根本原因是后端服务地址未对齐:Host头未重写导致路由失败,localhost解析受DNS干扰;需用Director改req.Host和req.URL.Host,优先用127.0.0.1而非localhost。
为什么 httputil.NewSingleHostReverseProxy 一转发就 404 或连接拒绝
根本原因不是代理写错了,而是后端服务地址没对齐。Go 的 httputil.NewSingleHostReverseProxy 会原样保留原始请求的 Host 头和路径,但默认不改写 Host 请求头——如果后端服务依赖 Host 做路由(比如 Nginx、某些微服务网关),就会直接 404;如果后端监听的是 127.0.0.1:8080 但你传了 http://localhost:8080,而本地 localhost 被 hosts 重定向或 DNS 缓存干扰,也可能连接被拒。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 用
url.Parse构造后端*url.URL时,确保 scheme 是http或https,host 不带多余空格或尾部斜杠 - 必须显式设置
Director函数,至少重写req.Host和req.URL.Host为后端真实 host(如"backend.example.com") - 若后端是本地进程,优先用
127.0.0.1:port而非localhost:port,避开 DNS 解析不确定性
如何让反向代理透传真实客户端 IP 而不是 127.0.0.1
默认情况下,httputil.ReverseProxy 发起的请求中 X-Forwarded-For 是空的,后端看到的 RemoteAddr 永远是代理本机地址。这不是 bug,是设计使然:Go 不自动加任何头,得自己补。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 在
Director后、proxy.ServeHTTP前,用proxy.Transport的RoundTrip钩子或直接改写req.Header - 推荐在
Director里追加:req.Header.Set("X-Forwarded-For", clientIP(req)),其中clientIP应优先取X-Real-IP, fallback 到req.RemoteAddr并去掉端口 - 注意不要重复添加
X-Forwarded-For,否则可能形成逗号分隔链;若上游已设,应做拼接而非覆盖
ReverseProxy 为啥超时、卡死、内存暴涨
常见表现是并发稍高就响应延迟飙升,或跑几天后 goroutine 数破万、内存持续上涨。根因几乎都出在 Transport 配置缺失——Go 默认的 http.DefaultTransport 连接池太激进,且没设超时,后端一旦慢或挂,请求就堆在连接池里等,最终耗尽资源。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 必须自定义
proxy.Transport,至少设MaxIdleConns、MaxIdleConnsPerHost(如都设为 100)、IdleConnTimeout(如 30 * time.Second) - 必须设
Timeout、KeepAlive和TLSHandshakeTimeout,尤其后者不设会导致 TLS 握手失败时无限等待 - 别复用全局
http.DefaultClient或未配置的http.Transport,每个ReverseProxy实例应配独立 transport
HTTPS 后端 + 自签名证书时怎么跳过校验
直接用 https://self-signed.example.com 当后端 URL,ReverseProxy 默认会校验证书并报错:x509: certificate signed by unknown authority。这不是代理逻辑问题,是底层 http.Transport 的 TLS 配置问题。
实操建议:
立即学习“go语言免费学习笔记(深入)”;
- 给
proxy.Transport的TLSDialContext或TLSClientConfig设置InsecureSkipVerify: true - 仅限测试环境;生产务必用可信 CA 或把自签名证书加入系统信任库,再通过
RootCAs显式加载 - 注意:跳过校验不影响 SNI,如果后端需要 SNI 才能返回正确证书,仍需在
TLSClientConfig.ServerName中指定
最常被忽略的其实是 Director 函数里对 req.URL.Scheme 和 req.URL.Opaque 的处理——比如后端是 HTTPS,但你只改了 Host 没改 Scheme,请求就会发到 HTTP 端口;或者 URL 有特殊编码,Opaque 非空时直接拼接路径会出错。这些细节不打日志根本看不出。
