nginx反向代理https域名时,请求报错502问题排查

最新推荐文章于 2025-05-08 12:25:34 发布
最新推荐文章于 2025-05-08 12:25:34 发布
阅读量1.5w 收藏 16
点赞数 6
分类专栏: nginx 文章标签: nginx https 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wanger5354/article/details/131934728
版权

微信公众号:运维开发故事,作者:冬子先生

一. 现象

在使用nginx反向代理后端服务器的时候,因为配置的是域名,导致HTTPS 请求转发失败,报 SSL 错误,js 报 502

图片

img

图片

img

二. 排查过程

1、查看nginx日志,发现报502,但是本地curl upstream中的后端域名是可以正常通的

图片

img

2、查看后端服务器上,没有收到请求,说明请求没过去,继续排查nginx本身的配置问题,Nginx 渲染模版已支持 HTTPS,尝试略过 upstream 配置,直接在 conf 文件中渲染 https://域名,请求仍然失败

3、然后换个思路,修改成内网ip不走域名,发现是正常,那换个域名试试

图片

img

图片

img

然后怀疑客户的域名有问题?但是这域名是可以访问的,上面第一步已经测试过了

4、这个时候只能翻一下错误日志,看看有什么有用的提示

图片

img

可以看到nginx错误日志里面有一串看不懂的报错提示和我们访问情况,nginx把域名解析成了一个ip地址,当我试着直接通过ip去访问时,果然报错了。

只能通过域名去访问,让我想起来了nginx同端口不同域名及禁用未绑定域名访问的配置,确实可以实现,这是https的SNI问题,大家可以自行查阅资料。

https://www.realks.com/2021/03/07/nginx-proxy-ssl-server-name/ https://freexyz.cn/server/98212.html

三. 解决方案

为解决这个问题,nginx官方给出了一个参数配置。

图片

img

然后我不使用 upstream了,而直接在 conf 文件中使用 https://域名 并且加上配置 proxy_ssl_server name_on;

图片

img

但是我如果还是想用upstream来负载均衡,有没有办法呢?一顿操作,发现可以像下面这样配置,也是可以正常访问的

location ^~ /modules/abm/ {
        proxy_ssl_server_name on;
        proxy_ssl_name 域名;
        proxy_set_header Host 域名;
        proxy_pass https://abtest_management_api_backend/modules/abm/;
        proxy_read_timeout 1800s;
        proxy_set_header Origanization-Id qiancheng;
        proxy_set_header X-Real-IP $clientRealIp;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass_header    X-Accel-Buffering;
    }

upstream abtest_management_api_backend {
        server 域名:443;

    }

问题解决,搞定!!

图片

img

四. 原因分析

仔细查看nginx error日志日志如下:

2023/07/07 00:03:56 [error] 29533#29533: *115403747 SSL_do_handshake() failed (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream, client: 192.168.73.157, server: localhost, request: "HEAD /modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js HTTP/1.1", upstream: "https://114.80.1xxx1:443/modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js", host: "sc.xxx.com"

报错分析:在本地环境直接请求域名正常;但使用了nginx反向代理,在请求时DNS域名进行解析,真正请求出去的为IP与端口,但对方系统是多个域名对应一个公网ip,这个一个公网IP下映射到了多个项目和服务,通过nginx的server_name进行区分,故直接请求不通。

所以能成功请求方式有两种:

1、直接域名请求;

2、IP端口请求,但请求时需添加host;

即在nginx配置项中增加

proxy_ssl_server_name on;

或者设置请求头

proxy_ssl_server_name on;

proxy_ssl_name 域名;

proxy_set_header Host 域名;

(当你的nginx服务器作为反向代理,将client的请求转发到一个SSL服务器时,需要在HTTP请求头中包含SSL服务器的名称,这样SSL服务器才能正确地响应该请求。proxy_ssl_name指令就是设置proxy_pass指令所代理的SSL服务器的名称,即www.example.com。这样,在转发请求时,nginx就会在请求头中添加"Host: www.example.com"的参数,保证请求被正确地路由到目标SSL服务器。)

小知识:1.多个域名访问不同系统,使用同一个公网IP的情况;可以多个域名配置同一个公网IP和端口,映射到不同服务的nginx代理上,通过nginx配置server_name识别源域名,判定访问来源,进行请求处理。2.反向代理https请求,nginx编译安装时需要增加配置模块–with-http_ssl_module 3.使用阿里云的SLB作为负载均衡,证书可以配置在SLB上,但是要选择七层负载均衡。4.为啥添加host的时候只能写域名,不能通过变量获取。

proxy_set_header可以设置Host为、host与$http_host。

host的值设置为$proxy_host,是指nginx.conf的proxy_pass中设置的host值,也就是192.168.1.3,也就是服务器的IP地址。

不是一个固定的变量,他其实是http_HEADER通配后的结果。

http_content_type表示请求头里content-type属性的值,同理,$http_host指的就是请求头里的host属性。

$host是core模块内部的一个变量。

当请求头里不存在Host属性或者是个空值,$host则等于server_name

如果请求头里有Host属性,那么host就是www.example.com

变量是否显示端口值是否存在
host"Host:value"显示值为a:b的时候,只显示a
http_host“Host:value”,value存在就显示
proxy_host默认80不显示其他端口显示"Host:value"显示
  • 参考文档 https://www.cnblogs.com/faberbeta/p/nginx012.html https://blog.dianduidian.com/post/nginx反向代理当后端为https时的一些细节和原理/

公众号:运维开发故事

github:https://github.com/orgs/sunsharing-note/dashboard

博客**:https://www.devopstory.cn**

爱生活,爱运维

我是冬子先生,《运维开发故事》公众号团队中的一员,一线运维农民工,云原生实践者,这里不仅有硬核的技术干货,还有我们对技术的思考和感悟,欢迎关注我们的公众号,期待和你一起成长!

图片

nginx反向代理502-Bad Gateway问题解决方法
Bertram的博客
06-20 2万+
nginx反向代理 localhost:80 域名到服务器 localhost:8080 端口服务,访问出现502 bad gateway原因分析:1.查看8080端口服务启动2.查看错误日志:error.log,以centos7.x为例,更改配置路径为:web.dev.xxx.access.ssl.log:xxx - - [22/Oct/2019:10:24:04 +0800] "GET /test HTTP/1.1" 502 3693 "-" "curl/7.29.0" "-"没有相...
Nginx反向代理HTTPS域名502错误的问题排查与架构
UoEmacs_Lisp的博客
09-29 2097
排查Nginx反向代理HTTPS域名502错误问题,您应首先检查后端服务器的健康状态,并确保它可以正常响应请求。最后,确保SSL证书和密钥文件的配置正确。在这种情况下,您需要解决后端服务器的问题,并确保它可以正常响应请求。在日志文件中,您可以查找与502错误相关的条目,并尝试确定引起错误的原因。根据日志中的信息,您可以采取相应的措施来解决问题,例如修复配置错误或调整Nginx的相关设置。Nginx会将错误日志写入到指定的日志文件中,您可以查看该日志文件来获取有关502错误的更多详细信息。
nginx实现反向代理出现502的解决方法
weixin_61779644的博客
06-24 2513
我的也是可以访问的,说明我的端口80和8800都是开放的,如果你的在nginx访问不到 说明端口没有开放,可以关闭防火墙或者开放安全组的端口。然后进入容器执行这行命令: curl http://1.92.141.215:8800/captchaImage命令。这样我们通过代理的url去访问我们的服务器资源就可以成功访问了。因为在docker容器里,我们映射了代理到本机的。通过这样你就可以正常访问到代理的资源路径了。假设您要开放 TCP 端口 80。是不一样的,所以无法通过。可以看到是能访问得到的。
nginx:使用Nginx出现502错误的可能原因有哪些
weixin_43290370的博客
04-28 1527
502 Bad Gateway是Nginx作为反向代理最常见的错误之一,其本质是Nginx无法从上游服务获取有效响应。:通过精细化502处理策略,将故障恢复间从平均17分钟缩短至43秒,挽回潜在损失2.3亿元。:上游服务Kubernetes Pod达到CPU限流阈值,导致TCP连接拒绝。建立连接(proxy_connect_timeout)HTTP GET /health返回200?:大促期间订单服务502错误率骤升至8%能telnet端口?
[排查] 解决 Nginx 502 Bad Gateway 错误的常见原因与步骤
最新发布
L18637178596的博客
05-08 1846
Nginx 以其高性能、高稳定性而闻名,是当今最流行的 Web 服务器和反向代理软件之一。但即使是身经百战的 Nginx,有也会给我们甩脸色看,其中最常见也最让人头疼的“脸色”之一,恐怕就是那个白底黑字的 “” 了。当你看到这个错误,第一反应可能以为是 Nginx 挂了。但实际上,恰恰相反,Nginx 通常还在正常工作!
【负载均衡系列】nginx返回502错误怎么解决
yunqi1215的博客
03-21 1083
Nginx返回502 Bad Gateway错误,通常表示Nginx作为反向代理无法从上游服务器(如应用服务器、PHP-FPM、Node.js、Tomcat等)获取有效响应。以下是系统的排查和解决步骤:​检查服务是否运行: 如果服务未运行,重启服务: ​验证端口监听: 2. 检查Nginx配置 ​确认指向正确: 确保在块中正确定义: ​检查超配置: ​3. 分析Nginx错误日志
Nginx反向代理出现502 Bad Gateway问题的解决方案
秋窗的博客
09-18 7988
前一阵子写了一篇“关于解决调用百度翻译API问题”的博客,近日在调用其他API又遇到一些棘手的问题,于是写下这篇博客作为记录。
Nginx
bloated_spider的博客
11-26 149
Nginx返回大长度的JSON数据被截断 proxy_buffering主要是实现被代理服务器的数据和客户端的请求异步。 为了方便理解,我们定义三个角色,A为客户端,B为代理服务器,C为被代理服务器。 当proxy_buffering开启,A发起请求到B,B再到C,C反馈的数据先到B的buffer上,然后B会根据proxy_busy_buffer_size来决定什么候开始把数据传输给A。 在此过程中,如果所有的buffer被写满,数据将会写入到temp_file中。 相反,如果proxy_bufferin
使用nginx进行反向代理后出现了Nginx 502 Bad Gateway
woliguoqu的博客
06-13 1万+
Failed to load resource: the server responded with a status of 502 (Bad Gateway)
nginx反向代理中表单提交502
weixin_33774308的博客
11-04 425
nginx的参数调整nginx.conf server_names_hash_bucket_size 256; client_header_buffer_size 256k; large_client_header_buffers 4 256k; client_max_body_size 50m; sendfile on; tcp_nopush on; ...
Nginx反向代理出现错误 502 bad gateway 案例解析
正己的专栏
08-10 2117
Flask框架写的程序,使用uwsgi启动,Nginx作为反向代理调用Flask应用。Flask应用有些操作间比较长,会超过1分钟,在网页端访问会出现错误: 502 bad gateway。Nginx的错误日志中会出现错误:upstream prematurely closed connection while reading response header from upstream。
nginx反向代理 因为域名解析失败 返回502
aa1382525的专栏
11-02 1472
生产裸机有候需要自己挂载磁盘 下面是我挂载磁盘的过程: fdisk -l 查看本机可见的硬盘设备
Nginx https反向代理502错误,proxy_ssl_server_name、proxy_ssl_verify
zzhongcy的专栏
08-10 9463
Nginx作用反向代理与上游服务器使用HTTPS建连,默认不启用SNI,使用参数启用;默认不验证上游服务器返回的证书,使用开启上游证书验证后Nginx会使用配置文件中指定的CA验证上游服务器返回证书的合法性,同也会比对证书中的CommonName信息。
为什么Nginx反向代理会出现502 Bad Gateway错误?
发现生活,分享智慧,一起成长!
03-27 4485
502错误全称是**“Bad Gateway”**,表示Nginx作为反向代理,从后端服务器(如Tomcat、Node.js)收到了无效响应。本质原因Nginx无法与后端服务器建立有效连接或获取到合法响应。502错误的核心是Nginx与后端通信失败确保后端服务正常运行。合理配置超和负载均衡参数。检查网络和资源占用。利用日志定位具体问题
nginx配置反向代理后接口出现502问题解决!
热门推荐
weixin_42207486的博客
11-19 1万+
Nginx反向代理----502报错 问题描述:通过nginx反向代理地址之后报错502,后台日志报错信息为(upstream sent too big header while reading response header from upstream) 问题原因:nginx中proxy_buffer_size默认值是4k,第三方地址响应头超过了此长度,Nginx报upstream sent t...
nginx反向代理网页502、SSL_do_handshake()握手失败
qq_44962014的博客
07-21 7098
配置反向代理后,开发反馈网页502,丝毫不慌,访问一把看看 看看配置文件,没什么问题 之前一直这么写的不科学呀,换百度试试,百度可以,测试代理的域名直接访问也正常 日志抬上来,ssl失败,那我不用https不就行了,proxy_pass 代理换成http的后,果然可以访问! 找开发一商量,他就要https的。 继续找问题,日志中有看到将域名解析成ip。ssl在握手,默认不发送主机名,以ip连接服务器,当服务器上有多个虚拟主机使用同一个ip,默认返回第一个可用证书......
nginx反向代理502-Bad Gateway问题解决
qq_45979662的博客
08-05 1835
配置nginx反向代理出现502
宝塔nginx反向代理配置
02-27
### 宝塔面板 Nginx 反向代理配置教程最佳实践 #### 一、理解反向代理概念及其作用 反向代理是一种服务器端技术,通过设置特定规则使得客户端请求被透明转发到另一台或多台服务器上处理。对于Web应用而言,在宝塔面板中利用Nginx实现反向代理能够有效提升网站性能并简化访问流程。 #### 二、准备阶段——环境搭建与资源获取 确保已经成功安装Linux操作系统以及宝塔面板,并完成相应域名解析工作。如果计划部署Vue项目或其他前端框架,则需提前准备好待发布的静态文件或API接口地址[^5]。 #### 三、创建站点并开启SSL加密传输(可选) 登录至宝塔管理后台后新建一个虚拟主机条目用于承载目标服务;为了保障数据安全建议启用HTTPS协议支持,这一步骤可通过Let's Encrypt免费证书来达成自动化签发过程。 #### 四、编写具体的Nginx配置项 进入所建站名下的“配置文件编辑器”,依据实际需求调整如下参数: - **基础路径映射** ```nginx server { listen 80; server_name yourdomain.com; location /api/ { proxy_pass http://targetserver/api/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header REMOTE-HOST $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } ``` 上述示例展示了如何将`yourdomain.com/api/*`形式的HTTP GET/POST等操作重定向给远端名为`targetserver`的真实提供者负责响应。 - **WebSocket连接特殊处理** 当涉及到实通信场景比如在线聊天室等功能模块,还需额外指定一些头部字段以便维持持久化链路畅通无阻: ```nginx location /ws/ { proxy_pass https://websocket_server_address/; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } ``` 此段落说明了针对WebSocket握手机制特有的指令集定义方式[^3]。 #### 五、保存修改后的设定并验证有效性 每次改动完毕之后都应当执行命令检验语法正确与否,防止因拼写错误等原因造成整个web service不可用的情况发生。具体做法是在SSH终端里输入以下语句来进行初步检测: ```bash /opt/nginx/sbin/nginx -t ``` 一旦确认无误即可正式生效新策略[^2]。 #### 六、常见问题排查指南 遇到诸如页面加载缓慢或是部分功能失效等问题,可以从以下几个方面入手分析原因所在: - 检查防火墙是否开放必要的TCP端口; - 查看日志记录寻找异常报错提示信息; - 对比源站返回状态码判断是否存在权限不足状况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值