Nginx+Traefik反向代理配置：Cryptgeon生产环境部署最佳实践

【免费下载链接】cryptgeon cryptgeon is a secure, open source note / file sharing service inspired by PrivNote written in rust & svelte. 项目地址: https://gitcode.com/gh_mirrors/cr/cryptgeon

Cryptgeon是一款受PrivNote启发、采用Rust和Svelte开发的安全开源笔记/文件共享服务，通过反向代理实现生产环境部署可显著提升服务的安全性与可访问性。本文将详细介绍使用Nginx和Traefik两种主流反向代理工具部署Cryptgeon的完整流程，帮助新手用户快速掌握生产级配置方案。

📋 准备工作：环境与资源说明

在开始部署前，请确保已完成以下准备：

• 安装Docker和Docker Compose
• 准备域名（用于HTTPS配置）
• 服务器开放80/443端口
• 克隆项目代码：git clone https://gitcode.com/gh_mirrors/cr/cryptgeon

Cryptgeon的官方部署示例文件位于项目的examples目录下，包含Nginx和Traefik两种代理方案的完整配置模板：

• Nginx配置：examples/nginx/
• Traefik配置：examples/traefik/

图1：Cryptgeon的明暗两种主题界面，展示了笔记创建页面的核心功能区域

🔄 Nginx反向代理配置方案

基础HTTP配置（快速测试）

Nginx的基础配置文件nginx-plain.conf提供了简单的HTTP代理设置，适用于内部测试环境：

server {
    listen 80;
    listen [::]:80;
    server_name _;

    location / {
      proxy_pass http://app:8000/;
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
    }
}

生产级HTTPS配置

对于公网环境，建议使用nginx-tls.conf配置HTTPS加密连接，配置要点包括：

1. HTTP到HTTPS的强制跳转
2. SSL证书配置
3. 完善的代理头信息传递

server {
    listen 80;
    server_name your-domain.com;
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl http2;
    server_name your-domain.com;
    
    ssl_certificate /path/to/fullchain.pem;
    ssl_certificate_key /path/to/privkey.pem;
    
    location / {
      proxy_pass http://app:8000/;
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header X-Forwarded-Proto $scheme;
    }
}

⚠️ 注意：需将/path/to/fullchain.pem替换为实际SSL证书路径，可通过Let's Encrypt免费获取证书

🚀 Traefik反向代理配置方案

基本部署配置

Traefik作为现代云原生反向代理，通过标签式配置简化服务发现。基础配置文件位于examples/traefik/README.md，核心配置如下：

version: '3.8'

networks:
  proxy:
    external: true

services:
  redis:
    image: redis:7-alpine
    restart: unless-stopped

  app:
    image: cupcakearmy/cryptgeon:latest
    restart: unless-stopped
    depends_on:
      - redis
    networks:
      - default
      - proxy
    labels:
      - traefik.enable=true
      - traefik.http.routers.cryptgeon.rule=Host(`example.org`)
      - traefik.http.routers.cryptgeon.entrypoints=secure
      - traefik.http.routers.cryptgeon.tls.certresolver=le

高级安全配置：添加Basic Auth保护

为增强安全性，可通过Traefik中间件添加HTTP Basic认证：

labels:
  - "traefik.enable=true"
  - "traefik.http.routers.cryptgeon.rule=Host(`cryptgeon.example.org`)"
  - "traefik.http.routers.cryptgeon.entrypoints=websecure"
  - "traefik.http.routers.cryptgeon.middlewares=cryptgeon-auth"
  - "traefik.http.middlewares.cryptgeon-auth.basicauth.users=user:$$2y$$05$$juUw0zgc5ebvJ00MFPVVLujF6P.rcEMbGZ99Jfq6ZWEa1dgetacEq"

提示：上述配置中的密码哈希可通过htpasswd工具生成，示例用户名为user，密码为secret

🔍 部署验证与最佳实践

服务验证步骤

1. 启动服务：docker compose up -d
2. 检查容器状态：docker compose ps
3. 访问服务：https://your-domain.com
4. 验证功能：创建测试笔记并确认可正常访问

生产环境优化建议

1. 安全加固：

   • 定期更新容器镜像
   • 限制Redis访问权限
   • 配置适当的防火墙规则

2. 性能优化：

   • 启用Nginx/Traefik的gzip压缩
   • 配置合理的缓存策略
   • 监控系统资源使用情况

3. 高可用性：

   • 考虑使用Redis集群
   • 配置负载均衡
   • 实现自动备份机制

图2：Cryptgeon中文Logo，象征安全可靠的加密信息传递

通过本文介绍的Nginx和Traefik配置方案，您可以快速部署一个安全、高效的Cryptgeon服务。两种代理方案各有优势：Nginx适合传统服务器环境，配置灵活；Traefik则更适合容器化部署，自动化程度高。根据实际需求选择合适的方案，并遵循最佳实践进行配置，即可获得稳定可靠的生产环境部署。

【免费下载链接】cryptgeon cryptgeon is a secure, open source note / file sharing service inspired by PrivNote written in rust & svelte. 项目地址: https://gitcode.com/gh_mirrors/cr/cryptgeon