Qwen-Image-2512-SDNQ Web服务部署：Nginx反向代理+SSL证书配置完整步骤

Qwen-Image-2512-SDNQ Web服务部署：Nginx反向代理+SSL证书配置完整步骤

你已经成功跑通了Qwen-Image-2512-SDNQ-uint4-svd-r32的Web服务，本地访问http://0.0.0.0:7860也能生成图片——但问题来了：别人怎么用？公网直接暴露7860端口不安全，没有域名访问不专业，HTTP明文传输被拦截风险高，浏览器还可能标记“不安全”。真正的生产级部署，从来不是启动一个Python脚本就完事。

这篇文章不讲模型原理，不聊参数调优，只聚焦一件事：如何把本地能跑的服务，变成一个带域名、走HTTPS、稳定可靠、可对外分享的AI图片生成站。全程基于真实Linux服务器环境（Ubuntu 22.04/CentOS 7），从零配置Nginx反向代理，到自动申请并续期SSL证书，每一步都给出可复制的命令和关键说明。你不需要懂Nginx配置语法，也不用研究Let’s Encrypt原理，照着做，30分钟内就能让https://image.yourdomain.com正常打开你的Qwen-Image界面。

1. 部署前的关键准备：确认服务已就绪

在配置Nginx之前，必须确保后端服务本身运行稳定、端口可达、路径正确。这不是多余步骤，而是避免后续排查陷入“到底是Nginx没配好，还是服务根本没起来”的混乱。

1.1 验证服务是否正常监听

Qwen-Image Web服务默认绑定在0.0.0.0:7860。先确认它确实在运行：

# 查看进程是否存活 ps aux | grep "app.py" | grep -v grep # 检查7860端口是否被监听（注意：-t表示TCP，-n表示数字端口，-l表示监听状态） sudo netstat -tlnp | grep :7860 # 或使用更现代的命令 sudo ss -tlnp | grep :7860

如果看到类似python3 /root/Qwen-Image-2512-SDNQ-uint4-svd-r32/app.py的输出，并且端口状态为LISTEN，说明服务已启动。

注意：如果你用的是Supervisor管理，确保其配置文件已重载并生效：

sudo supervisorctl reread sudo supervisorctl update sudo supervisorctl start qwen-image-sdnq-webui

1.2 测试本地HTTP访问

在服务器本机，用curl测试基础连通性：

curl -v http://127.0.0.1:7860

预期返回应为HTTP 200，并包含HTML内容（如<title>Qwen-Image WebUI</title>）。如果返回Connection refused，请回到上一步检查进程和端口；如果返回500 Internal Server Error，则需查看日志/root/workspace/qwen-image-sdnq-webui.log，常见原因是LOCAL_PATH路径错误或模型文件缺失。

1.3 确保防火墙放行7860端口（仅限调试，生产环境不开放）

虽然最终我们不会让外部直接访问7860，但在配置Nginx前，建议临时允许本机访问，方便验证：

# Ubuntu (ufw) sudo ufw allow from 127.0.0.1 to any port 7860 # CentOS (firewalld) sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="127.0.0.1" port port="7860" protocol="tcp" accept' sudo firewall-cmd --reload

这一步完成后，你已在服务器内部确认：服务活着、端口通着、页面能加载。这是后续所有配置的基石。

2. 安装与配置Nginx：构建反向代理网关

Nginx在这里扮演“门卫”角色：它接收所有来自公网https://image.yourdomain.com的请求，然后悄悄把请求转发给本机的http://127.0.0.1:7860，再把结果原样送回给用户。用户完全感知不到后端是Python Flask，只看到一个干净的HTTPS地址。

2.1 安装Nginx

根据你的系统选择对应命令：

# Ubuntu/Debian sudo apt update && sudo apt install -y nginx # CentOS/RHEL sudo yum install -y epel-release sudo yum install -y nginx # 或 CentOS 8+/RHEL 8+ sudo dnf install -y nginx

安装完成后，启动并设置开机自启：

sudo systemctl enable nginx sudo systemctl start nginx

此时，在浏览器中访问你的服务器公网IP（如http://123.45.67.89），应能看到Nginx默认欢迎页。这证明Nginx已就绪。

2.2 创建专属站点配置文件

不要修改默认的/etc/nginx/sites-enabled/default，而是创建一个独立、可管理的配置文件：

# 创建配置目录（如果不存在） sudo mkdir -p /etc/nginx/sites-available /etc/nginx/sites-enabled # 创建Qwen-Image专用配置 sudo nano /etc/nginx/sites-available/qwen-image

将以下内容粘贴进去（请务必替换yourdomain.com为你自己的域名）：

upstream qwen_image_backend { server 127.0.0.1:7860; # 可选：添加健康检查（需Nginx Plus，开源版暂不支持） } server { listen 80; server_name image.yourdomain.com; # 强制HTTP跳转到HTTPS（配置SSL后启用） return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; server_name image.yourdomain.com; # SSL证书路径（配置Let's Encrypt后会自动生成） ssl_certificate /etc/letsencrypt/live/image.yourdomain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/image.yourdomain.com/privkey.pem; # 推荐的安全SSL配置（来自Mozilla SSL Config Generator） ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384; ssl_prefer_server_ciphers off; # 启用HSTS（强制浏览器只用HTTPS访问，谨慎启用） # add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; # 静态资源缓存（WebUI的CSS/JS等） location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ { expires 1y; add_header Cache-Control "public, immutable"; } # 核心反向代理规则 location / { proxy_pass http://qwen_image_backend; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 关键：增加超时时间，避免图片生成中途断连 proxy_connect_timeout 60s; proxy_send_timeout 300s; proxy_read_timeout 300s; # 传递WebSocket头（如果WebUI用到实时进度推送） proxy_set_header Sec-WebSocket-Key $http_sec_websocket_key; proxy_set_header Sec-WebSocket-Extensions $http_sec_websocket_extensions; } # API端点特殊处理（确保JSON响应不被缓存） location /api/ { proxy_pass http://qwen_image_backend; proxy_http_version 1.1; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_cache_bypass $http_upgrade; } }

重点说明：

• upstream块定义了后端服务地址，这里固定为127.0.0.1:7860，与你的Supervisor配置一致。
• proxy_read_timeout 300s是核心！Qwen-Image生成一张图可能耗时1-2分钟，Nginx默认超时是60秒，不改就会返回504 Gateway Timeout。
• location /api/单独配置，是为了确保API响应头（如Content-Type: image/png）不被Nginx缓存机制干扰。

2.3 启用配置并测试语法

# 创建软链接，启用该站点 sudo ln -sf /etc/nginx/sites-available/qwen-image /etc/nginx/sites-enabled/ # 测试Nginx配置语法是否正确 sudo nginx -t # 如果输出 "syntax is ok" 和 "test is successful"，则重载配置 sudo systemctl reload nginx

此时，Nginx已配置好，但因为SSL证书路径还不存在，https://image.yourdomain.com还无法访问。别急，下一步就是解决这个。

3. 自动申请并配置SSL证书：Let’s Encrypt + Certbot

Let’s Encrypt提供免费、可信、自动化的SSL证书。Certbot是其官方推荐的客户端，能一键完成申请、部署和续期。

3.1 安装Certbot

# Ubuntu/Debian sudo apt install -y certbot python3-certbot-nginx # CentOS/RHEL sudo yum install -y epel-release sudo yum install -y certbot python3-certbot-nginx # 或 CentOS 8+/RHEL 8+ sudo dnf install -y certbot python3-certbot-nginx

3.2 为你的域名申请证书

Certbot需要能通过HTTP访问你的域名来完成验证（即ACME协议的HTTP-01挑战）。因此，在执行此步前，请确保你的域名image.yourdomain.com已正确解析到这台服务器的公网IP。

执行申请命令：

sudo certbot --nginx -d image.yourdomain.com

Certbot会自动：

• 检测Nginx配置中的server_name
• 临时在Nginx中添加一个HTTP验证路由
• 向Let’s Encrypt发起申请
• 成功后，自动修改/etc/nginx/sites-available/qwen-image，填入正确的证书路径
• 并重载Nginx

整个过程交互式进行，按提示操作即可。成功后，你会看到类似提示：

Congratulations! Your certificate and chain have been saved at:/etc/letsencrypt/live/image.yourdomain.com/fullchain.pem

此时，https://image.yourdomain.com应该可以正常打开，浏览器地址栏显示绿色锁标志。

3.3 配置自动续期（关键！）

Let’s Encrypt证书有效期只有90天，必须自动续期。Certbot已为你配置了systemd timer（Ubuntu/Debian）或cron job（CentOS），但建议手动验证：

# 手动模拟续期（测试用，不会真正更新） sudo certbot renew --dry-run # 查看系统中已配置的定时任务 # Ubuntu/Debian sudo systemctl list-timers | grep certbot # CentOS/RHEL sudo crontab -l | grep certbot

如果--dry-run输出Congratulations, all renewals succeeded，说明自动续期机制已就绪。

4. 进阶优化：提升稳定性与用户体验

基础部署完成后，还有几个关键点能让服务更健壮、更友好。

4.1 防止Nginx与后端服务争抢端口

Qwen-Image默认绑定0.0.0.0:7860，这意味着它监听所有网络接口。从安全角度，应限制它只监听本地回环，避免被意外扫描到：

编辑app.py，找到类似app.run(host='0.0.0.0', port=7860)的行，改为：

app.run(host='127.0.0.1', port=7860) # 仅监听本机

然后重启Supervisor服务：

sudo supervisorctl restart qwen-image-sdnq-webui

再用sudo ss -tlnp | grep :7860确认监听地址变为127.0.0.1:7860。这样，外部网络再也无法直接访问7860端口，所有流量必须经过Nginx代理，安全性大幅提升。

4.2 添加基本访问控制（可选）

如果你希望限制访问范围（例如只允许公司IP访问），可以在Nginx配置的location /块中加入：

# 允许特定IP段 allow 192.168.1.0/24; allow 203.0.113.42; deny all;

或者，启用简单的HTTP Basic Auth（适合小范围试用）：

# 生成密码文件（首次运行会提示输入密码） sudo htpasswd -c /etc/nginx/.htpasswd yourusername # 在location /块中添加 auth_basic "Qwen-Image Admin Area"; auth_basic_user_file /etc/nginx/.htpasswd;

4.3 监控与日志分离

将Nginx访问日志按站点分离，便于排查：

在qwen-image配置的server块中添加：

access_log /var/log/nginx/qwen-image-access.log; error_log /var/log/nginx/qwen-image-error.log;

然后创建日志目录并赋权：

sudo mkdir -p /var/log/nginx sudo touch /var/log/nginx/qwen-image-access.log /var/log/nginx/qwen-image-error.log sudo chown www-data:www-data /var/log/nginx/qwen-image-*.log # Ubuntu # 或 sudo chown nginx:nginx /var/log/nginx/qwen-image-*.log # CentOS

5. 故障排查：常见问题与快速定位

即使步骤都对，线上环境也常有意外。以下是高频问题及一招定位法。

5.1 访问https://image.yourdomain.com显示502 Bad Gateway

这是Nginx最典型的报错，意味着它无法连接到后端127.0.0.1:7860。

快速诊断三步：

1. sudo ss -tlnp | grep :7860→ 看服务是否在监听127.0.0.1:7860
2. curl -v http://127.0.0.1:7860→ 看能否拿到HTTP 200
3. sudo tail -f /var/log/nginx/qwen-image-error.log→ 查看Nginx错误日志，通常会明确写connect() failed (111: Connection refused)

绝大多数情况是第1步失败，即服务没起来或监听地址不对。

5.2 页面能打开，但点击“生成图片”无反应或卡在进度条

这通常是WebSocket或长连接超时导致。检查：

• Nginx配置中proxy_read_timeout是否 ≥ 300（5分钟）
• 浏览器开发者工具（F12）的Network标签页，看/api/generate请求是否返回504
• 后端日志/root/workspace/qwen-image-sdnq-webui.log中是否有OOM（内存溢出）或CUDA out of memory错误

5.3 Let’s Encrypt续期失败

常见原因：

• 域名DNS解析失效（检查dig image.yourdomain.com）
• 服务器防火墙阻止了80端口（Certbot验证必须走HTTP 80）
• Nginx配置被手动修改，导致Certbot找不到正确的server_name

执行sudo certbot renew --dry-run --force-renewal查看详细错误。

6. 总结：从本地脚本到生产服务的关键跨越

你刚刚完成的，不是一个简单的“配置”，而是一次典型的AI服务工程化实践。回顾整个流程，核心价值在于：

• 安全加固：通过Nginx反向代理隔离后端，隐藏真实端口与技术栈；通过HTTPS加密所有通信，杜绝中间人窃听。
• 体验升级：用户不再需要记住IP+端口，一个简洁的域名https://image.yourdomain.com就是全部入口；浏览器信任标识消除心理障碍。
• 运维可持续：自动SSL续期消除了证书过期导致服务中断的风险；结构化日志和独立配置让未来扩容、迁移、监控变得轻而易举。

这背后体现的，是AI落地的一条铁律：模型能力只是起点，工程能力才是终点。一个能生成惊艳图片的模型，如果不能被稳定、安全、便捷地使用，它的价值就大打折扣。

现在，你可以把这个链接分享给同事、客户，甚至嵌入到你的产品工作流中。而这一切，都始于你认真配置好的那几行Nginx指令。

--- > **获取更多AI镜像** > > 想探索更多AI镜像和应用场景？访问 [CSDN星图镜像广场](https://ai.csdn.net/?utm_source=mirror_blog_end)，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。