FSMN VAD反向代理配置：Nginx+HTTPS安全访问方案

FSMN VAD反向代理配置：Nginx+HTTPS安全访问方案

1. 为什么需要反向代理与HTTPS？

你已经成功跑起了科哥开发的FSMN VAD WebUI——那个基于阿里达摩院FunASR开源语音活动检测模型的轻量级语音切分工具。它开箱即用，/bin/bash /root/run.sh启动后，浏览器打开http://localhost:7860就能上传音频、调节参数、秒级获得精准的语音片段时间戳。

但问题来了：

• 本地访问只能自己用，团队协作时同事连不上；
• 直接暴露7860端口到公网存在安全风险（Gradio默认无认证）；
• HTTP明文传输，音频URL、处理结果都可能被中间人截获；
• 域名访问更专业，比如vad.yourcompany.com比http://192.168.1.100:7860更易记、更可信。

这时候，Nginx反向代理 + HTTPS 就不是“可选项”，而是生产环境的必选项。它不改变你的FSMN VAD服务本身，却能为你加一道门禁、一层加密、一个体面的门牌号。

本篇不讲理论，只给一套已验证、零踩坑、可直接复制粘贴的完整配置方案——从申请免费证书，到Nginx精准转发，再到自动重定向HTTP→HTTPS，全部一步到位。

2. 前置准备：确认服务运行状态与网络可达性

在配置Nginx前，请务必确认以下三点，避免后续排查绕路：

2.1 确保FSMN VAD服务监听正确地址

默认情况下，Gradio启动的是localhost:7860，这意味着它只接受本机回环请求，外部无法访问。你需要让它监听所有网络接口。

打开你的run.sh脚本（或启动命令），将Gradio的启动参数改为：

python app.py --server-name 0.0.0.0 --server-port 7860

关键点：--server-name 0.0.0.0表示监听所有IPv4地址（包括内网IP），而非仅127.0.0.1。
❌ 错误写法：--server-name 127.0.0.1或省略该参数（Gradio默认即为127.0.0.1）。

重启服务后，在服务器终端执行：

ss -tuln | grep :7860

看到类似输出即表示成功：

tcp LISTEN 0 5 *:7860 *:*

其中*:*代表监听所有地址，而非127.0.0.1:*。

2.2 确认防火墙放行端口

如果你使用的是ufw（Ubuntu）或firewalld（CentOS/RHEL），需手动放行7860端口供Nginx内部转发使用（注意：此端口无需对外暴露）：

# Ubuntu/Debian sudo ufw allow 7860 # CentOS/RHEL (firewalld) sudo firewall-cmd --permanent --add-port=7860/tcp sudo firewall-cmd --reload

2.3 准备一个可用域名（或内网DNS）

HTTPS证书绑定的是域名，不是IP。你需要一个能解析到你服务器的域名，例如：

• 公网场景：vad.yourdomain.com（需在DNS服务商处添加A记录指向服务器公网IP）
• 内网场景：vad.internal.lan（需在内网DNS或每台客户端的/etc/hosts中添加映射）

提示：若暂无域名，可先用nip.io这类免费服务临时测试，例如vad.192-168-1-100.nip.io会自动解析到192.168.1.100。

3. 获取并安装SSL证书（Let’s Encrypt + Certbot）

我们采用业界标准的免费方案：Let’s Encrypt + Certbot 自动化签发。全程命令行操作，5分钟搞定。

3.1 安装Certbot与Nginx插件

以Ubuntu 22.04为例（其他系统请参考 Certbot官网）：

sudo apt update sudo apt install certbot python3-certbot-nginx -y

3.2 临时启用Nginx并配置基础站点

Certbot需要Nginx正在运行，并能响应HTTP请求来完成域名所有权验证（HTTP-01挑战）。先创建一个最简Nginx配置：

sudo tee /etc/nginx/sites-available/vad-temp << 'EOF' server { listen 80; server_name vad.yourdomain.com; # 替换为你的实际域名 root /var/www/html; index index.html; } EOF sudo ln -sf /etc/nginx/sites-available/vad-temp /etc/nginx/sites-enabled/vad-temp sudo nginx -t && sudo systemctl reload nginx

3.3 一键申请并安装证书

执行以下命令，Certbot会自动：

• 检查域名解析是否生效
• 创建验证文件并让Nginx提供访问
• 向Let’s Encrypt发起申请
• 下载证书并自动配置Nginx启用HTTPS

sudo certbot --nginx -d vad.yourdomain.com

成功后你会看到类似提示：
Congratulations! You have successfully enabled HTTPS on https://vad.yourdomain.com

此时，Nginx配置已被Certbot自动修改，新增了443端口监听和证书路径。你可以用sudo nginx -T | grep -A 10 "443"查看。

3.4 设置证书自动续期（关键！）

Let’s Encrypt证书有效期仅90天，必须自动续期。Certbot已为你配置好systemd timer，只需启用：

sudo systemctl enable certbot-renew.timer sudo systemctl start certbot-renew.timer

验证是否生效：

sudo systemctl list-timers | grep certbot

应看到certbot-renew.timer处于enabled状态。

4. 配置Nginx反向代理：精准转发至FSMN VAD

现在，HTTPS已就绪，下一步是让Nginx把https://vad.yourdomain.com的所有请求，干净、安全、低延迟地转发给本地http://127.0.0.1:7860的FSMN VAD服务。

4.1 替换Nginx站点配置（核心步骤）

删除之前用于验证的临时配置，创建正式代理配置：

sudo rm /etc/nginx/sites-enabled/vad-temp sudo tee /etc/nginx/sites-available/vad << 'EOF' # FSMN VAD 反向代理配置 server { listen 80; server_name vad.yourdomain.com; # 替换为你的域名 return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; server_name vad.yourdomain.com; # 替换为你的域名 # SSL证书（Certbot自动生成，路径勿改） ssl_certificate /etc/letsencrypt/live/vad.yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/vad.yourdomain.com/privkey.pem; include /etc/letsencrypt/options-ssl-nginx.conf; ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # 代理设置：将所有请求转发至本地FSMN VAD location / { proxy_pass http://127.0.0.1:7860; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 关键：支持WebSocket（Gradio UI依赖长连接） proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; # 超时调优（避免大音频处理超时） proxy_connect_timeout 60s; proxy_send_timeout 300s; proxy_read_timeout 300s; # 缓冲区调优（提升大响应体性能） proxy_buffering on; proxy_buffer_size 128k; proxy_buffers 4 256k; proxy_busy_buffers_size 256k; } # 静态资源缓存（提升UI加载速度） location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ { expires 1y; add_header Cache-Control "public, immutable"; } } EOF sudo ln -sf /etc/nginx/sites-available/vad /etc/nginx/sites-enabled/vad

关键配置说明：

• proxy_pass http://127.0.0.1:7860：核心转发指令，指向你的VAD服务。
• proxy_http_version 1.1+Upgrade头：必须开启，否则Gradio的实时进度条、流式响应会失败。
• proxy_read_timeout 300s：将超时设为5分钟，足够处理长音频（如1小时会议录音）。
• proxy_buffering on：启用缓冲，避免大JSON结果阻塞连接。

4.2 测试并重载Nginx

sudo nginx -t # 检查语法 sudo systemctl reload nginx # 优雅重载，不中断现有连接

4.3 验证代理是否生效

在浏览器中访问https://vad.yourdomain.com（注意是https），你应该看到：

• 地址栏显示绿色锁图标
• 页面完全加载，功能与http://localhost:7860一致
• 上传音频、点击“开始处理”，结果正常返回

小技巧：按F12打开开发者工具 → Network标签页 → 刷新页面，观察所有请求的Domain是否为你的域名，Protocol是否为h2（HTTP/2），Status是否全为200。

5. 安全加固与最佳实践

配置完成只是起点，生产环境还需几项关键加固：

5.1 禁用Gradio默认调试信息（防信息泄露）

在你的app.py或启动脚本中，确保Gradio启动时关闭debug模式：

# ❌ 危险：不要这样启动 # demo.launch(debug=True) # 正确：显式关闭debug，禁用分享链接 demo.launch( server_name="0.0.0.0", server_port=7860, debug=False, # 关键：关闭调试输出 share=False, # 关键：禁用Gradio自动生成的公网分享链接 show_api=False # 可选：隐藏API文档入口 )

5.2 添加基础访问控制（可选但推荐）

若仅限公司内网使用，可在Nginx中限制IP：

# 在vad配置的location / {}块内添加 allow 192.168.1.0/24; # 允许内网段 deny all; # 拒绝其他所有

5.3 日志分离与监控

为便于排查，建议将VAD访问日志单独记录：

# 在vad server块内添加 access_log /var/log/nginx/vad_access.log; error_log /var/log/nginx/vad_error.log;

然后创建日志目录并赋权：

sudo mkdir -p /var/log/nginx sudo touch /var/log/nginx/vad_{access,error}.log sudo chown www-data:www-data /var/log/nginx/vad_*.log

6. 故障排查速查表

遇到问题？对照以下高频场景快速定位：

7. 总结：你已构建一个企业级语音检测接入点

回顾整个过程，你完成了三件关键事：

1. 解耦与隔离：FSMN VAD服务专注模型推理，Nginx专注流量管理，职责清晰，互不影响；
2. 安全升级：HTTPS加密传输 + 无认证端口不暴露 + 调试信息关闭，满足基本安全合规要求；
3. 体验优化：域名访问、HTTP自动跳转HTTPS、WebSocket支持、静态资源缓存，用户感知不到后端复杂性。

这套方案已在多个真实项目中落地：

• 某在线教育平台用它自动切分讲师授课音频，生成课件时间轴；
• 某客服中心用它预处理万条通话录音，为ASR识别前置降噪；
• 某智能硬件团队将其集成进边缘设备，通过HTTPS API调用本地VAD服务。

它不追求炫技，只解决一个朴素问题：让强大的AI能力，以最简单、最安全、最可靠的方式，触手可及。

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。