问题描述
在用nginx做代理的时候,当接口并发量比较高的时候nginx会报错:
023/02/21 16:16:25 [crit] 2917#0: *70 open() “/home/ucp/nginx-1.22/nginx/proxy_temp/8/00/0000000008” failed (13: Permission denied) while reading upstream, client: 192.168.119.2, server: localhost, request: “GET http://192.168.119.2:8080/test HTTP/1.1”, upstream: “http://192.168.119.2:8080/test”, host: “192.168.119.2:8080”
错误原因
proxy_temp临时文件存放目录权限不够。
nginx安装目录
总用量 4
drwx------. 2 ucp root 6 2月 20 15:15 client_body_temp
drwxrwxr-x. 2 ucp ucp 4096 2月 21 16:21 conf
drwx------. 2 ucp root 6 2月 20 15:15 fastcgi_temp
drwxr-xr-x. 2 ucp ucp 40 2月 17 14:01 html
drwxrwxr-x. 2 ucp ucp 58 2月 21 16:28 logs
drwx------. 12 ucp ucp 96 2月 21 16:28 proxy_temp
drwxrwxr-x. 2 ucp ucp 19 2月 20 11:22 sbin
drwx------. 2 ucp root 6 2月 20 15:15 scgi_temp
drwx------. 2 ucp root 6 2月 20 15:15 uwsgi_temp
nginx启动用户
ucp 1638 1 0 09:24 ? 00:00:00 nginx: master process ./nginx
ucp 1639 1638 0 09:24 ? 00:00:00 nginx: worker process
这时候是不会出问题的,因为proxy_temp文件夹的目录拥有者就是ucp,nginx工作进程也是ucp。
这时候用root用户执行./nginx -t
[root@localhost sbin]# ./nginx -t
nginx: the configuration file /home/ucp/nginx-1.22/nginx/conf/nginx.conf syntax is ok
nginx: configuration file /home/ucp/nginx-1.22/nginx/conf/nginx.conf test is successful
这时候proxy_temp文件夹的文件拥有者就变成了nobody
drwx------. 2 nobody root 6 2月 20 15:15 client_body_temp
drwxrwxr-x. 2 ucp ucp 4096 3月 1 09:26 conf
drwx------. 2 nobody root 6 2月 20 15:15 fastcgi_temp
drwxr-xr-x. 2 ucp ucp 40 2月 17 14:01 html
drwxrwxr-x. 2 ucp ucp 58 3月 1 09:27 logs
drwx------. 12 nobody ucp 96 2月 21 16:28 proxy_temp
drwxrwxr-x. 2 ucp ucp 19 2月 20 11:22 sbin
drwx------. 2 nobody root 6 2月 20 15:15 scgi_temp
drwx------. 2 nobody root 6 2月 20 15:15 uwsgi_temp
这时候nginx的工作进程还是ucp,但是Proxy_temp文件夹的用户已经变成了nobody,这时候用ucp用户去访问proxy_temp目录会显示没有权限。
[ucp@localhost nginx]$ cd proxy_temp/
-bash: cd: proxy_temp/: 权限不够
这时候我们调用量比较高的时候,缓冲区不够用,就会存入本地临时文件目录,这时候就会报错:权限不足。
用户root用户重启nginx
[root@localhost sbin]# ps -ef | grep nginx
ucp 1648 1 0 09:27 ? 00:00:00 nginx: master process ./nginx
ucp 1663 1648 0 09:35 ? 00:00:00 nginx: worker process
root 1668 1573 0 09:35 pts/0 00:00:00 grep --color=auto nginx
[root@localhost sbin]# kill 1648
[root@localhost sbin]# ps -ef | grep nginx
root 1670 1573 0 09:36 pts/0 00:00:00 grep --color=auto nginx
[root@localhost sbin]# ./nginx
[root@localhost sbin]# ps -ef | grep nginx
root 1672 1 0 09:36 ? 00:00:00 nginx: master process ./nginx
nobody 1673 1672 0 09:36 ? 00:00:00 nginx: worker process
root 1675 1573 0 09:36 pts/0 00:00:00 grep --color=auto nginx
先kill nginx【master】进程,然后再重新启动nginx,用./nginx -s reload重启,不会改变工作进程。重启之后工作进程就变成nobody,这时候proxy_temp文件夹的拥有者还是nobody,但是这时候还是会报错,因为nobody是无状态用户。
换句话说,只要proxy_temp文件夹的拥有者是nobody,那么就有可能会报错。
nginx相关配置
# 开启proxy_buffering
proxy_buffering on;
proxy_buffer_size 1k;
proxy_buffers 4 4k;
proxy_busy_buffers_size 8k;
proxy_max_temp_file_size 8k;
1. proxy_buffering on;
该参数设置是否开启proxy的buffer功能,参数的值为on或者off。
如果这个设置为off,那么proxy_buffers和proxy_busy_buffers_size这两个指令将会失效。
但是无论proxy_buffering是否开启,proxy_buffer_size都是生效的
2. proxy_buffer_size 4k;
该参数用来设置一个特殊的buffer大小的。
从被代理服务器(C)上获取到的第一部分响应数据内容到代理服务器(B)上,通常是header,就存到了这个buffer中。
如果该参数设置太小,会出现502错误码,这是因为这部分buffer不够存储header信息。建议设置为4k。
3. proxy_buffers 8 4k;
这个参数设置存储被代理服务器上的数据所占用的buffer的个数和每个buffer的大小。
所有buffer的大小为这两个数字的乘积。
4. proxy_busy_buffer_size 16k;
在所有的buffer里,我们需要规定一部分buffer把自己存的数据传给A,这部分buffer就叫做busy_buffer。
proxy_busy_buffer_size参数用来设置处于busy状态的buffer有多大。
对于B上buffer里的数据何时传输给A,我个人的理解是这样的:
相当于是给客户端传递数据得容器。
1)如果完整数据大小小于busy_buffer大小,当数据传输完成后,马上传给A;
2)如果完整数据大小不少于busy_buffer大小,则装满busy_buffer后,马上传给A;
5. proxy_temp_path
语法:proxy_temp_path path [level1 level2 level3]
定义proxy的临时文件存在目录以及目录的层级。
例:proxy_temp_path /usr/local/nginx/proxy_temp 1 2;
其中/usr/local/nginx/proxy_temp为临时文件所在目录,1表示层级1的目录名为1个数字(0-9),2表示层级2目录名为2个数字(00-99)
6. proxy_max_temp_file_size
设置临时文件的总大小,例如 proxy_max_temp_file_size 100M;
7. proxy_temp_file_wirte_size
设置同时写入临时文件的数据量的总大小。通常设置为8k或者16k。
nginx 官方文档
链接: nginx官方文档
如何解决proxy_temp目录权限问题
1:指定nginx启动用户nginx配置:user 【用户名】
user ucp;
worker_processes 1;
events {
worker_connections 1024;
}
这样无论是root启动还是ucp启动,工作进程都会是ucp。
2:增加缓冲区大小,这个方法不可取。建议用指定用户的方式。