我正在尝试将 nginx 配置为作为两个应用程序的反向代理运行:Web 前端 (IIS) 和 .NET Core 后端 (Kestrel),它们都在 docker swarm 中运行。我正在将所有对 /api 的调用重写到后端以及对前端的所有其他调用。
在我当前的设置中,一切正常,直到我登录到应用程序。这使用了 IdentityServer OAuth/OpenID 身份验证服务,导致将 Authorization-header 添加到带有承载令牌的所有调用的请求中。一旦出现此标头,nginx 服务器就会从上游服务器返回超时。这发生在两台服务器上,如果我禁用 auth 标头的传递,nginx 可以正常工作并代理请求。对于前端这不是问题,因为它不需要标头,但后端显然不再起作用。奇怪的是,如果我在某个时候切断了标头(它是一个相当长的字符串),请求就可以工作,但显然我的后端服务返回 500,因为它不再是有效的令牌。
我一直在挠头试图找出问题所在,并且尝试了许多配置选项。看起来请求在 nginx 处停止了,因为代理后面的服务器在失败时甚至都没有收到请求。在 nginx 级别记录结果只是“上游超时(110:操作超时),同时从上游读取响应标头” - 错误甚至增加超时没有做任何事情,这对于没有授权的完全相同的请求是有意义的标题确实有效。
问题显然是由于我们正在运行一个带有 windows 和 linux 节点的混合集群。有一个与网络驱动程序相关的错误,奇怪的是,似乎很少有人遇到。当请求变得太大时,请求无法在 docker 网络内正确路由。这会导致 nginx 发出请求并等待永远不会出现的回复,因为请求永远不会到达上游服务器......