Flask生产部署必学：Gunicorn+Nginx在Ubuntu 22.04上的完整实践

1. 为什么 Flask 开发者必须跨过 Gunicorn Nginx 这道坎你写完一个 Flask 应用本地flask run跑得飞起路由响应快、模板渲染顺、数据库查询稳——但只要一放到服务器上用浏览器多刷几次页面或者让同事连进来试用立马就卡死、502、Connection refused甚至直接进程崩溃退出。这不是你的代码有 bug而是你还在用开发服务器硬扛生产流量。Flask 自带的 Werkzeug 开发服务器本质是个单线程、单进程、无超时管理、无连接池、无健康检查的“玩具”它只干一件事让你在写代码时能快速看到效果。它不是为并发请求设计的更不是为 24 小时不间断运行准备的。我第一次把一个图书管理系统的 Flask 后端直接丢到 Ubuntu 22.04 的 VPS 上用python app.py启动结果第二天早上发现服务早就挂了日志里只有一行Killed—— 系统 OOM Killer 直接把它干掉了因为内存爆了。Gunicorn 和 Nginx 的组合就是给 Flask 应用装上工业级的“心脏”和“呼吸系统”。Gunicorn 是应用服务器WSGI Server它负责把你的 Python 代码变成能被网络理解的 HTTP 响应流它能开多个工作进程worker、支持预分叉pre-fork模型、内置超时与重启机制把 Python 的阻塞式执行包装成可伸缩的并发处理单元。而 Nginx 是反向代理服务器Reverse Proxy它不碰你的 Python 代码只做最擅长的事高效地接收成千上万的 TCP 连接、缓存静态文件CSS/JS/图片、负载均衡哪怕你只有一台机器它也能帮你做连接复用和队列管理、抵御慢速攻击slowloris、强制 HTTPS 重定向、提供访问日志和错误日志的统一入口。它就像一个经验老道的门卫兼调度员把杂乱无章的访客请求按规则、按优先级、按资源配额分发给后面一排整装待发的 Gunicorn 工人。这个组合在 Ubuntu 22.04 LTS 上尤其关键。22.04 是一个长期支持版本内核稳定5.15、Python 版本明确系统自带 Python 3.10pip 默认可用、systemd 服务管理成熟所有依赖包在官方仓库里都有经过安全审计的版本。你不需要自己编译 OpenSSL、自己打补丁也不用担心某个 pip 包和系统库冲突。很多新手喜欢用 Docker 封装一切但如果你只是部署一个中等规模的内部管理系统或者一个需要和宿主机硬件比如串口、GPIO交互的边缘应用直接在干净的 Ubuntu 22.04 上部署反而更轻量、更可控、故障面更小。我见过太多项目为了“容器化”而容器化结果调试一个 nginx 配置问题要先查 Docker 网络模式、再查容器内路径挂载、再查 SELinux 上下文三重嵌套下来问题定位时间翻了三倍。而裸机部署systemctl status gunicorn一眼就能看到进程状态journalctl -u gunicorn -f实时滚动日志curl -I http://localhost:8000直接测后端连通性——所有操作都在一层操作系统里没有黑盒。所以这不是一个“可选”的进阶技巧而是 Flask 开发者从“能跑”迈向“能用”、“能扛”、“能维护”的分水岭。当你开始思考“用户会不会同时上传 10 个 Excel 文件”、“API 接口要不要加速率限制”、“前端 Vue 页面的dist/目录怎么让 Nginx 直接服务而不是让 Flask 去读文件”这些问题时你就已经站在了 Gunicorn Nginx 的门口。接下来要做的不是去背命令而是理解每一行配置背后系统在做什么、为什么这么做、不做会怎样。2. 整体架构设计与核心组件选型逻辑2.1 三层结构为什么是 Nginx → Gunicorn → Flask而不是其他顺序整个请求链路是严格单向、职责分明的客户端 → Nginx反向代理 → Gunicorn应用服务器 → FlaskWeb 框架。这个顺序不是约定俗成而是由各层的核心能力决定的。Nginx 在最外层是因为它天生就是为“网络边缘”设计的。它的事件驱动模型epoll/kqueue让它能轻松维持数万并发连接而每个连接消耗的内存极小通常几十 KB。它能做 SSL/TLS 终止意味着加密解密的 CPU 密集型工作由 Nginx 完成Gunicorn 和 Flask 只处理明文 HTTP大大降低后端压力。它还能做 URL 重写、请求头过滤、IP 白名单这些都属于“网络层策略”放在最外层执行效率最高。如果把 Gunicorn 放在最外层它虽然也能监听 443 端口并做 HTTPS但它的并发模型是基于多进程/多线程的每个 worker 进程都要独立处理一个完整的 TLS 握手和加解密当并发连接数上来时CPU 和内存开销会指数级增长远不如 Nginx 的事件模型高效。Gunicorn 在中间层是承上启下的关键。它不直接面向公网所以不需要处理复杂的网络协议栈它也不深入业务逻辑所以不需要理解你的 Flask 路由或数据库模型。它的唯一任务就是作为一个“翻译官”和“调度员”把 Nginx 转发过来的标准化 WSGI 请求对象准确无误地传递给你的 Flask 应用实例同时它要管理好自己的 worker 进程池确保一个 worker 挂了其他 worker 还能继续服务并且能自动拉起新的 worker 替代它。Gunicorn 的--preload参数就是为了解决“fork 后加载”带来的内存浪费问题——它先加载一次你的应用代码和所有依赖然后再 fork 出多个 worker这样每个 worker 的内存页可以共享只读部分极大节省内存。而 Flask 本身只管写好app.route()和return jsonify(...)完全不用关心自己被多少个进程调用、请求是从哪个 IP 来的、SSL 是谁处理的。这种清晰的分层让每一层都可以独立升级、独立监控、独立压测。2.2 Gunicorn 选型为什么是 Gunicorn而不是 uWSGI 或 Waitress在 Python WSGI 服务器领域uWSGI 是功能最全的“瑞士军刀”Waitress 是纯 Python 编写的“轻量派”而 Gunicorn 是“平衡派”。对于绝大多数 Flask 项目Gunicorn 是最优解原因很实在安装与配置极简pip install gunicorn一条命令搞定没有 uWSGI 那样复杂的编译依赖libxml2, pcre, zlib也没有 Waitress 那样对高并发场景的性能瓶颈。它的配置项少而精gunicorn --bind 127.0.0.1:8000 --workers 3 myapp:app这一条命令就能启动一个具备基本生产能力的服务。而 uWSGI 的 ini 配置文件动辄上百行光是搞懂master,processes,threads,harakiri这几个参数的关系就要花半天。与 systemd 集成无缝Ubuntu 22.04 默认使用 systemd。Gunicorn 的进程模型主进程 worker 进程天然契合 systemd 的Typesimple或Typeforking。你可以用systemctl精确控制它的启停、重启、日志查看而 uWSGI 的 daemon 模式有时会让 systemd 无法正确追踪主进程 PID导致systemctl stop失效。社区与生态成熟Flask 官方文档在部署章节首推 Gunicorn大量主流云平台如 Heroku、AWS Elastic Beanstalk的 Python 运行时默认使用 Gunicorn。这意味着你遇到的绝大多数问题都能在 Stack Overflow 或 GitHub Issues 里找到现成答案。我曾经为一个需要 WebSocket 支持的项目纠结过最后发现 Flask-SocketIO 官方明确推荐搭配 Gunicorn Eventlet而不是 uWSGI因为后者对异步 I/O 的支持不够原生。内存与稳定性实测优势在同等 worker 数量下Gunicorn 的内存占用比 uWSGI 略低尤其是在处理大量短连接时。更重要的是Gunicorn 的 worker 超时--timeout和优雅重启--graceful-timeout机制非常可靠。我线上一个报表导出接口偶尔会因数据库慢查询卡住设置了--timeout 30 --graceful-timeout 5后Gunicorn 会在 30 秒无响应后杀死该 worker并在 5 秒内完成新 worker 的启动和旧连接的 graceful 关闭整个过程对用户几乎无感。而 uWSGI 的harakiri有时会误杀正在处理长任务的 worker。2.3 Nginx 选型为什么是 Nginx而不是 Caddy 或 ApacheCaddy 以“开箱即用 HTTPS”著称Apache 是老牌全能选手但 Nginx 在这个组合里依然是不可替代的极致的静态文件服务能力Nginx 的sendfile系统调用可以直接将磁盘上的文件通过内核空间零拷贝发送给客户端绕过用户空间效率极高。对于 Vue/React 前端构建后的dist/目录Nginx 能以接近网卡极限的速度传输 JS/CSS/图片而 Apache 的mod_php或 Caddy 的 Go runtime 在处理海量小文件时I/O 开销明显更高。我在一个图书管理系统的部署中前端dist/有 200 个 JS chunk用 Nginx 服务时首屏加载时间比用 Flasksend_from_directory快了 1.8 秒。成熟的反向代理与负载均衡算法Nginx 的upstream模块支持轮询round-robin、最少连接least_conn、IP 哈希ip_hash等多种策略。即使你当前只有一个 Gunicorn 实例upstream块也为未来水平扩展加机器、加 worker预留了标准接口。Caddy 的 reverse_proxy 虽然简洁但在复杂路由匹配比如正则捕获组重写和细粒度健康检查如自定义 HTTP 状态码探针上Nginx 的配置语法更强大、更稳定。Ubuntu 22.04 官方仓库深度集成sudo apt install nginx安装的 Nginx其二进制文件、模块、默认配置路径/etc/nginx/、日志路径/var/log/nginx/都与 Ubuntu 的 FHS文件系统层次结构标准完美契合。systemd 服务名是nginx.service配置语法检查命令是sudo nginx -t所有这些都经过 CanonicalUbuntu 母公司的严格测试。而 Caddy 需要手动下载二进制或添加第三方仓库Apache 的a2enmod体系在 Ubuntu 上虽好用但其默认的 MPM多处理模块是event对 Python 应用的支持远不如 Nginx 的反向代理纯粹。3. 核心细节解析与实操要点3.1 Ubuntu 22.04 环境准备从一张白纸到生产就绪在开始任何部署前我们必须把 Ubuntu 22.04 这张“白纸”擦干净、铺平整。这不是简单的apt update apt upgrade而是一套标准化的初始化流程目的是消除所有可能干扰后续部署的“环境噪音”。第一步创建专用的非 root 用户并赋予 sudo 权限。绝对不要用 root 用户直接部署。sudo adduser deploy创建一个名为deploy的用户然后sudo usermod -aG sudo deploy将其加入 sudo 组。接着切换过去su - deploy。这一步看似繁琐实则是安全底线。我曾接手一个项目前任开发者直接用 root 运行 Gunicorn结果一个配置文件权限写错导致整个/var/log/目录被 Gunicorn 进程以 root 身份写入日志后来想用普通用户清理日志权限都不够。第二步更新系统并安装基础工具。执行sudo apt update sudo apt full-upgrade -y sudo apt install -y curl wget git vim htop tmux python3-pip python3-venv build-essential libpq-dev libsasl2-dev这里有几个关键点build-essential是编译 Python C 扩展如 psycopg2、cryptography的必需品libpq-dev是 PostgreSQL 客户端开发库即使你暂时用 SQLite也建议装上以防未来切换libsasl2-dev是用于 LDAP 认证或某些邮件库的依赖。python3-venv是创建虚拟环境的基础Ubuntu 22.04 默认已安装但显式声明更稳妥。第三步配置防火墙UFW。Ubuntu 22.04 默认禁用 UFW但生产环境必须开启。执行sudo ufw allow OpenSSH sudo ufw allow Nginx Full sudo ufw enableNginx Full规则会自动放行 80 和 443 端口。切记不要ufw allow 8000Gunicorn 默认端口因为 Gunicorn 只监听127.0.0.1:8000它本就不该被外部网络直接访问。UFW 的作用是守住服务器的第一道门只让 Nginx 进来其他一切免谈。第四步配置时区和 locale。sudo timedatectl set-timezone Asia/Shanghai根据你实际位置调整然后sudo locale-gen en_US.UTF-8和sudo update-locale LANGen_US.UTF-8。很多 Python 库尤其是处理中文文件名或日期的在 locale 不正确时会抛出UnicodeDecodeError这个坑我踩过不止一次。提示所有这些命令我都封装在一个init-server.sh脚本里每次新购一台 VPSwget下来直接执行5 分钟完成环境初始化。脚本内容简单但省下的时间足够你喝一杯咖啡。3.2 Flask 应用的生产就绪改造不只是改一个 run() 方法一个能本地跑通的 Flask 应用离生产就绪还有至少三步距离。这三步每一步都对应一个真实世界里的“血泪教训”。第一步分离配置Configuration Separation绝不能把DEBUGTrue、数据库密码、密钥写死在app.py里。必须创建一个config.py文件里面定义不同环境的配置类import os class Config: SECRET_KEY os.environ.get(SECRET_KEY) or dev-key-change-in-prod SQLALCHEMY_TRACK_MODIFICATIONS False class ProductionConfig(Config): DEBUG False # 从环境变量读取避免硬编码 DATABASE_URL os.environ.get(DATABASE_URL) class DevelopmentConfig(Config): DEBUG True DATABASE_URL sqlite:///dev.db config { development: DevelopmentConfig, production: ProductionConfig, default: ProductionConfig }然后在app.py中通过app.config.from_object(config[os.getenv(FLASK_ENV, default)])加载。这样部署时只需export FLASK_ENVproductionGunicorn 就会自动加载生产配置。我见过最离谱的案例是某公司的生产数据库密码就明文写在app.py的SQLALCHEMY_DATABASE_URI里还被提交到了 GitHub 公共仓库幸好发现得早。第二步日志规范化Structured Loggingprint()和app.logger.info()在生产环境是灾难。必须使用 Python 标准logging模块并输出到文件。在app.py开头添加import logging from logging.handlers import RotatingFileHandler def setup_logging(app): if not app.debug: # 创建日志目录 if not os.path.exists(logs): os.mkdir(logs) # 设置日志文件处理器最大 10MB保留 5 个备份 file_handler RotatingFileHandler(logs/app.log, maxBytes10*1024*1024, backupCount5) file_handler.setFormatter(logging.Formatter( %(asctime)s %(levelname)s: %(message)s [in %(pathname)s:%(lineno)d] )) file_handler.setLevel(logging.INFO) app.logger.addHandler(file_handler) app.logger.setLevel(logging.INFO) app.logger.info(Application startup)然后在create_app()工厂函数里调用setup_logging(app)。这样所有app.logger.info()的日志都会写入logs/app.log并且自动轮转不会把磁盘撑爆。第三步静态文件路径修正Static File Path Fix如果你的 Flask 应用里有url_for(static, filenamecss/main.css)那么在 Nginx 部署后这个 URL 生成的路径必须和 Nginx 的location /static/配置完全一致。否则前端页面会 404。最佳实践是在config.py中定义STATIC_FOLDER /var/www/myapp/static并在 Nginx 配置中location /static/指向这个绝对路径。这样url_for生成的/static/css/main.cssNginx 就能精准地从/var/www/myapp/static/css/main.css读取并返回。3.3 Gunicorn 配置详解从命令行到配置文件的进化Gunicorn 的启动方式有两种命令行和配置文件。对于生产环境必须使用配置文件gunicorn.conf.py因为它提供了命令行无法比拟的可维护性和可复现性。一个典型的gunicorn.conf.py内容如下# -*- coding: utf-8 -*- import multiprocessing # 监听地址和端口 bind 127.0.0.1:8000 bind_address 127.0.0.1:8000 port 8000 # Unix socket 方式更高效但需注意权限 # bind /run/gunicorn.sock # chown-socket www-data:www-data # chmod-socket 631 # 进程管理 workers multiprocessing.cpu_count() * 2 1 worker_class sync # 或 gevent 如果用了异步库 worker_connections 1000 max_requests 1000 max_requests_jitter 100 timeout 30 graceful_timeout 5 keepalive 5 preload True # 日志 accesslog /var/log/gunicorn/access.log errorlog /var/log/gunicorn/error.log loglevel info capture_output True enable_stdio_inheritance True # 进程名 proc_name gunicorn pidfile /var/run/gunicorn.pid我们逐条拆解其背后的“为什么”workers multiprocessing.cpu_count() * 2 1这是 Gunicorn 官方推荐的公式。cpu_count()获取逻辑 CPU 核心数不是物理核心乘以 2 是为了应对 I/O 等待1是留一个冗余。例如一个 4 核 VPSworkers9。这个数字不是越大越好过多的 worker 会导致上下文切换开销剧增内存占用飙升。我在线上压测过一个 2 核 4GB 的机器workers5时 QPS 最高workers10时反而下降了 15%。preload True前面提过这是内存优化的关键。它让 Gunicorn 主进程在 fork worker 之前先加载一次你的应用代码。这样所有 worker 进程的内存页特别是只读的代码段可以共享大幅减少 RSS常驻内存集。实测一个 200MB 的 Flask 应用preloadFalse时9 个 worker 占用 1.8GB 内存preloadTrue后只占 1.1GB。timeout 30和graceful_timeout 5这是防止“僵尸请求”拖垮服务的生命线。timeout是 worker 处理单个请求的最长允许时间超时则主进程会杀死它。graceful_timeout是在收到SIGTERM比如systemctl restart后worker 还有多少秒来完成手头的工作然后才被强制SIGKILL。这两个值必须配合否则重启时会出现连接中断。accesslog和errorlog日志路径必须是绝对路径且gunicorn进程运行的用户通常是www-data必须对该路径有写权限。/var/log/gunicorn/目录需要提前创建sudo mkdir -p /var/log/gunicorn sudo chown www-data:www-data /var/log/gunicorn。注意bind地址必须是127.0.0.1:8000绝不能是0.0.0.0:8000。前者只监听本地回环只有本机的 Nginx 能访问后者监听所有网络接口相当于把你的应用服务器直接暴露在公网上这是严重安全风险。4. 实操过程与核心环节实现4.1 从零开始完整部署流程含所有命令与路径现在我们把所有理论付诸实践。假设你的 Flask 应用代码已经写好位于本地电脑的~/mybookapp/目录下项目结构如下mybookapp/ ├── app.py ├── config.py ├── requirements.txt ├── static/ │ └── css/ ├── templates/ │ └── index.html └── logs/步骤 1在 Ubuntu 22.04 上创建应用目录并上传代码登录服务器创建标准的 Web 应用目录结构sudo mkdir -p /var/www/mybookapp/{app,static,templates,logs} sudo chown -R deploy:www-data /var/www/mybookapp sudo chmod -R 755 /var/www/mybookapp这里/var/www/是 Linux Web 服务的传统根目录www-data是 Nginx 和 Gunicorn 默认运行的用户组。chown -R deploy:www-data表示deploy用户拥有所有权www-data组拥有组权限这样deploy用户可以修改代码www-data组的进程Nginx/Gunicorn可以读取文件。然后用scp或rsync把本地代码上传# 从本地电脑执行 rsync -avz --delete ~/mybookapp/ deployyour-server-ip:/var/www/mybookapp/app/注意我们只上传app/目录下的代码static/和templates/是空目录由rsync创建。步骤 2创建并激活 Python 虚拟环境在服务器上进入应用目录创建虚拟环境cd /var/www/mybookapp python3 -m venv venv source venv/bin/activate pip install --upgrade pip pip install -r app/requirements.txtrequirements.txt必须包含gunicorn。如果应用需要数据库也要在这里安装对应的驱动比如psycopg2-binaryPostgreSQL或pymysqlMySQL。步骤 3编写并测试 Gunicorn 配置文件在/var/www/mybookapp/目录下创建gunicorn.conf.py内容如前文所述。然后手动测试 Gunicorn 是否能正常启动cd /var/www/mybookapp source venv/bin/activate gunicorn --config gunicorn.conf.py app:app如果看到Booting worker with pid: XXXX说明启动成功。此时用curl http://127.0.0.1:8000应该能返回你的首页 HTML。如果报错仔细看终端输出的 traceback90% 的问题是ImportError模块没装或ModuleNotFoundErrorapp:app路径写错。步骤 4配置 Nginx 并启用站点编辑 Nginx 的主配置/etc/nginx/sites-available/mybookappserver { listen 80; server_name your-domain.com; # 替换为你的域名或服务器IP # 静态文件由 Nginx 直接服务 location /static/ { alias /var/www/mybookapp/static/; expires 1y; add_header Cache-Control public, immutable; } # 除 /static/ 外的所有请求都转发给 Gunicorn location / { include proxy_params; proxy_pass http://127.0.0.1:8000; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }然后创建软链接启用该站点sudo ln -sf /etc/nginx/sites-available/mybookapp /etc/nginx/sites-enabled/ sudo nginx -t # 测试配置语法 sudo systemctl reload nginxnginx -t是必做步骤它会检查所有配置文件的语法是否正确。如果失败它会精确指出哪一行、哪个文件出错这是排查 Nginx 问题的第一把钥匙。步骤 5创建并启用 systemd 服务这才是让 Gunicorn “活”在生产环境里的关键。创建/etc/systemd/system/gunicorn.service[Unit] DescriptionGunicorn instance to serve mybookapp Afternetwork.target [Service] Userwww-data Groupwww-data WorkingDirectory/var/www/mybookapp EnvironmentPATH/var/www/mybookapp/venv/bin ExecStart/var/www/mybookapp/venv/bin/gunicorn --config /var/www/mybookapp/gunicorn.conf.py app:app [Install] WantedBymulti-user.target然后重新加载 systemd 配置并启动服务sudo systemctl daemon-reload sudo systemctl start gunicorn sudo systemctl enable gunicorn # 开机自启 sudo systemctl status gunicorn # 查看状态systemctl status gunicorn的输出应该显示active (running)并且journalctl -u gunicorn -f能实时看到 Gunicorn 的启动日志。如果状态是failedjournalctl -u gunicorn会告诉你具体是哪一行命令执行失败了比如Permission denied权限问题或No module named app路径问题。4.2 Gunicorn 修改代码自动重启一个务实的解决方案“gunicorn 修改py代码自动重启”是新手最常问的问题但必须明确一点在生产环境中绝对不应该启用自动重启。Gunicorn 的--reload参数只适用于开发环境。它会持续监控文件系统变化一旦检测到.py文件被修改就杀死所有 worker 并重启整个进程。这在生产环境是灾难性的重启瞬间所有连接中断用户看到 502 Bad Gateway频繁的重启会触发 systemd 的StartLimitBurst限制导致服务被永久禁用更重要的是它掩盖了真正的发布流程缺陷。正确的做法是建立一个原子化的发布流程。我的方案是在/var/www/mybookapp/下创建两个平行目录current/和releases/。每次发布新版本都把新代码上传到一个带时间戳的子目录如releases/20240520120000/。然后用一条ln -sfn命令把current这个符号链接指向最新的releases/xxx/目录。最后sudo systemctl restart gunicorn。这个过程是原子的ln -sfn是一个不可分割的操作用户在切换瞬间最多看到一次 502且持续时间小于 1 秒。所有旧版本的代码都保留在releases/目录下回滚只需再执行一次ln -sfn指向旧目录即可。为了自动化我写了一个简单的deploy.sh脚本#!/bin/bash RELEASE_DIR/var/www/mybookapp/releases CURRENT_DIR/var/www/mybookapp/current TIMESTAMP$(date %Y%m%d%H%M%S) NEW_RELEASE$RELEASE_DIR/$TIMESTAMP # 创建新版本目录并上传 sudo mkdir -p $NEW_RELEASE sudo rsync -avz --delete ~/mybookapp/ $NEW_RELEASE/ # 更新 current 链接 sudo ln -sfn $NEW_RELEASE $CURRENT_DIR # 重启服务 sudo systemctl restart gunicorn echo Deployed to $TIMESTAMP把这个脚本放在本地电脑每次发布./deploy.sh一键搞定。它比任何“热重载”都更可靠、更可控。4.3 Nginx 配置实战从 HTTP 到 HTTPS 的平滑过渡Nginx 的配置是整个链条中最容易出错也最值得深挖的部分。我们以最常见的需求——为你的 Flask 应用启用 HTTPS——为例展示如何一步步配置。首先你需要一个有效的 SSL 证书。最简单的方式是使用 Lets Encrypt 的 Certbotsudo apt install certbot python3-certbot-nginx -y sudo certbot --nginx -d your-domain.comCertbot 会自动修改你的 Nginx 配置添加 HTTPS 监听和重定向。但它的默认配置往往不够“生产级”我们需要手动微调。修改/etc/nginx/sites-available/mybookapp将server块拆分为两个# HTTP 重定向到 HTTPS server { listen 80; server_name your-domain.com; return 301 https://$server_name$request_uri; } # HTTPS 主服务 server { listen 443 ssl http2; server_name your-domain.com; # SSL 证书Certbot 自动生成 ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem; # 强化 SSL 安全Mozilla SSL Configuration Generator 推荐 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # 静态文件 location /static/ { alias /var/www/mybookapp/static/; expires 1y; add_header Cache-Control public, immutable; } # 动态请求转发 location / { include proxy_params; proxy_pass http://127.0.0.1:8000; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 关键设置超时避免长连接耗尽 proxy_connect_timeout 10s; proxy_send_timeout 30s; proxy_read_timeout 30s; } }这里有几个关键点http2启用 HTTP/2 协议大幅提升多资源加载速度。ssl_ciphers指定了现代、安全的加密套件禁用了已知不安全的算法如 RC4、MD5。proxy_*_timeout这三个超时参数至关重要。proxy_connect_timeout是 Nginx 连接到 Gunicorn 的超时proxy_send_timeout是 Nginx 向 Gunicorn 发送请求的超时proxy_read_timeout是 Nginx 等待 Gunicorn 响应的超时。它们必须与 Gunicorn 的timeout和graceful_timeout协调。例如Gunicorntimeout30那么proxy_read_timeout至少设为35给 Gunicorn 留出 5 秒的 graceful shutdown 时间。配置完成后再次sudo nginx -t sudo systemctl reload nginx。打开浏览器访问https://your-domain.com你应该能看到绿色的锁图标以及你的 Flask 应用。5. 常见问题与排查技巧实录5.1 502 Bad GatewayNginx 与 Gunicorn 的“失联”诊断502 错误是 Nginx 向客户端报告“我作为代理尝试连接上游Gunicorn时失败了。” 这是最常见的部署问题但原因千差万别。排查必须遵循一个严格的顺序先确认 Gunicorn 是否在运行再确认它是否在监听最后确认 Nginx 是否能连上它。第一阶段检查 Gunicorn 进程执行sudo systemctl status gunicorn。如果显示inactive (dead)说明服务根本没起来。看Active:后面的状态如果是failed就用sudo journalctl -u gunicorn -n 50 -e查看最近 50 行日志。最常见的失败原因是PermissionError