關(guān)于Nginx中虛擬主機的一些冷門知識小結(jié)
前言
nginx的虛擬主機,不知道大家了解不。以前吧,如果在nginx上要反向代理多個服務(wù),我一般是讓nginx監(jiān)聽多個不同端口,比如8080/8081,不同端口,反向代理到不同的服務(wù)。
server { listen 9981 so_keepalive=on; proxy_pass service1; } server { listen 9982 so_keepalive=on; proxy_pass service2; }
來了現(xiàn)在公司,發(fā)現(xiàn)這邊是基于域名(端口都是80)來反向代理到不同服務(wù),如下:
基于以上的nginx配置,域名a和b,分別代表了系統(tǒng)a和系統(tǒng)b,實際dns是指向同一臺nginx機器。當你用域名a訪問時,就會走上面的配置;域名b訪問時,就會走下面的配置。
對線上配置的一個小疑問
問題背景
我的一位同事,和我差不多時間入職,接手了一個幾年前的系統(tǒng),看到線上環(huán)境的nginx配置,表示有點懵,不知道how it works。
這里把這個問題,簡單描述下。
為了方便我這邊模擬,假設(shè)機器ip為10.0.0.6,機器上有個python腳本,會去訪問一個api:http://10.0.0.6:80 。
機器上的/etc/hosts如下:
[root@VM-0-6-centos nginx]# cat /etc/hosts ...... 10.0.0.6 bbbb.com
也就是說,訪問bbbb.com,就相當于訪問這臺機器了。
[root@VM-0-6-centos nginx]# ping bbbb.com PING bbbb.com (10.0.0.6) 56(84) bytes of data.
基于以上信息,這個api訪問本機的80,是會到本機的nginx(nginx監(jiān)聽80端口),nginx配置如下:
這個配置,基于我們對虛擬主機的了解,也就是說,訪問aaaa.com,就會到第一段的配置,aaaa.access.log里面就會有訪問日志;如果是訪問bbbb.com,就會到第二段的配置,bbbb.access.log就會有訪問日志。
但是,客戶端不按套路出牌啊,用的是,10.0.0.6:80/xx這樣的url來訪問該nginx,同時,/etc/hosts里面有配置bbbb.com指向本機,那么,大家覺得最終的訪問結(jié)果如何?
實測結(jié)果
結(jié)果是,訪問了aaaa那一段。
這。。。我們就有點想不通了,沒理由啊,為啥呢,why?不是不能接受結(jié)果,而是不知道為什么會這樣。
探索
排查網(wǎng)絡(luò)
按理說,用域名形式訪問,應(yīng)該才會去查看/etc/hosts文件和dns系統(tǒng),找到域名背后的ip;但是,按ip訪問,貌似java建立里面的socket底層實現(xiàn)利,也會有根據(jù)ip去獲取host的代碼(還導(dǎo)致一些超時問題之類的)。
所以,我們猜測,難道是,訪問10.0.0.6時,查看了/etc/hosts,把10.0.0.6轉(zhuǎn)換成了aaaa.com?但是,/etc/hosts里面只有把10.0.0.6轉(zhuǎn)換為bbbb.com的可能性吧?
本著不管三級二十一,先抓個包再說的想法,于是在nginx的80端口,開了個tcpdump:
[root@VM-0-6-centos ~]# tcpdump -i lo tcp port 80 -Ann
然后再次訪問:
[root@VM-0-6-centos nginx]# curl 10.0.0.6:80
抓包結(jié)果:
看到這邊host是 10.0.0.6.
這讓我開始懷疑,可能和/etc/hosts沒什么關(guān)系,問題應(yīng)該變成了:nginx在拿到上面這段http報文時,為啥要路由到aaaa.com那一段配置里面去。
排查nginx
怎么才能知道nginx做了啥呢,我們又沒有代碼,但是,好歹,我們還有shell 命令啊。 strace這個命令,可以查看一個進程的系統(tǒng)調(diào)用,還是比較好用的。
為啥要查這個?因為我懷疑是不是nginx拿到10.0.0.6后,把它轉(zhuǎn)成了域名,不過,轉(zhuǎn)的話,應(yīng)該也是轉(zhuǎn)換為bbbb.com。另外,這個命令有沒有用,我也不確定,因為該命令只能看這個進程發(fā)起了哪些系統(tǒng)調(diào)用(不是java里的rpc),而是對內(nèi)核發(fā)起的系統(tǒng)調(diào)用(system call)。萬一,ip轉(zhuǎn)域名的部分,沒有通過系統(tǒng)調(diào)用實現(xiàn)的話,那這個命令就失效了。
不過還是試試?
先拿到了nginx的worker進程的pid:8845
[root@VM-0-6-centos nginx]# ps -ef|grep nginx root 610 1 0 12:15 ? 00:00:00 nginx: master process ./nginx nobody 8845 610 0 13:13 ? 00:00:00 nginx: worker process
再開啟一個strace:
[root@VM-0-6-centos ~]# strace -p 8845 -s 1024 -q -f -v -e trace=network
結(jié)果如下:
好像只有接收網(wǎng)絡(luò)請求的系統(tǒng)調(diào)用(recvfrom),系統(tǒng)調(diào)用,大家可以拿這個函數(shù)名去網(wǎng)上查。
此時,排查陷入了僵局,于是,我只能提議,我先回座位上找找nginx相關(guān)資料。
然后就開始在網(wǎng)上查,運氣也還不錯,就找到了:
https://docs.nginx.com/nginx/admin-guide/web-server/web-server/
上面這段話,大概就是說,虛擬主機的匹配,是通過取req報文里的host字段,來和nginx.conf中server里的server_name做匹配,
因為server_name可以是通配符之類的,所以這里有個優(yōu)先級,完全匹配》模糊匹配。
上圖的最后那幾行,就是關(guān)鍵了:
如果完全沒匹配上(我們這里就是,拿了個ip來匹配,然而nginx.conf里配置的是aaaa.com和bbbb.com),就會路由到這個端口的默認server。默認server是哪個呢,就是:nginx.conf里端口為80的、且寫在第一個的server。
ok,打完收工。
總結(jié)
知識點可能很小,但排查也比較麻煩,因為線上環(huán)境不好動,然后配置的域名其實不止兩個,有7/8個,中間繞的路比上面其實還多一點。
不過這邊的大概思路是這樣的,希望對大家也有一點點幫助。
相關(guān)文章
Nginx流量同時轉(zhuǎn)發(fā)多后端(流量鏡像分發(fā))
在需要同時將請求轉(zhuǎn)發(fā)至多個后端服務(wù)的場景中,Nginx的mirror模塊提供了流量鏡像分發(fā)的功能,本文就來介紹一下Nginx流量同時轉(zhuǎn)發(fā)多后端(流量鏡像分發(fā)),感興趣的可以了解一下2024-10-10