配置代理服务器

Apache

建议使用 2.4.5 或更高版本。 早期版本不支持 WebSocket 协议。

当使用 Apache 时，请确保使用 专用的 "Connector" 节点方法 来配置 TeamCity 服务器。

请注意 ProxyPass 规则 的顺序：冲突的 ProxyPass 规则必须以最长的 URL 为首进行排序。

默认情况下，Apache 只允许有限的并行连接，这可能在使用 WebSocket 协议时不足够。 例如，当大量客户端打开网页 UI 时，可能导致 TeamCity 服务器无响应。 为了修复它，您可能需要微调 Apache 配置。

例如，在 Unix 上，您应该切换到 mpm_worker 并配置最大的同时连接数：

在 Windows 上，您可能需要按照 Apache 文档 中的描述增加 ThreadsPerChild 的值。

NGINX

建议使用 1.3 或更高版本。 早期版本不支持 WebSocket 协议。

IIS

要在 IIS 反向代理后配置 TeamCity 服务器：

1. 为您的 TeamCity 服务器创建一个规范名称（CNAME）记录。

2. 发行一个证书，以确保 TeamCity 服务器与外部用户之间的安全连接。 如果证书不是由知名证书颁发机构颁发的，您可能需要在每台连接到 TeamCity 的机器上手动将其添加到 Java 证书存储中：

   keytool -importcert -file <cert file> -keystore <path to JRE installation>/lib/security/cacerts

3. 将 server URL 更改为代理 URL。

4. 编辑 <TeamCity 安装目录>/conf/server.xml 文件，按照 TeamCity Tomcat 配置 小节中的描述来设置所需的 TeamCity Tomcat 服务器属性。

5. 步骤5到8在Powershell中执行。 使用 Get-IISConfigSection 和 Set-IISConfigAttributeValue 命令来启动 SSL 标志：

   $ConfigSectionTC = Get-IISConfigSection -SectionPath "system.webServer/security/access" -Location "<IIS Website name>"; Set-IISConfigAttributeValue -AttributeName sslFlags -AttributeValue Ssl -ConfigElement $ConfigSectionTC;

6. 使用 Set-WebConfigurationProperty cmdlet 添加一个服务器变量，允许从web请求中传递HTTP转发的IP：

   Set-WebConfigurationProperty -pspath "IIS:/" -Location "<IIS Website name>" -filter "system.webServer/rewrite/allowedServerVariables" -name "." -value @{name="HTTP_FORWARDED"} -FORCE

7. 启用代理设置：

   Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST" -filter "system.webServer/proxy" -name "." -value @{ enabled="true" } -FORCE

8. 如果您使用外部存储来保存 TeamCity 的工件，请禁用 reverseRewriteHostInResponseHeaders 参数：

   Set-WebConfigurationProperty -pspath "MACHINE/WEBROOT/APPHOST" -filter "system.webServer/proxy" -name "." -value @{ reverseRewriteHostInResponseHeaders="false" } -FORCE

9. 按照以下方式修改 IIS web.config 文件：

   <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.web> <httpRuntime requestPathInvalidCharacters="" /> </system.web> <system.webServer> <rewrite> <rules useOriginalURLEncoding="true"> <rule name="teamcity" enabled="true" patternSyntax="Wildcard" stopProcessing="true"> <match url="*" /> <action type="Rewrite" url="http://localhost:80/{R:0}" /> <serverVariables> <set name="HTTP_FORWARDED" value="for={REMOTE_ADDR};by={LOCAL_ADDR};host=&quot;{HTTP_HOST}&quot;;proto=&quot;https&quot;" /> </serverVariables> </rule> </rules> </rewrite> <security> <requestFiltering allowDoubleEscaping="true"> <fileExtensions> <remove fileExtension=".config" /> </fileExtensions> <hiddenSegments> <remove segment="bin" /> </hiddenSegments> </requestFiltering> </security> </system.webServer> </configuration>

其他服务器

确保使用性能高效的代理，并适当（高）限制请求（上传）和响应（下载）的大小以及超时（至少几十分钟和一千兆字节，根据代码库和工件的大小）。

建议使用能够支持 WebSocket 协议的代理，因为这有助于 UI 更快地刷新。

一般来说，您需要配置 TeamCity 服务器，以便它“知道”客户端使用的原始 URL，并且可以为客户端生成正确的绝对 URL。 实现该目标的首选方式是将原始的 主机 头文件传递给 TeamCity。 一种替代方法是将 X-Forwarded-Host 头设置为原始的 主机 头的值。

请注意，每当代理更改了 主机 标题的值（虽然建议保留原始的 主机 标题值）并且没有提供具有原始 主机 值的 X-Forwarded-Host 标题时，如果 来源 和 引用来源 标题含有原始的 主机 标题值，则应相应地映射这些值（如果它们没有，则不应设置，以免绕过 TeamCity 的 CSRF保护）。

从下面的部分中选择一个合适的方法，并相应地配置代理。

常见配置错误

请检查您的反向代理（或类似工具）是否符合以下要求：

• 以点（ . ）开头的路径的 URLs 受到支持（隐藏工件的路径开始包含 .teamcity 目录）。

• 支持带有冒号（ : ）的 URLs （许多 TeamCity 资源使用冒号）。 相关的 IIS 设置。 症状：即使有构建工件，构建也没有带有“此构建中没有用户定义的构建工件”字样的构建工件。

• 设定限制最大请求名称、响应长度和响应时间的设置并不过于严格。 请参阅此文章以获取更多信息：IIS 相关问题。

• gzip 内容编码得到了全面的支持。 例如，某些 IIS 配置可能导致用户界面出现 "正在加载数据..."，并产生 500 HTTP 响应（请参阅相关的 问题）。

IIS 相关问题：

• 如果出现 "PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target" 错误，将您的证书添加到 TeamCity 使用的相同的 Java 密钥库中。

• 如果在 HTTP 404 或 50x 错误中返回了错误的服务器名称，请检查您的重定向规则和转发的头部。