Nginx 反向代理的几条经验

反向代理最容易混在一起的，是入口层、TLS 层和应用层。拆开之后，排障会更直接。

入口先保持可观察

公网端口只做少量明确职责：TLS 终止、访问日志、路径分流和基础安全头。真正的业务服务放在内网端口，减少暴露面。

location /api/ {
  proxy_set_header Host $host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_pass http://127.0.0.1:8080;
}

日志比猜测可靠

每次调整后，至少看一次 access log 与 error log，确认请求是否进入了预期的 server block 与 location。

遇到 5xx 时，先确认请求是否到达 Nginx，再继续看上游服务。