我们收到一些投诉,称有些用户白天无法访问该网站。不知怎么的,他们看到了维护页面。当我们检查 haproxy 日志时,我们发现所有 503 错误的请求的源 ip 都是 ipv6。我们没有 AAAA dns 条目。
我检查了 waf 和防火墙 wan 规则。还检查了服务器日志。请求未转发到后端服务器。
示例日志: [ <131>Nov 16 14:59:33 HaProxy haproxy[54113]: 2001:4860:7:631::e0:60332 [16/Nov/2022:14:59:33.173] HTTPS_443-Balance~ HTTP_80_443_ipv4/IIS-03 0/0/-1/-1/0 503 2695 - - SC-- 153/147/5/0/0 0/0 "GET https://example.com/path HTTP/2.0" ]
答案1
源 IP 地址在日志中,您的 haproxy 通过 IPv6 获得了一些信息。因此,您的 CDN 路由到您是有效的。
正如评论中提到的那样,对于haproxy“SC”终止状态与服务器意外中止的 TCP 会话有关。使后端支持 IPv6 将使此操作可行,而无需对 CDN 或负载均衡器进行任何更改。或者至少容忍 http 标头中的 IPv6 地址(假设 haproxy 处于 http 模式)。
关于谁和什么客户端突然具备 IPv6 功能,研究前缀有时会很有启发。该 IPv6 地址的最后一组数字太长,但前缀由 Google 管理,显然是为了Google Chrome 预取代理。Google 和 Cloudflare 为其用户启用了 IPv6,因此您可以获得 IPv6 地址。