V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  BD7JHH  ›  全部回复第 1 页 / 共 1 页
回复总数  12
135 天前
回复了 ariasigh 创建的主题 云计算 阿里云 DCDN 自动化 Let's Encrypt SSL 证书
@yuzo555 DNS 验证可以签发泛域证书,HTTP 的好像不行。

我是自己做了个集中签发管理的东西,把所有要签发的域名做了个统一管理,用的是 DNS 模式的签发。
签发后的证书统一保存,然后做了了证书同步客户端,分别有 2 个功能:
1 、自动同步证书到指定目录( NGINX/APACHE 之类的配置好证书文件),证书一旦更新后,就 systemctl reload nginx
2 、根据需要(配置),向 DCDN 自动更新证书。

自从有了这个客户端,相同域名下的各个子域名,就算分布在不同的服务器,都能使用同一套证书,而且主控一更新,客户端跟着统一更新了。现在用得很舒服。
目前状态:
开启 2.0 架构的,目测真的不会产生高频健康检查访问
但同时好像非 2.0 架构的情况下,如果不添加备用回源 IP ,好像也不会产生高频访问。这个在持续观察中
@dorothyREN 这个回源 http 确实不会产生这个问题,之前其他域名的配置就是回源 HTTP 。只不过现在考虑的还是回源 HTTPS
@wushenlun 回源 HOST 也有 回源 SNI 也填写了
目前更新:
阿里云售后打电话给我了,说让我新开 1 个域名,然后单独的把新的域名打开 2.0 架构,看看是否存在问题。

同时目前的工单继续处理中,说是已经提升级别了。看后续吧~~
@Shiroka 不是 2.5 秒,我遇到的是 1 秒好多次,而且是多个节点都同时做高频请求。3 小时,10W 次的健康检查。

单主 和 主备,都一样
@yinmin 如果配置为真实证书,这好像违反了默认站点禁止访问的原则。
我曾经试过使用自签证书作为默认站点的证书,这时候报错信息没有了,但如果打开 debug 级别的,还是看到高频访问。

如果使用 empty ,改成 404 甚至 200 都没用,因为是在 SSL 握手阶段就报错,然后就断开了。
如果使用自签证书,证书无效也会断开的。

基本的问题不在于状态码,而在 SSL 握手阶段,而再进一步说,健康检查高频请求不带业务域名,这是后端健康检查的业务逻辑有问题。

客户配置了所有可以配置的回源域名,回源 SNI ,那健康检查应该遵循业务配置进行健康检查。而不是自己萌生出 1 个非正常请求。
@wy315700 源站是填 IP ,端口选 443 ,已设置回源域名,已设置回源 SNI 域名。
如果源站不填 IP ,填源站域名,那不就是死循环了?加速域名和源站域名是同 1 个域名,然而加速域名配了 CNAME ,如果源站也配成相同域名,不就死循环了?

源站走 SSL 目前感觉不到速度影响,CDN 加速主要是对静态资源进行缓存(所以源站是 SSL 并不会影响内容缓存加速)

源站走 SSL 的目的是在源站和 DCDN 节点间的通讯也加密

按用户端的理解,既然是健康检查,为什么不走带域名的健康检查,而直接请求和加速域名不相关的请求?
@wy315700 但阿里云的 DCDN 源站健康检查(源站运行情况)是绿色的“健康”。
也就是阿里云自己给出的源站健康报告没有问题。

同时这个健康检查请求,只是在 SSL 握手阶段就产生错误,并关闭连接了。并没有到状态码的环节。

就是 SSL 握手,证书不对,就关闭了连接。

问题不在于证书对不对,而是健康检查为什么不带回源域名进行访问?而去直接访问 IP 。
2020-05-12 19:38:55 +08:00
回复了 GeekSky 创建的主题 问与答 如何在不关闭 SElinux 的情况下更改 MySQL 的端口?
查看 SELINUX 端口授权
semanage port -l |grep mysql

添加端口授权(假设添加 33306)
semanage port -a -t mysqld_port_t -p tcp 33306

删除端口授权(假设删除原默认端口 3306)
semanage port -d -t mysqld_port_t -p tcp 3306
2016-07-27 06:15:17 +08:00
回复了 akw2312 创建的主题 宽带症候群 電信連 IDC 機房都開始搞 HTTP 劫持?
另外, 暂时目测, 好像是直接 IP 地址访问, 才会缓存, 带域名的不会缓存. 有谁试出来通过域名访问都缓存了吗?

这样会缓存
http://116.251.211.xxx/xxx.zip

这样不会缓存
http://www.xxxxxxx.com/xxx.zip
2016-07-27 06:07:27 +08:00
回复了 akw2312 创建的主题 宽带症候群 電信連 IDC 機房都開始搞 HTTP 劫持?
其实这个可以说是恶意劫持了. 比 DNS / 直接 RESET 什么的, 高端多了. 因为...这样其实可以完全在缓存服务器内直接修改内容后再返回, 比如普通的 http 明文信息, 你看到有 1000 积分, 经过缓存服务器就直接改成 2000 积分, 或者 0 积分.
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2785 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 17ms · UTC 14:51 · PVG 22:51 · LAX 06:51 · JFK 09:51
Developed with CodeLauncher
♥ Do have faith in what you're doing.