當(dāng)你的Nginx服務(wù)器作為反向代理,將client的請(qǐng)求轉(zhuǎn)發(fā)到一個(gè)SSL服務(wù)器時(shí),需要在HTTP請(qǐng)求頭中包含SSL服務(wù)器的名稱,這樣SSL服務(wù)器才能正確地響應(yīng)該請(qǐng)求。proxy_ssl_name指令就是設(shè)置proxy_pass指令所代理的SSL服務(wù)器的名稱,即www.example.com。這樣,在轉(zhuǎn)發(fā)請(qǐng)求時(shí),nginx就會(huì)在請(qǐng)求頭中添加"Host: www.example.com"的參數(shù),保證請(qǐng)
一、現(xiàn)象
在使用nginx反向代理后端服務(wù)器的時(shí)候,因?yàn)榕渲玫氖怯蛎瑢?dǎo)致HTTPS 請(qǐng)求轉(zhuǎn)發(fā)失敗,報(bào) SSL 錯(cuò)誤,js 報(bào) 502
二、排查過(guò)程
1、查看nginx日志,發(fā)現(xiàn)報(bào)502,但是本地curl upstream中的后端域名是可以正常通的。
2、查看后端服務(wù)器上,沒(méi)有收到請(qǐng)求,說(shuō)明請(qǐng)求沒(méi)過(guò)去,繼續(xù)排查nginx本身的配置問(wèn)題,Nginx 渲染模版已支持 HTTPS,嘗試略過(guò) upstream 配置,直接在 conf 文件中渲染 https://域名,請(qǐng)求仍然失敗。
3、然后換個(gè)思路,修改成內(nèi)網(wǎng)ip不走域名,發(fā)現(xiàn)是正常,那換個(gè)域名試試。
然后懷疑客戶的域名有問(wèn)題?但是這域名是可以訪問(wèn)的,上面第一步已經(jīng)測(cè)試過(guò)了。
4、這個(gè)時(shí)候只能翻一下錯(cuò)誤日志,看看有什么有用的提示。
可以看到nginx錯(cuò)誤日志里面有一串看不懂的報(bào)錯(cuò)提示和我們?cè)L問(wèn)情況,nginx把域名解析成了一個(gè)ip地址,當(dāng)我試著直接通過(guò)ip去訪問(wèn)時(shí),果然報(bào)錯(cuò)了。
只能通過(guò)域名去訪問(wèn),讓我想起來(lái)了nginx同端口不同域名及禁用未綁定域名訪問(wèn)的配置,確實(shí)可以實(shí)現(xiàn),這是https的SNI問(wèn)題,大家可以自行查閱資料。
https://www.realks.com/2021/03/07/nginx-proxy-ssl-server-name/ https://freexyz.cn/server/98212.html。
三、解決方案
為解決這個(gè)問(wèn)題,nginx官方給出了一個(gè)參數(shù)配置。
然后我不使用 upstream了,而直接在 conf 文件中使用 https://域名 并且加上配置 proxy_ssl_server name_on。
但是我如果還是想用upstream來(lái)負(fù)載均衡,有沒(méi)有辦法呢?一頓操作,發(fā)現(xiàn)可以像下面這樣配置,也是可以正常訪問(wèn)的。
location ^~ /modules/abm/ {
proxy_ssl_server_name on;
proxy_ssl_name 域名;
proxy_set_header Host 域名;
proxy_pass https://abtest_management_api_backend/modules/abm/;
proxy_read_timeout 1800s;
proxy_set_header Origanization-Id qiancheng;
proxy_set_header X-Real-IP $clientRealIp;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass_header X-Accel-Buffering;
}
upstream abtest_management_api_backend {
server 域名:443;
}
問(wèn)題解決,搞定!!
四、原因分析
仔細(xì)查看nginx error日志日志如下:
2023/07/07 00:03:56 [error] 29533#29533: *115403747 SSL_do_handshake() fAIled (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream, client: 192.168.73.157, server: localhost, request: "HEAD /modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js HTTP/1.1", upstream: "https://114.80.1xxx1:443/modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js", host: "sc.xxx.com"
報(bào)錯(cuò)分析:在本地環(huán)境直接請(qǐng)求域名正常;但使用了nginx反向代理,在請(qǐng)求時(shí)DNS域名進(jìn)行解析,真正請(qǐng)求出去的為IP與端口,但對(duì)方系統(tǒng)是多個(gè)域名對(duì)應(yīng)一個(gè)公網(wǎng)ip,這個(gè)一個(gè)公網(wǎng)IP下映射到了多個(gè)項(xiàng)目和服務(wù),通過(guò)nginx的server_name進(jìn)行區(qū)分,故直接請(qǐng)求不通。
所以能成功請(qǐng)求方式有兩種:
1、直接域名請(qǐng)求。
2、IP端口請(qǐng)求,但請(qǐng)求時(shí)需添加host。
即在nginx配置項(xiàng)中增加。
proxy_ssl_server_name on。
或者設(shè)置請(qǐng)求頭。
proxy_ssl_server_name on。
proxy_ssl_name 域名。
proxy_set_header Host 域名。
(當(dāng)你的nginx服務(wù)器作為反向代理,將client的請(qǐng)求轉(zhuǎn)發(fā)到一個(gè)SSL服務(wù)器時(shí),需要在HTTP請(qǐng)求頭中包含SSL服務(wù)器的名稱,這樣SSL服務(wù)器才能正確地響應(yīng)該請(qǐng)求。proxy_ssl_name指令就是設(shè)置proxy_pass指令所代理的SSL服務(wù)器的名稱,即www.example.com。這樣,在轉(zhuǎn)發(fā)請(qǐng)求時(shí),nginx就會(huì)在請(qǐng)求頭中添加"Host: www.example.com"的參數(shù),保證請(qǐng)求被正確地路由到目標(biāo)SSL服務(wù)器。)
小知識(shí):1.多個(gè)域名訪問(wèn)不同系統(tǒng),使用同一個(gè)公網(wǎng)IP的情況;可以多個(gè)域名配置同一個(gè)公網(wǎng)IP和端口,映射到不同服務(wù)的nginx代理上,通過(guò)nginx配置server_name識(shí)別源域名,判定訪問(wèn)來(lái)源,進(jìn)行請(qǐng)求處理。2.反向代理https請(qǐng)求,nginx編譯安裝時(shí)需要增加配置模塊--with-http_ssl_module 3.使用阿里云的SLB作為負(fù)載均衡,證書(shū)可以配置在SLB上,但是要選擇七層負(fù)載均衡。4.為啥添加host的時(shí)候只能寫(xiě)域名,不能通過(guò)變量獲取。
proxy_set_header可以設(shè)置Host為、host與$http_host。
host的值設(shè)置為$proxy_host,是指nginx.conf的proxy_pass中設(shè)置的host值,也就是192.168.1.3,也就是服務(wù)器的IP地址。
不是一個(gè)固定的變量,他其實(shí)是http_HEADER通配后的結(jié)果。
http_content_type表示請(qǐng)求頭里content-type屬性的值,同理,$http_host指的就是請(qǐng)求頭里的host屬性。
$host是core模塊內(nèi)部的一個(gè)變量。
當(dāng)請(qǐng)求頭里不存在Host屬性或者是個(gè)空值,$host則等于server_name
如果請(qǐng)求頭里有Host屬性,那么host就是www.example.com
|
變量 |
是否顯示端口 |
值是否存在 |
|
host |
否 |
"Host:value"顯示值為a:b的時(shí)候,只顯示a |
|
http_host |
是 |
"Host:value",value存在就顯示 |
|
proxy_host |
默認(rèn)80不顯示其他端口顯示 |
"Host:value"顯示 |
- 參考文檔 https://www.cnblogs.com/faberbeta/p/nginx012.html https://blog.dianduidian.com/post/nginx反向代理當(dāng)后端為https時(shí)的一些細(xì)節(jié)和原理/。
