Clawdbot整合Qwen3-32B保姆级教程:HTTPS反向代理与SSL证书配置详解
Clawdbot整合Qwen3-32B保姆级教程:HTTPS反向代理与SSL证书配置详解
1. 为什么需要HTTPS反向代理和SSL证书
你可能已经成功在本地跑起了Qwen3-32B模型,也把Clawdbot接入了Ollama提供的API接口,但当你尝试从外部网络访问时,发现浏览器提示“不安全连接”,或者前端页面无法加载AI响应——这几乎一定是HTTP协议被现代浏览器拦截或混合内容限制导致的。
Clawdbot作为前端交互层,依赖稳定、可信的后端通信。而Ollama默认只暴露HTTP接口(如http://localhost:11434),它本身不支持HTTPS,也不内置SSL证书管理。直接将Ollama端口暴露到公网存在安全风险,且无法通过主流Web平台(如微信小程序、企业微信、部分低代码平台)的HTTPS校验。
真正的生产就绪部署,不是“能跑就行”,而是要满足三个基本条件:可远程访问、通信加密、域名可信。这就引出了本教程的核心目标:
把Clawdbot前端统一走https://ai.yourdomain.com访问
将请求安全转发至内网Ollama服务(http://localhost:11434)
自动签发并续期合法SSL证书,无需手动维护
全程不修改Clawdbot或Ollama源码,零侵入式集成
整个过程不需要你懂Nginx底层配置语法,也不用研究ACME协议细节——我们用最简路径,把“反向代理+HTTPS”变成一次docker-compose up -d就能完成的事。
2. 环境准备与前置条件
2.1 硬件与系统要求
- 服务器:一台具备公网IP的Linux服务器(推荐Ubuntu 22.04 LTS或Debian 12),内存建议≥16GB(Qwen3-32B推理需较大显存/内存,Ollama运行时占用约10–12GB RAM)
- 域名:已备案并解析到该服务器IP的二级域名(例如
ai.example.com),必须能正常ping通且80/443端口开放 - 权限:拥有
sudo权限,能安装Docker及Docker Compose(v2.20+)
注意:国内云厂商(如阿里云、腾讯云)默认关闭443端口,请务必在安全组中放行TCP 80和443端口;若使用家庭宽带,需确认路由器已做端口映射且ISP未封禁。
2.2 软件依赖清单
| 组件 | 版本要求 | 安装方式 | 说明 |
|---|---|---|---|
| Docker | ≥24.0 | 官方脚本一键安装 | 运行反向代理与证书服务 |
| Docker Compose | ≥2.20 | sudo apt install docker-compose-plugin | 编排多容器服务 |
| Ollama | ≥0.3.10 | `curl -fsSL https://ollama.com/install.sh | sh` |
| Clawdbot | 最新版 | 按官方文档构建或拉取镜像 | 前端服务监听localhost:8080(或自定义端口) |
验证Ollama是否就绪:执行
curl http://localhost:11434/api/tags,应返回包含qwen3:32b的JSON列表
验证Clawdbot是否就绪:访问http://localhost:8080能打开聊天界面,且发送消息后无502/504错误
2.3 目录结构规划(推荐)
为便于维护,建议按以下结构组织文件:
~/clawdbot-qwen3/ ├── docker-compose.yml # 主编排文件(含nginx + certbot) ├── nginx/ │ ├── conf.d/ │ │ └── clawdbot.conf # 反向代理核心配置 │ └── ssl/ # SSL证书自动存放目录(由certbot生成) ├── .env # 环境变量(域名、邮箱等) └── README.md所有操作均在~/clawdbot-qwen3/目录下进行,后续命令默认在此路径执行。
3. 构建HTTPS反向代理:Nginx + Certbot一体化方案
3.1 创建docker-compose.yml(全自动证书签发)
我们不单独部署Nginx再手动配证书,而是采用业界成熟的nginx-proxy+letsencrypt-nginx-proxy-companion组合——它能在容器启动时自动申请、安装、续期Let’s Encrypt证书,全程无人值守。
新建docker-compose.yml,内容如下:
version: '3.8' services: # Clawdbot前端服务(假设你已构建好镜像或使用预编译包) clawdbot: image: clawdbot/web:latest restart: unless-stopped ports: - "8080:80" # 仅暴露内部端口,不对外 environment: - VIRTUAL_HOST=ai.yourdomain.com - VIRTUAL_PORT=80 - LETSENCRYPT_HOST=ai.yourdomain.com - LETSENCRYPT_EMAIL=your-email@example.com networks: - proxy-net # Ollama后端服务(确保已在宿主机运行,此处仅作声明) ollama: image: alpine:latest command: tail -f /dev/null restart: unless-stopped networks: - proxy-net # Nginx反向代理主服务 nginx-proxy: image: nginxproxy/nginx-proxy:alpine ports: - "80:80" - "443:443" volumes: - /var/run/docker.sock:/tmp/docker.sock:ro - ./nginx/conf.d:/etc/nginx/conf.d:rw - ./nginx/vhost.d:/etc/nginx/vhost.d:rw - ./nginx/html:/usr/share/nginx/html:rw - ./nginx/certs:/etc/nginx/certs:ro labels: - "com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy" restart: unless-stopped networks: - proxy-net # Let's Encrypt证书自动管理服务 nginx-proxy-acme: image: nginxproxy/acme-companion volumes: - /var/run/docker.sock:/var/run/docker.sock:ro - ./nginx/certs:/etc/nginx/certs:rw - ./nginx/conf.d:/etc/nginx/conf.d:rw - ./nginx/vhost.d:/etc/nginx/vhost.d:rw - ./nginx/html:/usr/share/nginx/html:rw - ./acme-secrets:/etc/acme/secrets:rw environment: - NGINX_PROXY_CONTAINER=nginx-proxy - DEFAULT_EMAIL=your-email@example.com restart: unless-stopped networks: - proxy-net networks: proxy-net: driver: bridge关键点说明:
clawdbot服务通过VIRTUAL_HOST和LETSENCRYPT_HOST告诉代理:“我负责ai.yourdomain.com,请给我配HTTPS”nginx-proxy是流量入口,处理所有80/443请求nginx-proxy-acme监听新服务注册,自动调用Let’s Encrypt API签发证书ollama服务虽未暴露端口,但因同属proxy-net网络,Clawdbot容器内可通过http://ollama:11434直连(无需localhost)
🔁 替换占位符:将
ai.yourdomain.com换成你的实际域名,your-email@example.com换成有效邮箱(用于证书到期提醒)
3.2 配置Clawdbot对接Ollama的内部地址
Clawdbot默认调用http://localhost:11434,但在Docker网络中,localhost指向容器自身,而非宿主机。因此必须修改Clawdbot的API Base URL。
如果你使用的是Clawdbot的环境变量配置方式(推荐),在clawdbot服务块中添加:
environment: - VIRTUAL_HOST=ai.yourdomain.com - VIRTUAL_PORT=80 - LETSENCRYPT_HOST=ai.yourdomain.com - LETSENCRYPT_EMAIL=your-email@example.com - OLLAMA_BASE_URL=http://ollama:11434 # ← 关键!指向同网络内的ollama服务如果你使用的是Clawdbot的配置文件(如config.json),则需挂载自定义配置:
volumes: - ./config.json:/app/config.json:ro其中config.json内容示例:
{ "ollama": { "baseUrl": "http://ollama:11434", "model": "qwen3:32b" } }此时Clawdbot容器内发起的请求,会经Docker DNS解析为ollama容器IP,再由Ollama容器处理,全程走内网,高效且安全。
4. 启动服务并验证HTTPS生效
4.1 一键启动全部服务
确保你已退出root用户(推荐用普通用户+sudo),然后执行:
cd ~/clawdbot-qwen3 sudo docker-compose up -d首次运行会拉取约300MB镜像,耗时1–3分钟。期间nginx-proxy-acme会自动检测到clawdbot服务注册,向Let’s Encrypt发起证书申请。
4.2 实时查看证书申请日志
sudo docker-compose logs -f nginx-proxy-acme成功时你会看到类似输出:
Generating a RSA private key ... Successfully received certificate for ai.yourdomain.com证书将自动写入./nginx/certs/ai.yourdomain.com.crt和./nginx/certs/ai.yourdomain.com.key。
4.3 验证HTTPS访问与端到端连通性
- 打开浏览器,访问
https://ai.yourdomain.com
→ 应显示Clawdbot聊天界面,地址栏有绿色锁图标 - 在聊天框输入“你好”,发送
→ 应收到Qwen3-32B的实时回复,无控制台报错 - 打开浏览器开发者工具(F12)→ Network标签页
→ 查看/api/chat请求,Status应为200 OK,Protocol为h2(HTTP/2) - 在服务器终端执行:
→ 响应头中应包含curl -I https://ai.yourdomain.comHTTP/2 200和Strict-Transport-Security字段
小技巧:若首次访问显示“您的连接不是私密连接”,请清空浏览器缓存或换隐身窗口重试——这是旧HSTS缓存导致的临时现象,10分钟后自动消失。
5. 常见问题排查与优化建议
5.1 证书申请失败?5大高频原因速查
| 现象 | 原因 | 解决方法 |
|---|---|---|
Could not resolve host: ai.yourdomain.com | 域名未正确解析到服务器IP | ping ai.yourdomain.com,确认返回服务器公网IP;检查DNS服务商解析记录 |
Timeout during connect | 服务器防火墙/安全组未开放80/443 | sudo ufw status或云平台安全组检查,确保允许0.0.0.0/0访问TCP 80,443 |
Error: unable to get local issuer certificate | 宿主机时间严重偏差(>5分钟) | sudo timedatectl set-ntp true同步时间 |
Invalid response from http://ai.yourdomain.com/.well-known/acme-challenge/ | Nginx未正确代理ACME验证路径 | 检查nginx-proxy容器日志,确认无502 Bad Gateway;确认clawdbot服务健康 |
Rate limit exceeded | 同一域名24小时内申请超限(Let’s Encrypt限制) | 改用测试环境staging模式:在docker-compose.yml中为nginx-proxy-acme添加环境变量ACME_CA_URI=https://acme-staging-v02.api.letsencrypt.org/directory |
5.2 提升生产稳定性:3项必做加固
启用HTTP/2与Brotli压缩
在./nginx/conf.d/clawdbot.conf中(需先创建该文件),追加:server { listen 443 ssl http2; server_name ai.yourdomain.com; ssl_certificate /etc/nginx/certs/ai.yourdomain.com.crt; ssl_certificate_key /etc/nginx/certs/ai.yourdomain.com.key; # 启用Brotli压缩(比Gzip更高效) brotli on; brotli_comp_level 6; brotli_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; location / { proxy_pass http://clawdbot:80; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } # 显式代理Ollama API(避免Clawdbot前端跨域) location /api/ { proxy_pass http://ollama:11434/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }设置自动续期监控
Let’s Encrypt证书90天过期,acme-companion默认每天凌晨3:00检查续期。为防意外,添加简单告警:# 编辑crontab sudo crontab -e # 添加一行(每天上午9点检查证书剩余天数) 0 9 * * * docker exec clawdbot-qwen3-nginx-proxy-acme-1 /app/check-certs.sh 2>/dev/null | grep "less than 7 days" && echo " HTTPS证书7天内过期!" | mail -s "Clawdbot证书告警" your-email@example.com限制Ollama仅响应内网请求
防止Ollama API被意外暴露,编辑Ollama启动命令(如systemd服务):# /etc/systemd/system/ollama.service [Service] ExecStart=/usr/bin/ollama serve --host 127.0.0.1:11434重启:
sudo systemctl daemon-reload && sudo systemctl restart ollama
6. 总结:从HTTP到HTTPS的平滑升级路径
回顾整个流程,你其实只做了三件事:
🔹定义服务关系:用docker-compose.yml声明Clawdbot、Ollama、Nginx、Certbot四者如何协作
🔹修正网络路径:将Clawdbot的Ollama调用地址从localhost改为Docker内网服务名ollama
🔹交付信任凭证:让ACME Companion自动完成证书申请、安装、续期全生命周期管理
没有改一行Clawdbot前端代码,没有碰Ollama配置,也没有手写Nginx SSL参数——这就是现代容器化部署的魅力:能力解耦,职责清晰,运维即代码。
你现在拥有的不仅是一个能跑Qwen3-32B的聊天平台,而是一个符合工业标准的AI服务基座:
对外提供可信HTTPS域名访问
对内通过Docker网络实现服务间安全通信
证书自动续期,永不中断
所有配置版本可控,可一键重建
下一步,你可以轻松扩展:接入企业微信机器人、嵌入官网客服浮窗、对接CRM系统自动摘要客户咨询——而这一切,都建立在今天打下的这个安全、稳定、可演进的基础之上。
获取更多AI镜像
想探索更多AI镜像和应用场景?访问 CSDN星图镜像广场,提供丰富的预置镜像,覆盖大模型推理、图像生成、视频生成、模型微调等多个领域,支持一键部署。