Logo

菜单

院长
院长
发布于 2023-07-25 / 108 阅读 / 2 评论 / 0 点赞

基于NGINX搭建ChatGPT API的反向代理

#guide

记录一下使用nginx反代失败的踩坑记录,第一个是网上搜到的,成功了,第二个是gpt给的配置文件,歇逼了。

整体差异分析

这两个配置文件的主要差异在于 SSL/TLS 相关设置和代理请求头部设置。

  • 第一个配置文件:

server {

    listen 443 ssl;

    server_name fcip.top;

    ssl_certificate /etc/nginx/ssl/fcip.top.pem;

    ssl_certificate_key /etc/nginx/ssl/fcip.top/fcip_top.key;

    ssl_session_cache shared:le_nginx_SSL:1m;

    ssl_session_timeout 1440m;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

    ssl_prefer_server_ciphers on;

    ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

    location / {

        proxy_pass  https://api.openai.com/;

        proxy_ssl_server_name on;

        proxy_set_header Host api.openai.com;

        proxy_set_header Connection '';

        proxy_http_version 1.1;

        chunked_transfer_encoding off;

        proxy_buffering off;

        proxy_cache off;

        proxy_set_header X-Forwarded-For $remote_addr;

        proxy_set_header X-Forwarded-Proto $scheme;

    }

}

  • 第二个配置文件:

server {

    listen 443 ssl;

    server_name fcip.top;

    ssl_certificate /etc/nginx/ssl/fcip.top.pem;

    ssl_certificate_key /etc/nginx/ssl/fcip.top/fcip_top.key;

    ssl_protocols TLSv1.3;

    ssl_prefer_server_ciphers on;

    location / {

        proxy_pass https://api.openai.com/;

        proxy_set_header Host $host;

        proxy_set_header X-Real-IP $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_ssl_server_name on;

        proxy_ssl_protocols TLSv1.3;

        proxy_ssl_verify off;

    }

}

主要差异分析如下:

  1. SSL/TLS 设置:

    • 第一个配置文件中使用了更宽松的 SSL/TLS 设置,包括支持的协议版本为 TLSv1、TLSv1.1、TLSv1.2 和 TLSv1.3,同时设置了会话缓存和超时时间,以及指定了一组加密套件(ssl_ciphers)。

    • 第二个配置文件仅使用了 TLSv1.3,并没有指定其他协议版本,也没有设置会话缓存、超时时间和加密套件。

  2. 代理请求头部设置:

    • 第一个配置文件设置了代理请求头部,包括设置 Host 头部为 "api.openai.com"、禁用 Connection 头部、设置代理的 HTTP 版本为 1.1,同时禁用了分块传输(chunked_transfer_encoding off)。

    • 第二个配置文件也设置了代理请求头部,包括设置 Host 头部为 $host、设置 X-Real-IP 头部为 $remote_addr、设置 X-Forwarded-For 头部为 $proxy_add_x_forwarded_for、设置 X-Forwarded-Proto 头部为 $scheme。此外,它还设置了一些与代理 SSL/TLS 相关的选项,如打开代理服务器名称检查(proxy_ssl_server_name on)、设置代理使用的 SSL/TLS 协议版本为 TLSv1.3(proxy_ssl_protocols TLSv1.3)以及关闭代理的 SSL/TLS 验证(proxy_ssl_verify off)。

这些差异可能导致第二个配置文件反代失败的原因如下:

  1. SSL/TLS 设置不兼容:第二个配置文件只使用了 TLSv1.3,而实际上被代理的服务器可能不支持或未配置为仅使用 TLSv1.3。这可能导致 SSL 握手错误。

  2. 代理请求头部设置问题:第二个配置文件的代理请求头部设置相对较简单,可能不足以满足被代理服务器的要求。这可能导致服务器返回 503 错误或 421 错误。

流式响应支持

第一个配置文件中的流式响应支持取决于以下两个配置项:

chunked_transfer_encoding off;

proxy_buffering off;

这里禁用了分块传输(chunked transfer encoding)和代理缓冲(proxy buffering)。禁用分块传输意味着代理服务器会将完整的响应内容一次性发送给客户端,而不是逐块发送。禁用代理缓冲则意味着代理服务器不会缓冲完整的响应内容,而是将响应内容立即发送给客户端。

这样的配置可以支持流式响应,因为代理服务器会立即将接收到的数据转发给客户端,而不需要等待完整的响应内容。这对于实时性要求高、响应内容较大或需要逐步处理的场景非常有用。

第二个配置文件中的流式响应支持取决于以下配置项:

proxy_buffering off;

这里只禁用了代理缓冲,而没有禁用分块传输。这意味着代理服务器会缓冲完整的响应内容,然后再将响应内容一次性发送给客户端。这种配置方式可能会导致在完整的响应内容接收完毕之前,客户端无法立即开始处理数据。

因此,第一个配置文件对于流式响应的支持更为直接和灵活,因为它同时禁用了分块传输和代理缓冲。第二个配置文件只禁用了代理缓冲,可能会导致稍有延迟的情况,直到完整的响应内容接收完毕后才能进行处理。

根据具体需求和场景,您可以选择适合的配置文件来支持流式响应。如果对于实时性要求较高或需要逐步处理响应内容,建议使用第一个配置文件。如果对于实时性要求不高或响应内容较小,第二个配置文件可能也能满足需求。

Ubuntu安装V2rayA
Openai账号组织迁移指南

评论