# EMQX 服务接入配置说明书 > MQTT / WS / WSS / MQTTS 全协议接入指南 > 服务器:`emqx.laidaixi.com` | EMQX 5.x + Nginx 反向代理 | 阿里云 ECS --- ## 1. 系统架构概述 本服务器在阿里云 ECS 上部署了 EMQX 5.x 消息代理,并通过 Nginx 反向代理对外暴露多种 MQTT 协议接入方式。客户端无需直接访问 EMQX 端口,统一通过 Nginx 进行流量分发。 ``` 客户端 → Nginx(80 / 443 / 8883)→ EMQX(1883 / 8083) 域名:emqx.laidaixi.com 证书:已配置 SSL 证书,支持 TLS 1.2 / 1.3 ``` --- ## 2. 接入方式总览 | 协议 | 连接地址 | 端口 | 路径 | 加密 | 适用场景 | |------|----------|------|------|------|----------| | MQTT (TCP) | emqx.laidaixi.com | 1883 | — | ❌ 否 | 内网 / 测试工具直连 | | WS | emqx.laidaixi.com | 80 | /mqtt | ❌ 否 | Web 浏览器 / 开发调试 | | WSS | emqx.laidaixi.com | 443 | /mqtt | ✅ 是 | 微信小程序 / Web 生产 | | MQTTS | emqx.laidaixi.com | 8883 | — | ✅ 是 | IoT 设备 / 原生客户端 | --- ## 3. MQTT(TCP 明文) ### 3.1 协议说明 MQTT over TCP 是最基础的接入方式,客户端直连 EMQX 的 1883 端口,无 TLS 加密,适合内网环境或工具调试使用。 ### 3.2 连接参数 | 协议 | 连接地址 | 端口 | 路径 | 加密 | 适用场景 | |------|----------|------|------|------|----------| | MQTT | emqx.laidaixi.com | 1883 | — | ❌ 否 | 调试工具 / 内网设备 | ### 3.3 MQTTX 配置示例 ``` 协议:mqtt:// Host:mqtt:// 地址:emqx.laidaixi.com 端口:1883 Client ID:mqttx_xxxxxxxx Username:lai Password:(对应密码) 注:直连 EMQX,不经过 Nginx ``` ### 3.4 注意事项 - 此连接方式不经过 Nginx,直接访问 EMQX 的 TCP 端口 1883。 - 明文传输,不建议在生产环境传输敏感数据。 - 阿里云安全组需放行 1883 端口(入方向),或仅内网使用。 --- ## 4. WS(WebSocket 明文) ### 4.1 协议说明 MQTT over WebSocket,通过 Nginx 在 80 端口代理到 EMQX 的 8083 端口。适用于 Web 浏览器环境和开发调试。数据明文传输,不适合生产环境敏感业务。 ### 4.2 连接参数 | 协议 | 连接地址 | 端口 | 路径 | 加密 | 适用场景 | |------|----------|------|------|------|----------| | WS | emqx.laidaixi.com | 80 | /mqtt | ❌ 否 | Web 浏览器 / 开发调试 | ### 4.3 Nginx 配置(laidaixi.conf) ```nginx # ===== ws:// 明文 WebSocket(80 端口)===== server { listen 80; server_name emqx.laidaixi.com; location /mqtt { proxy_pass http://127.0.0.1:8083; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_read_timeout 3600s; } # EMQX Dashboard(可选) location / { proxy_pass http://127.0.0.1:18083/; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } ``` ### 4.4 MQTTX 配置示例 ``` 协议:ws:// Host:ws:// 地址:emqx.laidaixi.com 端口:80 路径:/mqtt Client ID:mqttx_88759893(或自定义) Username:lai Password:(对应密码) ``` ### 4.5 JavaScript 代码示例 ```javascript // 使用 mqtt.js 连接 ws:// import mqtt from 'mqtt'; const client = mqtt.connect('ws://emqx.laidaixi.com/mqtt', { port: 80, clientId: 'web_' + Math.random().toString(16).slice(2), username: 'lai', password: 'your_password', keepalive: 60, clean: true, }); client.on('connect', () => { console.log('Connected via WS'); client.subscribe('test/topic'); }); client.on('message', (topic, payload) => { console.log(topic, payload.toString()); }); ``` ### 4.6 注意事项 - Nginx 通过 `Upgrade` / `Connection` 头完成 WebSocket 握手升级。 - `proxy_read_timeout` 设为 3600s,避免长连接被 Nginx 主动断开。 - EMQX Dashboard 也通过 80 端口的 `location /` 代理访问。 --- ## 5. WSS(WebSocket 加密,小程序专用) ### 5.1 协议说明 MQTT over WebSocket Secure,Nginx 在 443 端口终止 TLS,再以明文反向代理到 EMQX 8083 端口。微信小程序强制要求 `wss://` 协议,本方案是小程序接入 MQTT 的标准配置。 > ⚡ **重要:微信小程序只允许 `wss://` 协议,请务必使用此接入方式,不可使用 `ws://`。** ### 5.2 连接参数 | 协议 | 连接地址 | 端口 | 路径 | 加密 | 适用场景 | |------|----------|------|------|------|----------| | WSS | emqx.laidaixi.com | 443 | /mqtt | ✅ 是 | 微信小程序 / Web 生产环境 | ### 5.3 Nginx 配置(laidaixi.conf) ```nginx # ===== wss:// 加密 WebSocket(443 端口,小程序专用)===== server { listen 443 ssl; server_name emqx.laidaixi.com; ssl_certificate /etc/nginx/cert/emqx.laidaixi.com.pem; ssl_certificate_key /etc/nginx/cert/emqx.laidaixi.com.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; location /mqtt { proxy_pass http://127.0.0.1:8083; # 后端仍为明文 8083 proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-Proto $scheme; proxy_read_timeout 3600s; # 小程序跨域支持 add_header Access-Control-Allow-Origin *; add_header Access-Control-Allow-Methods GET,POST,OPTIONS; add_header Access-Control-Allow-Headers content-type; } # EMQX Dashboard(生产推荐) location / { proxy_pass http://127.0.0.1:18083/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } ``` ### 5.4 MQTTX 配置示例 ``` 协议:wss:// Host:wss:// 地址:emqx.laidaixi.com 端口:443 路径:/mqtt Client ID:mqttx_xxxxxxxx Username:lai Password:(对应密码) ``` ### 5.5 微信小程序代码示例 ```javascript // 小程序中使用 mqtt.js(需打包进小程序) const mqtt = require('./mqtt.min.js'); const client = mqtt.connect('wxs://emqx.laidaixi.com/mqtt', { // 小程序使用 wxs:// (wx.connectSocket 底层) // 或根据 mqtt.js 版本写成: // protocol: 'wss', // hostname: 'emqx.laidaixi.com', // port: 443, // path: '/mqtt', clientId: 'mini_' + Math.random().toString(16).slice(2), username: 'lai', password: 'your_password', keepalive: 60, clean: true, reconnectPeriod: 5000, }); ``` ### 5.6 注意事项 - SSL 证书在 Nginx 层终止,EMQX 后端无需配置证书,保持简洁。 - 已添加 CORS 头(`Access-Control-Allow-Origin: *`),支持跨域访问。 - 证书路径:`/etc/nginx/cert/emqx.laidaixi.com.pem` 和 `.key` - 443 端口同时代理 EMQX Dashboard,通过 `location /` 转发至 18083 端口。 --- ## 6. MQTTS(TCP 加密) ### 6.1 协议说明 MQTT over TLS,原生 MQTT TCP 连接加密版本。适用于 IoT 设备、嵌入式系统、Python/C 原生客户端等不支持 WebSocket 的场景。EMQX 直接在 8883 端口终止 TLS,不经过 Nginx。 ### 6.2 连接参数 | 协议 | 连接地址 | 端口 | 路径 | 加密 | 适用场景 | |------|----------|------|------|------|----------| | MQTTS | emqx.laidaixi.com | 8883 | — | ✅ 是 | IoT 设备 / 嵌入式 / 原生客户端 | ### 6.3 EMQX 配置 证书通过 docker-compose.yml 挂载进容器: ```yaml volumes: - /etc/nginx/cert/emqx.laidaixi.com.pem:/opt/emqx/etc/certs/server.pem - /etc/nginx/cert/emqx.laidaixi.com.key:/opt/emqx/etc/certs/server.key ``` 在 EMQX Dashboard → 管理 → 监听器 → ssl:default(8883)中配置: - TLS Cert: `/opt/emqx/etc/certs/server.pem` - TLS Key: `/opt/emqx/etc/certs/server.key` - 双向认证:关闭(单向 TLS,客户端无需证书) ### 6.4 MQTTX 配置示例 ``` 协议:mqtts:// 地址:emqx.laidaixi.com 端口:8883 TLS:true Client ID:mqttx_xxxxxxxx Username:lai Password:(对应密码) ``` ### 6.5 验证命令 ```bash mosquitto_pub -h emqx.laidaixi.com -p 8883 --tls-use-os-certs \ -u lai -P your_password -t test/topic -m "hello mqtts" ``` --- ## 7. EMQX Dashboard 管理界面 ### 7.1 访问地址 | 方式 | 地址 | 端口 | 加密 | 说明 | |------|------|------|------|------| | HTTP | http://emqx.laidaixi.com | 80 | ❌ 否 | 开发环境 | | HTTPS | https://emqx.laidaixi.com | 443 | ✅ 是 | 生产环境(推荐) | ### 7.2 默认账号 - 默认用户名:`admin` - 默认密码:`public`(首次登录后请立即修改) > 🔒 **安全建议:生产环境请修改默认密码,并考虑将 Dashboard 访问限制为特定 IP。** --- ## 8. 端口与服务汇总 | 端口 | 协议层 | Nginx 监听 | EMQX 后端 | 状态 | |------|--------|------------|-----------|------| | 1883 | TCP | —(直连) | EMQX TCP | ✅ 已开启 | | 80 | HTTP | ws:// + Dashboard | EMQX 8083 / 18083 | ✅ 已开启 | | 443 | HTTPS | wss:// + Dashboard | EMQX 8083 / 18083 | ✅ 已开启 | | 8083 | WS | (内部端口) | EMQX WS | ✅ 已开启 | | 8883 | TLS | —(直连) | EMQX SSL | ✅ 已开启 | | 18083 | HTTP | (内部端口) | EMQX Dashboard | ✅ 已开启 | --- ## 9. 安全建议 - **阿里云安全组**:仅放行必要端口(80、443、1883、8883),关闭 8083 和 18083 公网访问。 - **EMQX 认证**:已启用用户名/密码认证,避免使用匿名连接。 - **生产环境**:优先使用 WSS(443)或 MQTTS(8883)等加密协议。 - **Dashboard 密码**:修改默认 `admin / public` 密码,并可配置 IP 白名单。 - **证书续期**:定期检查 SSL 证书有效期,可配置 certbot 自动续期。 - **日志监控**:定期查看 EMQX 日志(`/var/log/emqx/`)及 Nginx 日志,排查异常连接。 --- ## 10. 常见问题排查 ### Q1:连接失败,提示 Connection Refused - 检查 EMQX 是否正常运行:`systemctl status emqx` - 检查 Nginx 是否正常运行:`systemctl status nginx` - 检查阿里云安全组是否放行对应端口。 ### Q2:WebSocket 连接 101 升级失败 - 确认 Nginx 配置中包含 `proxy_set_header Upgrade` 和 `Connection "upgrade"`。 - 确认连接路径为 `/mqtt`,不可遗漏。 ### Q3:微信小程序连接报错 - 必须使用 `wss://` 协议,不支持 `ws://` 明文。 - 确认域名 `emqx.laidaixi.com` 已在微信公众平台配置为合法域名(socket 合法域名)。 - 证书链必须完整(含中间证书),不可使用自签名证书。 ### Q4:连接后频繁断线 - 检查 `proxy_read_timeout` 是否设置为 3600s(Nginx 默认 60s 会断开长连接)。 - 客户端 keepalive 建议设置 60 秒,与 MQTTX 配置保持一致。