Lychee-Rerank-MM部署教程：HTTPS反向代理配置与Gradio安全访问加固方案

Lychee-Rerank-MM部署教程：HTTPS反向代理配置与Gradio安全访问加固方案

1. 引言

如果你正在搭建一个图文检索系统，比如电商的商品搜索、内容平台的图片查找，或者知识库的智能问答，那么“重排序”这个环节你一定不陌生。简单来说，就是先用一个快速的模型（粗排）找到一堆可能相关的结果，再用一个更聪明的模型（精排）给这些结果重新打分排序，把最准的答案放到最前面。

今天要聊的Lychee-Rerank-MM，就是这样一个“更聪明的模型”。它基于Qwen2.5-VL这个强大的多模态大模型，不仅能看懂文字，还能理解图片，专门用来做图文混合检索场景下的精排工作。

不过，当你按照官方指南把服务跑起来，在浏览器里输入http://你的服务器IP:7860准备大干一场时，可能会遇到两个现实问题：

1. 不安全：数据在网络上“裸奔”，容易被截获。
2. 不方便：每次都要记IP和端口，还可能被公司防火墙拦截。

这篇教程，就是来解决这两个问题的。我会手把手带你，给Lychee-Rerank-MM的Gradio服务穿上“HTTPS”的安全外衣，再通过反向代理给它一个固定的、好看的访问地址。整个过程就像给你的家（服务）装上一扇坚固的防盗门（HTTPS）和一个清晰的门牌号（域名），让访问既安全又便捷。

2. 环境准备与基础回顾

在开始加固之前，我们得先确保Lychee-Rerank-MM这个“家”已经盖好了，并且能正常入住。

2.1 确认服务正常运行

首先，通过SSH连接到你的服务器，按照项目要求启动服务。这里假设你已经完成了基础部署。

# 进入项目目录 cd /root/lychee-rerank-mm # 使用启动脚本运行服务（如果之前是后台运行，请先停止） ./start.sh

当你在终端看到类似下面的输出，并且没有报错时，说明服务启动成功了。

Running on local URL: http://0.0.0.0:7860

此时，你应该能在浏览器通过http://你的服务器IP:7860访问到Gradio的Web界面，可以进行单文档或批量重排序测试。

2.2 理解当前架构的局限

现在你的服务架构很简单：用户浏览器直接访问服务器7860端口上的Gradio应用。

• 优点：配置简单，直连速度快。
• 缺点：
  • 无加密：所有数据（包括你上传的图片、输入的查询文本）都以明文传输。
  • 端口暴露：需要对外网开放7860端口，增加了被攻击的风险。
  • 不专业：带端口的IP地址不利于记忆和分享。

我们的目标，就是引入两个新角色来改变这个局面：

1. Nginx：扮演“智能前台”和“流量调度员”。它对外提供统一的访问入口（通常是80或443端口），并将收到的请求转发给内部真正的Gradio服务（7860端口）。这个过程叫做“反向代理”。
2. SSL证书：为“智能前台”Nginx提供身份证明和加密能力，让所有通信都变成加密的HTTPS。

3. 为Gradio服务配置HTTPS反向代理

接下来是核心步骤。我们将使用Nginx作为反向代理服务器，并为其配置SSL证书，实现HTTPS访问。

3.1 安装Nginx

如果你的服务器上还没有Nginx，需要先安装它。这里以Ubuntu/Debian系统为例。

# 更新软件包列表 sudo apt update # 安装Nginx sudo apt install nginx -y # 启动Nginx并设置开机自启 sudo systemctl start nginx sudo systemctl enable nginx

安装完成后，在浏览器访问http://你的服务器IP，如果看到Nginx的欢迎页面，说明安装成功。

3.2 准备SSL证书

要实现HTTPS，你需要一个SSL证书。这里有两种选择：

• 正式证书：从Let‘s Encrypt等机构免费申请，适用于有域名的生产环境。
• 自签名证书：自己生成，用于测试或内部环境，浏览器访问时会提示“不安全”，但通信依然是加密的。

本教程以自签名证书为例（用于测试学习）。如果你有域名，强烈建议申请Let‘s Encrypt证书，流程类似。

生成自签名证书：

# 创建一个目录存放证书 sudo mkdir -p /etc/nginx/ssl/lychee # 生成私钥和证书（有效期365天） sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout /etc/nginx/ssl/lychee/lychee.key \ -out /etc/nginx/ssl/lychee/lychee.crt \ -subj "/C=CN/ST=State/L=City/O=Organization/OU=OrgUnit/CN=your-server-ip-or-domain"

请将命令最后的CN=your-server-ip-or-domain替换为你的服务器IP或域名。

3.3 配置Nginx反向代理

现在我们来创建Nginx的配置文件，告诉它如何代理我们的Gradio服务。

1. 创建配置文件：

   sudo nano /etc/nginx/sites-available/lychee-rerank

2. 将以下配置内容粘贴进去，并根据你的情况修改：

   server { # 监听443端口（HTTPS）和80端口（HTTP） listen 443 ssl http2; listen [::]:443 ssl http2; listen 80; listen [::]:80; # 这里填写你的服务器IP或域名 server_name your-server-ip-or-domain; # SSL证书路径（指向刚才生成的文件） ssl_certificate /etc/nginx/ssl/lychee/lychee.crt; ssl_certificate_key /etc/nginx/ssl/lychee/lychee.key; # SSL优化配置（增强安全性） ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512; ssl_prefer_server_ciphers off; # 提高传输性能 proxy_connect_timeout 600s; proxy_send_timeout 600s; proxy_read_timeout 600s; send_timeout 600s; # 处理Gradio的WebSocket连接（用于实时交互） location /queue/join { proxy_pass http://127.0.0.1:7860; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_buffering off; } # 代理所有其他请求到Gradio服务 location / { proxy_pass http://127.0.0.1:7860; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 禁用缓存，确保实时性 proxy_cache off; proxy_buffering off; } # 访问日志记录 access_log /var/log/nginx/lychee_access.log; error_log /var/log/nginx/lychee_error.log; }

   关键修改点：

   • server_name: 将your-server-ip-or-domain替换为你的服务器公网IP地址或已绑定的域名。
   • proxy_pass: 确保地址是http://127.0.0.1:7860，这是Gradio服务在本地监听的地址和端口。

3. 保存并退出编辑器（在nano中按Ctrl+X，然后按Y，最后按Enter）。

3.4 启用配置并测试

1. 创建一个符号链接，启用这个站点配置：

   sudo ln -s /etc/nginx/sites-available/lychee-rerank /etc/nginx/sites-enabled/

2. 测试Nginx配置是否有语法错误：

   sudo nginx -t

   如果看到syntax is ok和test is successful的提示，说明配置正确。

3. 重新加载Nginx配置，使更改生效：

   sudo systemctl reload nginx

4. 重要：确保你的Gradio服务（./start.sh）正在运行。

现在，打开浏览器，尝试访问：

• HTTPS地址：https://你的服务器IP（使用自签名证书会提示不安全，点击“高级”->“继续前往”即可）
• HTTP地址：http://你的服务器IP（Nginx会自动重定向到HTTPS，如果配置了的话）

你应该能看到和直接访问http://IP:7860一模一样的Lychee-Rerank-MM的Gradio界面。这意味着反向代理和HTTPS已经配置成功！

4. 安全加固与最佳实践

配置好基础反向代理后，我们还可以做一些加固，让服务更安全、更稳定。

4.1 配置HTTP自动跳转HTTPS

为了让所有访问都强制使用安全的HTTPS，我们可以修改Nginx配置，让80端口（HTTP）的访问自动跳转到443端口（HTTPS）。

在上一步的配置文件中，我们已经在同一个server块里监听了80和443端口。更优雅的做法是使用两个server块：

# HTTP服务器块 - 只负责重定向到HTTPS server { listen 80; listen [::]:80; server_name your-server-ip-or-domain; # 永久重定向到HTTPS return 301 https://$server_name$request_uri; } # HTTPS服务器块 - 主配置 server { listen 443 ssl http2; listen [::]:443 ssl http2; server_name your-server-ip-or-domain; # ... 这里放置之前所有的SSL和proxy_pass配置 ... }

修改后，再次运行sudo nginx -t和sudo systemctl reload nginx。

4.2 调整Gradio服务配置（可选）

默认情况下，Gradio服务可能只允许本地访问。我们的反向代理在本地，所以这没问题。但为了更清晰，你可以修改启动方式，明确绑定到本地回环地址。

如果你直接运行python app.py，可以查看其源码或通过参数控制。更常见的做法是，如果你有自己的启动脚本（如start.sh），可以确保Gradio的server_name参数设置为0.0.0.0（允许所有网络接口）或127.0.0.1（仅允许本地）。对于反向代理场景，绑定到127.0.0.1更安全。

你需要检查/root/lychee-rerank-mm/app.py中Gradio的启动代码，通常类似：

demo.launch(server_name="0.0.0.0", server_port=7860)

为了安全，可以将其改为：

demo.launch(server_name="127.0.0.1", server_port=7860)

注意：修改前请备份原文件。修改后需要重启Gradio服务。

4.3 使用系统服务管理Gradio（推荐）

目前我们可能用./start.sh或nohup在后台运行服务。更好的方式是将其配置为系统服务（如systemd服务），实现开机自启和集中管理。

1. 创建服务文件：

   sudo nano /etc/systemd/system/lychee-rerank.service

2. 添加以下内容：

   [Unit] Description=Lychee Rerank MM Gradio Service After=network.target [Service] Type=simple User=root WorkingDirectory=/root/lychee-rerank-mm ExecStart=/usr/bin/python /root/lychee-rerank-mm/app.py Restart=on-failure RestartSec=10 StandardOutput=journal StandardError=journal [Install] WantedBy=multi-user.target

3. 启用并启动服务：

   sudo systemctl daemon-reload sudo systemctl enable lychee-rerank.service sudo systemctl start lychee-rerank.service sudo systemctl status lychee-rerank.service # 查看状态

   现在，Gradio服务会随着系统启动而自动运行，并且可以通过sudo systemctl restart lychee-rerank.service方便地管理。

5. 验证与故障排除

一切配置完成后，让我们系统地验证一下。

5.1 完整访问流程验证

1. 检查服务状态：

   # 检查Gradio服务 sudo systemctl status lychee-rerank.service # 检查Nginx服务 sudo systemctl status nginx

2. 测试HTTPS访问：

   • 在浏览器打开https://你的服务器IP。
   • 如果使用自签名证书，接受安全警告。
   • 页面应正常加载Lychee-Rerank-MM界面。

3. 测试HTTP自动跳转：

   • 在浏览器打开http://你的服务器IP。
   • 地址栏应自动变为https://你的服务器IP。

4. 测试核心功能：

   • 在Gradio界面中，尝试“单文档重排序”模式。
   • 输入一个查询（如“一只猫的图片”），上传一张猫的图片作为文档。
   • 点击提交，观察是否能正常返回相关性得分。这验证了数据通过HTTPS和反向代理传输是正常的。

5.2 常见问题与解决

• 问题：浏览器提示“连接不安全”或“证书无效”。

  • 原因：使用了自签名证书。
  • 解决：点击“高级”->“继续前往...”即可。生产环境请替换为受信任的CA（如Let‘s Encrypt）签发的证书。

• 问题：访问HTTPS地址显示“502 Bad Gateway”。

  • 原因：Nginx无法连接到后端的Gradio服务。
  • 解决：
    1. 检查Gradio服务是否运行：sudo systemctl status lychee-rerank.service
    2. 检查Gradio是否监听在127.0.0.1:7860：netstat -tlnp | grep 7860
    3. 检查Nginx配置中proxy_pass地址是否正确。

• 问题：WebSocket连接失败，界面交互卡顿。

  • 原因：Nginx未正确配置WebSocket代理。
  • 解决：确保配置文件中包含了我们之前写的专门处理/queue/join路径的location块，并且设置了正确的Upgrade和Connection头。

• 问题：上传大图片或处理批量任务时超时。

  • 原因：默认的超时时间太短。
  • 解决：在Nginx配置中，我们已经将proxy_connect_timeout、proxy_send_timeout、proxy_read_timeout和send_timeout都设置为了600秒，这通常足够。如果还不够，可以继续调大。

6. 总结

回顾一下，我们为Lychee-Rerank-MM模型服务完成了一次从“裸奔”到“武装”的升级：

1. 核心动作：我们引入了Nginx作为反向代理，将原本直接暴露的Gradio服务（7860端口）保护在内部网络，对外只提供标准的80/443端口访问。
2. 安全升级：通过配置SSL证书，我们将HTTP协议升级为HTTPS，确保了查询文本、图片数据在传输过程中的加密安全，防止信息泄露。
3. 访问优化：我们实现了HTTP到HTTPS的自动跳转，并隐藏了后端服务的具体端口，用户只需记住一个简单的域名或IP即可访问，体验更友好。
4. 管理增强：通过配置systemd服务，我们让Gradio服务的启停、状态监控和开机自启变得更加规范和便捷。

这套“HTTPS反向代理+Gradio”的方案，不仅仅适用于Lychee-Rerank-MM，它几乎是所有基于Gradio、Streamlit等Web框架构建的AI模型服务进行生产化部署的标配。它用相对简单的配置，解决了安全、访问和运维上的几个关键痛点。

现在，你的Lychee图文重排序服务已经拥有了一个安全、专业的访问门户。你可以更放心地将它集成到你的检索系统后端，或者分享给团队成员进行测试和使用了。下次当你需要部署其他AI模型服务时，不妨也试试这个方案。

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。