零基础Nginx配置让腾讯混元OCR网页版支持HTTPS和域名访问1. 为什么需要Nginx反向代理当你成功部署了腾讯混元OCR的WebUI后可能会发现直接通过http://服务器IP:7860访问存在几个问题安全性不足直接暴露服务端口缺乏加密传输访问不便需要记住IP地址和端口号功能受限无法实现负载均衡、访问控制等高级功能Nginx反向代理就像是为你的OCR服务安装了一个专业的门面它能带来以下好处HTTPS加密保护数据传输安全域名访问用易记的域名替代IP端口性能优化静态资源缓存、负载均衡安全加固隐藏真实服务端口防止直接攻击2. 准备工作2.1 确认系统环境确保你已具备已部署运行的Hunyuan-OCR-WEBUI默认端口7860Linux服务器Ubuntu/CentOS等域名可选但推荐sudo权限2.2 检查OCR服务状态在服务器上运行以下命令确认OCR服务正常运行# 检查7860端口是否监听 netstat -tulnp | grep 7860 # 或使用ss命令 ss -tulnp | grep 7860如果服务未运行请先启动OCR服务# 进入项目目录执行启动脚本 bash 1-界面推理-pt.sh3. 安装和配置Nginx3.1 安装Nginx根据你的Linux发行版选择相应命令# Ubuntu/Debian sudo apt update sudo apt install nginx -y # CentOS/RHEL sudo yum install epel-release -y sudo yum install nginx -y安装完成后启动并设置开机自启sudo systemctl start nginx sudo systemctl enable nginx3.2 创建Nginx配置文件为OCR服务创建专用配置文件sudo nano /etc/nginx/conf.d/hunyuan-ocr.conf粘贴以下内容根据实际情况修改server { listen 80; server_name your-domain.com; # 替换为你的域名或IP # 静态资源缓存可选 location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ { expires 30d; add_header Cache-Control public, immutable; } # 核心代理配置 location / { proxy_pass http://localhost:7860; # 必要代理头设置 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade; # 超时设置OCR处理可能需要较长时间 proxy_connect_timeout 300s; proxy_send_timeout 300s; proxy_read_timeout 300s; send_timeout 300s; # 禁用缓冲 proxy_buffering off; proxy_request_buffering off; } # 错误页面可选 error_page 500 502 503 504 /50x.html; location /50x.html { root /usr/share/nginx/html; } }3.3 测试并应用配置测试配置文件语法sudo nginx -t若无错误重新加载Nginxsudo systemctl reload nginx现在你应该可以通过域名或IP无需端口访问OCR服务了。4. 配置HTTPS加密4.1 安装Certbot工具# Ubuntu/Debian sudo apt install certbot python3-certbot-nginx -y # CentOS/RHEL 7 sudo yum install certbot python2-certbot-nginx -y # CentOS/RHEL 8 sudo dnf install certbot python3-certbot-nginx -y4.2 获取SSL证书运行Certbot获取证书sudo certbot --nginx按照提示操作输入邮箱用于安全通知同意服务条款选择要配置的域名选择是否重定向HTTP到HTTPS推荐选择24.3 验证HTTPS访问访问https://你的域名确认浏览器地址栏显示安全锁图标HTTP请求自动跳转到HTTPS4.4 设置自动续期测试自动续期功能sudo certbot renew --dry-run设置定时任务自动续期Certbot已自动配置sudo systemctl list-timers | grep certbot5. 高级配置选项5.1 负载均衡配置如果你运行了多个OCR实例可以配置负载均衡upstream ocr_servers { server localhost:7860; server localhost:7861; server localhost:7862; } server { listen 443 ssl; server_name your-domain.com; location / { proxy_pass http://ocr_servers; # 保持其他代理设置不变 } }5.2 IP访问限制限制特定IP访问管理界面location /admin { allow 192.168.1.100; allow 203.0.113.5; deny all; proxy_pass http://localhost:7860; }5.3 安全头设置增强安全性server { # ...其他配置... # 安全头 add_header X-Frame-Options SAMEORIGIN; add_header X-Content-Type-Options nosniff; add_header Referrer-Policy strict-origin-when-cross-origin; add_header Content-Security-Policy default-src self; }6. 常见问题排查6.1 502 Bad Gateway错误可能原因及解决方法后端OCR服务未运行# 检查OCR服务状态 ps aux | grep 界面推理防火墙阻止了Nginx访问7860端口# 检查防火墙规则 sudo ufw status # Ubuntu sudo firewall-cmd --list-all # CentOS6.2 WebSocket连接失败确保Nginx配置中包含proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade;6.3 证书续期失败手动续期并查看日志sudo certbot renew --force-renewal journalctl -xe | grep certbot7. 总结与最佳实践通过本文你已经完成了基础Nginx反向代理配置HTTPS加密实现域名访问设置高级功能配置最佳实践建议定期检查证书设置监控提醒证书到期时间日志分析定期检查Nginx访问/错误日志备份配置备份Nginx配置文件性能监控监控服务器资源使用情况# 查看Nginx访问统计 sudo awk {print $1} /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 20获取更多AI镜像想探索更多AI镜像和应用场景访问 CSDN星图镜像广场提供丰富的预置镜像覆盖大模型推理、图像生成、视频生成、模型微调等多个领域支持一键部署。