问题

我正在设置Nginx 代理在我的服务器上的 docker 中。NginX-Proxy 旨在可从 Web 直接访问，我想在它前面放置一个代理。

理想情况下，NginX（主机）应该是面向 Web 的服务器，并反向代理回到由环回地址（127.0.0.2）提供服务的 NginX-Proxy（Docker）。

本质上，我需要为无法识别的子域配置代理，将这些请求传递给托管这些子域的 NginX-Docker 代理，其中任何一个子域可能启用了或未启用 SSL。

家庭作业

NginX 支持各种方式的代理，但似乎都不太适合我的用例。

1. 我希望主机上的 NginX 能够使用类似于以下配置来透明地代理 docker 实例丹尼尔·詹姆斯。此配置在主机上执行 SSL 终止，这似乎不是特别 DRY，因为通过 Nginx-Proxy 路由的 docker 容器本身（可能）正在执行 SSL 终止。通常，这似乎是通过 301 重定向（由于旧版本的 Nginx 的限制）来完成的，以强制所有传入的客户端流量使用 https，并强制后端/上游仅使用 HTTP 或 HTTPS。我想避免在 NginX（主机）终止并让 Nginx-Proxy 处理它。这里的优点是可以过滤域名，例如.domain.tld和*.domain.tld模式。我见过这被称为中间人代理。

2. NginX 在它的代理协议docs。我尝试设置如图所示的流，但似乎无法在服务器块内按域名过滤流。虽然它似乎可以转发 HTTP 和 HTTPS 流量而无需更改。我理解这是一种直通代理（更多地用于负载平衡/整形）。

3. IP 透明度似乎提供了一个更符合我要求的解决方案。但它的缺点是 NginX（主机）运行程序/线程必须以 root 权限运行，我不确定这会带来什么安全隐患（并不是说我托管的是绝密内容，但漏洞就是漏洞）。它还要求修改 docker 容器路由/IP 表，我不确定这是否可行。

4. 这IP 透明度doc 还提到 DSR 是代理另一台服务器的替代方法，但随后统计显示 NginX 不支持此功能。我不知道这是什么。

平均能量损失

在我最初的努力中，我曾将以下内容组合在一起，它通过 HTTP 返回网站，但无法通过 HTTPS 返回网站。这采用了 MitM/反向代理策略。我保留了这一点以与评论保持一致。

server {
 server_name .domain.tld;
 # note : .domain.tld matches both *.domain.tld and domain.tld
 listen X.X.X.X:80;
 listen [X:X:X:X:X:X:X]:80;
 listen X.X.X.X:443 ssl;
 listen [X:X:X:X:X:X:X]:443 ssl;

 server_tokens off;

 # Logging
 access_log /var/log/nginx/docker_proxy-access.log main;
 error_log /var/log/nginx/docker_proxy-error.log info;

 location / {
  proxy_pass $scheme://127.X.X.X; # Local service IP Address 
  # Alternatively : proxy_pass $scheme://$http_host$uri$is_args$args;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header Host $host;
 }
}

我应该如何传递请求的域？使用127.X.X.X似乎会混淆需要域名来解析提供服务的docker容器的上游服务（这已在评论中解决）。我不确定我是否应该配置上游服务或proxy_bind在此处使用？我也应该设置proxy_redirect属性吗？我应该为HTTP和HTTPS设置单独的服务器块吗？