一个域名搞定内外网：用Frp+Nginx反向代理实现WebSocket服务（WS/WSS）的统一访问入口

FrpNginxWebSocketSSL

于 2026-05-31 11:58:05 修改

·本内容遵循CC 4.0 BY-SA版权协议

智能域名路由：基于Nginx与Frp的WebSocket全场景接入方案

每次调试WebSocket服务时，最让人头疼的就是开发环境、测试环境和生产环境的地址切换。昨天还在用ws://localhost:8080，今天测试同事问你要外网地址，明天上线又得换成wss://api.example.com。这种割裂的体验不仅影响开发效率，还容易引发配置错误。本文将介绍如何用Nginx+Frp构建智能路由网关，让WebSocket服务通过统一域名自动适配内外网环境。

1. 架构设计与核心组件

现代Web应用越来越依赖WebSocket实现实时通信，但协议安全性和环境适配问题常常被忽视。我们的解决方案需要同时满足三个核心需求：

协议自动升级：内网走WS协议降低开销，外网自动切换WSS保障安全
地址统一：所有环境使用相同域名，仅通过端口区分场景
流量智能路由：自动识别访问来源，将请求导向正确端点

实现这一架构需要三个关键组件协同工作：

组件	角色	关键能力
Frp	内网穿透中间件	建立安全隧道，暴露内网服务到公网
Nginx	智能流量路由器	协议转换、SSL卸载、请求分发
SSL证书	安全信任锚点	实现WSS加密通信

典型应用场景：假设我们有一个在线协作白板服务，开发阶段使用ws://dev-whiteboard:8080，测试环境需要暴露给客户评审，生产环境则要支持大规模并发。传统方案需要维护三套配置，而我们的方案只需一个域名whiteboard.example.com配合不同端口即可实现全场景覆盖。

2. 环境准备与基础配置

2.1 域名与证书规划

选择易记且有明确含义的子域名，例如：

ws.example.com 作为基础域名
为不同环境分配特定端口：
- 8443 - 开发环境（内网WS）
- 8444 - 测试环境（外网WSS）
- 8445 - 生产环境（外网WSS集群）

使用Let's Encrypt申请通配符证书更灵活：

BASH

certbot certonly --manual --preferred-challenges=dns \

-d *.example.com -d example.com

2.2 Frp服务端配置

在云服务器上部署frps，关键配置参数：

INI

[common]

bind_port = 7000

vhost_http_port = 8080

token = your_secure_token_here

# 启用Prometheus监控

enable_prometheus = true

安全提示：务必修改默认token并限制可访问IP，避免frp服务被滥用

2.3 Nginx基础安全加固

在开始WebSocket配置前，先设置基础安全策略：

NGINX

server {

listen 80;

server_name ws.example.com;

return 301 https://$host$request_uri;

}

server {

listen 443 ssl;

server_name _;

ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;

ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

# 禁用不安全的协议

ssl_protocols TLSv1.2 TLSv1.3;

# 启用HSTS

add_header Strict-Transport-Security "max-age=63072000" always;

location / {

return 403;

}

3. 智能路由策略实现

3.1 环境检测机制

通过Nginx的$remote_addr变量识别请求来源：

NGINX

geo $is_internal {

default 0;

10.0.0.0/8 1;

192.168.0.0/16 1;

172.16.0.0/12 1;

}

3.2 多协议统一接入点

核心配置实现WS/WSS自动适配：

NGINX

server {

listen 8443;

server_name ws.example.com;

location / {

if ($is_internal) {

# 内网直接访问本地WS服务

proxy_pass http://localhost:8080;

}

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection "upgrade";

proxy_set_header Host $host;

# 保持长连接

proxy_read_timeout 3600s;

}

server {

listen 8444 ssl;

server_name ws.example.com;

ssl_certificate /path/to/cert.pem;

ssl_certificate_key /path/to/key.pem;

location / {

# 外网通过frp隧道访问

proxy_pass http://127.0.0.1:6001;

proxy_http_version 1.1;

proxy_set_header Upgrade $http_upgrade;

proxy_set_header Connection "upgrade";

proxy_set_header X-Real-IP $remote_addr;

# 防止CSRF

proxy_set_header Origin "";

}

3.3 Frp客户端动态配置

内网服务的frpc.toml需要根据环境变化：

TOML

[[proxies]]

name = "dev_ws"

type = "tcp"

localIP = "127.0.0.1"

localPort = 8080

remotePort = 6001

# 测试环境使用不同端口

[[proxies]]

name = "test_ws"

type = "tcp"

localIP = "127.0.0.1"

localPort = 8081

remotePort = 6002

4. 高级优化与故障排查

4.1 性能调优参数

WebSocket服务需要特殊优化：

NGINX

# 内核参数

net.ipv4.tcp_keepalive_time = 600

net.ipv4.tcp_keepalive_probes = 3

net.ipv4.tcp_keepalive_intvl = 15

# Nginx worker配置

worker_processes auto;

events {

worker_connections 10240;

multi_accept on;

}

4.2 连接状态监控

使用Nginx的status模块实时观察：

NGINX

location /nginx_status {

stub_status;

allow 127.0.0.1;

deny all;

}

结合Prometheus监控关键指标：

nginx_http_connections_total
frp_proxy_status
websocket_active_connections

4.3 常见问题解决方案

连接频繁断开：

检查Nginx的proxy_read_timeout设置
确认客户端实现了心跳机制
排查防火墙的会话超时设置

WSS证书错误：

BASH

openssl s_client -connect ws.example.com:8444 \

-servername ws.example.com | openssl x509 -noout -dates

Frp隧道不稳定：

启用auto_reconnect = true
调整heartbeat_interval参数
使用kcp模式提升弱网表现

5. 安全加固实践

5.1 请求验证机制

在Nginx中增加JWT校验：

NGINX

location / {

auth_jwt "WebSocket Auth";

auth_jwt_key_file /path/to/jwt/key;

proxy_set_header X-User $jwt_claim_sub;

}

5.2 流量限速策略

防止WebSocket被滥用：

NGINX

limit_conn_zone $binary_remote_addr zone=ws_conn:10m;

limit_req_zone $binary_remote_addr zone=ws_req:10m rate=10r/s;

server {

location / {

limit_conn ws_conn 5;

limit_req zone=ws_req burst=20;

}

5.3 日志审计配置

结构化日志记录关键信息：

NGINX

log_format ws_log '[$time_local] $remote_addr "$http_user_agent" '

'$upstream_addr $upstream_response_time';

access_log /var/log/nginx/ws_access.log ws_log;

6. 自动化部署方案

6.1 Ansible部署脚本

基础环境配置playbook：

YAML

- hosts: websocket_gateways

tasks:

- name: Install Nginx

apt:

name: nginx

state: latest

- name: Deploy Frp

unarchive:

src: https://github.com/fatedier/frp/releases/download/v0.45.0/frp_0.45.0_linux_amd64.tar.gz

dest: /opt/

remote_src: yes

6.2 证书自动续期

结合certbot和systemd定时任务：

BASH

# /etc/systemd/system/certbot-renewal.timer

[Unit]

Description=Certbot Renewal

[Timer]

OnCalendar=*-*-1,15 03:00:00

Persistent=true

[Install]

WantedBy=timers.target

6.3 配置版本管理

使用Git管理Nginx配置：

BASH

/etc/nginx/

├── conf.d/

│ └── websocket.conf

├── snippets/

│ └── ssl_params.conf

└── sites-available/

└── ws_gateway.conf

建立变更��核流程：

在开发分支修改配置
测试环境验证
创建Pull Request
审核后合并到main分支
通过CI/CD自动同步到生产服务器