记录常见的配置问题
检查访问请求有没有真实经过雷池
如果按照指引配置了站点,但配置的网站无法访问
优先搜索访问网站时请求对应的错误码,根据错误码提示进行排查
梳理问题可能存在的几个原因:
配置站点错误,ip 错误、端口冲突等
雷池端与配置的站点网络不通
访问雷池配置的站点端口网络不通,对于雷池端已配置的端口没有被开放访问(防火墙、安全组等)
同时存在其他错误的配置可能会导致新的配置一直不生效,检查有没有存在其他错误的配置
雷池本身的状态不正常,使用 docker ps 检查容器状态
雷池本身默认的反向代理配置与源站需求的配置不匹配,需要手动调整雷池的反响代理配置
注:还可以结合safeline-mgt和safeline-tengine两个容器的日志帮助排查
明确 “网站无法访问” 的具体表现:
如果 502 Bad Gateway tengine
:
大概率是是雷池的上游服务器配置不正确,或者雷池无法访问到上游服务器,请继续按下面步骤排查。
如果请求能够返回但是十分缓慢
确认服务器负载是否正常,检查服务器的 CPU、内存、带宽使用情况
在客户端执行命令,检查雷池服务器与上游服务器的网络:curl -H "Host: <雷池 IP>" -vv -o /dev/null -s -w 'time_namelookup: %{time_namelookup}\ntime_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n' http://<上游服务器地址>
如果不是以上情况,继续下一步
在客户端执行 curl -v -H "Host: <域名或者IP>" http://<雷池 IP>:<雷池监听端口>
。如能获取到业务网站的响应,如图,并且站点的 “今日访问量” +1,说明雷池配置正确,网络正常
如果浏览器无法访问,但这一步正常获取到响应,大概率是因为:
http(s)://<雷池 IP>
,恰好业务服务上有 Host 验证,所以拒绝了该请求。这种情况需要修改本机 host,把域名解析到雷池 IP,再访问 http(s)://<域名>
,才能准确测试在雷池设备上执行 curl -v -H "Host: <域名或者IP>" http://<雷池 IP>:<雷池监听端口>
。如能获取到业务网站的响应,并且站点上 “今日访问量” +1,说明雷池配置正确
在雷池设备上执行 curl -H "Host: <域名或者IP>" http://127.0.0.1:<雷池监听端口>
。如能获取到业务网站的响应,并且站点的 “今日访问量” +1,说明雷池配置正确
telnet <雷池 IP> <雷池监听端口>
返回 Unable to connect to remote host: Connection refused
,可能是被雷池设备上的防火墙拦截了。在雷池设备上执行 netstat -anp | grep <雷池监听端口>
确认端口监听情况。正常情况下,应该有一个 nginx 进程监听在 0.0.0.0:<雷池监听端口>
。
在雷池设备上 curl -H "Host: <域名或者IP>" <上游服务器地址>
。如能获取到业务网站的响应,说明雷池设备和站点网络没有问题
如果步骤 4 失败而这里成功,可能是配置错误,查看配置站点教程确认配置是否正确,如无法解决,请通过社群或者 Github issue 提交反馈,附上排查过程
如果这步失败,说明雷池和上游服务器之间的网络存在问题。请排查网络,确保雷池可以访问到上游服务器
检查是否形成了环路,即:雷池将请求转发给上游服务器后,上游服务器又将请求转发回雷池。
重新修改配置后再次测试
抓包对比过waf和不过waf的请求区别,是否雷池的反代转发内容出现变化
如果服务器有请求严格校验,可以手动修改雷池的nginx,参考下文的自定义修改nginx、
注意:雷池界面操作可能导致某些自定义被覆盖重置
报错信息“nginx: [emerg] duplicate listen options for 0.0.0.0:80 in /etc/nginx/sites-enabled/IF_backend_4:10\nnginx: configuration file /etc/nginx/nginx.conf test failed\n: exit status 1”
主要是说明当前的配置与原有的配置冲突了,比如原有的站点使用80端口监听所有的域名
再次配置一个使用80监听所有域名就会报错,这里第二个80监听配置指定域名即可
报错信息 “listen tcp :80: bind: address already in use”
主要是说明配置的端口已经被其他非雷池的程序占用,比如例子中的被其他占用了80端口
找到占用80端口的程序,切换成其他端口,重新配置站点即可
参考技术文档修改面板相关程序的端口占用
因为面板启用站点本身会占用80和443端口,所以需要专门调配置(不推荐)
调配置较复杂,可参考下文
宝塔面板部署雷池社区版教程
1panel部署雷池社区版教程
有些防火墙可能对网络有拦截,默认使用雷池不需要关闭防火墙,配置对应的开放规则即可
系统防火墙的配置修改比较麻烦,且有技术门槛,图方便可以直接关闭防火墙
Ubuntu 18.04 LTS 、 Ubuntu 20.04 LTS 、 Ubuntu 22.04 LTS
Debian 9 (Stretch)、Debian 10 (Buster)、Debian 11 (Bullseye)
关闭防火墙命令(UFW):sudo ufw disable
注:Debian 默认可能不安装 UFW,依赖于 iptables。
CentOS 7、CentOS 8、RHEL 7、 RHEL 8、Fedora 32、 Fedora 33、Fedora 34
关闭防火墙命令(Firewalld):sudo systemctl stop firewalld && sudo systemctl disable firewalld
openSUSE Leap 15.2、openSUSE Leap 15.3
关闭防火墙命令(通常是 SuSEfirewall2 或 firewalld):
1.SuSEfirewall2, 使用 sudo SuSEfirewall2 stop
2.firewalld, 使用 sudo systemctl stop firewalld && sudo systemctl disable firewalld