企业官网建设流程全解析

1. IIS代理转发入门：为什么需要它？

想象一下你开了一家餐厅，顾客从前门进来点餐，但厨房在后院。这时候就需要一个服务员在前厅和后厨之间传递订单——IIS的代理转发功能就是这个"服务员"。在实际开发中，我们经常遇到这样的场景：前端页面运行在80端口，而后端API服务可能分散在4000、5000等不同端口，甚至部署在不同服务器上。通过IIS的统一代理，可以隐藏后端服务的真实地址，还能实现负载均衡和安全防护。

我去年接手过一个电商项目就遇到典型问题：前端调用三个不同端口的微服务时，浏览器一直报跨域错误。后来用IIS代理统一转发到/api路径下，不仅解决了跨域问题，还简化了前端配置。现在只要访问：

https://你的域名/api/orders https://你的域名/api/users

实际上会被分别转发到：

http://localhost:4001/orders http://localhost:5001/users

2. 环境准备：安装必备组件

2.1 IIS基础安装检查

首先确认你的Windows Server已经安装IIS。按下Win+R输入optionalfeatures，勾选这些选项：

• Internet Information Services
• IIS管理控制台
• IIS管理脚本和工具
• 万维网服务下的所有子项

注意：如果已经安装过IIS但功能不全，可以通过"添加角色和功能"进行补充安装。

2.2 两大神器安装指南

就像修车需要扳手和螺丝刀，IIS代理转发需要两个核心组件：

1. URL Rewrite模块
   官方下载地址直接复制到浏览器：

   https://www.iis.net/downloads/microsoft/url-rewrite

   下载后双击安装，全程点"Next"就行。安装完记得重启IIS（在CMD运行iisreset）

2. ARR（Application Request Routing）
   这是微软官方出的反向代理工具包，下载地址：

   https://www.iis.net/downloads/microsoft/application-request-routing

   安装时有个坑要注意：如果安装进度条卡住，可能是系统正在更新，建议先关闭Windows Update服务。

安装完成后，打开IIS管理器，应该能看到新增的图标。我遇到过有同事安装后找不到ARR的情况，通常是没重启IIS导致的。

3. 实战配置：从零搭建代理规则

3.1 创建转发站点

假设我们要把访问/api的请求都转发到本地的4000端口：

1. 右键"网站"→"添加网站"
2. 站点名称填ProxyGateway（随便起）
3. 物理路径选个空文件夹（比如C:\inetpub\proxy）
4. 端口保持默认80

3.2 配置ARR代理

双击ARR图标→右侧"Server Proxy Settings"→勾选"Enable proxy"

这里有个隐藏选项：建议把"Response buffer threshold"调到1024KB，避免大文件传输失败。

3.3 编写URL重写规则

这是最关键的步骤，也是新手最容易出错的地方。点击站点→URL重写→添加规则→选择"空白规则"：

• 名称：API_Proxy（有意义就行）
• 模式：^api/(.*)（匹配所有以api开头的路径）
• 条件：添加{HTTP_HOST}匹配你的域名
• 操作类型：重写
• 重写URL：http://localhost:4000/{R:1}

这里{R:1}表示正则表达式第一个捕获组。比如访问/api/users时，{R:1}就是users。

4. 常见翻车现场与救火指南

4.1 规则不生效的五大原因

上周帮客户排查问题时，发现80%的配置失败都是这些原因：

1. 缓存作祟
   修改规则后一定要清除配置缓存：CMD运行appcmd recycle apppool /apppool.name:DefaultAppPool

2. 正则表达式写错
   测试你的正则：在IIS右侧点击"测试模式"，输入/api/test应该能看到匹配结果

3. 端口冲突
   用netstat -ano|findstr 4000检查目标端口是否被占用

4. 权限问题
   给IIS_IUSRS用户添加对目标服务的读取权限

5. HTTPS证书问题
   如果后端是HTTPS，需要在重写规则里添加SSL Offload选项

4.2 POST请求失败的特别处理

GET正常但POST失败？大概率是漏了这两个配置：

1. 在重写规则里添加服务器变量：

   HTTP_X_ORIGINAL_ACCEPT_ENCODING HTTP_X_ORIGINAL_HOST

2. 修改applicationHost.config文件（路径：C:\Windows\System32\inetsrv\config），在<system.webServer>节点添加：

   <proxy preserveHostHeader="true" />

5. 高级技巧：多服务动态路由

实际项目中往往需要根据路径转发到不同后端。比如：

• /api/order→ 订单服务(4001)
• /api/user→ 用户服务(4002)

这时候可以用条件判断实现智能路由：

1. 创建两个重写规则，分别设置不同条件
2. 在条件里使用{PATH_INFO}变量：

   ^api/order/(.*) → http://localhost:4001/{R:1} ^api/user/(.*) → http://localhost:4002/{R:1}

3. 设置"停止处理后续规则"避免冲突

最近给物流系统做的配置中，甚至实现了根据请求头里的版本号(v1/v2)转发到不同服务集群，这在灰度发布时特别有用。

6. 性能优化与安全加固

6.1 连接池配置

长时间运行后代理变慢？调整ARR的连接池设置：

• 最大连接数建议设为后端服务最大并发数的1.5倍
• 连接超时设置为30秒（根据业务调整）
• 启用"响应缓冲"减少网络抖动影响

6.2 安全防护三件套

1. IP白名单
   在重写规则条件里添加{REMOTE_ADDR}匹配
2. 请求过滤
   拒绝包含../等可疑路径的请求
3. 头信息校验
   验证Content-Type等头字段

有次客户系统被刷接口，就是通过添加{HTTP_REFERER}校验解决的。现在每次配置完代理，我都会习惯性加上基础防护规则。