当前位置：首页 > article >正文

巧用frp与nginx反向代理，实现安全远程访问内网ESXi管理界面

article 2026/5/11 11:58:57

1. 为什么需要远程访问ESXi管理界面对于运维人员来说能够随时随地访问ESXi管理界面是刚需。想象一下当你正在出差或者在家休息时突然需要检查虚拟机状态或者处理紧急故障如果只能跑到机房操作那简直是噩梦。我遇到过好几次半夜打车去机房处理问题的尴尬情况后来痛定思痛决定搭建一个安全的远程访问方案。ESXi作为企业级虚拟化平台默认只提供本地管理界面。直接暴露在公网会带来严重安全隐患比如密码爆破攻击、中间人攻击等。我曾经试过简单配置端口映射结果第二天就发现大量暴力破解尝试。所以我们需要一种既安全又稳定的远程访问方案。frp内网穿透结合nginx反向代理的方案完美解决了这个痛点。frp负责打通内外网通道nginx则提供SSL加密、访问控制和WebSocket支持。这个组合我已经在生产环境稳定运行两年多实测下来非常可靠。2. 环境准备与工具选型2.1 硬件与网络环境先说说我的实验环境这样大家更容易对照着操作内网环境ESXi主机192.168.1.5你的可能是其他地址代理服务器192.168.1.4我用的是Ubuntu 20.04公网环境云服务器阿里云ECS1核2G够用域名建议用备案过的我用的是esxi.example.com这里有个坑要注意ESXi默认使用自签名证书直接访问会报安全警告。我刚开始就是被这个坑了好久后来发现通过nginx中转可以完美规避。2.2 软件版本选择工具版本很关键我踩过版本不兼容的坑frp推荐用snowdreamtech/frp的0.31.2版本nginx建议1.18.0以上必须支持WebSocket证书Lets Encrypt免费证书就够用特别提醒frp的客户端和服务端版本要一致我有次因为版本不一致导致连接老是断开排查了半天才发现是这个原因。3. 本地环境配置详解3.1 nginx反向代理配置本地nginx的作用是把ESXi的HTTPS流量转换成HTTP这样frp传输时就不会受证书问题影响。这是我的配置文件server { listen 9651; server_name 127.0.0.1; location / { proxy_pass https://192.168.1.5; proxy_redirect off; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-NginX-Proxy true; # 关键的三行配置 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade; } }配置好后用curl http://192.168.1.4:9651测试下应该能看到ESXi登录页面。如果报502错误很可能是proxy_pass地址写错了。3.2 frpc客户端配置frpc的配置相对简单但有几个参数要注意[common] server_addr 你的云服务器IP server_port 7000 token 你的认证令牌 [yionr-esxi] type http local_ip 127.0.0.1 local_port 9651 custom_domains esxi.example.com这里有个小技巧token建议设置复杂些我见过有人用简单token被爆破的案例。启动frpc后检查日志确保连接成功。4. 云端服务器配置4.1 frps服务端配置frps的配置要与frpc对应[common] bind_port 7000 token 和frpc相同的令牌 vhost_http_port 520建议开启dashboard方便监控dashboard_port 7500 dashboard_user admin dashboard_pwd 复杂密码启动后记得开防火墙端口7000和7500如果开dashboard。4.2 nginx SSL配置这部分是关键中的关键直接影响到安全性server { listen 80; server_name esxi.example.com; return 301 https://$host$request_uri; } server { listen 443 ssl; server_name esxi.example.com; ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; # SSL优化配置 ssl_session_timeout 1d; ssl_session_cache shared:MozSSL:10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ssl_prefer_server_ciphers on; location / { proxy_pass http://127.0.0.1:520; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; # 同样需要WebSocket支持 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade; } }证书申请推荐用acme.sh脚本自动续期很方便curl https://get.acme.sh | sh acme.sh --issue -d esxi.example.com --nginx5. 常见问题排查指南5.1 控制台无法连接这个问题我遇到过好几次根本原因是WebSocket没配置好。检查两点本地和云端nginx都要有这三行proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection upgrade;浏览器控制台看有没有WebSocket错误5.2 登录页面提示刷新浏览器这通常是因为没强制HTTPS访问。确保80端口配置了跳转到443直接访问https://域名而不是http5.3 502 Bad Gateway按这个顺序排查检查frpc是否正常运行查看本地nginx日志确认proxy_pass地址正确测试本地能否通过http://127.0.0.1:9651访问6. 安全加固建议这套方案虽然安全但还可以进一步加固IP白名单nginx配置只允许特定IP访问allow 你的办公IP; deny all;双因素认证在ESXi前再加个认证层auth_basic Restricted; auth_basic_user_file /etc/nginx/.htpasswd;访问频率限制limit_req_zone $binary_remote_addr zoneesxi:10m rate5r/s;定期更新保持frp和nginx为最新版这套方案我已经帮三个客户部署过最久的稳定运行18个月没出过问题。关键是要做好监控我习惯用Prometheus监控frp连接状态一旦异常立即告警。

巧用frp与nginx反向代理，实现安全远程访问内网ESXi管理界面

相关文章：

巧用frp与nginx反向代理，实现安全远程访问内网ESXi管理界面

到极限了吗？优化算法APP9.0，再加入228个车间调度案例！

如何3分钟解放你的B站缓存视频？m4s-converter终极转换指南

5分钟快速上手：Windows触控板优化终极指南

如何用EPPlus 8快速实现.NET Excel自动化处理

现代化WPF可视化设计引擎：从XAML代码到拖拽式开发的效率革命

图卷积神经网络自编码器天线优化设计方法【附代码】

自建AI编程助手服务：Recodex部署与Codex API代理实战

B站视频下载终极教程：3步获取无水印高清视频

金融APP加固公司指南：从苹果审核到防破解的实战经验分享

微信AI机器人搭建全攻略：基于WeChatFerry与ChatGPT的自动化消息回复

3步实战：用DistroAV插件解决OBS多机位网络传输难题

Honey Select 2终极汉化补丁：一站式解决语言障碍与功能扩展难题

如何轻松实现Windows风扇智能控制：5个关键技巧打造完美散热系统

DevOps与MCP协议：构建AI增强型智能运维工作台

Sunshine游戏串流服务器完整指南：三步搭建个人游戏云

终极Dell G15温度控制解决方案：开源软件TCC-G15完整指南

保姆级教程：用Vector CANoe搞定LIN诊断刷写自动化测试（附CAPL脚本思路）

群晖相册AI识别深度解析：无GPU设备开启人脸识别的技术方案

Vibe Stack 全栈开发实战：30分钟构建SaaS应用的技术解析

告别手动计算！用Python+GDAL复现CASA模型NPP估算，效率提升不止一点点

从零到一：手把手教你完成Matlab R2020a的下载、安装与激活【避坑指南】

别再手动敲命令了！用Shell的Here Document（EOF）自动化你的SFTP/MySQL登录操作

League Akari终极指南：英雄联盟玩家的智能游戏助手完整教程

1、Chrome Elements面板：从入门到精通的网页调试实战指南

如何用WeChatMsg永久备份微信聊天记录？3步完成数据存档与深度分析

告别虚拟机臃肿：用QEMU用户模式（qemu-user）快速运行跨架构程序的完整指南

5分钟掌握ViGEmBus：Windows游戏控制器模拟终极指南

智慧树刷课插件：3分钟实现自动播放，彻底告别手动刷课烦恼！

QML WebEngine与ECharts联袂：打造高性能实时数据可视化桌面应用