口(来自环境变量)
volumes:
- ./nginx/conf.d:/etc/nginx/conf.d # 挂载生成的配置文件
- ./ssl:/etc/nginx/ssl # 挂载 SSL 证书(生产环境)
- ./nginx/logs:/var/log/nginx # 挂载日志目录
depends_on:
- {{ backend_service }} # 依赖后端服务(来自变量)
restart: always
# 后端服务(示例,实际项目中可能独立部署)
{{ backend_service }}:
image: {{ backend_image }} # 后端镜像(来自变量)
restart: always
5. GitLab CI/CD 配置(.gitlab-ci.yml)
定义 CI/CD 流水线,实现"提交代码→自动构建→测试→部署":
# 定义 stages(阶段),按顺序执行
stages:
- render # 渲染配置文件
- test # 测试配置
- deploy # 部署到目标环境
# 公共变量
variables:
TEMPLATE_DIR: "templates"
TEMPLATE_NAME: "default.conf.j2"
OUTPUT_DIR: "nginx/conf.d"
# 渲染配置文件的 job
render_config:
stage: render
image: python:3.9-slim # 使用 Python 镜像运行脚本
before_script:
- pip install jinja2 pyyaml # 安装依赖
- mkdir -p $OUTPUT_DIR # 创建输出目录
script:
# 根据分支选择变量文件(开发分支用 dev,测试分支用 test,主分支用 prod)
- |
if [[ $CI_COMMIT_BRANCH == "dev" ]]; then
export VARS_FILE="vars/dev.yaml"
export OUTPUT_PATH="$OUTPUT_DIR/default.conf"
elif [[ $CI_COMMIT_BRANCH == "test" ]]; then
export VARS_FILE="vars/test.yaml"
export OUTPUT_PATH="$OUTPUT_DIR/default.conf"
elif [[ $CI_COMMIT_BRANCH == "main" ]]; then
export VARS_FILE="vars/prod.yaml"
export OUTPUT_PATH="$OUTPUT_DIR/default.conf"
else
echo "不支持的分支:$CI_COMMIT_BRANCH"
exit 1
fi
- python scripts/render_config.py # 执行渲染脚本
artifacts:
paths:
- $OUTPUT_DIR/ # 保存渲染后的配置文件,供后续阶段使用
- docker-compose.yml
- ssl/ # 生产环境需要 SSL 证书
# 测试配置文件的 job
test_config:
stage: test
image: nginx:alpine # 使用 Nginx 镜像测试配置
dependencies:
- render_config # 依赖 render_config 阶段的 artifacts
script:
- cp $OUTPUT_DIR/default.conf /etc/nginx/conf.d/ # 复制配置到 Nginx 默认目录
- nginx -t # 校验配置语法
# 部署到开发环境的 job(仅 dev 分支触发)
deploy_dev:
stage: deploy
image: alpine:latest
dependencies:
- render_config
before_script:
- apk add --no-cache openssh-client docker-compose # 安装 SSH 和 Docker Compose
- eval $(ssh-agent -s)
- echo "$DEV_SERVER_SSH_KEY" | tr -d '\r' | ssh-add - # 加载目标服务器 SSH 密钥(GitLab 保密变量)
- mkdir -p ~/.ssh
- chmod 700 ~/.ssh
- ssh-keyscan -H $DEV_SERVER_HOST >> ~/.ssh/known_hosts # 添加目标服务器到 known_hosts
script:
- ssh $DEV_SERVER_USER@$DEV_SERVER_HOST "mkdir -p /opt/nginx-dev" # 远程创建目录
- scp -r $OUTPUT_DIR docker-compose.yml $DEV_SERVER_USER@$DEV_SERVER_HOST:/opt/nginx-dev/ # 复制文件到远程
- ssh $DEV_SERVER_USER@$DEV_SERVER_HOST "cd /opt/nginx-dev && docker-compose up -d" # 远程启动服务
only:
- dev # 仅 dev 分支执行
# 部署到测试环境的 job(仅 test 分支触发)
deploy_test:
stage: deploy
# 和 deploy_dev 类似,修改服务器地址和分支条件即可
only:
- test
# 部署到生产环境的 job(仅 main 分支触发,需要手动确认)
deploy_prod:
stage: deploy
# 和 deploy_dev 类似,但添加 when: manual 要求手动触发
when: manual # 手动确认后才执行,防止误部署
only:
- main
代码解读与分析
核心流程
-
分支与环境对应:
dev分支 → 开发环境,自动部署;test分支 → 测试环境,自动部署;main分支 → 生产环境,手动触发部署(防止误操作)。
-
配置渲染:
- CI 流水线根据分支选择对应的变量文件(如
dev.yaml); - 用
render_config.py脚本结合模板生成 Nginx 配置文件; - 生成的配置文件作为
artifacts传递给后续阶段。
- CI 流水线根据分支选择对应的变量文件(如
-
配置测试:
- 使用 Nginx 官方镜像,将生成的配置文件复制到容器内;
- 执行
nginx -t校验配置语法,若失败则流水线终止,避免错误配置部署。
-
自动化部署:
- 通过 SSH 连接目标服务器(SSH 密钥存储在 GitLab 保密变量中,避免明文暴露);
- 复制配置文件和
docker-compose.yml到服务器; - 执行
docker-compose up -d启动/重启 Nginx 容器,新配置立即生效。
关键优势
- 环境隔离:不同分支对应不同环境,变量文件独立管理,避免配置混乱;
- 全程自动化:从代码提交到部署完成无需人工干预(生产环境需手动确认);
- 一致性保障:用 Docker 容器运行 Nginx,确保开发、测试、生产环境的配置和依赖一致;
- 可追溯性:所有配置变更都通过 Git 提交,每次部署对应一个 Git 版本,便于回滚和审计。
实际应用场景
1. 多环境配置管理(开发/测试/生产)
痛点:不同环境的后端服务地址、端口、域名不同,手动修改容易混淆。
解决方案:
- 为每个环境创建独立的变量文件(
dev.yaml/test.yaml/prod.yaml); - CI/CD 流水线根据分支自动选择变量文件,生成对应环境的配置。
案例:开发环境用api.dev.example.com域名和测试数据库,生产环境用api.example.com和正式数据库,通过变量区分,模板完全复用。
2. 动态添加域名/服务
痛点:新增业务线时需要手动编写 Nginx 配置,涉及反向代理、SSL 等重复工作。
解决方案:
- 在变量文件的
servers列表中添加新服务的配置(域名、后端地址等); - 模板中的
for循环自动生成新的server块,无需修改模板本身。
案例:新增支付服务pay.example.com,只需在prod.yaml的servers中添加:
- port: 80
domain: pay.example.com
ssl_enabled: true
backend_ip: 192.168.2.102
backend_port: 8080
流水线会自动生成对应的 server 配置并部署。
3. SSL 证书自动更新
痛点:SSL 证书有效期通常为3个月,手动更新容易遗忘,导致网站无法访问。
解决方案:
- 结合 Let’s Encrypt 的 Certbot 工具自动申请/续期证书;
- 在 Ansible Playbook 或 CI/CD 流水线中添加证书更新任务,定期执行。
Ansible 任务示例:
- name: 续期 SSL 证书
command: certbot renew --nginx
when: ansible_date_time.day == "01" # 每月1号执行续期
4. 配置变更的灰度发布
痛点:直接全量部署新配置,若有错误会影响所有用户。
解决方案:
- 蓝绿部署:准备两套 Nginx 实例(蓝版/绿版),新版本部署到绿版,测试通过后切换流量;
- 金丝雀发布:先部署到1台服务器,观察日志无异常后再推广到所有服务器。
Docker Compose 蓝绿部署示例:
# 蓝版(当前版本)
services:
nginx-blue:
image: nginx:alpine
volumes:
- ./nginx-blue/conf.d:/etc/nginx/conf.d
ports:
- "8080:80" # 临时端口
# 绿版(新版本)
nginx-green:
image: nginx:alpine
volumes:
- ./nginx-green/conf.d:/etc/nginx/conf.d
ports:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
