我的 Docker 服务标准部署流程：集成 Nginx Proxy Manager 禁止公网IP泄露访问

一、前言与目标

在服务器上部署多个 Docker 服务时，我们常常会遇到一个问题：每个服务都想占用一个端口，导致我们需要记住一堆 IP地址:端口号，例如 http://1.2.3.4:8080, http://1.2.3.4:8090 等。这种方式不仅管理混乱，而且直接暴露端口在公网上也存在安全风险，同时还无法方便地使用 HTTPS 加密。

本教程的目标，就是建立一个标准化的流程，将所有新部署的 Docker 服务都隐藏在反向代理之后，通过 Nginx Proxy Manager (NPM) 实现：

1. 禁止通过 IP:端口 的方式直接公网访问。
2. 为每个服务绑定一个独立的、好记的子域名（例如 service-a.yourdomain.com）。
3. 自动配置并强制使用 HTTPS 加密。

二、准备工作

在部署任何新服务之前，请确保您已拥有：

1. 一个正在运行的 Nginx Proxy Manager (NPM) 容器。
2. 一个已创建的、用于容器间通信的共享 Docker 网络。 在本教程中，我们假设这个网络的名字叫 shared-network。
   • （如果还未创建，请执行：sudo docker network create shared-network）
   • （请确保您的 NPM 容器也已经连接到了这个网络，具体方法见我们之前的讨论）
3. 一个准备好使用的域名，并且可以随时添加新的子域名解析。

三、核心改造步骤

几乎所有 Docker 应用的官方文档都会提供一个简单的 docker run 命令或 docker-compose.yml 文件示例，它们通常都包含一个 -p <端口>:<端口> 或 ports 的配置。我们的核心任务就是改造这个配置。

情况 A：当官方提供的是 docker run 命令时

假设您找到了一个新应用（例如 Memos 笔记），它的标准启动命令是这样的：

# --- 改造前的原始命令 ---
docker run -d \
  --name memos \
  -p 5230:5230 \
  -v ~/.memos/:/var/opt/memos \
  usememos/memos:latest

这个命令会将 Memos 服务直接暴露在你服务器的公网 IP 的 5230 端口上。

我们的修改步骤如下：

1. 找到并删除 -p 5230:5230 这个端口映射参数。 这是最关键的一步，目的是“隐藏”服务。
2. 添加 --network shared-network 参数。 这是为了将它连接到我们的内部“高速公路”。

修改后的命令：

# --- 改造后的命令 ---
docker run -d \
  --name memos \
  --network shared-network \
  -v ~/.memos/:/var/opt/memos \
  usememos/memos:latest

情况 B：当官方提供的是 docker-compose.yml 文件时

假设您找到了一个应用的 docker-compose.yml 示例：

# --- 改造前的原始配置 ---
services:
  some-app:
    image: some/app:latest
    ports:
      - "8989:80"
    volumes:
      - ./app-data:/data

这个配置同样会将 some-app 暴露在你服务器的 8989 端口上。

我们的修改步骤如下：

1. 找到 ports 部分并将其彻底删除或用 # 注释掉。
2. 在服务定义下添加 networks 部分，指定 shared-network。
3. 在文件末尾添加顶级的 networks 声明，将 shared-network 标记为 external: true。

修改后的 docker-compose.yml：

# --- 改造后的配置 ---
services:
  some-app:
    image: some/app:latest
    volumes:
      - ./app-data:/data
    networks:
      - shared-network

networks:
  shared-network:
    external: true

四、在 Nginx Proxy Manager 中配置反向代理

在您使用修改后的命令或配置成功启动了新的 Docker 服务后，最后一步就是在 NPM 中将域名指向它。

1. 登录您的 NPM 管理面板 (http://<IP>:81)。
2. 进入 Hosts -> Proxy Hosts，点击 Add Proxy Host。
3. 在 Details 标签页填写：
   • Domain Names: memos.yourdomain.com (您的新子域名)
   • Scheme: http
   • Forward Hostname / IP: <新容器的容器名> (例如 memos 或 some-app)
   • Forward Port: <容器的内部端口> (例如 5230 或 80)
   如何确定“内部端口”？ 您需要查看新应用的 Docker Hub 页面或其文档，来确定它的程序在容器内监听的是哪个端口。通常就是原始命令中冒号:右边的那个端口号。
4. 切换到 SSL 标签页，选择 Request a new SSL Certificate，并打开 Force SSL 开关。
5. 点击 Save。

五、总结

遵循这个标准流程，您就可以将任意多个 Docker 服务都整齐地统一管理起来，告别混乱的IP和端口号，非常专业！

核心工作流：

1. 改造配置：移除 ports 映射，禁止公网IP访问。
2. 连接网络：添加 network 配置，将新服务连接到 shared-network。
3. 设置反代：在 NPM 中通过容器名和内部端口来设置反向代理。