在Selenoid前配置Nginx作为SSL终止代理的实践指南

背景介绍

Selenoid是一个轻量级的Selenium协议实现，用于运行浏览器自动化测试。在生产环境中，我们经常需要为Selenoid添加SSL加密层来保护数据传输安全。本文将详细介绍如何在Nginx后配置Selenoid及其UI界面，实现完整的HTTPS支持。

核心挑战

在Nginx后配置Selenoid面临的主要技术难点是WebSocket连接的代理问题。Selenoid UI需要通过WebSocket与后端Selenoid服务建立连接，用于日志传输和VNC会话。当Nginx作为反向代理时，必须正确处理WebSocket协议的升级请求。

解决方案详解

基础Nginx配置

首先需要配置基本的SSL终止和反向代理：

upstream selenoid-ui {
    server 127.0.0.1:8080;
}

server {
    listen 8443 ssl;
    # SSL证书配置...
    
    location / {
        proxy_pass http://selenoid-ui;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $http_host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        
        proxy_buffering off;
        proxy_cache off;
    }
}

WebSocket特殊处理

WebSocket连接需要额外的配置项：

location /ws {
    proxy_pass http://selenoid-ui;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $http_host;
}

关键配置说明

1. Host头设置：使用$http_host而非$host确保完整的主机名传递
2. 连接升级：必须设置Upgrade和Connection头以支持WebSocket协议
3. 性能优化：禁用缓冲和缓存以避免WebSocket数据被截断
4. 超时设置：适当延长超时时间以适应长时间运行的测试会话

常见问题排查

1. 403禁止访问错误：通常是由于WebSocket升级头未正确传递
2. 连接断开：检查Nginx和Selenoid之间的超时设置是否匹配
3. VNC无法连接：确保/ws/vnc/路径被正确代理到Selenoid服务

最佳实践建议

1. 为Selenoid和Selenoid UI使用不同的upstream定义
2. 在生产环境中考虑添加基本的HTTP认证层
3. 监控Nginx的WebSocket连接状态
4. 根据实际负载调整连接超时和keepalive参数

通过以上配置，我们可以实现一个安全、稳定的Selenoid服务前端代理，既保证了数据传输的安全性，又确保了所有功能的完整可用性。