Предварительное чтение Nginx SSL спорадически получает запросы, когда имя сервера не извлекается

Question

Предварительное чтение Nginx SSL спорадически получает запросы, когда имя сервера не извлекается

Я использую модуль потока nginx, чтобы использовать nginx в качестве обратного прокси tcp перед s3. В последнее время мне нужно было добавить логику для размещения дополнительного апстрима. Для этого я решил использовать условную логику через переменную карты $ ssl_preread_server_name. ssl_preread позволяет nginx извлекать имя сервера из сообщения ClientHello без прерывания SSL. Вы можете увидеть логику ниже:

map $ssl_preread_server_name $https_cname {
    s3.amazonaws.com https_s3_backend;
    aws-service-2.amazonaws.com aws-service-2-backend;
}
upstream https_s3_backend {
    server s3.amazonaws.com:443;
}
upstream aws_service_2_backend {
    server aws-service-2.amazonaws.com:443;
}

server {
    listen       443;
    proxy_pass $https_cname;
    ssl_preread on;
}

Когда приходит запрос с именем сервера s3.amazonaws.com, запрос отправляется на s3. Когда приходит запрос с именем сервера aws-service-2.amazonaws.com, запрос отправляется на aws-service-2.

Это работает большую часть времени. Но иногда в журнале ошибок появляются ошибки, которые указывают, что каким-то образом запросы попадают на серверы nginx через порт 443 без какого-либо имени сервера.

[error] ... no host in upstream "", client: x.x.x.x, server: 0.0.0.0:443

Когда я добавляю оператор по умолчанию в логику карты, эти ошибки исчезают. Каковы возможные объяснения некоторых входящих запросов s3 без извлеченного имени сервера? В настоящее время запросы могут попасть в эти блоки nginx только в том случае, если кто-то выполняет операцию s3.

3

nginx amazon-s3

Источник

Howard_Roark 27 мар '19 в 19:14

0 ответов

Другие вопросы по тегам nginx amazon-s3

nethor.t 18 июл '19 в 08:22 2019-07-18 08:22 · Answer 1 · 2019-07-18 08:22

Я не знаком с Amazon S3 как таковым, но я думаю, что проблема в том, что запросы генерируются без установки имени сервера (см. Индикация имени сервера).

Я столкнулся с той же проблемой в аналогичной настройке и смог воспроизвести это, например, в OpenSSL v1.0.2p, подключившись без явной установки параметра servername:

openssl s_client -connect <mydomain>:<some_port> -showcerts

Этот запрос просто предоставил бы мне сертификат сервера по умолчанию и не учитывал бы доменное имя, которое я указал в URL. С другой стороны, при указании параметра servername:

openssl s_client -connect <mydomain>:<some_port> -showcerts -servername <mydomain>

.. запрос отправляется на нужный домен и возвращается правильный сертификат.

При доступе к тому же веб-серверу с помощью curl или через веб-браузеры я не наблюдаю эту проблему, я подозреваю, что реализация в веб-браузере и curl устанавливают имя сервера, извлекая его из URL в фоновом режиме, тогда как некоторые клиентские приложения, такие как openssl рассматривает это как необязательный параметр.

Так что в вашем случае, я думаю, вы должны:

узнать, где генерируются запросы
посмотреть, есть ли возможность установить имя сервера