Nginx 反向代理腾讯云 COS 的一个坑

有一个朋友开发的手机 app,把大量文件都保存在腾讯云 COS 上,然后通过 CDN 分发。

最近有一个特殊的需求,希望通过 CVM 来提供部分 COS 文件的访问。因为服务器用的是 Nginx ,所以事情也很简单:

1、 到COS的管理页面上查询一下内网访问域名。

2、 给 nginx 增加一个标准的 upstream 配置,上游指向腾讯云 COS 的内网域名。

照理说,配置好域名解析就可以开始工作了。但是一开始工作就出现很奇怪的现象:下载开始很快,随后变得很慢,最终有很大概率失败。

首先排除网络原因的可能性。登录服务器用 wget 通过访问本机 localhost 验证:

现象就是前面都下载的飞快,到了最后一部分就突然下载不动了。

打开 nginx 的 error_log,发现了 upstream timed out (Connection timed out) 错误。

再排除 COS 有问题的可能性:

现在问题就很诡异了:上游没有问题,经过反向代理后文件的前面一大部分也都没有问题,就是最后一小截文件要等待很久很久,并且发生了 upstream timed out 超时。

通过肥龙找到了熟悉nginx的ares同学协助抓包,才定位到了这个问题:

这里的 UA 是 wget,wget 默认使用的是 http1.0 协议。当前服务器使用的 nginx 是1.0.15这个比较古老的稳定版,还不支持 proxy_http_version 1.1这样的参数(要到1.1.4版本以后才支持)。所以也是采用http1.0协议代理了请求。

照理说 innercos 服务接到这样的请求应该按照 http1.0 的方式返回数据,但是我们看到服务器返回了 HTTP/1.1 200 OK 。也就是说不管客户端支持什么 http 版本 cos 服务总是用 http1.1协议来工作。

http1.1有一个重要的特性是 keep-alive,也就是说 http 数据传输完毕后 TCP 连接继续保持一段时间不断开,可以给后续的 http 请求重用。而 http1.0的客户端原则上并不知道 http1.1的这套原理。所以对于这个老版本的 Nginx 来讲,它收到完整的数据以后,看到 TCP 链接一直没有断开,以为 upstream 还有话说,就一直挂在那里,等上游继续送数据,直到上游连接超时,才在 error_log 里面记录一个 timed out 错误,然后断开下游的连接。

把 proxy_buffering 关掉让上下游直接对上话可以绕过这个问题,但是有附带的损失。更好的办法是把nginx升级到1.1.4以上的版本,并且开启proxy_http_version 1.1 。

至此圆满解决。

总结一下,腾讯云COS的后台服务假设客户端都支持http1.1协议,对http1.0协议没有做很好的兼容,而腾讯云CVM提供的带Nginx的系统镜像里面的Nginx版本又有点儿老旧了,proxy还只能工作在http1.0上,导致了这个问题的出现。

续集

这样做还有可能带来的一个副作用是,媒体文件用Safari浏览器播放的时候会变成“实时广播”模式

也就是说不显示总长度,不显示进度条,无法前进后退,只能顺序播放。

正常的媒体问题件应该是这样的:

这个问题在Stack Overflow上有网友分析过:

It appears that Safari doesn`t trust a server when it says it can provide partial content: Safari (or technically Quicktime I think) requests bytes 0-1 of a file with a range header like this:

Range: bytes=0-1

as its first request to the file. If the server returns the whole file - it treats the file as a 'stream', which has no beginning or end.

看起来safari并不信任服务器送出的内容是一个文件,自己要先请求一下文件的头两个字节看看。如果头两个字节不能正确返回,就断定服务器在进行“实时广播”。

在这种回源访问方式下,由于COS本身是支持分段下载的,所以nginx回源到COS服务器的时候,服务器总是会返回一个Content-Range: bytes 0-xxxx/xxxx 表示整个文件是作为一个大分段返回的。而Nginx发现用户请求的是头两个字节,字节也要返回一个Content-Range: bytes 0-1/xxxx 的http头部。此时nginx发现源服务器输出了同名的http头,就采取了一个最简单的处理策略:把两个头部合并一下,返回了这样一个自相矛盾的http头部:

Content-Range: bytes 0-xxxx/xxxx,bytes 0-1/xxxx

这样在safari浏览器看起来当然是一个“乱来”的服务器,于是safari果断决定吧这个服务器当成是直播服务,进入“实时广播”模式。

解决的方案也很简单,在nginx配置文件中吧来自源服务器的Content-Range头部隐藏掉:

proxy_hide_header Content-Range;

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Linux驱动

第3阶段——内核启动分析之make menuconfig内核配置(2)

目标: 分析make menuconfig内核配置过程 在上1小结中(内核编译试验)讲到了3种不同的配置: (1)通过make menuconfig 直接从头到...

1829
来自专栏大数据-Hadoop、Spark

day3-Akka实现RPC通信框架

代码: https://github.com/cyofeiyue/MyRPC 1.Akka配置信息 //Master akka.actor.provider ...

3298
来自专栏电光石火

一种简单的数据库性能测试方法

1.创建一个测试计划,将我们所使用的数据库驱动包导入。 ? 2.添加一个线程组,并设置我们的虚拟用户数、启动时间、和循环次数 ? 3.创建一个线程...

1778
来自专栏云计算教程系列

如何在Ubuntu 14.04上使用Hexo创建博客

Hexo是一个基于Node.js的静态博客框架。使用Hexo,您可以以博客文章的形式发布Markdown文档。博客帖子和内容被处理并转换为HTML / CSS,...

640
来自专栏Java学习网

Linux 守护进程的启动方法

Linux 守护进程的启动方法 “守护进程”(daemon)就是一直在后台运行的进程(daemon)。 本文介绍如何将一个 Web 应用,启动为守护进程。 ? ...

2877
来自专栏bboysoul

我的世界游戏服务器搭建

搭建我的世界服务器首先要用到的软件是craftbukkit或者spigot,这里我们使用craftbukkit-1.11.2.jar 因为服务器软件是1.11...

912

在Debian 7上安装PocketMine服务器

PocketMine是适用于我的世界Android和iOS版本的第三方服务器。该服务支持插件,允许您与其他人自定义游戏。本指南详细介绍了在运行Debian 7的...

914
来自专栏电光石火

一种简单的数据库性能测试方法

1.创建一个测试计划,将我们所使用的数据库驱动包导入。

1807
来自专栏Linux驱动

第3阶段——内核启动分析之make menuconfig内核配置(2)

目标: 分析make menuconfig内核配置过程 在上1小结中(内核编译试验)讲到了3种不同的配置: (1)通过make menuconfig 直接从头到...

1925
来自专栏蛋未明的专栏

Nginx+Apache+PHP超时时间设定

1316

扫码关注云+社区