机场自部署#

本文记录如何利用 Docker 在境外服务器（香港）部署 Xray + VLESS + WebSocket + TLS 代理服务，配合 Nginx 反向代理实现流量伪装，并通过 Clash 客户端连接使用。

部署架构#

PRTCL // PLAINTEXT

1
┌─────────────────────────────────────────────────────────────┐
2
│                        用户设备                               │
3
│                    (Clash / FlClash)                         │
4
│                         │                                    │
5
│                         │ HTTPS + WebSocket                   │
6
└─────────────────────────┼───────────────────────────────────┘
7
                          │
8
                          ▼
9
┌─────────────────────────────────────────────────────────────┐
10
│                    香港服务器 (154.222.24.65)                  │
11
│                                                             │
12
│   ┌─────────────┐         ┌─────────────┐                  │
13
│   │  Nginx      │  proxy  │  Xray       │                  │
14
│   │  :80 :443   │◄────────│  :10086     │                  │
15
│   └─────────────┘  ws     └─────────────┘                  │
16
│         │                                         │          │
17
│         │ HTTPS 加密                             │ VLESS    │
18
│         ▼                                         ▼          │
19
│   ┌─────────────┐                       ┌─────────────┐    │
20
│   │  伪装网站    │                       │  Xray 核心   │    │
21
│   │  (HTML)     │                       │  (Docker)   │    │
22
│   └─────────────┘                       └─────────────┘    │
23
│                                                             │
24
└─────────────────────────────────────────────────────────────┘

关键技术选型#

组件	选型	理由
代理协议	VLESS + WebSocket	抗封锁能力强，兼容性广
TLS 加密	TLS 1.3	流量完全加密，难以识别
伪装	Nginx + 静态网站	模拟正常 HTTPS 网站流量
容器化	Docker + Compose	一键部署，环境隔离
UUID	随机生成	唯一身份标识

服务器准备#

环境要求#

项目	要求
系统	Ubuntu 20.04+ / Debian
配置	1 核 512MB+
网络	境外服务器，443 端口开放
软件	Docker + Docker Compose

端口占用说明#

⚠️ 本次部署中服务器已运行 1Panel，openresty 容器占用了 80/443 端口。解决方案：停止 1Panel 的 openresty 容器，将端口让给 Nginx。

PRTCL // BASH

1
# 查看端口占用
2
ss -tlnp | grep -E ':80 |:443 '
3

4
# 停止占用端口的容器（如 openresty）
5
docker stop 1Panel-openresty-fMgR
6
docker rm 1Panel-openresty-fMgR

创建工作目录#

PRTCL // BASH

1
mkdir -p /opt/xray/{certs,html,config}
2
cd /opt/xray

生成 TLS 证书#

使用自签证书，仅支持客户端开启「跳过证书验证」。如需正式证书，可使用 Let’s Encrypt。

PRTCL // BASH

1
cd /opt/xray
2

3
openssl req -x509 -nodes -newkey rsa:2048 \
4
  -keyout certs/key.pem \
5
  -out certs/cert.pem \
6
  -days 365 \
7
  -subj '/C=US/ST=NY/L=NYC/O=CloudService/CN=cloud.example.com'

配置文件#

Xray 配置#

路径：/opt/xray/config/config.json

PRTCL // JSON

1
{
2
  "log": {
3
    "loglevel": "warning"
4
  },
5
  "inbounds": [{
6
    "port": 10086,
7
    "listen": "127.0.0.1",
8
    "protocol": "vless",
9
    "settings": {
10
      "clients": [{
11
        "id": "60b3f6e5-1227-4487-8084-4bbb6503b923",
12
        "level": 0
13
      }],
14
      "decryption": "none"
15
    },
16
    "streamSettings": {
17
      "network": "ws",
18
      "wsSettings": {
19
        "path": "/vless"
20
      }
21
    },
22
    "sniffing": {
23
      "enabled": true,
24
      "destOverride": ["http", "tls"]
25
    }
26
  }],
27
  "outbounds": [
28
    {"protocol": "freedom", "settings": {}, "tag": "direct"},
29
    {"protocol": "blackhole", "settings": {}, "tag": "block"}
30
  ]
31
}

💡 关键配置说明：
listen: "127.0.0.1"：仅监听本地，外部无法直接访问 Xray
network: "ws"：WebSocket 传输，伪装成 HTTP 请求
sniffing：自动识别流量类型，提升兼容性

Nginx 配置#

路径：/opt/xray/nginx.conf

PRTCL // NGINX

1
server {
2
    listen 80;
3
    server_name _;
4
    return 301 https://$host$request_uri;
5
}
6

7
server {
8
    listen 443 ssl;
9
    server_name _;
10

11
    ssl_certificate /etc/ssl/certs/cert.pem;
12
    ssl_certificate_key /etc/ssl/private/key.pem;
13
    ssl_protocols TLSv1.2 TLSv1.3;
14
    ssl_ciphers HIGH:!aNULL:!MD5:!RC4;
15
    ssl_prefer_server_ciphers on;
16
    ssl_session_cache shared:SSL:10m;
17
    ssl_session_timeout 10m;
18

19
    # 伪装网站
20
    location / {
21
        root /usr/share/nginx/html;
22
        index index.html;
23
    }
24

25
    # Xray WebSocket 代理
26
    location /vless {
27
        proxy_pass http://127.0.0.1:10086;
28
        proxy_http_version 1.1;
29
        proxy_set_header Upgrade $http_upgrade;
30
        proxy_set_header Connection "upgrade";
31
        proxy_set_header Host $host;
32
        proxy_set_header X-Real-IP $remote_addr;
33
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
34
        proxy_connect_timeout 60s;
35
        proxy_send_timeout 60s;
36
        proxy_read_timeout 60s;
37
    }
38
}

💡 关键配置说明：
80 → 443：HTTP 自动重定向到 HTTPS
location /vless：将 WebSocket 请求转发给 Xray
Upgrade $http_upgrade：支持 WebSocket 协议升级

伪装网站#

路径：/opt/xray/html/index.html

PRTCL // HTML

1
<!DOCTYPE html>
2
<html lang="zh-CN">
3
<head>
4
<meta charset="UTF-8">
5
<title>Welcome to Nginx</title>
6
<style>
7
body{font-family:Arial;margin:0;padding:0;display:flex;justify-content:center;align-items:center;height:100vh;background:linear-gradient(135deg,#667eea 0%,#764ba2 100%);color:white;}
8
.container{text-align:center;background:rgba(0,0,0,0.3);padding:60px;border-radius:20px;}
9
h1{font-size:48px;margin-bottom:20px;}
10
p{font-size:18px;opacity:0.9;}
11
.status{margin-top:30px;padding:10px 30px;background:rgba(255,255,255,0.2);border-radius:50px;display:inline-block;}
12
</style>
13
</head>
14
<body>
15
<div class="container">
16
    <h1>Welcome</h1>
17
    <p>Server is running.</p>
18
    <div class="status">Online</div>
19
</div>
20
</body>
21
</html>

Docker Compose 配置#

路径：/opt/xray/docker-compose.yml

PRTCL // YAML

1
version: '3.8'
2
services:
3
  xray-core:
4
    image: teddysun/xray:latest
5
    container_name: xray-core
6
    volumes:
7
      - ./config/config.json:/etc/xray/config.json
8
    restart: unless-stopped
9
    network_mode: host
10
    healthcheck:
11
      test: ["CMD", "cat", "/etc/xray/config.json"]
12
      interval: 30s
13
      timeout: 10s
14
      retries: 3
15

16
  nginx:
17
    image: nginx:alpine
18
    container_name: xray-nginx
19
    volumes:
20
      - ./html:/usr/share/nginx/html
21
      - ./nginx.conf:/etc/nginx/conf.d/default.conf
22
      - ./certs/cert.pem:/etc/ssl/certs/cert.pem
23
      - ./certs/key.pem:/etc/ssl/private/key.pem
24
    restart: unless-stopped
25
    network_mode: host

💡 network_mode: host 的优势：
容器直接使用宿主机网络，避免端口冲突
Nginx 可直接绑定 80/443 端口

部署命令#

一键启动#

PRTCL // BASH

1
cd /opt/xray
2

3
# 拉取镜像并启动
4
docker-compose pull
5
docker-compose up -d
6

7
# 查看状态
8
docker ps
9

10
# 查看日志
11
docker logs xray-core --tail 20
12
docker logs xray-nginx --tail 20

常用管理命令#

PRTCL // BASH

1
# 重启服务
2
docker-compose restart
3

4
# 停止服务
5
docker-compose down
6

7
# 重新加载配置
8
docker-compose exec xray-core xray reload
9

10
# 更新 Xray
11
docker-compose pull xray-core && docker-compose up -d xray-core

客户端配置#

Clash / FlClash 配置#

PRTCL // YAML

1
port: 7890
2
socks-port: 7891
3
allow-lan: false
4
mode: rule
5
log-level: info
6
external-controller: 127.0.0.1:9090
7

8
proxies:
9
  - name: HK-VLESS
10
    type: vless
11
    server: 154.222.24.65
12
    port: 443
13
    uuid: 60b3f6e5-1227-4487-8084-4bbb6503b923
14
    network: ws
15
    tls: true
16
    udp: true
17
    sni: 154.222.24.65
18
    skip-cert-verify: true
19
    ws-opts:
20
      path: /vless
21
      headers:
22
        Host: 154.222.24.65
23

24
proxy-groups:
25
  - name: 🚀 代理
26
    type: select
27
    proxies:
28
      - HK-VLESS
29

30
rules:
31
  - GEOIP,CN,DIRECT
32
  - MATCH,🚀 代理

FlClash 使用步骤#

导入配置
- 方式一：扫描二维码
- 方式二：上传 YAML 文件
- 方式三：复制粘贴配置内容
关键设置
- TLS：✅ 必须开启
- 跳过证书验证：✅ 必须开启（自签证书）
- TUN 模式：✅ 需要开启
测试连接
- 选择节点 → 点击测试
- 超时说明连接失败，检查上述设置

安全加固#

更换 UUID#

定期更换 UUID 可提升安全性。

PRTCL // BASH

1
# 生成新 UUID
2
uuidgen
3

4
# 编辑配置
5
nano /opt/xray/config/config.json
6
# 将 "id" 字段替换为新 UUID
7

8
# 重载 Xray
9
docker-compose exec xray-core xray reload

防火墙设置#

PRTCL // BASH

1
# 仅开放必要端口
2
ufw allow 22   # SSH
3
ufw allow 80    # HTTP
4
ufw allow 443   # HTTPS
5
ufw enable

定期更新#

PRTCL // BASH

1
# 更新 Docker 镜像
2
docker-compose pull
3
docker-compose up -d
4

5
# 检查 Xray 更新
6
docker pull teddysun/xray:latest
7
docker-compose up -d xray-core

故障排查#

常见问题#

问题	原因	解决方案
连接超时	端口被占用	`ss -tlnp \| grep 443` 检查端口
TLS 错误	证书问题	开启「跳过证书验证」
伪装失效	Nginx 未启动	`docker logs xray-nginx` 查看日志
Xray 崩溃	配置错误	`docker logs xray-core` 查看日志

日志查看#

PRTCL // BASH

1
# Xray 日志
2
docker logs xray-core --tail 50 -f
3

4
# Nginx 日志
5
docker logs xray-nginx --tail 50 -f
6

7
# 系统日志
8
journalctl -u docker -f

连通性测试#

PRTCL // BASH

1
# 服务器内部测试
2
curl http://127.0.0.1/           # HTTP
3
curl https://127.0.0.1/         # HTTPS（自签证书）
4

5
# 外部测试
6
curl https:// 你的服务器 IP/       # 伪装网站

文件	路径
工作目录	`/opt/xray/`
Xray 配置	`/opt/xray/config/config.json`
Nginx 配置	`/opt/xray/nginx.conf`
伪装网站	`/opt/xray/html/index.html`
TLS 证书	`/opt/xray/certs/`
Docker Compose	`/opt/xray/docker-compose.yml`

总结#

本部署方案实现了：

✅ 流量加密：TLS 1.3 全程加密
✅ 流量伪装：模拟正常 HTTPS 网站
✅ 抗封锁：VLESS + WebSocket 难以识别
✅ 易于管理：Docker 一键部署
✅ 高可用：自动重启，故障自愈

📅 部署日期：2026-04-19
🌐 服务器：香港 154.222.24.65
🔐 协议：VLESS + WebSocket + TLS
🐳 容器：xray-core + xray-nginx

机场自部署

机场自部署#

部署架构#

关键技术选型#

服务器准备#

环境要求#

端口占用说明#

创建工作目录#

生成 TLS 证书#

配置文件#

Xray 配置#

Nginx 配置#

伪装网站#

Docker Compose 配置#

部署命令#

一键启动#

常用管理命令#

客户端配置#

Clash / FlClash 配置#

FlClash 使用步骤#

安全加固#

更换 UUID#

防火墙设置#

定期更新#

故障排查#

常见问题#

日志查看#

连通性测试#

相关文件路径#

总结#

机场自部署

自动化部署脚本

Tailscale-如何部署-Derp-中转节点

在飞牛OS-(FnOS)-上使用-Docker-部署-Tailscale

Nextcloud搭建

评论