nginx 反向代理 504 的问题

› NGINX

› NGINX Trac

› 3rd Party Modules

› Security Advisories

› CHANGES

› OpenResty

› ngx_lua

› Tengine

在线学习资源

› NGINX 开发从入门到精通

NGINX Modules

› ngx_echo

This topic created in 912 days ago, the information mentioned may be changed or developed.

环境：

有阿里云服务器 1 台称为 A ，腾讯云服务器 1 台称为 B

A 的公网 ip 记为：x

nginx 部署在 B ，服务跑在 A 代理配置如图，proxy_pass ip 配置为 x

问题描述：

通过 nginx 请求 A 上的接口，返回 504 超时,error 日志如下

upstream timed out (110: Operation timed out) while reading response header from upstream

在 B 上直接用 x:port 去访问 A 的接口能正常返回
使用 tailscale 组建一个网络，将 proxy_pass 中的 id 替换为 A 在 tailscale 中的 ip ，则一切正常,nginx 可以正常访问

也就是仅当 proxy_pass ip 配置为 A 的公网 ip 时，通过 nginx 访问不到服务，返回超时，tcpdump 显示 A 没有产生任何来自 B 的链接

有没有人解答下这是什么原因呢？

9 replies • 2023-11-17 12:39:39 +08:00

julyclyde

Nov 16, 2023

那你在 nginx 上 tcpdump 看看啊

litchinn

Nov 16, 2023

nginx 上 tcpdump 看到 destination 变成了 B 的 ip(也就是 nginx 自己的)，这应该是 504 的原因，但是这问题看起来更诡异了

julyclyde

Nov 16, 2023

@litchinn 你 proxy_pass 后边打马赛克那地方是写的域名吧？

litchinn

Nov 16, 2023

@julyclyde 不是，写的是 A 的公网 ip x

如图可以看到 upstream 确实是 A 的公网 ip ，并且这个 url 直接复制下来在 nginx 的服务器上请求没问题

yinmin

Nov 17, 2023

server_name 的域名在阿里云做过 ICP 备案吗？

yinmin

Nov 17, 2023

proxy_set_header 会发送域名信息，如果没有 ICP 备案会被拦截的。

litchinn

Nov 17, 2023

@yinmin server_name 的域名是腾讯云的，是解析到服务器 B ，也就是腾讯云的服务器上的，做过备案

yinmin

Nov 17, 2023 via iPhone

@litchinn 需要在阿里云也做 icp 备案的，否则 nginx 无法连接阿里云的 http server ，除非你移除 proxy_set_header 参数

julyclyde

Nov 17, 2023

@litchinn 你在 B 上执行 tcpdump 看到的 dest=B 是不是浏览器发来的请求啊？
需要抓 nginx 发出去的请求才对
应该是 TCP 连接建立不成功的情况，只有 SYN 没有 ACK