告别Nginx？用IIS+ARR搭建Windows服务器接口网关，完整配置Node.js后端代理流程

告别Nginx？用IIS+ARR搭建Windows服务器接口网关的完整实践

在Windows Server生态中，技术团队常面临一个经典抉择：是引入Nginx作为反向代理，还是深度挖掘IIS原生能力？对于已经采用Windows技术栈的企业，IIS配合Application Request Routing（ARR）和URL Rewrite模块，能够构建出媲美Nginx的API网关解决方案。本文将完整演示如何利用这套"纯微软系"方案实现Node.js后端服务的高效代理，涵盖从环境准备到复杂路由配置的全流程。

1. 为什么选择IIS+ARR方案？

当服务器环境已经基于Windows构建时，IIS+ARR组合展现出独特的优势。与跨平台的Nginx相比，这种方案最显著的价值在于技术栈的统一性。所有组件均通过微软官方渠道安装更新，与Windows Server的安全策略、性能监控、日志系统无缝集成。

从性能基准测试来看，ARR 3.0在HTTP/1.1长连接场景下，每秒可处理约8500个请求（4核8G配置），虽然略低于Nginx的极限性能，但已能满足绝大多数企业级应用需求。更重要的是，其管理界面与IIS整合，运维人员无需学习新工具。

典型适用场景包括：

• 已有ASP.NET应用需要增加Node.js微服务
• 内网环境要求使用Windows原生组件
• 需要与现有Active Directory认证体系集成
• 企业IT政策限制第三方软件安装

2. 环境准备与组件安装

2.1 基础环境检查

首先确认服务器满足以下条件：

• Windows Server 2016/2019/2022
• IIS 10.0或更高版本
• PowerShell 5.1+
• 管理员权限账户

通过PowerShell快速验证IIS状态：

Get-WindowsFeature -Name Web-Server | Select-Object Installed

2.2 必备组件安装

ARR和URL Rewrite需要通过Web Platform Installer（WebPI）或独立安装包获取。推荐使用WebPI确保版本兼容性：

# 安装WebPI Invoke-WebRequest -Uri "https://aka.ms/webpi-az" -OutFile "$env:TEMP\webpi.msi" Start-Process -FilePath "msiexec.exe" -ArgumentList "/i $env:TEMP\webpi.msi /quiet" -Wait # 通过WebPI安装ARR和URL Rewrite Start-Process -FilePath "C:\Program Files\Microsoft\Web Platform Installer\WebpiCmd.exe" -ArgumentList "/Install /Products:ARRv3_0,UrlRewrite2 /AcceptEULA" -Wait

安装完成后，重启IIS服务：

Restart-Service W3SVC -Force

3. 代理核心配置详解

3.1 启用ARR代理功能

在IIS管理器中：

1. 打开Application Request Routing Cache
2. 右侧点击Server Proxy Settings
3. 勾选Enable proxy
4. 调整连接限制（建议值）：
   • 代理超时：120秒
   • 连接数限制：1024
   • 响应缓冲区阈值：4MB

注意：生产环境应根据后端服务响应时间调整超时值，特别是处理大文件上传时需增大缓冲区。

3.2 创建代理站点结构

推荐采用以下目录结构：

Default Web Site ├── api-gateway (代理入口) └── node-apps └── service1 (实际Node.js应用)

通过PowerShell创建站点：

New-WebApplication -Site "Default Web Site" -Name "api-gateway" -PhysicalPath "C:\inetpub\api-gateway" New-WebApplication -Site "Default Web Site" -Name "service1" -PhysicalPath "C:\inetpub\node-apps\service1" -ApplicationPool "NodeAppPool"

4. 高级路由规则配置

4.1 基础路径转发

对于简单的路径转发，URL Rewrite规则可以这样配置：

<rule name="NodeService Proxy" stopProcessing="true"> <match url="^service1/(.*)" /> <action type="Rewrite" url="http://localhost:3000/{R:1}" /> <serverVariables> <set name="HTTP_X_ORIGINAL_HOST" value="{HTTP_HOST}" /> </serverVariables> </rule>

4.2 多服务路由分发

当需要代理多个后端服务时，可采用条件匹配：

<rule name="Multi-Service Router"> <match url="(.*)" /> <conditions logicalGrouping="MatchAny"> <add input="{REQUEST_URI}" pattern="^/user-service/(.*)" /> <add input="{REQUEST_URI}" pattern="^/product-service/(.*)" /> </conditions> <action type="Rewrite" url="http://{C:0}-backend.internal/{R:1}" /> </rule>

4.3 请求头与方法处理

确保正确处理各种HTTP方法和头信息：

<rule name="Preserve Original Request"> <match url="(.*)" /> <serverVariables> <set name="HTTP_X_ORIGINAL_METHOD" value="{REQUEST_METHOD}" /> <set name="HTTP_X_FORWARDED_FOR" value="{REMOTE_ADDR}" /> </serverVariables> <action type="Rewrite" url="http://backend/{R:1}" /> </rule>

5. 常见问题排查指南

5.1 代理请求返回502错误

典型排查步骤：

1. 检查ARR缓存状态：

   Get-WebConfigurationProperty -Filter "/system.webServer/applicationRequestRouting" -Name "proxyCache" | Select-Object -ExpandProperty Attributes

2. 验证后端服务可达性：

   Test-NetConnection -ComputerName localhost -Port 3000

3. 检查请求头大小限制（默认8KB）：

   <system.webServer> <security> <requestFiltering> <requestLimits maxAllowedContentLength="4294967295" /> </requestFiltering> </security> </system.webServer>

5.2 POST请求体丢失问题

需确保以下配置：

1. 在applicationHost.config中设置：

   <configuration> <system.webServer> <proxy preserveHostHeader="true" reverseRewriteHostInResponseHeaders="false" /> </system.webServer> </configuration>

2. 检查请求体缓冲区设置：

   Set-WebConfigurationProperty -PSPath "MACHINE/WEBROOT/APPHOST" -Filter "system.webServer/security/requestFiltering/requestLimits" -Name "maxAllowedContentLength" -Value 1073741824

6. 性能优化与安全加固

6.1 连接池调优

修改ARR连接池设置：

Set-WebConfigurationProperty -Filter "/system.webServer/applicationRequestRouting/proxy" -Name "connectionPoolSize" -Value 100 Set-WebConfigurationProperty -Filter "/system.webServer/applicationRequestRouting/proxy" -Name "responseBufferThreshold" -Value 8192

6.2 安全防护策略

推荐的安全配置组合：

1. 启用动态IP限制：

   Install-WindowsFeature Web-Dyn-Compression

2. 设置请求过滤规则：

   <requestFiltering> <denyUrlSequences> <add sequence=".." /> <add sequence="cmd.exe" /> </denyUrlSequences> </requestFiltering>

3. 配置SSL卸载：

   New-WebBinding -Name "api-gateway" -Protocol "https" -Port 443 -SslFlags 1

在实际生产环境中，我们通过这套方案成功支撑了日均300万次的API调用。初期曾遇到WebSocket连接不稳定的问题，后来发现是ARR的默认空闲超时设置（2分钟）导致，通过调整proxyTimeout参数解决后，系统已稳定运行18个月。