Hemos recibido quejas de que algunos usuarios no pueden acceder al sitio durante el día. De alguna manera ven la página de mantenimiento. Cuando examinamos los registros de haproxy, vimos que todas las ips de origen de las solicitudes de error 503 son ipv6. No tenemos una entrada dns AAAA.
Revisé las reglas wan de waf y firewall. También revisé los registros del servidor. Las solicitudes no se reenvían a los servidores backend.
un registro de ejemplo: [ <131>16 de noviembre 14:59:33 HaProxy haproxy[54113]: 2001:4860:7:631::e0:60332 [16/Nov/2022:14:59:33.173] HTTPS_443-Balance~ HTTP_80_443_ipv4/IIS-03 0/0/-1/-1/0 503 2695 - - SC-- 153/147/5/0/0 0/0 "OBTENER https://example.com/path HTTP/2.0" ]
Respuesta1
Hay una dirección IP de origen en los registros, su haproxy obtuvo algo a través de IPv6. Entonces su enrutamiento CDN hacia usted está funcionando.
Como se menciona en los comentarios, paraestado de terminación haproxy "SC"se relaciona con una sesión TCP cancelada inesperadamente por el servidor. Hacer que sus backends sean compatibles con IPv6 hará que esto funcione, sin ningún cambio en su CDN o balanceador de carga. O al menos tolerante con las direcciones IPv6 en los encabezados http, suponiendo que haproxy esté en modo http.
En cuanto a quién y qué cliente es repentinamente compatible con IPv6, investigar el prefijo a veces resulta esclarecedor. El grupo del último dígito de esa dirección IPv6 es demasiado largo, pero elEl prefijo es administrado por Google., aparentemente paraProxy de captación previa de Google Chrome. Google y Cloudflare activan IPv6 para sus usuarios, por lo que sí, obtienes direcciones IPv6.