触类旁通,从400错误看Nginx常见故障与修复

最新推荐文章于 2023-08-09 23:20:21 发布
最新推荐文章于 2023-08-09 23:20:21 发布
阅读量2k 收藏 5
点赞数
文章标签: 运维 网络 php
原文链接:https://yq.aliyun.com/articles/80379
版权

作者介绍

林伟壕网络安全DevOps新司机,先后在中国电信和网易游戏从事数据网络、网络安全和游戏运维工作。对Linux运维、虚拟化和网络安全防护等研究颇多,目前专注于网络安全自动化检测、防御系统构建。

 

众所周知,Nginx是目前最流行的Web Server之一,也广泛应用于负载均衡、反向代理等服务,使用过程中可能因为对Nginx工作原理、变量含义、参数大小等问题的理解错误,导致Nginx工作异常。

 

因此,本文将从一个Nginx错误代码400引发的故障入手,谈谈如何分析和修复常见的Nginx异常。

 

20170323101605385.jpg 

故障简述

  20170323101605385.jpg

 

小明某天中午在线优化一个敏感服务的Nginx配置时,发现5分钟内Nginx errorlog里出现了大量400错误,于是迅速回滚了Nginx配置。

 

20170323101605385.jpg 

故障详情

  20170323101605385.jpg

 

原来的Nginx配置存在重复或者需废弃的内容,于是在多次diff了新旧两份配置内容后,小明认为最新配置是不影响业务的,因此在线推送更新配置后,直接reload了Nginx,出于double check原则,在线观察了5分钟Nginx日志:

 


\

 

发现出现大量类似下面的400错误:

 

\

 

400错误的产生,很可能影响服务端或客户端的后续业务逻辑判断,因此需要引起重视。

 

20170323101605385.jpg 

处理过程

  20170323101605385.jpg

 

20170323101721459.gif节点1

 

当时回滚配置后,小明先在搜索引擎查找了Nginx 400错误的可能原因和解决办法,初步确定有下面两种可能:1是空主机头,2是请求包头过大。

 

小明跟客户端同学确认了客户端请求方式,发现他们使用的是类似telnet的方式发起的http请求,类似下面的:

 


\

 

为了方便后续排查,小明参考线上环境临时搭建了一套Nginx测试环境,重现了故障:

 


\

 

后来小明了解到原来客户端不是从代码的http库调用, 而是按照上面的方式走TCP/telnet传递http参数来调用服务端http接口。但是为什么一样的客户端请求方式,旧配置完全ok,新配置则会出现大量400错误?

 

20170323101721459.gif节点2

 

至此,小明怀疑自己没有完全diff出新旧两份配置的差别,于是他使用vimdiff再次对比新旧两份配置。下面仅贴出关键配置:

 

旧配置:

 

\
\

 


新配置:

 

\

 

本次排查中,小明考虑的重点是新配置里遗漏了某些配置,于是他把location ~ (.*)的相关逻辑加上,发现问题依旧:

 


\

 

20170323101721459.gif节点3

 

既然前面往缺失配置的思路走不通,下面就按照新增配置的思路排查,结果发现新配置增加了一些包头信息,小明怀疑是请求包过大,于是优先排查了Nginx针对包头大小的设置,其中有这么几个配置:

 

  • client_header_buffer_size:默认是1k,所以header小于1k的话是不会出现问题的。

  • large_client_header_buffers:该命令用于设置客户端请求的Header头缓冲区的大小,默认值为4KB。

  • 客户端请求行不能超过large_client_header_buffers指令设置的值,客户端请求的Header头信息不能大于large_client_header_buffers指令设置的缓冲区大小,否则会报“Request URL too large”(414)或者“Bad-request”(400)错误,如果客户端Cookie信息较大,则须增加缓冲区大小。于是小明将client_header_buffer_size和large_client_header_buffers都设置为128k。结果问题也重现了。

 

接下来,小明发现新配置中多了“proxy_set_header Host $http_host;”查找了Nginx官方文档发现跟$http_host类似功能的还有$server_name和$host等变量,在他将$http_host更换成$host后,问题修复了。

 

20170323101605385.jpg 

原因分析

  20170323101605385.jpg

 

根据Nginx官方文档介绍,400状态码含义如下:

 


\

 

上面是http1.1的rfc关于host部分的解释,从上面我们了解到如果一个http1.1的请求没有host域,那么server应该给client段发送400的状态码,表明这个请求server不能处理。而对于Nginx server来说,也遵循这样的方式,说明client发送了一个无效的请求,Nginx server无法处理,于是返回了400的状态码。

 

另外,关于$host和$http_host这两个变量的区别如下:

 


\

 

本次故障中,客户端的调用方式没有使用host 参数,传递了空的Host头给服务端,一旦Nginx设置了proxy_set_header Host $http_host,空Host头就传给了后端。然而,在http 1.1的规范中,Host只要出现空,就会返回400,所以出现了这个故障。而对于需要在Host字段里带上端口信息的,则仍需要配置proxy_set_header Host $http_host。

 

最后,需要注意的是,400错误不一样会影响业务,需要看具体的业务处理逻辑,比如使用nagios的check_tcp插件对Nginx server端口做检测或者使用keepalived的tcp_check功能对后端Nginx端口的存活做检测,这两种情况都会在Nginx errorlog中产生400的请求。

 

原因也很简单,就是一般tcp check的方式,就是建立tcp连接,但是没有发送任何数据,当然也没有Host头,然后再reset或者四次挥手断开连接。

 

20170323101605385.jpg 

经验教训

  20170323101605385.jpg

 

20170323101721459.gif运维规范

 

细心的同学会发现本次配置更新是在大中午操作,而且也没有在测试环境测试通过,这在流程上是不严谨的。虽然Nginx等web服务的配置更新基本上通过热更就可以了,但没有灰度测试或者在测试环境测试,一是无法提前发现问题,二是无法控制业务影响。所以,在运维规范上看,即使是热更也应当在测试环境测试正常后再同步到线上,其他的更新则应在业务低谷时操作。

 

20170323101721459.gif技术学习方法

 

本次故障的产生,很大程度上就是运维同学不理解Nginx变量的定义和区别,直接从搜索引擎上找了些配置,检查觉得正确就推到了线上。这里仍需要重申的是,以官方文档为准!互联网上很多知识或者配置有各种各样的问题,随时都有暗坑在里边,只有啃过官方文档才能避免误读。

 

20170323101721459.gifWeb日志分析

 

针对这里的Nginx错误日志查看,我们看到小明是用在线命令查看的,其实现在有很多web日志分析工具或系统,比如ELK(ElacticSearch+LogStash+Kibana),只需要配置好grok正则,是可以通过可视化界面实时监控web服务质量的。

 

20170323101721459.gif引申

 

上面介绍了Nginx 400错误的可能原因和解决办法,但实际工作中,我们遇到的可不止这么一点。于是,由此引申出去的是,针对那些Nginx常见错误如何去排查和解决。

 

  • 403错误

 

403是很常见的错误代码,一般就是未授权被禁止访问的意思。

 

可能的原因有两种:

  1. Nginx程序用户无权限访问web目录文件

  2. Nginx需要访问目录,但是autoindex选项被关闭

 

修复方法:

  1. 授予Nginx程序用户权限读取web目录文件

  2. 设置autoindex目录为on

 

\

 

  • 413错误

 

在上传时Nginx返回了413错误:“413 Request Entity Too Large”,这一般就是上传文件大小超过Nginx配置引起。

 

修复方法:

  1. 在Nginx.conf增加client_max_body_size的设置,这个值默认是1M,可以增加到8M以提高文件大小限制;

  2. 如果运行的是php,那么还要检查php.ini,这个大小client_max_body_size要和php.ini中的如下值的最大值一致或者稍大,这样就不会因为提交数据大小不一致出现的错误。

 

post_max_size = 8M
upload_max_filesize = 2M

 

  • 502错误

 

Nginx 502 Bad Gateway的含义是请求的PHP-CGI已经执行,但是由于某种原因(一般是读取资源的问题)没有执行完毕而导致PHP-CGI进程终止。一般来说Nginx 502 Bad Gateway和php-fpm.conf的设置有关。

 

修复方法:
1、查看FastCGI进程是否已经启动

 

ps -aux | grep php-cgi
 

2、检查系统Fastcgi进程运行情况


除了第一种情况,fastcgi进程数不够用、php执行时间长、或者是php-cgi进程死掉也可能造成Nginx的502错误。


运行以下命令判断是否接近FastCGI进程,如果fastcgi进程数接近配置文件中设置的数值,表明worker进程数设置太少。


netstat -anpo | grep "php-cgi" | wc -l
 

3、FastCGI执行时间过长
 

根据实际情况调高以下参数值


fastcgi_connect_timeout 300;
fastcgi_send_timeout 300;
fastcgi_read_timeout 300;

 

  • 504错误

 

Nginx 504 Gateway Time-out的含义是所请求的网关没有请求到,简单来说就是没有请求到可以执行的PHP-CGI。


Nginx 504 Gateway Time-out一般与Nginx.conf的设置有关。


头部太大这种情况可能是由于Nginx默认的fastcgi进程响应的缓冲区太小造成的, 这将导致fastcgi进程被挂起,如果你的fastcgi服务对这个挂起处理的不好,那么最后就极有可能导致504 Gateway Time-out。


默认的fastcgi进程响应的缓冲区是8K,可以调大以下参数:

 

  • fastcgi_buffer_size 128k;
    fastcgi_buffers 8 128k;

  • fastcgi_busy_buffers_size 由 128K 改为 256K;
    fastcgi_temp_file_write_size 由 128K 改为 256K。

 

此外,也可能是php-cgi的问题,需要修改php.ini的配置:

 

  1. 将max_children由之前的10改为30,这样操作是为了保证有充足的php-cgi进程可以被使用。

  2. 将request_terminate_timeout由之前的0秒改成60秒,这样使php-cgi进程处理脚本的超时时间提高到60秒,可以防止进程被挂起以提高利用效率。

 原文发布时间为:2017-03-23

本文来自云栖社区合作伙伴DBAplus

weixin_34367257
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决Nginx 400 Bad Request问题的一些思路
皖南笑笑生的博客
12-04 21万+
400 Bad Request是一种HTTP错误状态码。HTTP/1.1对400 Bad Request的定义主要是:1、语义有误,当前请求无法被服务器理解。除非进行修改,否则客户端不应该重复提交这个请求。2、请求参数有误。 在这段时间笔者遇到了好几次生产问题Nginx400异常,且原因细究下来各不相同,有些甚至在网上没有搜到类似案例。遂产生了兴趣,做了本次梳理,希望会对大家有一定帮助! ...
Nginx频繁状态码400错误,定位到原因是丢包引起
技术百宝箱
07-06 1万+
目录一、背景说明二、访问日志分析三、TCP抓包分析四、结论最近线上服务发布,完成后一切平静,到下午用户量正常起来后,开始频繁收到Nginx状态码是400的告警,初步确认是偶尔出现,还好还好!400通常理解为客户端请求错误,一般原因是请求数据中有不合法字符,请求头缺失host头。但这次案例另有原因。详细回顾下定位过程和方法,供大家参考。服务器的负载均衡LB中状态码正常的日志:LB侧状态码是400的日志: 对比发现一个很明显的规律:request_length在400状态码时偏低,upstream_respon
http应答 400 Bad Request-因http.header与http.body之间少了空行导致
08-20 3442
一、现象: HTTP 文是自己组装的。当送的 HTTP body 是空的时候能发成功,但是加上了 HTTP body 后会被 Apache以 http 400 bad request 拒绝掉。 文如下: (1)Empty body 时的http请求和应答: POST /internet/TestProxy HTTP/1.1 Content-Type: text/xml; charset=utf-8 Host: 102.184.80.104:10490 Content-Length: 0 HTTP/1
nginx转发导致400错误
m0_55749388的博客
07-12 6259
nginx转发导致400错误
nginx返回400状态码
Jimwek
03-25 1万+
1.后端地址正常返回200; 2.确认是url加上参数后,nginx返回400; 解决方案 在proxy_pass的跳转路径后新增$request_uri location /test/ { proxy_pass http://192.168.1.11$request_uri; }
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
nginx服务器access日志中大量400 bad request错误的解决方法
09-30
主要介绍了nginx服务器access日志中大量400 bad request错误的解决方法,本文结论是空主机头导致的大量400错误日志,关闭默认主机的日志记录就可以解决问题,需要的朋友可以参考下
Nginx启动常见错误及解决方法
09-30
重新启动服务器发现nginx: [error] open() "/usr/local/nginx/logs/nginx.pid" failed (2: No such file or directory)错误,怎么回事如何解决呢,下面脚本之家小编给大家解答下
修改配置解决Nginx服务器中常见的上传与连接错误
09-30
Nginx服务器的运营过程中,常常会遇到两类常见的错误:上传错误和连接错误。本文将详细介绍如何通过修改Nginx配置来解决这些问题。 首先,我们来看上传错误,特别是413 Request Entity Too Large错误。当尝试上传...
Linux服务器nginx访问日志里出现大量http 400错误的请求分析
09-15
在Linux服务器上运行Nginx作为Web服务器时,可能会遇到HTTP 400错误的情况,这通常是由于客户端发送的请求存在格式错误或无法被服务器理解导致的。HTTP 400错误代表“Bad Request”,意味着客户端发送的请求不符合...
请求头有问题导致Nginx返回400状态码
qq_38375721的博客
04-08 6223
背景 上个星期有人找我看了Nginx的问题,场景是这样的,用户访问一个网址,这个网址有一个按钮,点击这个按钮后会跳转到新的页面,但这个跳转,有时候可以,有时候不可以——不可以的时候页面显示400状态码(开发反馈,同一个手机,不同浏览器,有的可以有的不可以;同一个手机,同一个浏览器,不同网络,有的可以,有的不可以) 问题排查 使用nginx日志排查问题 开发的手上有Nginx的access日志,通过查看返回400状态码的日志,我们发现日志显示进来的请求没有携带Host头的,而HTTP协议规定必须携带Host头
nginx400问题排查记录
wangwenzhe的博客
11-19 8306
背景说明 内部使用的一个系统,应用有许多 请求整体流程: 前端-->nginx-->spring cloud gateway-->应用A 前端-->nginx-->spring cloud gateway-->应用B 前端-->nginx-->spring cloud gateway-->应用C ... 前端-->nginx-->spring cloud gateway-->应用N 许多用户访问接口都正常
常见HTTP状态码的错误解决考虑
lxd_max的博客
06-12 2653
常见HTTP状态码的错误解决考虑
解密HTTP错误码:从400到599,你需要了解的一切
最新发布
博客
08-09 856
在某些情况下,您可能需要扩展或自定义错误码,以满足特定需求。使用自定义错误页面,以提供更具品牌特色的用户体验。创建自定义错误处理程序,以针对特定错误码执行特定的逻辑和操作。扩展HTTP错误码以反映您的应用程序的特定状态和错误类型。通过扩展和自定义错误码,您可以提供更好的用户体验,并为您的应用程序添加更多的功能和灵活性。
记一次HTTP返回400的错误
Something of an idiot
03-13 8926
今天在一次访问后台中,服务器总是返回400,通过wireshark抓包显示如下:POST/shsys-web/cc/module/v3/sub/sync?seq=37670&id=0077a33dbbd6a5839713&sn=15414b2300793583&d=aqeGAnlrIzg=HTTP/1.1 Host: 103.255.94.178:8080 Conten...
HTTP请求错:400 Bad Request解决方法!!(终极整理)
热门推荐
good_good_xiu的博客
04-03 37万+
问题场景:当项目的前端页面使用ajax请求访问后端时,出现该错误。 我这里是测试接口时,发生了错误。 原因一:请求参数个数不对。 后端接口上明确规定了请求参数的个数。比如:接口(方法)中的值中使用了requestparam注解,requestparam注解中有个require属性,默认为true,意思则是,必须要传该参数的值(该参数不可为空)。 解决办法: 1.如果该参数是可传可不传的,修改require属性为false。 2.检查前端js文件中对应的ajax请求中的请求数据是否为空,或者是否有该参数。
Nginx错“The plain HTTP request was sent to HTTPS port”问题解决办法
Java精选
07-24 14万+
转载自:https://blog.yoodb.com/yoodb/article/detail/1527 Nginx HTTP服务器的错“400 Bad Request: The plain HTTP request was sent to HTTPS port”,本文将讲解如何解决这个问题。简单从错的字面意思上来看,是因为HTTP请求被发送到HTTPS端口,这种错多出现在Nginx既处理...
web应用出现400响应的分析
lianxiangbus
02-17 441
一个应用上出现400响应码的请求增多,基本达到了千分之一,应用方请求我们分析原因。 首先看日志,检查400请求的ip的其它请求是否正常,排除伪造请求的攻击行为。发现用户的User-Agent分布正常,ip分布正常。所有400请求的响应 内容都是226字节,说明服务器返回给用户的内容是固定的。 400错误是用户请求错误,用户请求格式错误的原因基本可以分为两种,一种是因为网络通讯造成数据残缺,一种是违...
nginx配置与常见错误解决方法
06-01
好的,关于nginx配置与常见错误解决方法,我可以给您一些简单的介绍和建议。 首先,nginx作为一个开源的高性能Web服务器和反向代理服务器,其配置文件的语法非常简单,易于学习和使用。一般来说,nginx的配置文件主要包含以下几个部分: 1. 全局块:主要是一些全局参数的设置,比如worker_processes、pid、error_log等。 2. events块:主要是一些与事件相关的参数设置,比如worker_connections等。 3. http块:主要是配置http协议相关的参数,比如http服务器、虚拟主机、upstream负载均衡等。 4. server块:主要是配置http服务器相关的参数,比如监听端口、域名、SSL证书等。 当然,nginx的配置还可以包括一些额外的模块配置,比如gzip、fastcgi等等。 关于常见错误解决方法,以下是一些可能会遇到的问题和解决方法: 1. nginx启动失败:这个问题可能是由于配置文件语法错误、端口占用等原因导致的。解决方法可以通过查看日志、检查配置文件、查看端口占用情况等。 2. 403 Forbidden错误:这个错误通常是由于权限不足导致的。解决方法可以通过修改文件或目录的权限、检查SELinux等。 3. 404 Not Found错误:这个错误通常是由于资源不存在导致的。解决方法可以通过检查文件路径、检查文件权限、检查文件是否存在等。 4. 502 Bad Gateway错误:这个错误通常是由于后端服务器连接失败导致的。解决方法可以通过检查后端服务器是否正常运行、检查网络连接等。 总之,nginx作为一个高性能的Web服务器和反向代理服务器,其配置和错误处理都需要一定的经验和技巧,建议您多练习和学习,掌握一些常用的技巧和方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值