Nginx 504 问题解决 ---- 由 tcp_timestamps 导致的连接问题

最新推荐文章于 2025-05-23 14:54:43 发布
原创 最新推荐文章于 2025-05-23 14:54:43 发布 · 1.0k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细记录了一次Nginx 504超时问题的排查过程,从日志分析开始,逐步深入到后端集群服务器和LVS之间的连接问题,最终通过抓包和调整内核参数找到了问题所在。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这两天生产上面的一个业务遇到一个超时的问题, nginx 的日志现象 504 超时。最后终于解决了,写这篇博客记录下,梳理下处理的整个过程。

故障排查

第一步
首先是排查 nginx 的 504 错误日志,对错误日志分析,看是否有规律,主要是统计来源 IP, URL。

结论:

排查后的结果是,出现 504 的 URL 就那么两三个,来源 IP 没有规律,根据这个找到开发人员,看是否是其请求的 URL 有问题,通过和开发人员的定位,排除了 URL 的问题,所以 URL 和 IP 方面排除出去,进行下一步

第二步

在 nginx 的日志中,新增几个日志记录字段,新增了 $upstream_status$upstream_response_time$upstream_addr 这三个字段,通过这三个字段是想判断是后端集群的所有服务器都出现 504 还是说只有部分,还有每台的超时时间是多少。

通过在 nginx.conf 配置文件的日志部分新增这三个字段后,加载 nginx ,再查看 nginx 日志发现,是所有的后端集群都出现了 504 的问题

结论:

初步推断是不是后端集群服务器的问题。

第三步

因为我这边是前端是通过域名访问的后端,所以为了进一步确定问题,我在前端集群中的一台 /etc/hosts 上面把域名和后端的真实服务器做绑定,前端集群中的其他服务器还是通过域名与 LVS 的 VIP 做绑定访问

结论:

排查后的结果是直接绑定后端真实服务器的时候,不再出现 504 错误,而其他还是通过 VIP 访问的依旧有 504 错误,综合第二步和第三步骤,可以确定,问题可能应该出现在两个地方

  1. 前端服务器访问 LVS 的时候
  2. LVS 到 后端服务器之间

第四步

这步为了排除问题,只好是抓包解决了,使用的工具就是 tcpdumpWireshark
首先是在 前端服务器抓包,主要是抓取目的端是 LVS VIP 的

sudo /usr/sbin/tcpdump tcp -vv -i bond0 and  dst host 1.1.1.2 -w ./myi.cap

在 LVS 服务器上抓包,抓取去往后端集群中服务器的包

sudo /usr/sbin/tcpdump tcp -vv and dst host 1.21.4.11 or dst host 1.21.4.12 or dst host 1.21.4.13 or dst host 1.21.4.14 -w ./user.cap

最后把抓取的包用 wireshark 查看分析。

第五步

通过抓包确定了是 LVS 到 后端服务器直接可能有问题,然后询问下其他的同事,知道这在 3 层做了 snat。印象中 LVS 相关的,在 NAT 环境的话,有一个参数可能会造成丢包。感觉 google 下,最后发现有可能是 net.ipv4.tcp_timestamps = 1 这个参数引起的。因此把 timestamps 关闭。

查看有多少包由于这个原因被拒绝了:

 netstat -s |grep  rejects

172 packets rejects in established connections because of timestamp

sudo vim /etc/sysctl.conf  # 在该文件最后加入以下


net.ipv4.tcp_timestamps = 0

###生效
sudo /sbin/sysctl -p

最后观察日志,504 消失,问题解决。不禁哀嚎,我也终于遇到这个问题。不过总算解决了。此文只是一个我的分析排查过程,具体的报文什么的就不贴了,因为我懒得涂鸦关键字(涉及一些 IP 信息,你们懂的)。

导致这个问题的详细原理,下面的参考文章已经讲的很清楚,我就不讲了。

参考文章

  • Linux 之 TCP/IP 内核参数优化
  • tcp 协议 timestamp 字段导致问题分析
  • tcp 内核参数对 NAT 用户的影响
  • tcp_tw_recycle和tcp_timestamps导致connect失败问题
hby_00
关注
Linux 网络调优指南:废弃的 tcp_tw_recycle 与安全替代方案
数字人生
07-20 260
摘要:Linux 4.12+内核已移除tcp_tw_recycle参数,Debian10默认使用4.19内核因此报错。该参数原用于加速回收TIME-WAIT连接,但在NAT环境下会导致时间戳冲突引发连接失败。推荐替代方案是启用tcp_tw_reuse=1配合tcp_timestamps=1,既能解决端口耗尽问题,又兼容NAT网络。优化步骤包括:删除废弃参数配置、启用安全替代方案、调整端口范围等参数,并通过ss/netstat监控TIME-WAIT状态。建议结合应用层优化(连接池、Keep-Alive)实现最
记一次现网k8s中pod连接数据库异常的问题分析及解决实践(tcp_tw_recycle与tcp_tw_reuse内核参数修改)
弱水提沧的博客
04-26 5044
在k8s环境中,node节点上的pod网络互联互通是采用网络插件结合etcd实现的。 默认情况下pod访问集群外部的网络走的是对应node节点的NAT规则。在这次连接中,由于在pod内连接数据库经过了一次NAT转换,客户端TCP请求到达数据库,修改目的地址(IP+端口号)后便转发给数据库服务器,而客户端时间戳数据没有变化。对于数据库来说,请求的源地址是node节点IP,所以在数据库看来,原先不同的客户端请求经过NAT的转发,会被认为是同一个连接,加上不同客户端的时间可能不一致,所以就会出现时间戳错乱的现象。
ipv4改完保存不成功_运维中tcp_tw_recycle net.ipv4.tcp_timestamps引发的坑
weixin_39804335的博客
12-23 727
2015年在nat环境下,遇到因为tcp_tw_recycle=1和net.ipv4.tcp_timestamps=1引起 Nginx upstream timed out 后,一直没在遇见,今天在朋友的阿里云环境下又重新再一次出现;因此在这炒一次冷饭,让运维新手或者刚上云的朋友大概了解一下,避免再一次采坑。故障情况:阿里云账号A的A机房,内网里面部署两台Nginx,通过网络出口(NAT),代理用...
nginx常见问题(五):502 与 504 错误详解及排查指南
sre救赎之路
05-23 1953
502 和 504 错误是 Nginx 代理服务中常见的两类问题,分别对应上游服务器无效响应和响应超时。排查时应遵循 "先验证上游服务状态,再检查 Nginx 配置,最后分析系统资源" 的顺序。建议在生产环境中配置完善的监控系统,实时监测服务状态和性能指标,以便及时发现和解决潜在问题Nginx 作为反向代理服务器时,502(Bad Gateway)和 504(Gateway Timeout)错误是常见的两类问题,分别对应不同的故障场景。以下从错误定义、常见原因到排查步骤进行详细解析。
nginx中配置lua脚本,访问url总是提示404
qq_21748165的博客
06-09 778
nginx中配置lua脚本,访问url总是提示404
nginx+lua access_by_lua_file 间接性404问题排查
TimerBin的博客
01-06 7424
一、背景说明 准备在项目中基于nginx搭建一个简易网关,实现同一域名根据不同cookie代理不同docker功能,降低前端、移动端多业务线并行测试联调成本。简单来说就是服务端有多个测试环境docker分别部署不同业务需求代码,通过在前端、移动端种植cookie(存放服务端测试环境docker IP地址)方式让其具有可选择服务端测试环境能力,大大降低联调环境配置成本。具体cookie的解析逻辑在n...
Linux时间戳timestamp导致端口不通
doctorxusong的博客
07-27 2608
Linux时间戳timestamp导致端口不通
net.ipv4.tcp_tw_reuse与net.ipv4.tcp_tw_recycle的区别,以及在高并发短连接场景下的参数优化方案
完颜振江
04-07 821
使用数据库连接池(如HikariCP)、HTTP长连接(Keep-Alive)减少短连接创建。示例:若两个NAT用户通过同一网关访问服务器,时间戳差异会导致后发请求被丢弃。会强制启用更严格的per-host PAWS检查(基于源IP而非四元组)。通过上述方案组合,可在保证协议完整性的前提下,实现短连接性能的阶跃式提升。典型案例:某金融系统开启该参数后,移动端用户登录失败率飙升至35%效果:某电商平台接入连接池后,TIME-WAIT连接减少92%对高频短连接服务(如Redis)采用UDP协议或QUIC替代。
生产Nginx现大量TIME-WAIT,连接耗尽,该如何处理?
z1ztai的博客
03-10 1483
keepalive 这个参数一定要小心设置,尤其对于QPS比较高的场景,推荐先做一下估算,根据QPS和平均响应时间大体能计算出需要的长连接的数量。比如前面10000 QPS和100毫秒响应时间就可以推算出需要的长连接数量大概是1000. 然后将keepalive设置为这个长连接数量的10%到30%。比较懒的同学,可以直接设置为keepalive=1000之类的,一般都OK的了。
nginx--系统参数优化&&telenct
m0_65342309的博客
05-08 841
在生产环境中,根据自己的需求在/etc/sysctl.conf来更改内核参数net.ipv4.ip_nonlocal_bind = 1 允许非本地IP地址socket监听net.ipv4.ip_forward = 1 开启IPv4转发net.ipv4.tcp_timestamps = 0 是否开启数据包时间戳net.ipv4.tcp_tw_reuse = 0 端⼝口复⽤用net.ipv4.tcp_tw_recycle = 0 快速回收TIME_WAIT状态,用于大量量TIME_OUT场景。
Apache APISIX遇到504超时的解决办法
mengningyun6826的博客
06-26 1621
Apache APISIX遇到504超时的解决办法
记一次网站故障排查过程(nginx 504状态码、 upstream timed out (110: Connection timed out)以及jbd2引起IO高
Nightwish5的博客
01-16 3774
一、问题描述 客户侧反馈无法正常访问系统,页面转圈,时好时坏,访问不稳定。 二、系统环境: 机器环境:UOS 、 nginx 、php(对接其他服务器kingbase 、钉钉、redis 、KF) ELB:192.168.1.100 web1: 192.168.1.101 ,web2: 192.168.1.102 三、流量流向示意: 用户访问系统 > ELB > nginx > web1/web2 四、排查过程 4.1 1、按巡检项检查系统所要启动的端口和服务,均已启动。 2、检查
关于Nginx499、502和504的分析
weixin_30737433的博客
07-13 444
我相信有些人在面试运维类岗位的时候会碰到对方问关于这方面的问题,我这里通过几个实验来复现这个情况,并做出相关分析,我希望大家看完后针对这种问题能有一个清晰思路。 服务器 IP Nginx 192.168.10.40 后端Web 192.168.10.50 我们使用一个flask制作一个小的后端程序,程序里加了sleep,为的是有时间你可以进行其他操作,比如终止进程: #!/...
一次 APISIX 网关 503 的问题排查(DNS篇)
云原生实验室
04-13 2153
最近我们内网的 k8s 集群做了一次升级,发现经过 APISIX 网关服务都 503 异常了,于是做了一次分析。我们在内网和线上都采用了 APISIX 来做流量网关,对 APISIX 也贡献了 6 个 PR,所以对它的源码还算比较了解。下面排查过程比较曲折,情感上多次起伏,各位看官耐心看完。现象经由 APISIX 接管的所有接口请求都 503 了,如下所示。网络的拓扑结构...
Apache APISIX Ingress 1.6 正式发布!
ApacheAPISIX的博客
01-10 648
距离上一个版本 v1.5 发布,已经过了 3 个月,我们很高兴地宣布 Apache APISIX Ingress v1.6 正式发布! 在该版本中,共有 29 位贡献者 参与代码提交,其中 17 位是新晋贡献者 ,感谢大家的支持和参与! 本次发布的 Apache APISIX Ingress v1.6 版本带来了众多新特性,主要集中在对 Gateway API 的支持,同时也在扩展 APISIX Ingress 的使用场景和易用性方面的提升。以下是一些重点特性的介绍。 扩展对 Gateway API 的支
Nacos+ApiSix docker 集群环境搭建(docker-compose方式)
u013480019的博客
01-10 3641
Nacos ApiSix docker 集群环境搭建(docker-compose方式)
解决华为云CentOS 7 SSH 远程连接不上的问题
skykingf的专栏
04-09 4186
买了华为云的多台ECS,使用的CentOS 7.5 x64系统,对系统做了网络优化,优化的参数在公司LAN和阿里云服务器上均试验无问题问题描述: 1. 使用一段时间后,会出现不定期的公司办公室内ssh连接不上ECS的问题,既连不上22端口,也连不上其他服务端口。 2. ECS之间网络互访没问题。 3. 公司内用手机开了热点连接ECS也没问题。 4. 管理后台重启ECS后,网络连接恢复...
Linux服务器丢包故障的解决思路及引申的TCP/IP协议栈理论
我是guyue,guyue就是我O(∩_∩)O
06-28 3762
我们使用Linux作为服务器操作系统时,为了达到高并发处理能力,充分利用机器性能,经常会进行一些内核参数的调整优化,但不合理的调整常常也会引起意想不到的其他问题,本文就一次Linux服务器丢包故障的处理过程,结合Linux内核参数说明和TCP/IP协议栈相关的理论,介绍一些常见的丢包故障定位方法和解决思路。
cd /mnt mkdir -p iso cdrom mount -o loop /mnt/iso/*.iso /mnt/cdrom cd /etc/yum.repos.d/ mv openEuler.repo openEuler.repo.bak vi local.repo [openEuler] name=openEuler baseurl=file:///mnt/cdrom enabled=1 gpgcheck=1 gpgkey=file:///mnt/cdrom/RPM-GPG-KEY-openEuler yum clean all yum makecache yum install -y java-1.8.0* yum install -y python3 hostnamectl set-hostname ogserver echo "192.168.1.15 ogserver" >>/etc/hosts systemctl stop firewalld.service systemctl disable firewalld.service sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config setenforce 0 echo "transparent_hugepage=never" >> /etc/default/grub grub2-mkconfig -o /boot/grub2/grub.cfg echo "RemoveIPC=no" >> /etc/systemd/logind.conf echo "RemoveIPC=no" >> /usr/lib/systemd/system/systemd-logind.service systemctl daemon-reload systemctl stop systemd-logind systemctl start systemd-logind vi /etc/sysctl.conf net.ipv4.tcp_max_tw_buckets=10000 net.ipv4.tcp_tw_reuse = 1 #net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_keepalive_probes=9 net.ipv4.tcp_keepalive_intvl=30 net.ipv4.tcp_retries1 = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_retries2 = 12 net.ipv4.tcp_rmem = 8192 250000 16777216 vm.overcommit_memory = 0 net.ipv4.tcp_wmem = 8192 250000 16777216 net.core.wmem_max = 21299200 net.core.rmem_max = 21299200 net.core.wmem_default = 21299200 net.core.rmem_default = 21299200 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_sack = 1 net.ipv4.tcp_timestamps = 1 fs.aio-max-nr=1048576 fs.file-max= 76724600 kernel.sem = 4096 2048000 32 32768 kernel.shmall = 1048576 kernel.shmmax = 4294967296 kernel.shmmni = 8192 net.core.netdev_max_backlog = 65535 net.core.somaxconn = 65535 net.ipv4.tcp_fin_timeout = 60 vm.swappiness = 0 net.ipv4.ip_local_port_range = 26000 65535 fs.nr_open = 20480000 sysctl -p groupadd -g 1000 dbgrp useradd -u 1000 omm -g dbgrp echo "Omm@1000" | passwd omm --stdin mkdir -p /data/{openGauss,backup,archive_wals,core_pattern} chmod 700 /data/{openGauss,backup,archive_wals,core_pattern} chown -R omm:dbgrp /data/{openGauss,backup,archive_wals,core_pattern} mkdir -p /opt/openGauss chown omm:dbgrp -R /opt/openGauss/ chmod 755 /opt/openGauss/ vi /etc/security/limits.conf omm soft nproc unlimited omm hard nproc unlimited omm soft nofile 102400 omm hard nofile 102400 omm soft stack unlimited omm hard stack unlimited omm soft core unlimited omm hard core unlimited omm soft memlock unlimited echo "/data/core_pattern/core-%e-%p-%t" > /proc/sys/kernel/core_pattern yum install -y zlib-devel libaio libuuid readline-devel krb5-libs yum install -y libicu libxslt tcl perl openldap pam openssl-devel libxml2 python3 将以上代码生成linux可以执行的shell文件
最新发布
06-13
首先,用户的问题是:“我想生成一个可执行的shell脚本文件,包含给定的Linux配置和安装命令。请问如何将以下代码保存为可在Linux中执行的shell脚本文件?”但他们没有给出具体的代码。在用户的消息中,他们说“将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值