1. 为什么需要Nginx反向代理WebSocket最近在做一个智能安防项目时遇到了一个典型的技术难题前端业务系统采用HTTPS协议但需要播放内网海康摄像机的HTTP视频流。浏览器出于安全考虑会阻止HTTPS页面加载HTTP资源这就是所谓的混合内容问题。更麻烦的是海康的视频流采用的是WebSocket协议这又增加了一层复杂度。我尝试过几种方案直接在前端用H5Player播放HTTP流浏览器直接拦截让后端做协议转换性能开销太大用iframe嵌套画质和延迟都不理想最后发现Nginx反向代理是最优雅的解决方案。它就像个协议翻译官在前端和后端之间架起桥梁。具体来说前端通过安全的wss://连接NginxNginx将请求转换为ws://协议转发给海康设备视频流再通过相同路径返回这种方案有三大优势安全性全程保持加密通道兼容性不改变现有业务架构高性能Nginx处理WebSocket几乎零开销2. 海康视频URL的预处理技巧海康设备返回的原始URL通常是这样的ws://192.168.110.11:559/openUrl/AqpVY08但在HTTPS环境下我们需要将其转换为wss://yourdomain.com/proxy/192.168.110.11:559/openUrl/AqpVY08这里有几个关键处理步骤2.1 URL字符串处理建议在后端用正则表达式处理const originalUrl ws://192.168.110.11:559/openUrl/AqpVY08; const processedUrl originalUrl.replace(/^ws:\/\//, ); const finalUrl wss://yourdomain.com/proxy/${processedUrl};2.2 特殊参数处理有些海康设备会返回带proxy参数的URLhttp://x.x.x.x:p/media?version1.0cipherSuites0sessionIDproxywss:需要特别注意去除proxy参数url url.replace(/?proxywss:/, );3. Nginx核心配置详解3.1 基础配置优化首先在http块中添加这两个关键参数http { proxy_headers_hash_max_size 1024; proxy_headers_hash_bucket_size 512; ... }这两个值建议设置大些否则处理大量视频流时可能出现header丢失的问题。3.2 WebSocket代理配置这是最核心的部分location /proxy/ { proxy_pass http://192.168.110.11:559; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade; # 保持原始请求信息 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 性能优化 proxy_buffering off; proxy_redirect off; # 超时设置根据实际情况调整 proxy_read_timeout 3600s; proxy_send_timeout 3600s; }几个容易踩坑的点proxy_http_version必须设为1.1否则不支持WebSocketUpgrade和Connection头是WebSocket握手的关键proxy_buffering要关闭否则视频流会有延迟4. 前端H5Player集成实战4.1 播放器初始化const player new H5Player({ url: wss://yourdomain.com/proxy/192.168.110.11:559/openUrl/AqpVY08, type: websocket, autoplay: true, decoder: h265 // 根据摄像头编码格式选择 });4.2 常见问题排查问题1出现403 Forbidden检查Nginx是否允许WebSocket协议确认proxy_set_header Host设置正确问题2视频卡顿调整proxy_read_timeout值检查网络带宽是否足够问题3连接频繁断开增加心跳检测机制检查Nginx的keepalive配置5. 安全加固与性能调优5.1 HTTPS安全配置建议在Nginx中启用TLS 1.2ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ssl_prefer_server_ciphers on;5.2 连接数优化对于多路视频监控场景events { worker_connections 4096; multi_accept on; } http { proxy_connect_timeout 75s; proxy_send_timeout 1800s; proxy_read_timeout 1800s; keepalive_timeout 300s; }5.3 访问控制限制只允许业务域名访问location /proxy/ { valid_referers yourdomain.com; if ($invalid_referer) { return 403; } ... }6. 实际部署经验分享在最近的一个项目中我们同时要处理200路海康摄像头的视频流。经过压力测试发现几个优化点Nginx worker进程建议设置为CPU核心数内核参数调优# 增加最大文件描述符 echo fs.file-max 100000 /etc/sysctl.conf # 增加TCP连接回收速度 echo net.ipv4.tcp_tw_reuse 1 /etc/sysctl.conf监控指标使用nginx-status模块监控活跃连接数关注proxy_waiting状态连接数这套配置已经稳定运行6个月日均处理视频请求超过50万次。最大的收获是WebSocket代理对Nginx资源消耗远低于HTTP代理特别适合视频流这种长连接场景。