我正在面对我的networking服务器上的一个随机的502错误。
率 :0.5%
我的日志中出现错误 :SSL库错误:336151568错误:14094410:SSL例程:SSL3_READ_BYTES:sslv3警报握手失败
OpenSSL版本 :OpenSSL 1.0.0-fips 2010年3月29日
networking我无法发布图像,所以这是一个链接到我的networking的计划: http : //i.stack.imgur.com/oOOnL.jpg和与另一个主机相同的图像: http : //s28.postimg.org /q9012t8l7/error502.jpg
一些细节 :
我在tomcat 7.0.37上托pipeJEE应用程序
当有人试图连接到其中一个应用程序时,他连接到我的路由器的外部IP。 路由器将他redirect到我的DMZ。
DMZ上的Apacheconfiguration
<VirtualHost *:443> ServerName www.myapp.fr ServerAlias myapp.fr RedirectMatch ^/$ /CRA ProxyRequests Off SSLEngine on SSLProxyEngine on SSLCertificateFile /etc/ssl/certs/www.myapp.fr.pem ProxyPass / https://myapp.fr/ ProxyPassReverse / https://myapp.fr/ LogLevel info CustomLog "|/usr/sbin/rotatelogs /var/log/httpd/myapp.fr/SSL.myapp.fr_access.%Y-%m-%d.log 5M" combined ErrorLog "|/usr/sbin/rotatelogs /var/log/httpd/myapp.fr/SSL.myapp.fr_error.%Y-%m-%d.log 5M" </VirtualHost> Myapp.fr在/ etc / hosts中定义为192.168.1.51,一个networking服务器的IP
DMZ将ProxyPass用于此Web服务器。 此Web服务器用于ProxyPass到真正的应用程序服务器。
Web服务器上的Apacheconfiguration
<VirtualHost *:443> ServerName myapp.fr RedirectMatch ^/$ https://myapp.fr/Collaborateurs/ ProxyRequests Off SSLCertificateFile /etc/ssl/certs/www.myapp.fr.pem SSLProxyEngine On SSLEngine on ProxyPass /Collaborateurs/ https://ApplicationServer:8443/Collaborateurs/ ProxyPassReverse /Collaborateurs/ https://ApplicationServer:8443/Collaborateurs/ LogLevel info CustomLog "|/usr/sbin/rotatelogs ${APACHE_LOG_DIR}/myapp/SSL.myapp.fr_access.%Y-%m-%d.log 5M" combined ErrorLog "|/usr/sbin/rotatelogs ${APACHE_LOG_DIR}/myapp/SSL.myapp.fr_error.%Y-%m-%d.log 5M" </VirtualHost>
这是问题。 有时会在我的日志中出现一个随机错误,对应于用户的错误网关错误(502)。
来自/var/log/httpd/myapp.fr/SSL.myapp.fr_error.%Y-%m-%d.log的日志 :
[Mon Dec 23 08:58:31 2013] [info] Seeding PRNG with 136 bytes of entropy [Mon Dec 23 08:58:31 2013] [info] Initial (No.1) HTTPS request received for child 11 (server myapp.fr:443) [Mon Dec 23 08:58:31 2013] [info] [client 192.168.1.52] Connection to child 0 established (server myapp.fr:443) [Mon Dec 23 08:58:31 2013] [info] Seeding PRNG with 136 bytes of entropy [Mon Dec 23 08:58:31 2013] [info] [client 192.168.1.52] SSL Proxy connect failed [Mon Dec 23 08:58:31 2013] [info] SSL Library Error: 336151568 error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure [Mon Dec 23 08:58:31 2013] [info] [client 192.168.1.52] Connection closed to child 0 with abortive shutdown (server myapp.fr:443) [Mon Dec 23 08:58:31 2013] [error] (502)Unknown error 502: proxy: pass request body failed to 192.168.1.52:8443 (ApplicationServer.domain.lan) [Mon Dec 23 08:58:31 2013] [error] proxy: pass request body failed to 192.168.1.52:8443 (ApplicationServer.red.lan) from 10.0.0.2 ()
这里是相同的日志,当没有任何错误发生时:
[Mon Dec 23 09:08:30 2013] [info] Initial (No.1) HTTPS request received for child 8 (server myapp.fr:443) [Mon Dec 23 09:08:30 2013] [info] Initial (No.1) HTTPS request received for child 0 (server myapp.fr:443) [Mon Dec 23 09:08:30 2013] [info] [client 192.168.1.52] Connection to child 0 established (server myapp.fr:443) [Mon Dec 23 09:08:30 2013] [info] Seeding PRNG with 136 bytes of entropy [Mon Dec 23 09:08:31 2013] [info] Initial (No.1) HTTPS request received for child 3 (server myapp.fr:443) [Mon Dec 23 09:08:31 2013] [info] [client 192.168.1.52] Connection to child 0 established (server myapp.fr:443) [Mon Dec 23 09:08:31 2013] [info] Seeding PRNG with 136 bytes of entropy
我不明白为什么这个错误发生。 有没有人有一个想法? 谢谢你最终的领导 – 对不起我的坏英语:D
SSL代理连接失败意味着在SSL握手完成之前,您的Web服务器和您的应用程序服务器之间出现了某种networking错误。 如果不从networking获取数据包追踪(以及更多),确切解释为什么TCP连接失败几乎是不可能的。 我会寻找networking拥塞,或者在错误发生的时候,应用服务器上的负载非常高。
Hyper-V整合是个问题:
在代理服务器上更新Linux集成组件从3.4到3.5解决了它。