可视化 on Liangweidong's blog

Grafana 可视化面板实战：从部署到匿名访问、中文环境与 InfluxDB 数据源

Mon, 25 Sep 2023 00:00:00 +0800

监控数据再多，没人看就是"装个寂寞"。Grafana 把时序数据（Prometheus、InfluxDB、Elasticsearch、Loki…）变成"能拖时间范围、能叠多源、能做告警"的可视化面板，几乎是云原生时代仪表盘的事实标准。这篇文章把 Grafana 容器化部署、初始密码、中文环境、匿名访问、配置持久化这些"装上就完事但装的时候总忘"的事整理成一篇。

阅读对象：刚把 Prometheus 装上、想接 Grafana 看图的开发者；或 Grafana 已经跑起来但中文乱码/匿名访问开不了的运维同学
覆盖范围：Grafana 10 容器化部署、初始密码、InluxDB 数据源、匿名访问（grafana.ini 持久化）、时区与中文环境、注意事项

一、为什么是 Grafana

Grafana 不是"唯一"的仪表盘，但它的优势是面板能复用到极致：

多数据源：Prometheus、InfluxDB、Elasticsearch、MySQL、PostgreSQL、Loki、Tempo… 同一个 Dashboard 拉多个源
导入社区仪表盘：到 https://grafana.com/grafana/dashboards 搜 ID，30 秒装好一套完整图
告警与通知：面板里就能定义 alert rule，发邮件/Webhook/钉钉
多租户：Organization / Team / Folder 权限隔离
插件丰富：官方/社区插件扩展数据源、图表类型、面板组件

When to use：监控要"展示给人看"时，Grafana 几乎必装。如果你的数据是商业 BI 类（要做月度报表、维度下钻），Grafana 就不是首选了——Superset / Metabase 更合适。

二、容器化部署

2.1 最简单一行

1
2


docker pull grafana/grafana:10.0.1
docker run -d --restart=always --name=grafana -p 3000:3000 grafana/grafana

访问 http://{{HOST}}:3000：

初始账号：admin
初始密码：admin

第一次登录会强制要求改密码（生产环境必须改）。

2.2 时区与中文环境

Grafana 默认时区是 UTC，中文界面也有可能因为字体不全出现"豆腐块"。通过环境变量解决：

1
2
3
4
5


docker run -d --restart=always --name=grafana \
 -e TZ=Asia/Shanghai \
 -e LANG=zh_CN.UTF-8 \
 -p 3000:3000 \
 grafana/grafana

TZ 优先级：Grafana 启动时会把 TZ 写到容器内 /etc/localtime，但部分版本仍要靠挂载宿主机时区文件：
1
-v /etc/localtime:/etc/localtime:ro
保险起见两个都加。

2.3 host 网络模式

如果 Grafana 和后端服务在同一台机器，用 --net=host 可以避免端口映射带来的 trace 调用异常：

1
2
3


docker run -d --restart=always --name=grafana --net=host \
 -e TZ=Asia/Shanghai -e LANG=zh_CN.UTF-8 \
 grafana/grafana

三、添加数据源

Grafana 的核心是"数据源 + 仪表盘"。进入 Configuration → Data Sources → Add data source，能看到几十种数据源选项。

3.1 Prometheus

Type: Prometheus
URL: http://{{PROM_HOST}}:9090
其它默认即可
点击 Save & test，绿色 Data source is working 出现即成功

3.2 InfluxDB（时序数据库）

InfluxDB v1/v2 的接入参数略有不同：

Type: InfluxDB
URL: http://{{INFLUXDB_HOST}}:8086
Database: 填库名
User / Password: 填凭据
HTTP Header: 如 Authorization: Token {{TOKEN}}（v2 必需）

测试连接成功后，在 Explore 面板里写 Flux 或 InfluxQL 即可查数据。

3.3 Loki（日志）

Type: Loki
URL: http://{{LOKI_HOST}}:3100

详细看 Loki + Promtail 日志架构一文。

3.4 人员定位面板（业务 Demo）

早期有人拿 Grafana 做过 UWB/蓝牙定位的"实时位置面板"——把人员坐标入库到 InfluxDB，Grafana 用 geomap / table / stat 面板做实时展示。这种"业务可视化"用法比传统 BI 轻量很多，配置简单、刷新及时。

四、匿名访问

生产环境往往需要"未登录用户也能看图"——大屏监控、嵌入式展示、给非技术人员查指标。Grafana 通过 grafana.ini 里的 [auth.anonymous] 段开启。

4.1 直接改容器内配置

1
2


docker exec -it grafana /bin/bash
vi /etc/grafana/grafana.ini

找到 [auth.anonymous] 段，修改：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


[auth.anonymous]
# enable anonymous access
enabled = true

# specify organization name that should be used for unauthenticated users
org_name = Main Org.

# specify role for unauthenticated users
org_role = Viewer

# mask the Grafana version number for unauthenticated users
hide_version = true

坑：发现改不了——容器内 /etc/grafana/grafana.ini 在某些镜像版本是只读，必须停掉容器后挂载出来改（见 4.2）。

4.2 配置持久化（推荐）

把 grafana.ini 复制出来，挂载进容器：

1
2
3


mkdir -p /home/docker/grafana/conf
docker cp grafana:/etc/grafana/grafana.ini /home/docker/grafana/conf
vim /home/docker/grafana/conf/grafana.ini

启动时挂载：

1
2
3
4
5


docker run -d --restart=always --name=grafana \
 -e TZ=Asia/Shanghai -e LANG=zh_CN.UTF-8 \
 -p 3000:3000 \
 -v /home/docker/grafana/conf/grafana.ini:/etc/grafana/grafana.ini \
 grafana/grafana

或 docker-compose：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


grafana:
 container_name: grafana
 image: grafana/grafana:latest
 restart: always
 environment:
 - TZ=Asia/Shanghai
 - LANG=zh_CN.UTF-8
 ports:
 - 3000:3000
 volumes:
 - '/home/docker/grafana/conf/grafana.ini:/etc/grafana/grafana.ini'

改完配置要重启：docker restart grafana 让新配置生效。

五、推荐仪表盘（Dashboard ID）

到 https://grafana.com/grafana/dashboards 搜 ID 即可导入：

监控对象	推荐 Dashboard ID	用途
Linux 主机	`11074`	Node Exporter Full（CPU/内存/磁盘/网络/内核）
Windows 主机	`10467`	Windows 主机全量指标
MySQL	`7362`	MySQL Overview（连接/QPS/慢查询/缓冲池）
Docker 容器	`10619`	cAdvisor（容器 CPU/内存/网络/IO）
Redis	`11835`	Redis 监控
Nginx	`9614`	Nginx 日志/请求/状态码分析
JVM	`4701`	Java 应用堆/线程/GC

导入流程：Grafana → + → Import → 输入 Dashboard ID → 选数据源 → 完成。约 30 秒就能看到十几张图。

六、踩坑清单

改 grafana.ini 不生效——容器内文件只读，参考 4.2 挂载出来
忘记初始密码——容器没挂载数据库时，数据存在容器内 /var/lib/grafana。docker volume rm 重置
中文显示豆腐块——字体不全，加 -e LANG=zh_CN.UTF-8 + 主机字体 fonts-noto-cjk
时间不对——时区没设对，Grafana 默认 UTC，业务日志要 Asia/Shanghai
导入仪表盘数据为空——Dashboard 自带数据源变量 DS_PROMETHEUS，导入时要选实际的数据源
大屏刷新卡顿——Dashboard 太多 Panel、Datasource 查询慢、Chrome 内存爆。优化方向：减少 Panel 数量、降低刷新频率、用 time range from 限制数据范围

七、2024+ 视角补充

本文写于 2023-09，2024-2026 期间 Grafana 关键演进：

Grafana 11.x（2024）+ Grafana 12.x（2025）：Drilldown / Explore 全面重构、Scene 框架（App SDK）让自定义面板开发更轻量
Grafana Loki 3.x（2024-2026）配合：对象存储全面支持 S3 兼容、GCS、Azure Blob，日志查询性能 10x 提升
Grafana Mimir / Pyroscope / Beyla：Metrics / Continuous Profiling / eBPF Auto-instrumentation 一站式可观测
Grafana 11+ IRM（Incident Response Management）：内置 oncall 值班 / 事件管理 / Postmortem 模板，逐步替代 PagerDuty / Opsgenie 部分场景
AI 助手 Grafana LLM（2024-Q3 试验）：用自然语言生成 PromQL，2025 起仍是早期功能
Grafana Faro（RUM）：Web 端真实用户监控 SDK，前端可观测性补齐

实战建议（2025-2026 视角）：

Grafana 11.x / 12.x + Loki 3.x + Prometheus 3.x + Mimir 是云原生可观测的"标准四件套"
K8s 场景优先 Grafana Helm Chart 一键部署
国产可观测（夜莺 / FlashDuty）2024+ 与 Grafana 体系深度集成，可作为 oncall 补充

八、参考资料

Grafana 官方文档：https://grafana.com/docs/grafana/latest/
社区仪表盘：https://grafana.com/grafana/dashboards
配置文件参考：https://grafana.com/docs/grafana/latest/setup-grafana/configure-grafana/

下一步

监控那层用 Prometheus？→ 看 Prometheus 监控告警体系一文
日志也想接 Grafana？→ Loki + Promtail 日志架构一文
不想自己拼装？→ HertzBeat 轻量监控告警把监控+告警+可视化打包到一容器

Portainer 容器可视化管理：单 Docker 与集群一站搞定

Wed, 15 Mar 2023 00:00:00 +0800

命令行的 docker ps、docker logs 用得再熟，新人 onboard 时一句"这容器跑哪了"还是能把人问住。Portainer 就是一个"看得见的 Docker 管理面板"——容器、镜像、网络、存储卷、用户、权限，一站式在 Web 界面操作，特别适合给非运维同学用。这篇文章讲清楚容器化部署、Socket 挂载、初始账号、单 Docker / 集群模式选择。

阅读对象：想给团队/客户提供一个"点开就能用"的 Docker 管理界面的同学
覆盖范围：Portainer CE 容器化部署、Docker Socket 挂载、初始账号、单 Docker 模式 / Swarm 模式 / K8s 模式差异

一、为什么是 Portainer

容器管理工具不少，但定位不同：

工具	定位	适用场景
Portainer CE	通用、轻量、社区版	单 Docker / 小团队 / 给非运维用
Rancher	重量级、企业 K8s 管理	多 K8s 集群管理（已转型到 Rancher Prime）
Docker Desktop	本地开发	macOS / Windows 上单机使用
Lazydocker	TUI	命令行党、SSH 远程
Cockpit + podman	系统管理	RHEL 系

Portainer 的"杀手锏"是零学习成本——只要能开浏览器就能用 docker，比着文档点点鼠标就能拉镜像、起容器、看日志。

When to use：当你的团队里有人不熟 docker 命令行，或者要给客户演示/验收容器部署，Portainer 几乎是不二之选。如果只是个人开发用，且只需要起一两个容器，Portainer 会"杀鸡用牛刀"。

二、容器化部署

2.1 单 Docker 模式（最常见）

1
2
3
4
5
6
7


docker run -d \
 --restart=unless-stopped \
 --name portainer \
 -p 9900:9000 \
 -v /var/run/docker.sock:/var/run/docker.sock \
 -v /home/docker/portainer/data:/data \
 portainer/portainer

挂载说明：

挂载点	作用
`/var/run/docker.sock:/var/run/docker.sock`	接管宿主机 Docker Daemon，让 Portainer 能 list/start/stop 容器
`/home/docker/portainer/data:/data`	Portainer 自己的数据（账号、配置、堆栈）持久化

访问 http://{{HOST}}:9900：

首次进入会要求设置 admin 账号（不是默认账号！）
然后选择 “Get started” / “Local” 进入单 Docker 模式

2.2 初始账号

重要：新版本 Portainer 不再有默认账号，首次启动强制让你创建 admin 账号（最少 12 位密码）。网上很多老教程说"admin/admin123456789"那是过期文档。

2.3 Community Edition vs Business Edition

Portainer 有两个版本：

CE（Community Edition）：免费，单一环境（单 Docker / 单 Swarm / 单 K8s），基础 RBAC
BE（Business Edition）：商业授权，多环境管理、LDAP/AD 集成、细粒度 RBAC、合规审计

绝大多数中小团队用 CE 足够。如果企业有合规、审计、SSO 需求，再考虑 BE。

三、核心功能

进入 Portainer 后，左侧导航是核心功能区：

3.1 Stacks（Compose 一键部署）

Stacks → Add stack，把 docker-compose.yml 内容贴进去（支持 Git 仓库、Web editor、Upload），点 Deploy 就能拉起一整套服务。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


version: "3"
services:
 redis:
 image: redis:7-alpine
 restart: always
 ports:
 - 6379:6379
 postgres:
 image: postgres:15-alpine
 restart: always
 environment:
 POSTGRES_PASSWORD: "{{REDACTED}}"
 volumes:
 - pgdata:/var/lib/postgresql/data
volumes:
 pgdata:

变量插值：Portainer 支持 {{VAR}} 占位符，在 Stack 部署时填入。不要把明文密码写进 yaml 文件，用环境变量注入。

3.2 Containers / Images / Volumes / Networks

点进去就能 list、inspect、start、stop、kill、remove、exec。Container logs 还支持 tail -f 实时跟随——比 SSH 进去 docker logs -f 还方便。

3.3 Swarm 模式（多节点）

如果宿主机是 Docker Swarm 集群，Portainer 能识别并显示所有 worker 节点，统一管理。前提是 Swarm 集群已经初始化：

1

docker swarm init

集群里其它节点执行 docker swarm join --token ... 加入后，Portainer 自动发现。

3.4 K8s 模式

Add Environment → Kubernetes，填 kubeconfig 或者 service account，就能把 Portainer 接到 K8s 集群。但 K8s 模式功能比 CE 版还基础（命名空间、Deployment、Service、Pod 管理），复杂场景推荐用 Rancher / Lens / Octant。

四、生产环境建议

不要把 Portainer 暴露到公网——9000 端口直接对外是"裸奔"，docker.sock 挂载意味着谁拿到 Portainer 就能控制宿主机所有容器
用 Nginx / Caddy 反向代理——加 HTTPS、加 basic auth、加 IP 白名单
管理员账号——设置复杂的 12+ 位密码
数据备份——/home/docker/portainer/data 整个目录定期 tar 备份
升级——docker pull portainer/portainer && docker restart portainer，但要看 release notes 注意破坏性变更

五、踩坑清单

看不到容器——/var/run/docker.sock 没挂载，Portainer 只是空壳。检查挂载路径
Stacks 部署失败不报错——看 Events 标签页，docker daemon 的报错会写在那里
Container 控制台中文乱码——容器本身的 locale 问题，进 Exec 之前先 export LANG=C.UTF-8
Image 拉取超时——Portainer 不会自动用 daemon.json 里的 mirror，但 docker daemon 会（继承宿主配置），所以本质上不影响
多用户场景——CE 版的 RBAC 很基础（只支持 owner / administrator / operator / viewer 四种角色），复杂权限需要 BE

六、2024+ 视角补充

本文写于 2023-03，2024-2026 期间 Portainer 有几个显著演进：

Portainer CE 2.20+（2024 主流版本）：

Edge Agent 模式强化：分布式 IoT / 多机房场景下，Edge Agent 可以主动连中心 Portainer（出站 NAT 友好）
GitOps 集成：Stack 支持从 Git 仓库自动同步（Git pull = 自动 deploy），2024 起成为 CE 版的内置能力（之前是 BE 专属）
RBAC 增强：CE 版 RBAC 从 4 个角色（owner / administrator / operator / viewer）扩展到可自定义团队 + 资源访问控制（Namespace 级 / Stack 级 / Container 级）
K8s 体验大幅提升：之前 CE 版 K8s 模式功能很基础，2.20+ 加入 Helm chart 部署、ConfigMap / Secret 管理、Ingress 编辑

Container Management 之外的扩展：

Homepage / Dashboard 定制：每个用户可设自己的首页（“我关心的容器”）
通知集成扩展：Slack / Microsoft Teams / Email / webhook / PagerDuty / Opsgenie——alert rule 可直接推 oncall
审计日志：CE 2.21+ 内置审计日志（之前是 BE 专属），合规场景可用
备份 / 恢复：Stack 级别的"Export / Import"——开发→测试→生产用同一份 stack 配置

Portainer 替代品（2024 视野）：

Rancher Prime（2024 改名，原 Rancher）：SUSE 把 Rancher 商业化转型，企业 K8s 多集群管理首选
Lens：IDE 风格的 K8s 管理工具，免费，桌面应用
OpenLens：Lens 6 后部分闭源，OpenLens 是 fork 继续开源
Headlamp：Kubernetes 官方推荐的 Web UI（取代老旧的 Dashboard）
LazyDocker：终端党 2024 仍活跃
CasaOS / Cosmos：家用 NAS / 小团队 2024+ 更推荐（Portainer 偏运维，CasaOS 偏普通人）

安全更新：

Portainer 2024 年修复过几个严重 RCE（CVE-2024-21xxx），必须升 2.20.3+ 才是安全版本
Docker socket 挂载是核心风险：2024 起官方推荐用 Docker Socket Proxy（tecnativa/docker-socket-proxy）做"最小权限代理"，避免 Portainer 一旦被攻破就拿整个宿主机
2FA 强制开启：CE 2.18+ 强制所有 admin 必须配 2FA（之前是可选）

实战用法变化（2024 视角）：

+ Diun 自动检测镜像更新 → Portainer 推送通知
+ Watchtower 自动升级非关键容器
+ Traefik / Caddy 自动 HTTPS 终结（Portainer 仍主攻容器编排，HTTPS 让专门的反向代理做）
+ Headlamp 管理 K8s 集群（Portainer 主攻 Docker，K8s 用专门工具）

经验法则更新：

Docker 单机 / 小团队 → Portainer CE 2.20+ 仍是 2024+ 首选
K8s 集群 → 优先 Rancher Prime / Lens / Headlamp，Portainer K8s 模式为辅
家用 / 个人 → CasaOS 更轻量更易用
大企业 / 合规 → Portainer BE 仍是合规审计好选择

七、参考资料

Portainer 官方文档：https://docs.portainer.io/
社区版 vs 商业版：https://www.portainer.io/products
Docker Compose 规范：https://docs.docker.com/compose/compose-file/
Portainer 安全公告：https://github.com/portainer/portainer/security/advisories
Docker Socket Proxy：github.com/tecnativa/docker-socket-proxy
Headlamp K8s UI：headlamp.io

下一步

想管 K8s 集群？→ 看 Prometheus 监控告警体系一文
一站式监控+告警？→ HertzBeat 轻量监控告警
想用 PaaS？→ Erda 云原生 PaaS 一文

nginxWebUI 可视化配置：图形化管理 Nginx 反向代理与证书

Thu, 15 Mar 2018 00:00:00 +0800

背景

直接编辑 nginx.conf 对老手不是问题，但对多机器、多域名、多证书的场景：

10 台机器的 Nginx 配置逐个 scp + reload，效率低
Let’s Encrypt 证书 90 天过期，每次手动续期累
反代配置改一行，要 grep + vim + nginx -t + reload 反复验证
团队里新人不会写 nginx.conf

nginxWebUI（cym1102/nginxWebUI）是国产开源的Nginx 图形化管理工具：

Web 界面配置 server、location、upstream、SSL
可视化反向代理、负载均衡、HTTPS、HTTP/2
证书申请支持 Let’s Encrypt（DNS 验证）+ 自有证书
集群同步多台 Nginx 配置一致
参数模板常用片段（WebSocket、HTTPS、限流）

适用场景：

中小企业多机器统一配置
不熟悉 nginx.conf 的运维新人
大量多域名业务（虚拟主机）
证书自动续期 + 同步

前置知识：

Nginx 基础
一台已装 Nginx 1.16+ 的 Linux 机器
JDK 1.8（运行 Spring Boot）

重要原则：nginxWebUI 直接修改nginx.conf 并 reload，所有手工编辑的注释必须用 # nginxWebUI 标记（避免被覆盖）。

一、架构

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


 ┌──────────────────┐
 │ nginxWebUI Web │ ← 用户浏览器
 │ (Spring Boot) │
 │ :8080/:8082 │
 └────────┬─────────┘
 │
 ┌──────┴──────┐
 │ │
 ┌────▼─────┐ ┌────▼─────┐
 │ Nginx │ │ 配置文件 │ ← /home/nginxWebUI/
 │ :80/443 │ │ 模板、 │
 │ reload │ │ 证书、 │
 └──────────┘ │ 集群配置 │
 └──────────┘

关键路径：

Web UI：http://<ip>:8080（默认）
项目目录：/home/nginxWebUI/
配置文件：/home/nginxWebUI/conf/
证书目录：/home/nginxWebUI/.acme.sh/

二、前置工作

2.1 安装 JDK 1.8

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 下载并解压
curl -O https://example.com/jdk-8u381-linux-x64.tar.gz
tar -xzvf jdk-8u381-linux-x64.tar.gz -C /usr/local

# 配置环境变量
cat << "EOF" >> /etc/profile
export JAVA_HOME=/usr/local/jdk1.8.0_381
export CLASSPATH=$JAVA_HOME/bin:$JAVA_HOME/lib:$JAVA_HOME/jre/lib
export PATH=.:$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH
EOF

# 生效
source /etc/profile

# 验证
java -version
# java version "1.8.0_381"

2.2 准备 Nginx

编译选项必须包含（缺哪个就重编）：

1
2
3
4
5
6
7
8


nginx -V
# 关键参数：
# --with-http_ssl_module HTTPS 必备
# --with-http_stub_status_module 状态监控
# --with-pcre 正则
# --with-http_gzip_static_module 静态压缩
# --with-stream TCP/UDP 四层代理
# --with-stream_ssl_module TCP SSL

如果没有 --with-stream，重编译：

1
2
3
4
5
6
7
8


./configure --prefix=/usr/local/nginx \
 --with-http_ssl_module \
 --with-http_stub_status_module \
 --with-pcre \
 --with-http_gzip_static_module \
 --with-stream \
 --with-stream_ssl_module
make && make install

把 nginx 加入 PATH：

1
2
3
4
5
6


cat << "EOF" >> /etc/profile
PATH=$PATH:/usr/local/nginx/sbin
export PATH
EOF
source /etc/profile
nginx -V

三、安装 nginxWebUI

3.1 下载 jar

1
2
3


mkdir -p /home/nginxWebUI/
wget -O /home/nginxWebUI/nginxWebUI.jar \
 https://gitee.com/cym1102/nginxWebUI/releases/download/4.3.0/nginxWebUI-4.3.0.jar

版本选择：4.x 需要 JDK 11+，4.2.x 兼容 JDK 1.8。

3.2 启动（测试）

1
2
3
4


nohup java -jar -Dfile.encoding=UTF-8 \
 /home/nginxWebUI/nginxWebUI.jar \
 --server.port=8080 \
 --project.home=/home/nginxWebUI/ > /dev/null &

3.3 systemd 守护（生产推荐）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


cat << "EOF" > /etc/systemd/system/nginxwebui.service
[Unit]
Description=NginxWebUI
After=syslog.target
After=network.target

[Service]
Type=simple
User=root
Group=root
WorkingDirectory=/home/nginxWebUI
ExecStart=/usr/local/jdk1.8.0_381/bin/java -jar -Dfile.encoding=UTF-8 \
 /home/nginxWebUI/nginxWebUI.jar --server.port=8082
Restart=always
ReStartSec=600

[Install]
WantedBy=multi-user.target
EOF

systemctl daemon-reload
systemctl enable --now nginxwebui.service
systemctl status nginxwebui.service

四、首次登录

4.1 访问

1

http://<server-ip>:8082

4.2 修改默认密码

第一次登录会要求修改默认账号（默认 admin / nginxWebUI 或类似，取决于版本）。

必须改强密码——这个 Web 界面一旦被破，攻击者直接控制你的 Nginx。

4.3 主界面

登录后看到 5 大模块：

反向代理：可视化配置 server/location/upstream
证书管理：Let’s Encrypt 申请 + 续期
参数模板：常用片段（WebSocket、HTTPS、限流）
集群管理：多机器同步
系统设置：日志、备份、安全

五、反向代理实战

5.1 创建一个 HTTP 反代

反向代理 → 创建：

1
2
3
4


名称：blog-app
监听端口：80
域名：blog.example.com
上游地址：127.0.0.1:3000

nginxWebUI 自动生成：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


server {
 listen 80;
 server_name blog.example.com;
 
 location / {
 proxy_pass http://127.0.0.1:3000;
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 }
}

5.2 HTTPS + WebSocket 模板

反向代理 → 编辑 → 启用 SSL：

1
2
3


证书：选择 let's encrypt 自动申请
强制 HTTPS：是
模板：WebSocket

自动生成：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


server {
 listen 443 ssl http2;
 server_name blog.example.com;
 
 ssl_certificate /home/nginxWebUI/.acme.sh/blog.example.com/fullchain.cer;
 ssl_certificate_key /home/nginxWebUI/.acme.sh/blog.example.com/blog.example.com.key;
 
 location / {
 proxy_pass http://127.0.0.1:3000;
 proxy_http_version 1.1;
 proxy_set_header Upgrade $http_upgrade;
 proxy_set_header Connection "upgrade";
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 # WebSocket 超时
 proxy_read_timeout 600s;
 }
}

5.3 负载均衡

上游 → 创建：

1
2
3
4
5
6


名称：api-pool
负载策略：ip_hash（会话保持）
节点：
 - 10.0.1.10:8080
 - 10.0.1.11:8080
 - 10.0.1.12:8080

在反代 location 选 api-pool，自动生成：

1
2
3
4
5
6


upstream api-pool {
 ip_hash;
 server 10.0.1.10:8080;
 server 10.0.1.11:8080;
 server 10.0.1.12:8080;
}

5.4 重载配置

右上角 → 替换文件 → 验证配置 → 重新加载 nginx

1
2


nginx -t
nginx -s reload

nginxWebUI 自动执行这两步。

六、证书自动申请

6.1 阿里云 DNS 验证

证书管理 → 申请证书 → DNS 验证 → 阿里云：

需要阿里云 AccessKey（最小权限：AliyunDNSFullAccess）：

1
2


AccessKey ID: LTAI5txxxxxxxxxxx
AccessKey Secret: h8Q4xxxxxxxxxxxx

强烈建议用 RAM 子账号 AccessKey，不要用主账号。

6.2 申请流程

选择 DNS 厂商（阿里云 / 腾讯云 / Cloudflare / 华为云）
填 AccessKey
输入要申请证书的域名
nginxWebUI 自动：
- 在 DNS 添加 _acme-challenge TXT 记录
- 等 Let’s Encrypt 验证
- 保存证书到 /home/nginxWebUI/.acme.sh/
在反代配置中选这个证书

6.3 自动续期

Let’s Encrypt 证书 90 天过期。nginxWebUI 内置 cron 任务：

每天检查 30 天内过期的证书
自动调用 acme.sh 续期
自动 reload nginx

无需人工干预。

6.4 多域名（SAN 证书）

1
2
3


example.com
www.example.com
api.example.com

一次申请，3 个域名共用 1 张证书。

七、集群同步

7.1 场景

N 台 Nginx 机器（机房 A 3 台 + 机房 B 2 台），配置要完全一致。

7.2 配置主从

集群管理 → 添加节点：

1
2
3
4
5


节点名：nginx-slave-01
IP：10.0.1.21
SSH 端口：22
SSH 用户：root
认证方式：SSH 私钥

主节点（你这台）配置变更后，点"同步"会自动 scp 配置 + reload 到所有从节点。

7.3 同步内容

反代配置
证书
模板
不同步：日志、本地统计

7.4 同步失败的常见原因

SSH 免密没配：ssh-keygen + ssh-copy-id 先打通
nginx 路径不同：从节点 /usr/local/nginx/sbin/nginx 不存在
JDK 没装：从节点没 java，nginxWebUI 跑不起来
防火墙：从节点没开放 22 给主节点

八、参数模板

把常用配置片段做成模板，一处维护，到处使用。

8.1 内置模板

WebSocket 反代：Upgrade + Connection "upgrade" + 长超时
HTTPS 优化：ssl_protocols / ssl_ciphers / session cache
静态资源：gzip / expires / cache-control
限流：limit_req_zone 限 IP / URI
防盗链：referer 白名单

8.2 自定义模板

1
2
3
4
5


# 我的限流模板
location / {
 limit_req zone=one burst=10 nodelay;
 proxy_pass http://backend;
}

保存后，在反代编辑界面可以一键插入。

九、备份与恢复

9.1 自动备份

系统设置 → 自动备份：

备份目录：/home/nginxWebUI/backup/
备份内容：所有反代配置 + 证书
备份频率：每天 / 每周
保留份数：30 份

9.2 手动备份

1
2
3
4
5
6
7


# 备份项目目录
tar -czf nginxWebUI_$(date +%F).tar.gz /home/nginxWebUI/

# 排除 .acme.sh（可重新申请）
tar -czf nginxWebUI_config_$(date +%F).tar.gz \
 --exclude='*.acme.sh' \
 /home/nginxWebUI/

9.3 跨机迁移

1
2
3
4
5
6


# 旧机器打包
tar -czf nginxWebUI.tar.gz /home/nginxWebUI/

# 新机器恢复
tar -xzf nginxWebUI.tar.gz -C /
# 然后启动 systemd 即可

记得修改 --project.home 指向新路径。

十、安全加固

10.1 Web UI 端口保护

1
2
3
4
5
6


# 用 Nginx 反代 nginxWebUI，加 basic auth
location / {
 auth_basic "NginxWebUI Admin";
 auth_basic_user_file /etc/nginx/.htpasswd;
 proxy_pass http://127.0.0.1:8082;
}

10.2 HTTPS for Web UI

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 生成自签证书（内网用）
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 \
 -keyout /home/nginxWebUI/ssl.key \
 -out /home/nginxWebUI/ssl.crt \
 -subj "/CN=nginxwebui.internal"

# 启动加 --server.ssl.key-store
nohup java -jar nginxWebUI.jar \
 --server.port=8443 \
 --server.ssl.key-store=/home/nginxWebUI/ssl.jks \
 --server.ssl.key-store-password=changeit &

10.3 操作审计

审计台 → 操作日志：所有 Web UI 操作都记录（谁在什么时间改了什么）。

十一、常见问题

11.1 配置替换后 nginx -t 报错

原因：上游地址不可达 + nginx -t 不检查 upstream 通断。

对策：

在 nginxWebUI 启用"测试"模式（不直接 reload）
手工 nginx -t 验证语法

11.2 证书申请失败

DNS 验证失败：阿里云 AccessKey 没 AliyunDNSFullAccess
速率限制：Let’s Encrypt 一周 5 张同域名证书，用 staging 环境测
端口 80 被占：HTTP 验证需要 80 端口，改用 DNS 验证

11.3 Web UI 502 Bad Gateway

8080 端口被占：lsof -i :8080
Java 进程没起来：systemctl status nginxwebui
磁盘满：证书申请要写临时文件

11.4 集群同步后从节点 nginx 起不来

检查从节点 nginx 编译参数一致
检查从节点 /etc/nginx 是否被覆盖（nginxWebUI 默认只动 conf.d）

十二、卸载

1
2
3
4
5


systemctl stop nginxwebui.service
systemctl disable nginxwebui.service
rm -rf /etc/systemd/system/nginxwebui.service
rm -rf /home/nginxWebUI
systemctl daemon-reload

小结

nginxWebUI 是国产最易用的 Nginx 可视化工具：

图形化反代——不用手写 nginx.conf
证书自动续期——Let’s Encrypt 90 天焦虑解除
集群同步——多机器配置一致性
模板复用——常用片段一处维护

生产使用三原则：

Web UI 加 basic auth + HTTPS
手写配置必须带 # nginxWebUI 标记避免被覆盖
定期备份 /home/nginxWebUI/

替代方案对比：

nginxWebUI（本篇）：Spring Boot + Web，集群同步
Nginx Proxy Manager：Docker 化，UI 更现代
Caddy：自带 HTTPS，但生态小
APISIX：企业级网关，APISIX Ingress

下一步：

用 Nginx Proxy Manager 做内网穿透入口
用 APISIX 做 API 网关（限流、鉴权、灰度）
自建证书监控（certspotter / cert-expiry-monitor）

2024 视角：Web UI 类工具已"百花齐放"

2018 那篇只有 nginxWebUI 一个国产工具。2024 视角下，Web UI 类 Nginx 工具已经"百花齐放"。

一、nginxWebUI 4.x（2024 现状）

当前版本 4.3.x（2024 持续更新）。
新特性：
- JDK 17+ 兼容（不再强依赖 JDK 8）
- 国密 SM2/SM3/SM4（国内信创环境）
- 集群同步 增强：支持灰度发布
- OpenAPI：用 REST API 自动化配置

1
2
3
4
5
6


# 2024 装
wget -O /home/nginxWebUI/nginxWebUI.jar \
 https://gitee.com/cym1102/nginxWebUI/releases/download/4.3.0/nginxWebUI-4.3.0.jar

# 启动（要求 JDK 17+）
java -jar nginxWebUI.jar --server.port=8080 --project.home=/home/nginxWebUI/

二、Nginx Proxy Manager（NPM）—— 2024 主流"最易用"工具

Nginx Proxy Manager（NginxProxyManager/nginx-proxy-manager）：Docker 一行命令 起 UI。

1
2
3
4
5
6
7


# 装
docker run -d \
 --name nginx-proxy-manager \
 -p 80:80 -p 443:443 -p 81:81 \
 -v /data/npm/data:/data \
 -v /data/npm/letsencrypt:/etc/letsencrypt \
 jc21/nginx-proxy-manager:latest

优势：
- UI 极其现代（Vue 3 + Element Plus）
- Let’s Encrypt 自动续期（内置）
- Access List（HTTP Basic Auth 访问控制）
- Audit Log（所有操作记录）
2024 主流：NPM 在个人 / 小团队 / 自托管场景已经超过 nginxWebUI。

三、Caddy —— “自动 HTTPS"的魅力

Caddy（Go 写）自动申请 Let’s Encrypt 证书 + 自动续期——配置极简：

1
2
3
4
5
6
7
8
9


# /etc/caddy/Caddyfile
myapp.example.com {
 reverse_proxy localhost:3000
}

blog.example.com {
 reverse_proxy localhost:8080
 encode gzip
}

1
2
3
4


# 装
apt install caddy
caddy run
# 自动 HTTPS + 自动续期

2024 趋势：Caddy 在静态博客 / 个人网站 / 内部工具场景全面替代 Nginx。
劣势：插件生态远不如 Nginx（没有 stream 四层、不能编译第三方模块）。

四、APISIX / Kong —— “API 网关"路线

APISIX（Apache 顶级项目，国产）：云原生 API 网关——支持动态路由、限流、鉴权、灰度、gRPC：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# APISIX Route
upstreams:
 - id: "1"
 nodes:
 - host: "10.0.1.10"
 port: 8080
 weight: 1
 - host: "10.0.1.11"
 port: 8080
 weight: 1
 type: roundrobin

Kong（基于 Nginx + Lua）：商业 API 网关老牌，2024 仍是外企主流。

五、Traefik —— K8s 时代的"动态反代”

Traefik（Go 写）自动发现 K8s 资源（Ingress / Service）——几乎零配置：

1
2
3
4
5
6


# Helm 装
helm repo add traefik https://traefik.github.io/charts
helm install traefik traefik/traefik

# 自动发现所有 Ingress
kubectl apply -f myapp-ingress.yaml

自动 HTTPS（Let’s Encrypt + cert-manager 集成）。
2024 K8s 项目默认 Ingress Controller 之一（与 Nginx Ingress Controller 并列）。

六、`acme.sh` —— 命令行证书申请的事实标准

2018 那篇的 nginxWebUI 内置 acme.sh。2024 视角：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 装
curl https://get.acme.sh | sh
source ~/.bashrc

# 申请证书（DNS 验证）
export Ali_Key="xxx"
export Ali_Secret="yyy"
acme.sh --issue -d example.com --dns dns_ali

# 复制到 Nginx
acme.sh --install-cert -d example.com \
 --key-file /etc/nginx/ssl/example.com.key \
 --fullchain-file /etc/nginx/ssl/example.com.crt \
 --reloadcmd "systemctl reload nginx"

acme.sh 2024 仍是 80+ DNS 厂商支持的"证书神器”——比 certbot 简单、比 nginxWebUI 灵活。

七、Web UI 工具选型 2024 决策表

场景	2018 选择	2024 推荐
个人博客 / 静态站	Caddy / Nginx	Caddy（自动 HTTPS）
小团队 1-3 台 Nginx	nginxWebUI	NPM（UI 现代）
中小企业多 Nginx	nginxWebUI + rsync	NPM 或 APISIX
K8s 集群 Ingress	（K8s 还没普及）	Traefik / Nginx Ingress / APISIX Ingress
API 网关 / 限流	（没普及）	APISIX / Kong
信创 / 国密	nginxWebUI	nginxWebUI 4.x
跨境 / 外企	nginxWebUI	Nginx Plus 或 Kong Enterprise

八、Web UI 工具的"未来趋势"

AI 辅助配置（2024 萌芽）：自然语言生成 Nginx 配置
GitOps 化：Web UI 改动自动 commit 到 Git
多集群联邦：一个 UI 管多 K8s 集群的 Ingress
安全扫描：Web UI 内置配置审计（防止错误配置）

源文档：os/linux/第三方tools/net/nginx/nginxwebUI.md（JDK 安装、Nginx 编译、jar 启动、systemd 守护、证书申请）