这个 nginx 的问题让我郁闷了 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DataPacket

CDN77

› NGINX

› 3rd Party Modules

› Security Advisories

在线学习资源

› NGINX 开发从入门到精通

NGINX Modules

› ngx_echo

这是一个创建于 2752 天前的主题，其中的信息可能已经有所发展或是发生改变。

国内一台主服务器放在阿里云，用 nginx 服务国内客户
另外一台阿里云 HKB 的服务器，用 nginx 反代国内的主服务器来服务国外客户

然后郁闷的事情出现了，阿里云 HKB 的那台 nginx，反代的是国内 nginx 服务器的 80 端口，刚开始没有问题，然后大约一个小时以后就开始 502，无论是重起 nginx 还是重启服务器都没用. 因为这台服务器上就只有 nginx 服务，所以也不会有 php-fpm 的问题. 无意中我把反代的源端端口改成 88 （源服务器开了 80,88 两个 http 服务端口），监控了好几天，502 的问题就没有了

然后同样的 nginx 配置我放在香港其他的云上，同样是反代 80 端口，一直都没有任何问题

这个问题让我郁闷了快一个星期了，就是查不到问题在哪

很明显的是我的 nginx 配置没有问题，难道是反代 80 端口，触发了阿里云的什么保护规则？

24 条回复 • 2017-05-15 10:50:19 +08:00

1

ericFork

2017-05-13 21:34:13 +08:00

HKB 的机器 502 时的 nginx error log 看了没?

2

hippoking

OP

2017-05-13 21:37:59 +08:00

@ericFork #1 看了

就是(error 104: Connection reset by peer) while reading response header from upstream

google 上写的都是什么 php-fpm, fastcgi 缓存什么的

3

ericFork

2017-05-13 21:41:35 +08:00

@hippoking #2 80 端口可能有较频繁或者强度较高的检测（阿里云或墙），而这个检测有时可能抽风导致把你给误 RST 了，或者回源时恰好触发了关键词

个人建议：源站启用 https，反代同样走 https 回源。

4

hippoking

OP

2017-05-13 21:44:06 +08:00

@ericFork #3 嗯看来应该是阿里云的检测。。。因为我用其他的香港的服务器，就没有任何问题。。

5

hippoking

OP

2017-05-13 21:48:10 +08:00

@ericFork #3 在 HK 的反代上，我用的是 http IP 的形式，如果改成 https 反代的形式，这个对 IP 的 https，需要买证书吗？还是自己签发一个内部使用就可以了

6

pubby

2017-05-13 21:53:48 +08:00 via Android

@hippoking 自签就行

7

ericFork

2017-05-13 21:56:04 +08:00

@hippoking #5 自己签就可以，或者用 ssl-cert 这个包（如果是 debian 系发行版）生成的 snakeoil 就可以了
nginx 走 https 回源时，默认并不验证证书身份，而你这里也并没有验证的必要

8

hippoking

OP

2017-05-13 21:58:59 +08:00

@ericFork #7 明白了，这个是需要对 IP 使用 ssl 对吧？貌似我还没见过对 IP 进行 ssl 的

9

ericFork

2017-05-13 22:02:06 +08:00

@hippoking #8 并不是对 IP 使用 SSL，你回源时 proxy_pass https://blabla 这里的 blabla 根本也不会作为 Host 头传回去的，这个证书和域名没有关系

10

doubleflower

2017-05-13 22:05:48 +08:00

既然用 88 端口没事何不就用 88 好了，用 ssl 还有性能损失

11

akira

2017-05-13 22:09:22 +08:00

同一 ip 访问频次过高，触发云盾之类的了。要么关了云盾试试看，或者直接换个 ip 就是了

12

hippoking

OP

2017-05-13 22:10:10 +08:00

@ericFork #9 我一般设置回源时，是 proxy_pass http://42.57.XX.XXX 我去试试

13

hippoking

OP

2017-05-13 22:12:06 +08:00

@doubleflower #10 强迫症。。。

14

takashiki

2017-05-14 13:00:55 +08:00

我也一直遇到这个问题，小鸟云香港，束手无策

15

rootx

2017-05-14 16:07:49 +08:00 via iPhone

云盾是关闭不了的…一旦上了阿里云基本上就告别别家的服务了。

16

hippoking

OP

2017-05-14 18:34:14 +08:00 via iPhone

@takashiki 可以试试非 80 端口.

17

takashiki

2017-05-14 19:04:06 +08:00

@hippoking #16 443 https 端口也一样

18

xjchengo

2017-05-14 19:10:29 +08:00

放在国内云上的 HTTP 服务最好通过已备案的域名来访问

19

lslqtz

2017-05-14 20:51:28 +08:00

你云盾要放个白名单，然后要用 https。

20

hippoking

OP

2017-05-14 23:48:56 +08:00

@takashiki #17 我就是用的 88 端口的 http，一直没有问题

我去试试 https

21

hippoking

OP

2017-05-14 23:49:18 +08:00

@lslqtz #19 阿里云的国际板，没有云盾白名单

22

lslqtz

2017-05-15 01:23:49 +08:00

@hippoking 国内的要放。。

23

hippoking

OP

2017-05-15 09:53:04 +08:00

@lslqtz #22 我国内放了。。貌似没啥鸟用。。

24

qq1242245799

2017-05-15 10:50:19 +08:00

云服务器毕竟是服务器集群虚拟化出来的，可以试试独立服务器，我这里有 bgp 三线香港机，用不断线，售后免费。

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 3343 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 24ms · UTC 12:04 · PVG 20:04 · LAX 04:04 · JFK 07:04
Developed with CodeLauncher
♥ Do have faith in what you're doing.