用單一 Port 同時處理 HTTP 和 HTTPS（Nginx）

Mon, 04 May 2026 00:00:00 +0800

一般 Nginx 會分開監聽 80（HTTP）和 443（HTTPS）。但有些情境只能對外暴露單一 port——例如防火牆限制、或 docker-compose 只映射一個 port——這時需要讓同一個 port 同時接受 HTTP 和 HTTPS 連線。

原理

Nginx 有一個非標準的內部狀態碼 497，意思是「收到了 HTTP 請求，但這個 port 只接受 HTTPS」。透過 error_page 497 攔截並重新導向，就能在同一個 port 上自動把 HTTP 轉成 HTTPS：

1

error_page 497 301 =307 https://$http_host$request_uri;

完整設定範例

以下以 SonarQube 為例，Nginx 在 port 9000 上同時處理 HTTP/HTTPS，並 proxy 到後端服務：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35


upstream app {
 server sonarqube:9000;
}

server {
 listen 9000 ssl;

 server_name _;

 ssl_certificate /etc/ssl/private/server.pem;
 ssl_certificate_key /etc/ssl/private/server.key;
 ssl_protocols TLSv1.2 TLSv1.3;
 ssl_ciphers HIGH:!aNULL:!MD5;
 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 10m;
 keepalive_timeout 70;

 client_max_body_size 20M;
 gzip on;
 gzip_vary on;
 gzip_comp_level 1;
 gzip_types text/css application/javascript application/json image/png image/webp image/jpeg;

 # HTTP 打到 HTTPS port 時，Nginx 回傳 497，透過 error_page 重導向
 error_page 497 301 =307 https://$http_host$request_uri;

 location / {
 proxy_pass http://app;

 proxy_set_header Host $http_host;
 proxy_set_header X-Real-IP $remote_addr;
 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 proxy_set_header X-Forwarded-Proto https;
 }
}

listen 9000 ssl 讓 port 9000 預設只接受 HTTPS。當 HTTP 請求進來時，Nginx 觸發 497 並執行 301 =307 重導向——=307 表示用 307 Temporary Redirect 覆蓋原本的 301，保留請求的 HTTP method。

References

Handling HTTP and HTTPS requests using a single port with nginx | Server Fault

避免 Docker 將 Port 暴露至所有網路介面

Thu, 23 Oct 2025 14:05:00 +0800

Docker 預設會將 port 綁定到 0.0.0.0，也就是所有網路介面。如果 guest host 同時掛多網卡/多網段，這個行為很容易在無意間把服務曝露到不該曝露的地方。

收斂 bind 範圍有兩個切入點：在 Docker Daemon 層設定預設 IP，或在 docker-compose 層直接指定。

方法一：修改 Docker Daemon 預設 Bind IP

編輯（或建立）/etc/docker/daemon.json，加入 ip 欄位：

1
2
3


{
 "ip": "192.168.0.10"
}

存檔後重啟 Docker 服務：

1

sudo systemctl restart docker

重啟後，所有 container 的 port mapping 若未明確指定 bind IP，就會預設綁定到 192.168.0.10，而非 0.0.0.0。

已存在的 container 不受影響，需要重新佈署才會套用新的預設值。

方法二：在 docker-compose 直接指定 Bind IP

不想動 daemon 設定，或需要個別服務綁定不同 IP 時，直接在 ports 欄位指定：

1
2
3


ports:
 - "192.168.2.199:443:443"
 - "192.168.2.199:80:80"

格式為 HOST_IP:HOST_PORT:CONTAINER_PORT。明確寫出 IP，Docker 就不會自動綁定到其他介面。

批次更新現有的 docker-compose.yml

如果有多個 compose 檔要一次處理，可以用這段 script 自動加上 bind IP：

1
2


echo "BIND_IP=$( hostname -I | awk '{ print $1 }' )" >> .env && \
sed -i -E 's/(\-\s)"*([0-9]+\:[0-9]+(\/[a-z]+)*)"*+/\1${BIND_IP}:\2/g' docker-compose.yml

這段指令做兩件事：

取得主機的第一張網卡 IP，以 BIND_IP 為名寫入 .env
用 sed 將 compose 檔內所有 port mapping 加上 ${BIND_IP}: 前綴

docker-compose 會自動讀取同目錄下的 .env，所以 ${BIND_IP} 在啟動時會被展開成實際 IP。

如需還原則執行：

1

sed -i 's/${BIND_IP}://g' docker-compose.yml