一、二级域名配置的核心价值与适用场景

二级域名（如api.example.com、blog.example.com）是互联网架构中常用的资源隔离手段，相比传统目录路径（如example.com/api/），具有以下优势：

资源隔离性：不同二级域名可部署在不同服务器或容器中，实现计算资源的物理隔离。例如将API服务（api.example.com）与静态资源（cdn.example.com）分离部署。
技术栈独立性：支持不同二级域名使用独立的技术栈。如Java服务（service.example.com）与Node.js服务（node.example.com）可共存于同一主域名下。
安全策略差异化：可通过二级域名实施不同的安全策略。例如admin.example.com可强制HTTPS并启用双因素认证，而test.example.com允许HTTP访问。
运维管理便利性：二级域名的日志、监控、备份等运维操作可独立进行，显著降低大型系统的管理复杂度。

典型应用场景包括：微服务架构的API网关、多租户SaaS平台的子域名系统、全球化业务的区域化部署（如us.example.com、eu.example.com）。

二、Nginx二级域名配置的完整流程

1. DNS解析配置

首先需在域名注册商处添加DNS记录：

# A记录示例（适用于IP直连）
api.example.com  A  192.0.2.100
# CNAME记录示例（适用于CDN或负载均衡）
blog.example.com  CNAME  blog-cdn.example.net

关键验证点：

使用dig api.example.com或nslookup api.example.com验证解析是否生效
确保TTL值设置合理（生产环境建议300-600秒）
配置泛域名解析时需谨慎，避免安全风险

2. Nginx虚拟主机配置

在nginx.conf或独立配置文件中定义server块：

server {
    listen 80;
    server_name api.example.com;
    location / {
        proxy_pass http://backend_api;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
    access_log /var/log/nginx/api.example.com.access.log;
    error_log /var/log/nginx/api.example.com.error.log;
}
server {
    listen 80;
    server_name blog.example.com;
    root /var/www/blog;
    index index.html;
    location / {
        try_files $uri $uri/ =404;
    }
}

配置要点：

server_name必须与DNS解析的二级域名完全匹配
建议为每个二级域名配置独立的access_log和error_log
生产环境应禁用server_name的通配符（如*.example.com），除非有特殊需求

3. HTTPS证书配置

使用Let’s Encrypt免费证书的配置示例：

# 安装Certbot
sudo apt install certbot python3-certbot-nginx
# 获取证书（自动修改Nginx配置）
sudo certbot --nginx -d api.example.com -d blog.example.com

手动配置SSL的示例：

server {
    listen 443 ssl;
    server_name api.example.com;
    ssl_certificate /etc/letsencrypt/live/api.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/api.example.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    # 其他配置...
}

安全建议：

启用HSTS头：add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
定期更新证书（Let’s Encrypt证书有效期90天）
考虑使用OCSP Stapling提升SSL性能

三、高级配置技巧

1. 基于路径的二级域名路由

server {
    listen 80;
    server_name example.com;
    location /api/ {
        proxy_pass http://api_backend;
        proxy_set_header Host api.example.com;
    }
    location /blog/ {
        alias /var/www/blog/;
    }
}

适用场景：

渐进式迁移到二级域名架构
兼容旧版URL路径

2. 动态DNS解析

结合Nginx的resolver指令实现动态域名解析：

server {
    listen 80;
    server_name dynamic.example.com;
    resolver 8.8.8.8 valid=30s;
    set $backend "backend.example.com";
    location / {
        proxy_pass http://$backend;
    }
}

典型应用：

容器化环境的动态服务发现
混合云架构中的跨云服务调用

3. 性能优化配置

针对二级域名的专项优化：

# 启用HTTP/2
listen 443 ssl http2;
# 开启Gzip压缩
gzip on;
gzip_types text/plain text/css application/json application/javascript;
# 静态资源缓存
location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
    expires 30d;
    add_header Cache-Control "public";
}

四、常见问题解决方案

1. 域名冲突问题

现象：访问二级域名时显示主域名内容
解决方案：

检查server_name配置顺序，确保更具体的域名优先
使用nginx -t测试配置语法
检查是否存在重复的server块

2. SSL证书错误

现象：浏览器提示”NET::ERR_CERT_COMMON_NAME_INVALID”
解决方案：

确认证书包含所有需要的二级域名（SAN证书）
检查系统时间是否正确
重新生成证书时确保包含所有域名：certbot certonly --nginx -d api.example.com -d blog.example.com

3. 代理配置问题

现象：502 Bad Gateway错误
排查步骤：

检查后端服务是否运行：systemctl status backend_service
验证防火墙设置：iptables -L或ufw status
检查Nginx错误日志：tail -f /var/log/nginx/error.log

调整代理超时设置：

proxy_connect_timeout 60s;
proxy_send_timeout 60s;
proxy_read_timeout 60s;

五、最佳实践建议

配置管理：
- 使用Git管理Nginx配置文件
- 实施配置变更审批流程
- 重要变更前备份配置：cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak
监控告警：
- 监控各二级域名的QPS和错误率
- 设置证书过期提醒（建议提前30天）
- 监控Nginx进程状态
性能基准：
- 使用ab或wrk进行压力测试
- 关注连接数、请求延迟等关键指标
- 根据负载调整worker_processes和worker_connections
安全加固：
- 定期更新Nginx到最新稳定版
- 禁用不必要的模块
- 实施IP白名单策略（如需要）

通过系统化的二级域名配置，企业可以构建出更灵活、更安全、更易维护的网络架构。实际实施时，建议先在测试环境验证所有配置，再逐步推广到生产环境。对于大型分布式系统，可考虑结合Nginx Plus的动态配置API实现自动化管理。

Nginx二级域名配置全攻略：从原理到实践