當你的Nginx服務器作為反向代理,將client的請求轉發到一個SSL服務器時,需要在HTTP請求頭中包含SSL服務器的名稱,這樣SSL服務器才能正確地響應該請求。proxy_ssl_name指令就是設置proxy_pass指令所代理的SSL服務器的名稱,即www.example.com。這樣,在轉發請求時,nginx就會在請求頭中添加"Host: www.example.com"的參數,保證請
一、現象
在使用nginx反向代理后端服務器的時候,因為配置的是域名,導致HTTPS 請求轉發失敗,報 SSL 錯誤,js 報 502
二、排查過程
1、查看nginx日志,發現報502,但是本地curl upstream中的后端域名是可以正常通的。
2、查看后端服務器上,沒有收到請求,說明請求沒過去,繼續排查nginx本身的配置問題,Nginx 渲染模版已支持 HTTPS,嘗試略過 upstream 配置,直接在 conf 文件中渲染 https://域名,請求仍然失敗。
3、然后換個思路,修改成內網ip不走域名,發現是正常,那換個域名試試。
然后懷疑客戶的域名有問題?但是這域名是可以訪問的,上面第一步已經測試過了。
4、這個時候只能翻一下錯誤日志,看看有什么有用的提示。
可以看到nginx錯誤日志里面有一串看不懂的報錯提示和我們訪問情況,nginx把域名解析成了一個ip地址,當我試著直接通過ip去訪問時,果然報錯了。
只能通過域名去訪問,讓我想起來了nginx同端口不同域名及禁用未綁定域名訪問的配置,確實可以實現,這是https的SNI問題,大家可以自行查閱資料。
https://www.realks.com/2021/03/07/nginx-proxy-ssl-server-name/ https://freexyz.cn/server/98212.html。
三、解決方案
為解決這個問題,nginx官方給出了一個參數配置。
然后我不使用 upstream了,而直接在 conf 文件中使用 https://域名 并且加上配置 proxy_ssl_server name_on。
但是我如果還是想用upstream來負載均衡,有沒有辦法呢?一頓操作,發現可以像下面這樣配置,也是可以正常訪問的。
location ^~ /modules/abm/ {
proxy_ssl_server_name on;
proxy_ssl_name 域名;
proxy_set_header Host 域名;
proxy_pass https://abtest_management_api_backend/modules/abm/;
proxy_read_timeout 1800s;
proxy_set_header Origanization-Id qiancheng;
proxy_set_header X-Real-IP $clientRealIp;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass_header X-Accel-Buffering;
}
upstream abtest_management_api_backend {
server 域名:443;
}
問題解決,搞定!!
四、原因分析
仔細查看nginx error日志日志如下:
2023/07/07 00:03:56 [error] 29533#29533: *115403747 SSL_do_handshake() fAIled (SSL: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:SSL alert number 40) while SSL handshaking to upstream, client: 192.168.73.157, server: localhost, request: "HEAD /modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js HTTP/1.1", upstream: "https://114.80.1xxx1:443/modules/abm/_sendata_ab_testing/nm_rc-virtual-list-_c6c90.73efda43.js", host: "sc.xxx.com"
報錯分析:在本地環境直接請求域名正常;但使用了nginx反向代理,在請求時DNS域名進行解析,真正請求出去的為IP與端口,但對方系統是多個域名對應一個公網ip,這個一個公網IP下映射到了多個項目和服務,通過nginx的server_name進行區分,故直接請求不通。
所以能成功請求方式有兩種:
1、直接域名請求。
2、IP端口請求,但請求時需添加host。
即在nginx配置項中增加。
proxy_ssl_server_name on。
或者設置請求頭。
proxy_ssl_server_name on。
proxy_ssl_name 域名。
proxy_set_header Host 域名。
(當你的nginx服務器作為反向代理,將client的請求轉發到一個SSL服務器時,需要在HTTP請求頭中包含SSL服務器的名稱,這樣SSL服務器才能正確地響應該請求。proxy_ssl_name指令就是設置proxy_pass指令所代理的SSL服務器的名稱,即www.example.com。這樣,在轉發請求時,nginx就會在請求頭中添加"Host: www.example.com"的參數,保證請求被正確地路由到目標SSL服務器。)
小知識:1.多個域名訪問不同系統,使用同一個公網IP的情況;可以多個域名配置同一個公網IP和端口,映射到不同服務的nginx代理上,通過nginx配置server_name識別源域名,判定訪問來源,進行請求處理。2.反向代理https請求,nginx編譯安裝時需要增加配置模塊--with-http_ssl_module 3.使用阿里云的SLB作為負載均衡,證書可以配置在SLB上,但是要選擇七層負載均衡。4.為啥添加host的時候只能寫域名,不能通過變量獲取。
proxy_set_header可以設置Host為、host與$http_host。
host的值設置為$proxy_host,是指nginx.conf的proxy_pass中設置的host值,也就是192.168.1.3,也就是服務器的IP地址。
不是一個固定的變量,他其實是http_HEADER通配后的結果。
http_content_type表示請求頭里content-type屬性的值,同理,$http_host指的就是請求頭里的host屬性。
$host是core模塊內部的一個變量。
當請求頭里不存在Host屬性或者是個空值,$host則等于server_name
如果請求頭里有Host屬性,那么host就是www.example.com
|
變量 |
是否顯示端口 |
值是否存在 |
|
host |
否 |
"Host:value"顯示值為a:b的時候,只顯示a |
|
http_host |
是 |
"Host:value",value存在就顯示 |
|
proxy_host |
默認80不顯示其他端口顯示 |
"Host:value"顯示 |
- 參考文檔 https://www.cnblogs.com/faberbeta/p/nginx012.html https://blog.dianduidian.com/post/nginx反向代理當后端為https時的一些細節和原理/。
