使用高防 IP 之后,访问业务出现502报错:Bad Gateway,如图所示:
使用高防 IP 后的业务流量走向图:
在配置高防 IP 后,源站服务器的 IP 被高防 IP 在中间代理而被隐藏。所有经过高防 IP 服务访问的客户端源 IP 都会变成高防 IP 的回源 IP。源站服务器接收到的访问请求都是来自高防 IP 回源段,而高防 IP 回源段的 IP 数量有限,分摊过后每个回源 IP 访问源站服务器的请求量较大。
若源站服务器配置了 DDoS 攻击等相关安全防护策略,将有机率触发 DDoS 防护策略,导致将回源 IP 限速甚至拦截。
导致异常的可能原因:
公网网络质量不佳造成的业务访问不稳定,提示502报错。
通过腾讯云拨测平台对源站 IP 和高防 IP 进行拨测,对比源站 IP 和高防 IP 的访问情况。
如源站 IP 正常、高防 IP 大范围异常,则可以判断为高防回源 IP 被源站服务器拦截或限速导致,建议进行高防回源IP加白操作。
详细处理步骤请参见 原因一:处理步骤。
通过将本地主机的解析结果修改为源站来验证源站本身是否正常,首先修改本地 hosts 文件,确认 hosts 绑定已经生效之后,使用域名进行验证源站是否可以正常访问,如不能正常访问,可以尝试做如下处理:
详细处理步骤请参见 原因二:处理步骤。
确定是否存在链路故障情况并联系网络服务商进行修复。
详细处理步骤请参见 原因三:处理步骤。
将高防 IP 回源段添加至防火墙、主机安全防护软件的白名单中进行放行,下面以 CentOS 6.5 操作系统的防火墙添加白名单为例:
service iptables status
如果控制台提示 Chain INPUT、Chain FORWARD 以及 Chain OUTPUT 项下没有任何规则条目,说明防火墙还未开启。cat /etc/sysconfig/iptables
根据业务需求,确保防火墙没有额外的黑白名单设置后,将防火墙开启,防止直接打开防火墙之后对业务造成影响。service iptables start
service iptables status
如果控制台提示 Chain INPUT、Chain FORWARD 以及 Chain OUTPUT 任意项显示规则条目,证明防火墙已经打开。Iptables -A INPUT -s 回源IP -j ACCEPT
iptables -nL --line-number
如果看到添加的防火墙规则在输出内容内,则代表添加成功。service iptables save
service iptables restart
将本地主机的解析结果修改为源站,来验证源站本身是否正常,首先修改本地 hosts 文件,具体操作如下:
C:\Windows\System32\drivers\etc
路径下的 hosts 文件www.qqq.com
,则添加:ipconfig /flushdns
命令,刷新本地的 DNS 缓存。查看源站流量、请求量是否有大量增长,同时对比高防 IP 管理控制台中的监控。服务器本身流量监控以 CentOS 系统为例,具体操作如下:
执行命令:iftop [-i interface](参数 -i 后跟的 interface 表示网络接口名,如 eth0、eth1 )
输出如下:对服务器硬件状态进行自查:查看源站服务器机房是否出现断电、网卡、 驱动、内存以及接线等物理硬件故障情况,及时更新或修复。
查看源站服务器的相关监控,CPU/内存的使用率、带宽的使用率等情况。
说明:
- 通常情况下 CPU 或者内存的使用率长时间超过90%,即可判断为状态异常。
- 带宽使用需要对比业务正常时期业务进程占用情况,查看是否有明显增长,可以参照 云服务器带宽使用率过高。
如有异常,进一步处理请您联系相关的技术人员或机房负责人员协助排查问题。
对服务器 Web 程序状态进行自查:使用ps -C nginx -o pid
命令查看服务器 nginx 进程是否正常运行。
如有异常需要联系服务器技术人员,针对源站服务器中 Apache、Nginx 等服务进行修复至业务正常状态水平。
对公网网络至源站服务器间链路质量,链路连通情况,中间网络设备转发情况等当面进行自查,确保此段链路连通性正常。
通过腾讯云拨测平台中的站点质量监控对源站 IP 和高防 IP 分别进行公网网络质量的检测和监控。
如果有公网网络质量不佳的情况,进一步需要联系所属运营商进行反馈处理。
本页内容是否解决了您的问题?