O Nginx ip_hash não faz o balanceamento de carga de conexões para o backend de meteoros

Navegue suas respostas
3

Não consigo fazer o nginx carregar as conexões internas com o ip_hash ativado. Eu preciso de sessões pegajosas como eu uso meteoro no backend com soquetes, mas todos os pedidos sempre atingem o mesmo backend.

O arquivo de log de acesso do nginx mostra os seguintes endereços IP: 

192.168.0.20 - - [xx/xxx/2017:xx:xx:xx +xxxx] "GET /favicon.ico HTTP/1.1"  404 5 "http://xxxx.lokal/" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36"
192.168.0.11 - - [xx/xxx/2017:xx:xx:xx +xxxx] "GET /sockjs/602/dpkl6lfe/websocket HTTP/1.1" 101 55045 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36"
192.168.0.208 - - [xx/xxx/2017:xx:xx:xx +xxxx] "GET /sockjs/031/cx1kml79/websocket HTTP/1.1" 101 1146677 "-" "Mozilla/5.0 (iPad; CPU OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Version/10.0 Mobile/14D27 Safari/602.1"

É porque eles são todos provenientes da mesma sub-rede 192.168.0. *? Se sim, como posso mudar esse comportamento?

Aqui está o meu arquivo de configuração: 

user  www;
worker_processes  4;
error_log  /var/log/nginx/error.log;

events {
 worker_connections  1024;
}

http {
    map $http_upgrade $connection_upgrade {
      default upgrade;
      ''      close;
    }

    upstream demo {
      ip_hash;
      server 127.0.0.1:5000;
      server 127.0.0.1:5001;
    }

    include       mime.types;
    default_type  application/octet-stream;
    access_log  /var/log/nginx/access.log;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
    ssl_prefer_server_ciphers on;
    tcp_nopush on;
    tcp_nodelay on;
    keepalive_timeout 65;
    types_hash_max_size 2048;

    gzip on;
    gzip_disable "msie6";

    server_tokens off; # for security-by-obscurity: stop displaying nginx version

     server {
          listen       80;
              server_name xxxx.lokal;

          location / {
            proxy_pass http://demo;
            proxy_redirect      off;
            proxy_set_header    Host              $host;
            proxy_set_header    X-Real-IP         $remote_addr;
            proxy_set_header    X-Forwarded-For   $proxy_add_x_forwarded_for;
            proxy_set_header    X-Forwarded-Proto $scheme;
            proxy_http_version 1.1;
            proxy_set_header    Upgrade           $http_upgrade; # allow websockets
            proxy_set_header    Connection        "upgrade"; 
            proxy_buffering     off;
            proxy_connect_timeout 43200000;
            proxy_read_timeout    43200000;
            proxy_send_timeout    43200000;

            if ($uri != '/') {
                expires 30d;
            }
    }
}
    
por user263367 18.03.2017 / 18:29

1 resposta

6

Sim, isso acontece porque ip_hash usa apenas os três primeiros octetos do endereço IP para selecionar o nó de back-end.

Você pode usar a diretiva hash $remote_addr; para fazer o nginx usar o endereço IP remoto completo para o hash. O lado negativo disso é que, se um nó ficar inativo, todos os mapeamentos de hash serão alterados e as sessões serão perdidas.

Mais informações sobre os métodos de seleção upstream podem ser encontradas em documentação do módulo upstream do nginx .

    
por 18.03.2017 / 22:38

Tags

Qual é o propósito de negar o tráfego de entrada específico em firewalls? por que um md5sum de um micro SD é diferente depois de montá-lo? [fechadas]