nginx反向代理https域名时,请求报错502问题排查

简介: nginx反向代理https域名时,请求报错502问题排查

一. 现象

在使用nginx反向代理后端服务器的时候,因为配置的是域名,导致HTTPS 请求转发失败,报 SSL 错误,js 报 502

                                                                          img


                                                                            img


二. 排查过程

1、查看nginx日志,发现报502,但是本地curl upstream中的后端域名是可以正常通的

img


2、查看后端服务器上,没有收到请求,说明请求没过去,继续排查nginx本身的配置问题,Nginx 渲染模版已支持 HTTPS,尝试略过 upstream 配置,直接在 conf 文件中渲染 https://域名,请求仍然失败

3、然后换个思路,修改成内网ip不走域名,发现是正常,那换个域名试试

img


img


然后怀疑客户的域名有问题?但是这域名是可以访问的,上面第一步已经测试过了

4、这个时候只能翻一下错误日志,看看有什么有用的提示

img


可以看到nginx错误日志里面有一串看不懂的报错提示和我们访问情况,nginx把域名解析成了一个ip地址,当我试着直接通过ip去访问时,果然报错了。

只能通过域名去访问,让我想起来了nginx同端口不同域名及禁用未绑定域名访问的配置,确实可以实现,这是https的SNI问题,大家可以自行查阅资料。

https://www.realks.com/2021/03/07/nginx-proxy-ssl-server-name/https://freexyz.cn/server/98212.html

三. 解决方案

为解决这个问题,nginx官方给出了一个参数配置。

img


然后我不使用 upstream了,而直接在 conf 文件中使用 https://域名 并且加上配置 proxy_ssl_server name_on;

img


但是我如果还是想用upstream来负载均衡,有没有办法呢?一顿操作,发现可以像下面这样配置,也是可以正常访问的

location ^~ /modules/abm/ {
        proxy_ssl_server_name on;
        proxy_ssl_name 域名;
        proxy_set_header Host 域名;
        proxy_pass https://abtest_management_api_backend/modules/abm/;
        proxy_read_timeout 1800s;
        proxy_set_header Origanization-Id qiancheng;
        proxy_set_header X-Real-IP $clientRealIp;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass_header    X-Accel-Buffering;
    }
upstream abtest_management_api_backend {
        server 域名:443;
    }

问题解决,搞定!!

img


四. 原因分析

仔细查看nginx error日志日志如下:

2023/07/07 00:03:56 [error] 29533#29533: *115403747 SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream, client: 192.168.73.157, server: localhost, request: "HEAD /modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js HTTP/1.1", upstream: "https://114.80.1xxx1:443/modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js", host: "sc.xxx.com"

报错分析:在本地环境直接请求域名正常;但使用了nginx反向代理,在请求时DNS域名进行解析,真正请求出去的为IP与端口,但对方系统是多个域名对应一个公网ip,这个一个公网IP下映射到了多个项目和服务,通过nginx的server_name进行区分,故直接请求不通。

所以能成功请求方式有两种:

1、直接域名请求;

2、IP端口请求,但请求时需添加host;

即在nginx配置项中增加

proxy_ssl_server_name on;

或者设置请求头

proxy_ssl_server_name on;

proxy_ssl_name 域名;

proxy_set_header Host 域名;

(当你的nginx服务器作为反向代理,将client的请求转发到一个SSL服务器时,需要在HTTP请求头中包含SSL服务器的名称,这样SSL服务器才能正确地响应该请求。proxy_ssl_name指令就是设置proxy_pass指令所代理的SSL服务器的名称,即www.example.com。这样,在转发请求时,nginx就会在请求头中添加"Host: www.example.com"的参数,保证请求被正确地路由到目标SSL服务器。)


小知识:1.多个域名访问不同系统,使用同一个公网IP的情况;可以多个域名配置同一个公网IP和端口,映射到不同服务的nginx代理上,通过nginx配置server_name识别源域名,判定访问来源,进行请求处理。2.反向代理https请求,nginx编译安装时需要增加配置模块--with-http_ssl_module 3.使用阿里云的SLB作为负载均衡,证书可以配置在SLB上,但是要选择七层负载均衡。4.为啥添加host的时候只能写域名,不能通过变量获取。


proxy_set_header可以设置Host为host与$http_host。


host的值设置为$proxy_host,是指nginx.conf的proxy_pass中设置的host值,也就是192.168.1.3,也就是服务器的IP地址。

不是一个固定的变量,他其实是http_HEADER通配后的结果。

http_content_type表示请求头里content-type属性的值,同理,$http_host指的就是请求头里的host属性。

$host是core模块内部的一个变量。

当请求头里不存在Host属性或者是个空值,$host则等于server_name

如果请求头里有Host属性,那么host就是www.example.com

变量 是否显示端口 值是否存在
host "Host:value"显示值为a:b的时候,只显示a
http_host "Host:value",value存在就显示
proxy_host 默认80不显示其他端口显示 "Host:value"显示
相关文章
|
1月前
|
Java API Spring
使用OkHttp在Spring Boot应用中发送HTTP请求
使用OkHttp在Spring Boot应用中发送HTTP请求
18 0
|
1月前
|
存储 缓存 安全
面试题:HTTP 协议包括哪些请求?
面试题:HTTP 协议包括哪些请求?
19 0
|
1月前
|
移动开发 自然语言处理 网络协议
Http解析实现/服务器Get请求的实现
Http解析实现/服务器Get请求的实现
29 0
|
1月前
|
JavaScript
Node.js【GET/POST请求、http模块、路由、创建客户端、作为中间层、文件系统模块】(二)-全面详解(学习总结---从入门到深化)(下)
Node.js【GET/POST请求、http模块、路由、创建客户端、作为中间层、文件系统模块】(二)-全面详解(学习总结---从入门到深化)
21 0
|
1月前
|
JavaScript
Node.js【GET/POST请求、http模块、路由、创建客户端、作为中间层、文件系统模块】(二)-全面详解(学习总结---从入门到深化)(上)
Node.js【GET/POST请求、http模块、路由、创建客户端、作为中间层、文件系统模块】(二)-全面详解(学习总结---从入门到深化)
23 0
|
1月前
|
Web App开发 网络协议 Linux
Linux C/C++ 开发(学习笔记十 ):实现http请求器(TCP客户端)
Linux C/C++ 开发(学习笔记十 ):实现http请求器(TCP客户端)
22 0
|
1月前
|
应用服务中间件 nginx
百度搜索:蓝易云【HTTP请求是如何关联Nginx server{}块的?】
总结来说,Nginx中的 `server{}`块用于关联HTTP请求和虚拟主机,通过配置不同的 `server{}`块,可以实现多个域名或IP地址的请求分发和处理。这样,Nginx可以根据不同的请求来提供不同的服务和内容。
23 0
|
1月前
|
JavaScript Java Serverless
函数计算中,这里是用的curl的方式,如何改用http的post方式请求?还有如何设置oss打包的zip的保存目录?
函数计算中,这里是用的curl的方式,如何改用http的post方式请求?还有如何设置oss打包的zip的保存目录?
146 0
|
1月前
|
安全
HTTP请求错误:”基础连接已关闭,发送时发生错误”
本文讲解HTTP请求错误:”基础连接已关闭,发送时发生错误”的解决方法。
32 0
|
1月前
|
API Python
Python 的网络编程:如何使用 Python 发送和接收 HTTP 请求?
Python 的网络编程:如何使用 Python 发送和接收 HTTP 请求?

相关产品

  • 云迁移中心