使用Nginx代理S3时,需要禁用URL解码。

最新推荐文章于 2024-05-23 10:01:02 发布
最新推荐文章于 2024-05-23 10:01:02 发布
阅读量1.2k 收藏
点赞数
文章标签: 运维 后端
原文链接:https://my.oschina.net/anglix/blog/602665
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

问题来源

  • 使用Nginx代理S3时,无法创建新文件(读取和删除正常)。
用fuse挂载s3
  1. 使用 s3fs (V1.79) 挂载
s3fs ceph-s3 /mnt/ceph -o sigv2 -o use_path_request_style -o passwd_file=/etc/passwd-s3fs -o url=http://s3.biliops.com
无法新建文件
  1. 错误日志 /var/log/radosgw/radosgw-node-6.log http-403:
7fe690eba7c0  0 ceph version 9.2.0 (bb2ecea240f3a1d525bcb35670cb07bd1f0ca299), process radosgw, pid 2332333
7fe690eba7c0  0 framework: civetweb
7fe690eba7c0  0 framework conf key: port, val: 2333
7fe690eba7c0  0 starting handler: civetweb
7fe60adfb700  1 civetweb: 0x7fe5f80008c0: 192.168.168.168 - - [14/Jan/2016:23:22:33 +0800] "HEAD /ceph-s3/name HTTP/1.0" 404 0 - -
7fe609df9700  1 civetweb: 0x7fe5ec0008c0: 192.168.168.168 - - [14/Jan/2016:23:22:33 +0800] "HEAD /ceph-s3/name/ HTTP/1.0" 404 0 - -
7fe60a5fa700  1 civetweb: 0x7fe5f00008c0: 192.168.168.168 - - [14/Jan/2016:23:22:33 +0800] "HEAD /ceph-s3/name_$folder$ HTTP/1.0" 403 0 - -

问题跟踪

  1. 为提高存储可用性,在civetweb提供的服务前加了一层Nginx。
  2. 后端upsteam到多台civetweb节点。
  3. ceph对应的radosgw配置 /etc/ceph/ceph.conf
[client.rgw.node-6]
  host = node-6
  keyring = /var/lib/ceph/radosgw/ceph-rgw.node-6/keyring
  rgw socket path = /tmp/radosgw-node-6.sock
  log file = /var/log/radosgw/radosgw-node-6.log
  rgw data = /var/lib/ceph/radosgw/ceph-rgw.node-6
  rgw print continue = false
  rgw frontends = civetweb port=2333
  1. 然而,直接挂载 civetweb 却能正常使用
s3fs ceph-s3 /mnt/ceph -o sigv2 -o use_path_request_style -o passwd_file=/etc/passwd-s3fs -o url=http://node-6.biliops.com:2333

定位问题

  • 使用 tcpflow 抓包,对比 Nginx 代理前后请求内容的区别,发现:
  1. 使用Civetweb时,新建文件时有个URI是 HEAD /ceph-s3/name_%24folder%24
  2. 使用Nginx代理后,对应的URI变成了 HEAD /ceph-s3/name_$folder$

验证和解决

  • 居然是Nginx在proxy_pass阶段对URI进行了解码,导致S3协议出错!
验证方法
  1. Nginx配置 /etc/nginx/sites-enabled/01-proxypass.biliops.com,关键部分:
server {
	listen       80 backlog=65535;
	server_name  proxypass.biliops.com;
	location / {
		proxy_ignore_client_abort on;
		proxy_set_header Host echo.biliops.com;
		proxy_redirect off;
		proxy_http_version 1.1;
		proxy_set_header Connection "keep-alive";
		proxy_pass $schema://127.0.0.1:80/;
	}
}
server {
	listen       80;
	server_name  echo.biliops.com;
	location / {
		add_header request $request;
	}
}
  1. 参考 s3fs 的请求 curl -I proxypass.biliops.com/name_%24folder%24
  2. 配置 proxy_pass http://127.0.0.1:80/; 时,访问结果是:

request: HEAD /name_$folder$ HTTP/1.1

  1. 配置 proxy_pass http://127.0.0.1:80$1; 时,访问结果是:

request: HEAD /name_%24folder%24 HTTP/1.1

proxy_pass

解决办法
  1. /$1 的区别明白后,按需使用即可。
  2. 本例需要的是原始uri,则使用$1来转发。
  3. 若需要Nginx帮转码,可使用/全全代理。

转载于:https://my.oschina.net/anglix/blog/602665

weixin_34051201
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx proxy_pass避免URI decode
zzhongcy的专栏
05-04 1641
配置2、配置3、配置4均可避免Nginx 自动进行 url decode。# 配置2# 配置3# 配置4或者:# 配置5return 400;
使用nginx代理s3服务(私有云存储)
kitahiragawa的博客
11-24 2226
公司网络安全原因,私有部署s3服务的机器无法被直接访问,所以需要加一层代理,通过访问代理去访问s3服务器,这里使用nginx进行代理使用s3服务的方式是在代码中使用官方的java s3 sdk(本文对于其他语言的官方sdk也适用)。由于在配置过程中遇到了一些问题,如果不对s3协议的签名校验规则比较了解就难以解决此问题,故在此记录分享一下。
推荐使用NGINX S3 Gateway - 高效安全的S3访问网关
最新发布
gitblog_00035的博客
05-23 352
推荐使用NGINX S3 Gateway - 高效安全的S3访问网关 项目地址:https://gitcode.com/nginxinc/nginx-s3-gateway NGINX S3 Gateway 是一个开源项目,它提供了一个预配置的NGINX实例,以充当AWS S3或任何其他兼容S3服务的身份验证和缓存网关。通过这个网关,您可以为私有S3桶提供无须直接认证的访问方式,并在代理层添加额外...
docker-nginx-s3proxy:基于 nginxs3 代理 - docker
07-09
基于 nginxs3 代理 - docker 从 S3 为您的静态主页提供服务,同通过在 docker 中运行的 nginx 代理来保持存储桶的私密性。 用法 克隆这个 repo: git clone --recursive https://github.com/tinnet/docker-nginx-s3proxy.git 构建图像: cd docker-nginx-s3proxy docker build -t nginx-s3proxy . 从该映像运行容器: docker run \ -e S3PROXY_BUCKET_NAME="<S3>" \ -e S3PROXY_AWS_ACCESS_KEY="<AWS>" \ -e S3PROXY_AWS_SECRET_KEY="<AWS>" \ -p
Nginx将utf8编码的url解码成\x的16进制格式导致无法匹配静态文件的问题处理
weixin_34221775的博客
10-24 781
例如请求/touch/article/北京/full.html,到达nginx后变成/ /touch/article/%E5%8C%97%E4%BA%AC/full.html,Nginx静态文件配置:location ~* ^/touch/article/.*\.html$ { expires -1; root /home/htmlfile...
nginx反向代理到aws S3 ,解决S3返回500、502、503错误
醉世老翁的博客
12-05 1119
nginx反向代理S3,解决S3出现5XX错误
Nginx 自动url decode探究及如何避免url decode
热门推荐
Markix的博客
07-02 1万+
验证Nginx 是否自动进行url decode,下面进行实验: 编写nginx.conf reference: 使用Nginx代理S3需要禁用URL解码。 如何避免Nginxurl decode end
nginx-s3-gateway:NGINX S3缓存网关
05-06
NGINX S3网关 该项目提供了一个示例,将NGINX配置为充当对S3 API的只读请求(GET / HEAD)的身份... 例如,如果要在NGINX S3网关配置中启用SSL / TLS和压缩,则将需要查看其他资源,因为此项目未启用NGINX的那些功能。
Nexus使用nginx代理实现支持HTTPS协议
09-29
主要介绍了Nexus使用nginx代理实现支持HTTPS协议,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用Nginx实现根据 IP 匹配指定 URL
09-30
最近的一个项目,需要特定的IP访问某专题页面的候跳转到网站首页,思考了下,直接使用NGINX实现,分享给大家。
使用Nginx代理上网的方法
01-10
我一般都是使用 nginx 做反向代理 tomcat 和其他应用的,其实 nginx 也是支持正向代理的 所谓正向代理就是内网用户通过网关访问外部资源,就是电脑上网浏览器设置下 http 代理地址访问互联网 而反向代理就是外部...
NginxNginx反代
忆的博客
12-11 1471
目录 1 反向代理相关概念 2 实现反向代理功能需要的模块(是基于Nginx的反向代理) 3 配置反向代理 3.1 配置后端主机(默认是已经安装好了Nginx服务的) 3.2 配置proxy server,使其支持HTTP及HTTPS转发 3.3 client 4.相关配置文件及参数介绍 4.1 日志格式 4.2 proxy.conf 4.3 proxy server的tes...
nginx的一点小用法-代理国外s3对象存储加速
saynaihe的博客
07-14 718
有一套环境部署在aws 新加坡区,资源使用s3对象存储,也用了cloudfront加速,但是but国内访问最近抽筋,也特意看了一下解析的地址IP…加速的地址在usa…资源加速太慢了就想到了用nginx缓存加速一下!当然了还可以用国内腾讯云cos or 阿里云oss同步到国内?但是生命周期,同步成本估计会很高,就简单用nginx先尝试一下了!
如何在请求转发的候对url解码_nginx解码特殊字符引发400问题处理案例分享
weixin_39678103的博客
12-05 5667
问题背景和现象公司任务管理使用的是开源的redmine,以前是单机部署(bitnami_redmine),后来由于项目数量、人员数量和任务数量的增加,卡顿问题比较明显,于是改造为基于k8s的分布式集群部署(nginx+puma)。改造后有个现象是,wiki标题中,如果包含引号特殊字符,在打开页面,redmine后台将返回400。wiki标题如下:400显示效果如下:处理办法方案1:替换数据库中的...
Nginx03-Nginx配置文件实现反向代理
egan1236的博客
10-20 822
Nginx配置文件实现反向代理
使用nginx模仿S3做文件上传下载限制的简单实现
lzs2000131的博客
05-17 736
背景:公司产品的文件管理本来是使用AWS的S3文件存储服务的,优点主要就是给用户上传下载的链接都是用的S3的PreSignedUrl, 可以提供一定限内的文件访问权限,过了限后链接就失效需要重新获取。但是现在在做一个项目不能使用S3,所以需要用其他方法来模拟这个权限操作; 需要实现以下几个API: 1.当用户请求上传的候,发给用户一个地址,允许用户对着这个地址使用put请求传递bi...
防止已经转码的中文地址二次转码
htl55555的博客
02-05 454
防止已经转码的中文地址二次转码 在公司项目中,视频播放的候,url可能已经utf-8转码了,也可能未转码而包含中文,对url中的中文进行转码,如果url中的中文已经是utf-8转码了,那么会二次转码,在项目需求中url就无效。 对url中的中文进行转码(如果已知url中的中文没有进行utf-8转码) url = [url stringByAddingPercentEncodingWithAllowedCharacters:[NSCharacterSet URLQueryAllowedCharacterS
ceph 搭建nginx负载3个对象网关
dlm520947的博客
01-09 330
nginx.conf user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid; # Load dynamic modules. See /usr/share/nginx/README.dynamic. include /usr/...
S3预设url nginx反向代理错误
PeterTu的博客
10-31 880
【代码】S3预设url nginx反向代理错误。
Nginx 使用反向代理Hessian
07-22
Nginx 可以通过反向代理来处理 Hessian 请求。Hessian 是一种基于 HTTP 的远程调用协议,常用于 Java 应用程序之间的通信。 要在 Nginx 中配置 Hessian 反向代理需要使用 `proxy_pass` 指令来指定 Hessian 服务的地址。例如,假设 Hessian 服务运行在本地的 8080 端口上,可以按照以下方式配置: ```nginx location /hessian { proxy_pass http://localhost:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } ``` 上述配置将把所有以 `/hessian` 开头的请求转发到本地的 8080 端口上运行的 Hessian 服务。同,还设置了一些代理相关的请求头信息,以确保传递正确的客户端信息给 Hessian 服务。 配置完成后,可以使用 Nginx 的反向代理功能来转发 Hessian 请求,实现应用程序之间的远程调用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值