Nginx TCP反向代理：从端口转发到服务隐身的实战指南

在微服务架构和分布式系统普及的今天，服务间通信的复杂性陡增——后端服务可能分布在不同IP和端口，如何统一入口、隐藏真实地址、保障连接稳定性？Nginx的TCP反向代理正是解决这类问题的利器。它不仅能处理HTTP/HTTPS的应用层代理，还能在TCP传输层实现“隐身守门人”的角色，让服务管理更安全、更高效。

什么是TCP反向代理？

反向代理的核心是“代理请求方”，与正向代理（客户端代理）不同，反向代理是服务端的请求入口。而TCP反向代理更底层，它直接处理TCP连接，不解析应用层协议（如HTTP），而是将字节流原封不动转发给后端服务。

举个例子：若后端有两台MySQL服务器（192.168.1.100:3306和192.168.1.101:3306），直接暴露端口会让攻击者轻松探测到数据库集群的真实IP。此时Nginx通过TCP反向代理，仅对外暴露一个3306端口，所有客户端连接都需经过Nginx转发，后端服务IP被隐藏，同时Nginx还能通过负载均衡让请求“雨露均沾”到不同服务器。

实战配置：三步搞定TCP反向代理

1. 确认Nginx版本与模块

TCP反向代理依赖Nginx的stream模块（从1.9.0版本开始支持）。执行以下命令检查是否安装：

nginx -V | grep stream

若输出包含--with-stream，说明已支持，否则需重新编译安装。

2. 编写配置文件

在Nginx配置目录（如/etc/nginx/）中，通过stream上下文配置TCP代理。以“后端MySQL集群代理”为例：

# /etc/nginx/nginx.conf
stream {
    # 定义后端服务组（可配置多个服务器）
    upstream mysql_backend {
        server 192.168.1.100:3306 weight=1;  # 主库
        server 192.168.1.101:3306 weight=2;  # 从库（权重更高）
        keepalive 32;  # 保持32个连接池
    }

    # 配置代理规则：监听3306端口，转发至后端服务组
    server {
        listen 3306;  # 对外暴露的代理端口
        proxy_pass mysql_backend;  # 指向后端服务组
        proxy_connect_timeout 5s;  # 连接超时时间（5秒）
        proxy_timeout 300s;  # 连接保持时间（5分钟）
        proxy_keepalive on;  # 启用长连接
        proxy_buffer_size 16k;  # 缓冲区大小
    }
}

http {
    # 原有HTTP配置（如前端代理）
    server {
        listen 80;
        location / {
            proxy_pass http://127.0.0.1:8080;
        }
    }
}

3. 验证与重启

配置完成后，执行nginx -t检查语法，无错误则重启Nginx：

nginx -s reload  # 重载配置（无需停止服务）

三大场景：解锁TCP反向代理的价值

场景1：数据库访问隐身

将后端MySQL集群通过Nginx代理后，所有应用仅需连接192.168.0.10:3306（Nginx代理端口），无需暴露真实数据库IP。同时通过upstream的weight参数实现读写分离（如主库权重1，从库权重2），请求自动分流到负载更高的从库。

场景2：多服务统一入口

假设前端静态资源部署在192.168.0.20:8080，后端API服务在192.168.0.30:8000，通过Nginx代理统一对外暴露80端口：

stream {
    server {
        listen 80;
        proxy_pass 192.168.0.20:8080;  # 静态资源
    }
    server {
        listen 80;
        location /api {  # HTTP路径匹配（需开启http_proxy配置）
            proxy_pass http://192.168.0.30:8000;
        }
    }
}

用户只需访问http://example.com即可同时访问静态资源和API，无需关心后端端口细节。

场景3：跨网络服务访问

内网服务（如Redis集群）仅允许内部访问，通过Nginx代理暴露到公网：

stream {
    server {
        listen 6379;  # 公网暴露的Redis端口
        proxy_pass 10.0.0.5:6379;  # 内网Redis服务
        proxy_connect_timeout 3s;
    }
}

用户通过公网IP+6379端口访问Redis，Nginx作为“跳板”，既隐藏了内网IP，又通过连接池管理优化了性能。

常见问题与解决方案

1. 连接超时怎么办？

若后端服务响应慢，可延长超时时间：

proxy_connect_timeout 10s;  # 连接建立超时
proxy_read_timeout 60s;     # 读取响应超时

2. 后端服务动态扩容？

通过upstream的动态配置实现服务自动发现（结合consul-template或etcd），无需手动改配置：

upstream backend {
    server {getenv BACKEND_IP_PORT};  # 动态读取环境变量
}

3. 安全加固：限制IP访问

通过deny/allow控制代理端口的访问来源：

stream {
    server {
        listen 3306;
        allow 10.0.0.0/24;  # 仅允许内网IP访问
        deny all;  # 拒绝其他IP
        proxy_pass mysql_backend;
    }
}

总结：让Nginx成为服务的“隐形管家”

TCP反向代理让Nginx从HTTP“专职司机”升级为“全链路管家”，通过隐藏真实地址、统一入口、负载均衡，大幅降低服务暴露风险，简化跨网络访问。核心是stream模块的灵活配置——只需几行代码，就能实现复杂的服务管理逻辑。

提示：生产环境中，建议对配置文件做版本控制，每次修改前备份，避免因配置错误导致服务不可用。