En Nginx, ¿qué hace mecánicamente la directiva de resolución para evitar errores y advertencias?

tag-icon tag-icon nginx domain-name-system internal-dns
En Nginx, ¿qué hace mecánicamente la directiva de resolución para evitar errores y advertencias?

Ambiente:Nginx, Nodo.js

He leído elDocumentos de Nginx en Resolver, entiendo que se usa para DNS y lo incluyo en mi configuración. Sin embargo, no entiendo del todo qué está haciendo ni cuándo y por qué lo necesito.

En la configuración simplificada a continuación, cuando enciendo los servidores nginx y node.js y solicito páginas en el navegador, todo funciona como se esperaba y no se generan advertencias ni errores. Las direcciones IP que estoy usando resolverson los servidores DNS públicos de Google.

http {

    resolver 8.8.8.8 8.8.4.4 [2001:4860:4860::8888] [2001:4860:4860::8844];

    server {

        listen 443 ssl http2;
        listen [::]:443 ssl http2;

        server_name example.com;

        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem;

        root /srv/example/views/public;

        ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

        location / {
            proxy_pass http://127.0.0.1:8080;
        }

    }

}

Sin embargo, cuando elimino resolver 8.8.8.8 8.8.4.4 [2001:4860:4860::8888] [2001:4860:4860::8844];el inicio de los servidores y solicito páginas, aparece una advertencia en mi error.log. Al mismo tiempo, todo funciona bien en el navegador y no se envía ningún error o advertencia al cliente.

2020/12/11 20:04:24 [advertencia] 1191#1191: no hay ningún solucionador definido para resolver r3.o.lencr.org mientras se solicita el estado del certificado, respondedor: r3.o.lencr.org, certificado: "/etc/ letsencrypt/live/example.com/fullchain.pem"

Es bastante fácil mantener la referencia a los servidores DNS de Google como mi resolvervalor y evitar la advertencia, pero no estoy del todo seguro de lo que está sucediendo. Como no sé qué hace esta directiva, no estoy del todo seguro de si los servidores DNS de Google son la opción correcta. Creo que solo lo necesito resolversi también uso la proxy_passdirectiva, pero no estoy del todo seguro de ello.

Pregunta:¿Qué está haciendo el solucionador y cuándo se llama o no? Entiendo que está realizando DNS pero no estoy seguro de cuándo ni por qué.

Respuesta1

Usted solicitó ssl_stapling, lo que requiere comunicarse con el respondedor OCSP que figura en su certificado TLS. Se necesita A resolverpara obtener la dirección IP de su nombre.

información relacionada