nginx 负载均衡集群解决方案 healthcheck_nginx_upstreams模块测试 (二)

最新推荐文章于 2025-06-17 00:13:49 发布
最新推荐文章于 2025-06-17 00:13:49 发布
阅读量8.4k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lengzijian/article/details/9425367
本文介绍了一个用于nginx的健康检查模块healthcheck_nginx_upstreams,在实际部署中如何避免宕机服务器导致的服务不可用问题。通过具体配置示例展示了该模块如何工作,并测试了一台服务器宕机后流量自动切换的效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里详细讲解healthcheck_nginx_upstreams模块中存在的bug,对于healthcheck_nginx_upstreams模块的安装和使用请阅读上一篇blog进行学习。

测试环境,通过nginx做反向代理,请求转发给2和3:

1.192.168.0.235(nginx)
2.192.168.30.150(apache)
3.192.168.30.200(apache)

遇到的问题,当我用上一篇blog的方法安装了healthcheck_nginx_upstreams,并且配置nginx如下:

worker_processes 5;
#daemon off;

events {
  worker_connections 1000;
}

# Only if you want to see lots of spam
error_log logs/error.log debug_http;

http {

  upstream test_upstreams {
    server 192.168.30.150:80;
    server 192.168.30.200:80;

    healthcheck_enabled;
    healthcheck_delay 2000;
    healthcheck_timeout 1000;
    healthcheck_failcount 1;
    healthcheck_send "GET /.health HTTP/1.0";
  }

  server {
    listen 12389;

    location / {
      proxy_set_header Host $http_host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_pass http://test_upstreams;
      proxy_connect_timeout 3;
    }
    location /stat {
      healthcheck_status;
    }
  }
}

1.测试当一台机器挂掉时的处理:


访问全部走向200机器

2.启动150时,是否会自动连接


访问235时,会同时访问到两台机器


加healthcheck_nginx_upstreamsm模块有什么好处?

如果用原生的upstream模块,当web服务器宕机时,有用户可能是很多用户的请求都会被分配到宕机的服务器,直接影响用户操作。

用healthcheck_nginx_upstreams模块,可以自己二次开发,开发出更友好的监控界面。



Nginx负载均衡集群——nginx负载均衡部署
weixin_43991978的博客
03-16 1067
nginx提供负载均衡模块是 ngx_http_proxy_module proxy代理模块,用于把请求抛给后端的服务器节点,或是upstream服务器池 ngx_http_upstream_module 负载均衡模块,实现服务器的负载均衡节点配置,以及健康检查 Web服务器,直接面向用户,往往要承载大量并发请求,单台服务器难以负荷,我使用多台WEB服务器组成集群,前端使用Nginx负载均衡,将请求分散的打到我们的后端服务器集群中 实现负载的分发。那么会大大提升系统的吞吐率、请求性
Nginx负载均衡模块 ngx_http_upstream_module
weixin_45880055的博客
07-30 3173
为什么要使用负载均衡 当Web服务器直接面向用户,往往要承载大量并发请求,单台服务器难以负荷,那么就需要使用多台Web服务器组成集群,前端使用Nginx负载均衡,将请求分散的打到后端服务器集群中,实现负载的分发。那么会大大提升系统的吞吐率、请求性能、高容灾。 为什么要使用集群? 高性能(Performance) 价格有效性(Cost-effectiveness) 可伸缩性(Scalability) 高可用性(Availability) 可管理性(Manageability) 集群的分类 负载均衡集群(Lo
healthcheck_nginx_upstreams
08-19
nginxhealthcheck模块 官方没有健康检查模块,现在有第三方提供下面有链接。在nginx 1.2.9 pcre 8.31上测试没问题,
负载均衡集群解决方案Nginx
weixin_34000916的博客
09-08 270
Nginx是一个免费的,开源的,高性能的服务器和反向代理服务器软件,同时它也可以为IMAP和POP3服务器代理,以其高性能,稳定性,丰富的功能,结构简单,低资源消耗的特性换来广大运维者所喜爱。 Nginx与传统的服务器不同,不依赖线程来处理请求。相反,它使用一个更可扩展事件驱动架构(异步)。这种结构资源消耗较小,但更重要的是,可以承受较大的请求负荷。即使你不希望处理成千上...
Nginx负载均衡的详细配置示例,涵盖多种算法、健康检查、会话保持等核心功能
csdn_tom_168的博客
06-17 404
本文详细介绍了Nginx负载均衡的配置方法,涵盖多种核心功能:包括基础负载均衡配置(轮询算法、健康检查、连接保持)、高级策略(加权轮询、IP哈希、最少连接、会话保持)、动态负载均衡Nginx Plus功能)、SSL终止与缓存配置以及监控调试方案。同时还提供了配置验证、日志分析和性能调优建议,帮助提升系统可用性和响应速度。通过合理配置这些功能,可以显著优化服务器的负载分配效果。
nginx 负载均衡集群解决方案 healthcheck_nginx_upstreams ()
dearbaba_11的博客
07-20 134
nginx 负载均衡集群解决方案 healthcheck_nginx_upstreams ()
nginx安装healthcheck_nginx_upstreams检测后端服务器状态
weixin_33859231的博客
02-02 406
参考:https://github.com/yaoweibin/nginx_upstream_check_module 注:要根据之前编译来重新编译。 下载healthcheck_nginx_upstreams:见附件。 unzip nginx_upstream_check_module-master.zip 这里要注意下,用回源nginx-1.2.6包,否则会出...
nginx upstream健康检测
weixin_38251332的博客
11-08 694
nginx本身提供有健康检测module,利用自身的module可以实现简单的健康检测。
ngx_healthcheck_module:用于上游服务器运行状况检查的nginx模块。 支持流和http上游。该模块可以为Nginx提供主动式嵌入式服务器健康检查的功能(同时支持四层和七层嵌入式服务器的健康检测)
02-03
ngx_healthcheck_module的配置项包括`health_check`指令,用于开启健康检查,以及相关的参数设置,如`interval`定义检查间隔,`fail_timeout`定义失败阈值,`pass_threshold`定义成功阈值等。 对于HTTP检查,可以...
healthcheck_nginx_upstreams-b33a846
08-19
`healthcheck_nginx_upstreams`模块是专门为Nginx设计的一个第三方健康检查模块,它允许管理员定义一系列检查规则来测试后端服务器的可用性。这个模块可以在Nginx 1.2.9及更高版本上运行,并兼容pcre 8.31库,经过...
nginx 添加nginx_upstream_check_module 模块实现健康状态检测
qq_40894742的博客
06-09 1770
查看nginx已安装的模块nginx -V
Nginx 负载均衡 upstream_module health check被动监测
小楼一夜听春雨,深巷明朝卖杏花
05-27 1055
Nginx负载均衡中,我们很难保证说每一台应用服务器都能一直正常的运行下去。但是我们可以通过设置Nginx来检测这些应用服务器,检测这些服务器当中不能访问的。 Nginx的检测方式分为两种,一种是被动监测,另一种是主动监测。下面我们分别看一下被动监测。 被动监测 当Nginx认为一台应用服务器不能被访问的时候,它会暂时停止向这台应用上面分发请求。直到Nginx认为该应用服务器可以再次被访问的时候才会再向这台应用服务器上面分发请求。要实现对应用服务器的监测,需要通过两个参数来帮助。 fail_.
Nginx健康检查
xiao-啸
04-11 2378
nginx健康检查
nginx中健康检查(health_check)机制深入分析
热门推荐
taoy86的博客
04-26 1万+
转自 https://segmentfault.com/a/1190000002446630很多人都知道nginx可以做反向代理和负载均衡,但是关于nginx的健康检查(health_check)机制了解的不多。其实社区版nginx提供的health_check机制其实很薄弱,主要是通过在upstream中配置max_fails和fail_timeout来实现,这边文章主要是深入分析社区版的hea...
nginx主动健康检查
踏上征程
12-19 1201
关于nginx的健康检查,可以通过nginx_upstream_check_module模块来实现。需要注意的是,这里的健康检查请求路径/healthcheck应该是后端服务器上实际存在的路径,且应该返回一个正常的响应码,以便nginx_upstream_check_module模块能够正确检测到服务器的健康状态。总之,使用nginx_upstream_check_module模块可以提高服务的可用性和稳定性,特别对于高并发场景,有了这个模块的支持,可以有效地避免单点故障问题。
nginx(三十六)健康检查
wzj_110的博客
06-18 5464
HTTP健康检查
后端面试必备:使用Nginx实现后端服务的健康检查
qq_58299462的博客
04-25 1082
在现代分布式系统中,确保后端服务的可用性至关重要。Nginx作为高性能的反向代理服务器,提供了多种方式来实现后端服务的健康检查机制。本文将详细介绍如何配置Nginx的健康检查功能。
nginx安装配置
qq_45661358的博客
06-16 929
linux中nginx的安装和简单使用
upstream grpc_backend { # 引用[1]中的三个 gRPC 实例 server localhost:2379; #server localhost:7002; #server localhost:7003; } server { # 监听 8080 端口 (HTTP/2 明文) listen 8080 http2; location / { # 引用[2]负载均衡配置 grpc_pass grpc://grpc_backend; # 强制明文通信 #grpc_ssl_verify off; # 关键修正2:使用小写头字段 grpc_set_header authorization "Basic cm9vdDpFdGNkQDEyMw=="; # 证书验证配置 grpc_ssl_verify off; # 测试时可关闭验证 grpc_ssl_protocols TLSv1.2 TLSv1.3; # Etcd要求TLSv1.2+ # 超时设置 grpc_read_timeout 300s; grpc_send_timeout 300s; } } 支持nginx代替etcd的客户端访问已开启AUTH认证的ETCD
最新发布
06-23
<think>我们正在配置Nginx作为gRPC反向代理,以访问带有AUTH认证的ETCD,并解决502错误和上游连接问题。以下步骤将结合引用内容进行配置。###1.理解问题-客户端通过Nginx访问ETCD(gRPC服务),ETCD开启了AUTH认证(需要BasicAuth或Token)。-出现502错误,错误日志显示`noliveupstreams`,说明Nginx无法连接到上游ETCD服务。-需要配置TLS(因为ETCD要求TLSv1.2+)、超时参数、负载均衡以及认证头信息。###2.配置方案根据引用[1]中提到的代理流程,我们需要:-确定目标地址(upstream)-建立TCP连接(确保ETCD服务可达)-转发请求(携带认证头)-处理响应(调整超时等)####步骤1:确保ETCD服务可用检查ETCD服务是否正常运行,并且监听端口(如2379)可访问。如果ETCD集群有多个节点,可以在upstream中配置多个。####步骤2:配置Nginxupstream在upstream块中定义ETCD后端服务器,注意如果ETCD使用TLS,则端口应为TLS端口(如2379)。同时,建议配置健康检查(引用[3]中示例使用了error_page处理502,但更推荐使用健康检查)。```nginxupstreamgrpc_etcd_backend{#配置多个ETCD节点(根据实际情况修改)server127.0.0.1:2379;#节点1server127.0.0.1:22379;#节点2(示例)server127.0.0.1:32379;#节点3(示例)#健康检查(gRPC健康检查服务,需要ETCD支持)#注意:健康检查路径是gRPC服务的标准健康检查服务health_checkinterval=10sgrpc_interval=10sgrpc_timeout=5sgrpc_status=12;#12表示SERVING状态}```注意:ETCD的gRPC健康检查服务为`etcdserverpb.Health/Health`,但Nginx的health_check目前不支持自定义gRPC方法,因此我们可以使用通用的端口检查或依赖ETCD的HTTP健康检查(如果开启)。如果必须使用gRPC健康检查,可能需要商业版NginxPlus。####步骤3:配置server块监听gRPC请求设置监听端口(如8080)并使用http2协议。```nginxserver{listen8080http2;#监听8080端口,使用HTTP/2#解决502错误:配置超时参数grpc_connect_timeout10s;grpc_read_timeout30s;grpc_send_timeout30s;location/{#使用upstream组grpc_passgrpc://grpc_etcd_backend;#设置认证头(BasicAuth)#将Base64编码的"用户名:密码"放在Authorization头中grpc_set_headerAuthorization"Basiccm9vdDpFdGNkQDEyMw==";#示例:root:Etcd@123#TLS配置(ETCD服务端使用TLS,所以这里需要配置)grpc_sslon;#开启TLSgrpc_ssl_certificate/path/to/client.crt;#客户端证书(如果需要双向TLS)grpc_ssl_certificate_key/path/to/client.key;#客户端私钥grpc_ssl_trusted_certificate/path/to/ca.crt;#信任的CA证书(用于验证ETCD服务器证书)grpc_ssl_verifyon;#开启验证(测试时可先设为off)grpc_ssl_verify_depth2;#验证深度grpc_ssl_protocolsTLSv1.2TLSv1.3;#指定协议版本#故障转移配置(解决noliveupstreams)grpc_next_upstreamerrortimeoutinvalid_headerhttp_500http_503;grpc_next_upstream_timeout5s;grpc_next_upstream_tries3;#日志记录(用于调试)access_log/var/log/nginx/grpc_access.log;error_log/var/log/nginx/grpc_error.logdebug;}#自定义错误页面(引用[3]中的方法)error_page502=/error502grpc;location=/error502grpc{internal;default_typeapplication/grpc;return200'';#返回一个空的gRPC响应(或自定义错误)}}```###3.关键点说明-**认证头**:使用`grpc_set_header`设置`Authorization`头,值为`Basic<base64编码的用户名:密码>`。注意ETCD的root用户密码需要正确。-**TLS配置**:因为ETCD默认使用TLS,所以必须配置`grpc_ssl`相关参数。如果ETCD使用的是自签名证书,需要将CA证书放在`grpc_ssl_trusted_certificate`中。-**健康检查**:如果使用开源版Nginx,可以省略`health_check`部分,或者使用TCP健康检查(需要Nginx支持):```nginxupstreamgrpc_etcd_backend{server127.0.0.1:2379;server127.0.0.1:22379;#TCP健康检查(检查端口连通性)checkinterval=3000rise=2fall=5timeout=1000type=tcp;}```然后在server块外添加:```nginx#启用健康检查模块(需要nginx编译时包含ngx_http_upstream_check_module)```-**502错误处理**:通过增加超时时间、配置故障转移(`grpc_next_upstream`)以及自定义错误页面(引用[3])来改善。###4.验证配置1.检查Nginx配置语法:```bashnginx-t```2.重启Nginx:```bashnginx-sreload```3.使用客户端测试(如grpcurl):```bashgrpcurl-plaintext-d'{"key":"Zm9v","value":"YmFy"}'-H"Authorization:Basiccm9vdDpFdGNkQDEyMw=="127.0.0.1:8080etcdserverpb.KV/Put```注意:如果Nginx配置了TLS,则不能使用`-plaintext`,而需要指定证书(或使用`-insecure`)。###5.常见问题排查-**noliveupstreams**:检查ETCD服务是否正常运行;检查Nginx与ETCD之间的网络连通性;检查健康检查配置。-**TLS握手失败**:检查CA证书是否正确;检查ETCD服务器证书的SAN是否包含Nginx连接使用的地址(如localhost)。-**认证失败**:检查用户名密码是否正确;检查Base64编码是否正确(注意不要包含换行)。###相关问题1.如何为Nginx配置双向TLS认证以访问ETCD?2.如何监控NginxgRPC代理的性能和错误率?3.如何优化Nginx的gRPC代理配置以支持高并发?4.在Kubernetes中如何部署Nginx作为ETCD的gRPC代理?5.如何调试Nginx与gRPC服务之间的通信问题?以上配置和步骤应能解决您的问题。如果问题仍然存在,请检查ETCD的日志和Nginx的错误日志以获取更多线索。</think>### 🔧 Nginx gRPC代理配置指南(支持ETCD AUTH认证) #### 1. 核心配置方案 ```nginx upstream etcd_backend { # ETCD集群节点配置(需替换实际IP和端口) server 192.168.1.101:2379 max_fails=3 fail_timeout=15s; server 192.168.1.102:2379 max_fails=3 fail_timeout=15s; server 192.168.1.103:2379 max_fails=3 fail_timeout=15s; # 健康检查配置(防止"no live upstreams"错误) health_check interval=10s uri=/health; } server { # 监听gRPC端口(必须使用HTTP/2) listen 8080 http2; location / { # 代理到ETCD集群 grpc_pass grpcs://etcd_backend; # 注意使用grpcs://协议 # ETCD AUTH认证配置 grpc_set_header Authorization "Basic cm9vdDpFdGNkQDEyMw=="; # Base64编码的用户名:密码 # TLS配置(解决证书验证问题) grpc_ssl on; grpc_ssl_certificate /etc/nginx/ssl/client.crt; # 客户端证书 grpc_ssl_certificate_key /etc/nginx/ssl/client.key; # 客户端私钥 grpc_ssl_trusted_certificate /etc/nginx/ssl/ca.crt; # CA证书 grpc_ssl_protocols TLSv1.2 TLSv1.3; # ETCD要求的协议版本 grpc_ssl_verify on; # 生产环境应开启验证 # 超时配置(解决502错误) grpc_connect_timeout 10s; grpc_read_timeout 300s; # 匹配ETCD操作超时 grpc_send_timeout 300s; # 故障转移配置 grpc_next_upstream error timeout http_500 http_502 http_503; grpc_next_upstream_timeout 20s; grpc_next_upstream_tries 3; } # 自定义502错误处理(引用[3]) error_page 502 = /error502grpc; location = /error502grpc { internal; default_type application/grpc; return 200 ''; # 返回空gRPC响应 } } ``` #### 2. 关键配置说明 1. **AUTH认证配置** - 使用`grpc_set_header`添加Base64编码的认证头 - 生成命令:`echo -n "username:password" | base64` - ETCD要求格式:`Authorization: Basic <credentials>` 2. **TLS安全配置** - `grpcs://`协议强制使用TLS加密 - 必须配置ETCD CA证书链 - 协议版本需匹配ETCD要求(TLSv1.2+) 3. **超时优化** ```nginx grpc_connect_timeout 10s; # 连接建立超时 grpc_read_timeout 300s; # 读取响应超时(匹配ETCD操作) grpc_send_timeout 300s; # 发送请求超时 ``` 4. **故障转移机制** ```nginx grpc_next_upstream error timeout http_502; # 触发条件 grpc_next_upstream_tries 3; # 最大重试次数 ``` #### 3. 常见问题解决方案 | 错误现象 | 原因分析 | 解决方案 | |---------|---------|---------| | `no live upstreams` | 后端服务不可达 | 1. 检查ETCD服务状态<br>2. 配置健康检查<br>3. 增加`max_fails`值 | | 502 Bad Gateway | 代理连接超时 | 1. 增加`grpc_read_timeout`<br>2. 检查ETCD日志<br>3. 验证TLS证书 | | 认证失败 | 凭据错误 | 1. 验证Base64编码<br>2. 检查ETCD用户权限<br>3. 使用`grpcurl`测试认证 | | TLS握手失败 | 证书不匹配 | 1. 检查证书链完整性<br>2. 验证证书SAN<br>3. 临时关闭验证测试 | #### 4. 验证步骤 1. **测试基础连接**: ```bash grpcurl -plaintext -d '{}' localhost:8080 etcdserverpb.KV/Range ``` 2. **测试认证功能**: ```bash grpcurl -H "Authorization: Basic cm9vdDpFdGNkQDEyMw==" \ -d '{"name": "root"}' localhost:8080 etcdserverpb.Auth/Authenticate ``` 3. **检查健康状态**: ```bash curl http://localhost:8080/health ``` #### 5. 性能优化建议 1. **连接复用配置**: ```nginx grpc_ssl_session_reuse on; grpc_keepalive_time 1h; grpc_keepalive_timeout 20s; ``` 2. **负载均衡算法**: ```nginx upstream etcd_backend { least_conn; # 最少连接算法 # 或 ip_hash; # 会话保持 } ``` 3. **缓冲区优化**: ```nginx grpc_buffer_size 128k; grpc_buffers 16 128k; ``` ### 📚 相关问题 1. 如何在Nginx中为不同的ETCD服务(KV/Auth)配置独立的路由规则?[^2] 2. 如何配置Nginx双向TLS认证(mTLS)访问ETCD? 3. ETCD集群节点变更时如何动态更新Nginx配置? 4. 如何监控Nginx gRPC代理的性能指标(请求率/延迟/错误率)? 5. 在Kubernetes环境中如何部署此Nginx代理架构?[^1][^3]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值