SRE问题排查四步法——以建立HTTPS连接失败问题排查为例

最新推荐文章于 2024-02-22 09:39:07 发布
最新推荐文章于 2024-02-22 09:39:07 发布
阅读量1.3k 收藏 2
点赞数
文章标签: java 人工智能 编程语言 面试 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apl359/article/details/122531911
版权

bd297e5cac3bdb8bde542b6a04c68023.png

文章建议收藏关注再品,谢谢。

本文说明

本文是个人在做SRE时,排查问题的一些经验总结。最近刚好遇到一个比较典型的案例,所以就写下此文。希望能和大家多多交流。

问题背景

业务背景是设备需要连接上云端,然后进行登录。终端开发人员说他的设备无法连接上云端。

SRE问题排查四步法

以下是我总结的问题排查四步法:

  1. 信息收集;

  2. 提出猜测;

  3. 验证猜测;

  4. 如果没有找到问题,重复1,2,3步。

以上每一步都必须有文档记录下来,方便其他进行review、协作。这点真的非常非常的重要。

根据以上四步法,我们开始第一步。

第一步:信息收集阶段

通过与终端开发人员沟通,我们得到以下信息:

  1. 设备A能连上生产环境,连不上预发布和测试环境;

  2. 另一些设备类型B、C、D,所有的环境都能连接上;

  3. 空中抓包设备A的连接信息发现,设备A有client hello发出,但是服务器端并没有返回 server hello,而是返回了一个RST的包,从而无法建立连接;

  4. 设备A通过HTTP的方式能正常建立连接,但是通过HTTPS的方式就不行。

当终端开发人员描述完,我第一件事情是通过执行命令 curl-v https://httpbin.example.com:2111尝试复现问题。顺手确认一下是不是他的网络本身的问题。

但是,多次试验curl,返回的都是404。这说明请求是能到达后端服务的。我的这个操作是在尝试初步复现问题。这个过程,叫复现问题。别人的描述本身,我们也要进行验证。

复现问题的目的是为了验证“证据”本身的真实性,这样才能保证,我们后面的猜测的基础是正确的。

同时,我们还必须收集云端本身的架构的信息。这次出问题的预发布环境的调用关系是:

客户端 —> LB(TCP) —> ingress(TLS) —> 后端服务

能正常连接的生产环境的是:

客户端 —> LB(HTTPS) —> 后端服务

可以看到预发布环境的TLS在放在Ingress上实现的,而生产环境是放在LB上实现的。

本阶段,要注意的是:

  1. 尽可能全面、客观、准确的收集信息;

  2. 自己亲自复现问题,验证别人所描述的信息的正确性;

  3. 注意区别沟通对象口中说出来是“他认为的”,还是“真正的现象”;

  4. 记录下所有的信息及复现方法。

第二步:提出猜测

什么时候开始第二步?估计你会有这样的疑问。答案是现实中,第一步和第二步是交叉着进行的。在现象收集过程中,你的大脑可能就已经在提出猜测了。

我们通过终端开发人员所描述的信息,分析结果是:

信息1基本可以说明和环境有关,信息2说明设备A本身与其它的设备类型是有区别的。同时,两个信息组合起来,也基本排除后端的业务级别的问题了。

信息3就是实实在在的技术问题了(能检验TCP/IP TLS方面的真正能力)。信息4验证了信息3,可能是TLS方面出了问题(信息之间是可以相互验证的)。

在排除后端服务和网络的问题后,我们初步猜测是服务器端和客户端之间的TLS加密套件匹配不上导致的。

这个阶段,我们需要注意的是:

  1. 能提出多少猜测,很能体现一个人的逻辑思维能力、技术能力。我们可以在这个过程中,识别人才。

  2. 可以与其他交流,个人能力是有限的。

第三步:验证猜测

在提出猜测后,可以马上进行验证,而且应以低成本的方式快速进行验证。

笔者使用SSL在线工具得到了生产环境的LB支持的TLS加密套件列表后,再手工设置Ingress支持的加密套件,保证Ingress和生产环境的LB提供的是相同的加密套件。

结果,验证结果并不是加密套件的问题,终端还是无法连接上。将验证方法和结果记录到文档后,我们进入第四步。

这个阶段,需要注意的是:一次只验证一个猜测,避免交叉验证。

第四步:重复123步

现在我们需要再回到第一步进行信息收集。

这次,我们只能通过tcpdump进行抓包,才能知道更多的信息。现在的问题是我们应该在LB抓,还是Ingress呢?由于LB是公有云的,我们无法抓包,所以,只能在Ingress上抓。

然而好不容易抓到包,由于笔者才疏学浅,在对比了有问题的请求和没有问题的请求后,还是没有看出问题。好在,有tcpdump的pcap文件。请教团队中的在TCP/IP方面的高手后,我们得到了新的猜测:

出问题的是握手包中,没有加入server name扩展值,导致Ingress无法判断请求的域名。

如何验证这个猜测呢?我们是通过openssl命令进行验证:

openssl s_client -msg -debug -state -connect httpbin.example.com:2111 -servername httpbin.example.com
结果是我们的猜测是正确的。最后,终端在发起请求时,带上了servername,问题解决了。

慢着,就这样结束了?本次案例是结束了。但是实际工作中,导致问题的原因可能不止一个。这点需要注意。

后记

在排查过程中,技术能力严重限制了排查的速度,但是排查过程学习到的东西是印象最深刻的。以前看再多次TLS的握手过程文章,不如排查一次。因为我没有看到加密套件匹配失败时的抓包现象,所以,一开始没有排除这个猜测。

欢迎关注 持续交付实践指南 公众号

参考资料

  • 深入学习TLS握手过程:https://segmentfault.com/a/1190000019718974

  • 什么是 TLS 握手?https://www.cloudflare.com/zh-cn/learning/ssl/what-happens-in-a-tls-handshake/

apl359
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sre8 sre10_我们的SRE最近的故障排除案例,第2部分
weixin_26752759的博客
09-15 807
sre8 sre10 我们的SRE最近的故障排除案例,第2部分 (Recent troubleshooting cases from our SREs, part 2)It’s been a while since the previous article in which we shared several captivating stories about our real-life exp...
60分钟安放为梳理SRE岗位关键脉络(加薪必备)
最新发布
03-17
- 监控与报警:SRE需要建立有效的监控系统,及时发现并处理问题,设置合理的报警策略以减少误报和漏报。 - 性能优化:优化系统的响应时间、吞吐量和资源利用率,确保服务的高效运行。 - 故障排查与恢复:快速定位...
一个小米SRE的日常问题排查记录
cpongo011702
10-05 196
日常巡检发现新扩容的一台web转发服务器负载异常。比原来的稍高仍然在正常范围内,but作为一个SRE是不能放过任何异常。安排好其他日常工作开始排查。新增服务器系统版本跟原来不一致。(原来为centos6.x,异常服务器为centos7.x) ,异常服务器从lvs下线重装,保证系统版本都为6.x依然没有恢复。(论:保持环境统一重要性。)为什么要重新装centos6.x呢?当时怀疑线上nginx是在c...
火狐网页访问https提示安全连接失败
Hu199055的专栏
04-24 2万+
使用https访问网站提示错误:‘’在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。(错误码: ssl_error_weak_server_ephemeral_dh_key)“ 解决方法: 安装插件:https://addons.mozilla.org/en-us/firefox/addon/disable-dhe/(英文)            
工作中碰到的那些坑(一)-https网络连接错误
yysunny的专栏
02-04 5641
春节长假的最后一天,pm突然微信通知客户端线上版本登录不上去了。 于是赶紧进行如下测试 step1: 在安卓高版本(6.0)上,debug、sim、release环境上客户端工作正常。 step2: 安卓4.4版本,debug、sim环境上客户端工作正常,release环境上所有接口报网络请求出错。 step3: 安卓4.4版本,release环境换成http连接,工作正常。--说
SSL错误无法建立安全连接是怎么回事?如何解决
SSL加密技术
06-24 2万+
很多朋友在cPanel和WHM安装SSL证书之后会出现SSL错误无法建立安全连接,这是怎么一回事呢?为了让您安装SSL证书过程更轻松,我们在此为您在安装过程中可能遇到的最常见安装错误提供了最佳解决方案。 SSL错误无法建立安全连接原因一:私钥与证书不匹配 似乎 cPanel 找不到为此 SSL 证书创建的私钥。私钥与 CSR Key 一起生成。您可能错误地删除了此密钥。如果您在同一台服务器上安装了多个 CSR 密钥和私钥,cPanel 将无法找到正确的私钥。 解决方案:可以手动查找随CSR Key一起
sre-interview:SRE面试时要练习的一系列问题
04-29
SRE面试问题 嗨,我是 ,这个存储库是站点可靠性工程师(SRE)面试问题和答案的集合。 请随时与我分享或将有答案或新问题的公关发送给我 面试题目
google sre建设 中文文档 SRE实战手册 devOps 实战
05-13
第三:始终以软件工程解决问题为方向的规划之路。 第:很强的Trouble Shooting与思考、抽象能力,这三个能力在SRE工作当中是至关重要的,是时间与实践积累的最终成果。 以下为《SRE谷歌运维解密》一书当中已经...
中学:在LinkedIn,我们正在使用此课程将入门级人才培养为SRE角色
02-02
中学:在LinkedIn,我们正在使用此课程将入门级人才培养为SRE角色
Google SRE 技术
02-26
SRE的职责不仅仅是传统的运维工作,如服务器管理和故障排查,更强调通过编写代码和设计系统来提升服务的可靠性、可扩展性和效率。 在Google SRE技术中,以下是一些关键知识点: 1. **SRE职责**:SRE团队负责系统的...
HTTPS接口 无法建立SSL - TLS安全通道的解决方案 (总结性)
dzqxwzoe的博客
02-22 1783
访问HTTPS接口时,总是出现请求被中止:无法建立SSL / TLS安全通道的解决方案我使用HttpWebRequest访问HTTPS的接口时时,出现"请求被中止:无法建立 SSL /TLS安全通道"错误,百度了一下,搜到两个答案,都写下来,以供参考第一个://必须写在请求Url之前如果你的程序是.NET 4.0的,可以这样写:第二个//必须在请求URL之前//验证服务证书 返回True 解决Https无法建立 SSL / TLS安全通道"错误。
访问所有HTTPS网站显示连接不安全
热门推荐
hupoziai的博客
02-10 2万+
当 Firefox 连接到一个安全的网站时(网址最开始为“https://”),它必须确认该网站出具的证书有效且使用足够高的加密强度。如果证书无法通过验证,或加密强度过低,Firefox 会中止连接到这个网站,并显示“连接不安全”的错误信息页面。点击 高级 按钮可以查看更多信息,了解为何此连接不安全。如果用户访问的是常见网站均出现这个错误:例如百度、淘宝、Mozilla 官方网站等,并显示错误信息为
SRE相关问题答疑
学无止境
07-23 526
要想称为合格的ONCALL首先需要对自己要维护的系统的整体架构有详细的了解,熟悉系统的架构、系统的组件、系统所承担的核心业务、核心业务的调用链路、系统的部署位置,其次是要熟练掌握问题排查和自动化处理的工具,然后是多进行反向工程,多思考问题本质,在成长的过程通过老带新的方式真正介入到问题处理中,通过实战,慢慢的以战养战,就可以成长为一名合格的ONCALL。数据一致性的保障,首先是明确CAP的概念,因为这个本质上是在解决一个分布式事务的一致性问题,一般的解决方案有2PC两段式提交,TCC三段式提交,事务消息。.
关于使用burp suite后访问https页面出现“建立安全连接失败问题的解决方法
独沐晨霖
07-22 7047
因为有部分同好出现这个问题但不知道如何解决,所以在这里写了个详细步骤供参考: 1.在burp suite中导出证书 2.导出证书的选项按照需求选择即可: 3.这里填写保存的文件信息: 4.在浏览器中找到证书(图例为火狐): 5.在这里导入刚才保存的证书文件即可: 仅供交流学习,如有错误欢迎指正 ...
由于手机中的时间不对,导致的https网络连接失败
茶卡y的专栏
03-12 7029
在维护别人的代码,发现,如果手机的时间是老的,不正确,https网络访问onFailure:javax.net.ssl.SSLHandshakeException: com.android.org.bouncycastle.jce.exception.ExtCertPathValidatorException: Could not validate certificate: current tim...
https连接异常
weixin_34113237的博客
05-27 493
2019独角兽企业重金招聘Python工程师标准>>> ...
Https连接过程详解
成长的烧年
03-28 1万+
概述 HTTPS相比较于HTTP而言,就是多了一个S,这个S我们可以称之为安全,说得通俗一点就是加密通信的HTTP而已。说的简单一点,就是每次通信,通信双方都会使用加密之后的数据通信。 连接 HTTPS连接大致可以分为5个步骤,我也是经过学习和看不同的资料才稍微有些感触,如果有不对的地方,请轻喷。 大致可以分为7个部分: Client Hello Server Hello 服务器发送证书 客户...
深入解读SRE(站点可靠性工程)
10-17
"深入解读SRE(站点可靠性工程)涵盖了SRE的基本概念、目标和实践方法,揭示了这种工程在确保大规模分布式系统可靠性和可伸缩性中的关键作用。SRE团队采用软件工程和系统管理的结合,通过服务级别协议(SLAs)、服务...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值