Nginx не выполняет proxy_pass на внешний IP.

Содержание

Вопрос или проблема
Ответ или решение
1. Основные проблемы с сетевым соединением
2. Настройки Nginx
3. Проблемы с IPTables или другими способами фильтрации
4. Логирование и отладка
5. Обратите внимание на DNS
Заключение

Вопрос или проблема

У меня есть два контейнера OpenVZ, работающих на CentOS 7.9 на двух разных серверах, подключенных по локальной сети. Первый из них запускает мое бэкенд-приложение, а второй я хочу запустить nginx (nginx/1.27.0) в качестве обратного прокси для этого приложения. У первого контейнера IP 192.168.168.1, а у второго – 192.168.168.2. Так что я пытаюсь запустить nginx и настроить location с директивой “proxy_pass” на 192.168.168.1.

Но у меня это не работает. Если я использую для директивы proxy_pass любой из IP-адресов второго контейнера (где работает nginx), например 127.0.0.1, 192.168.168.2 или мой IP-адрес из WAN-соединения – это работает. Конечно, это работает с копией приложения, которую мне нужно запустить на втором контейнере для тестирования.

Но когда я меняю целевой адрес для директивы “proxy_pass” на 192.168.168.1 или WAN IP из моего первого контейнера, это не работает.

Я получаю ошибку Bad Gateway. Интересно, что при отключенных фаерволах я не вижу с помощью tcpdump ни одного пакета, который nginx должен попытаться отправить на указанный адрес. Похоже, что nginx просто не принимает никакой иностранный IP-адрес в качестве цели здесь.

Возможно, я что-то упустил, но мне не удалось найти никаких подсказок в логах nginx и документации.

Чтобы убедиться, что у меня нет заблокированных портов или чего-то подобного, я запустил на втором контейнере (где работает nginx) простой прокси с следующими параметрами:

simpleproxy -L 127.0.0.1:8011 -R 192.168.168.1:8012

Он слушает на порту 8011 и проксирует запросы на порт 8012 на мой первый контейнер, где находится мое приложение. Затем я дал nginx целевой адрес для proxy_pass 127.0.0.1:8011, и все работает отлично.

Часть моей конфигурации nginx:

upstream dev02_relay {
     server 192.168.168.1:8012 fail_timeout=10s; #это не работает
     #server 127.0.0.1:8011 fail_timeout=10s;
 }

location / {

                proxy_cache dev02-relay;
                proxy_cache_valid  200 302  5m;
                proxy_cache_valid  404      1m;

                proxy_cache_use_stale error timeout updating http_500 http_502 http_503 http_504;

                proxy_pass            http://dev02_relay;
                proxy_read_timeout    90;
                proxy_connect_timeout 90;
                proxy_redirect        off;
                proxy_set_header      Host $host;
                proxy_set_header      X-Real-IP $remote_addr;
                proxy_set_header      X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header      Proxy "";

                add_header X-Cache-Status $upstream_cache_status;

            }

Ответ или решение

Предоставляя решение для вашей проблемы с проксированием Nginx к удаленному IP-адресу, давайте проанализируем ситуацию более детально, основываясь на предоставленных вами данных. Вы столкнулись с ошибкой "Bad Gateway", пытаясь настроить Nginx в качестве обратного прокси для вашего бэкенда, который работает на другом OpenVZ контейнере.

1. Основные проблемы с сетевым соединением

Первое, что стоит проверить — это сетевое взаимодействие между двумя контейнерами. Вам нужно убедиться, что контейнер с Nginx может достичь контейнера с вашим приложением. Попробуйте выполнить следующее:

Проверьте сетевое соединение: Используйте команду ping 192.168.168.1 для проверки доступности первого контейнера с 192.168.168.2. Если ответ не получен, это может указывать на проблемы с маршрутизацией или сетевыми настройками.
Проверьте маршруты: Используйте команду route -n или ip route show, чтобы убедиться, что маршруты настроены корректно.

2. Настройки Nginx

Ваша конфигурация Nginx в целом выглядит корректно. Однако можно внести небольшие изменения:

Убедитесь, что вы используете правильный протокол в proxy_pass. Например, если ваше приложение работает по HTTP, ваш proxy_pass должен выглядеть как proxy_pass http://dev02_relay;.
Убедитесь, что порт, на котором прослушивает ваше приложение, действительно открыт и доступен. Ваша конфигурация upstream указывает на 192.168.168.1:8012, убедитесь, что приложение действительно слушает на этом порту.

3. Проблемы с IPTables или другими способами фильтрации

Вы упомянули, что отключили файрволы, однако стоит убедиться, что никаких других средств фильтрации трафика (например, Selinux) не ограничивают доступ к нужным портам.

Проверка iptables: Даже если вы отключили файрвол, стоит убедиться, что нет активных правил, которые случайно блокируют доступ:
```
iptables -L -n -v
```
Selinux: Если Selinux включен, попробуйте временно отключить его для проверки:
```
setenforce 0
```

4. Логирование и отладка

Также рекомендуем включить более детальное логирование в Nginx, чтобы получить дополнительные сведения о том, почему происходит ошибка 502:

error_log /var/log/nginx/error.log debug;

Это позволит вам увидеть, какие именно запросы идут к вашему бэкенду и почему они не выполняются.

5. Обратите внимание на DNS

Если вы используете DNS-имена вместо IP-адресов, убедитесь, что их разрешение происходит корректно и они указывают на правильные подсети.

Заключение

Вышеуказанные шаги помогут вам провести диагностику проблемы. Проверьте все описанные аспекты, чтобы обеспечить корректное соединение между контейнерами. Если проблема сохранится, рассмотреть возможность использования инструментов для отладки, таких как tcpdump, чтобы анализировать сетевой трафик и подтвердить отправку и получение пакетов между контейнерами.

Если у вас возникнут дополнительные вопросы или потребуется более детальная помощь, не стесняйтесь обращаться!