深入解析:基于 Nginx 代理的 HEP TLS 接入方案
利用 Nginx Stream 模块为 CXMind 摄取引擎提供原生的 TLS 加密支持。
本文档详细说明了如何使用 Nginx 的 stream 模块作为反向代理,为 CXMind 摄取引擎 (Ingestion Engine, IE) 提供原生的 HEP (Homer Encapsulation Protocol) TLS 加密流量接入支持。
1. 方案拓扑 (Architecture Topology)
通过在 IE 前端部署 Nginx,由 Nginx 负责进行 TLS 卸载(解密),然后将明文的 HEP 流量通过内网或本地回环地址通过纯 TCP 转发给内部的 IE 服务。
部署 Nginx 代理,作为唯一的加密入口,承担 TLS 解密工作并隔离公网压力。
部署 Ingestion Engine (IE),仅接收来自 Nginx 代理的高信任度明文流,提升核心节点安全性。
2. Nginx 配置 (Nginx Configuration)
由于 HEP 流量属于四层(传输层)TCP/UDP 数据,而非七层 HTTP 协议,必须使用 Nginx 的 stream 模块来进行 SSL/TLS 卸载与转发。在 Nginx 配置文件中(通常为 /etc/nginx/nginx.conf)添加相关反向代理与证书配置。
stream {
# CXMind Ingestion Engine 内部节点 (明文 TCP)
upstream cxmind_ie {
server 127.0.0.1:9060; # 或您内部的 IE 局域网 IP
}
# 用于侦听加密 HEP 流量的 TLS 监听器
server {
listen 9061 ssl;
proxy_pass cxmind_ie;
# TLS 证书配置
ssl_certificate /etc/nginx/ssl/cxmind.crt;
ssl_certificate_key /etc/nginx/ssl/cxmind.key;
# SSL 性能优化 (推荐)
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
}
}3. 摄取引擎配置 (IE Configuration)
在此方案下,IE 无需感知 TLS 的存在,直接处理由 Nginx 转发的明文 TCP 流量。建议将 IE 绑定在本地回环地址以增强系统安全性。
虽然四层代理无法像 HTTP 那样注入 X-Forwarded-For 报头,但由于 HEP 协议的数据包封装 (Capsule) 内部已经包含了原始的源 IP (Src IP) 和目的 IP (Dst IP),因此即便经过 Nginx 代理,系统依然能完整保留业务所需的来源监控元数据,无任何监控信息丢失。
4. 方案优点 (Core Advantages)
IE 后端(Go)与前端(React)无需任何逻辑变更,直接沿用现有稳定版本即可完美支持安全接入。
TLS 握手是 CPU 密集型操作。交给 Nginx 利用 C 语言优化及硬件指令集(如 AES-NI)处理,能让 IE 协程完全聚焦于业务解析,极大提高系统吞吐量。
无缝集成 Certbot 等自动化工具。直接利用现有的证书轮换策略,无需在 UI 界面上传高密级私钥,彻底降低泄露风险。
Need more help or have a specific architecture question?
Contact Engineering Support