Ошибка 502 — Случайная ошибка библиотеки SSL: 336151568 ошибка:14094410

tag-icon tag-icon apache-2.2 ssl tomcat centos6 502-error
Ошибка 502 — Случайная ошибка библиотеки SSL: 336151568 ошибка:14094410

Я сталкиваюсь со случайной ошибкой 502 на моих веб-серверах.

Ставка: 0,5%

Ошибка в моих журналах: Ошибка библиотеки SSL: 336151568 ошибка: 14094410: процедуры SSL: SSL3_READ_BYTES: ошибка подтверждения оповещения sslv3

Версия OpenSSL: OpenSSL 1.0.0-fips 29 марта 2010 г.

Сеть Я не могу публиковать изображения, поэтому вот ссылка на схему моей сети: https://i.stack.imgur.com/oOOnL.jpg и то же изображение с другим хостером:http://s28.postimg.org/q9012t8l7/error502.jpg

Некоторые подробности:

Я размещаю приложения JEE на Tomcat 7.0.37

Когда кто-то пытается подключиться к одному из этих приложений, он подключается к внешнему IP моего роутера. Роутер перенаправляет его в мою DMZ.

Конфигурация Apache в DMZ

<VirtualHost *:443>
  ServerName www.myapp.fr
  ServerAlias myapp.fr
  RedirectMatch ^/$ /CRA
  ProxyRequests Off

  SSLEngine on
  SSLProxyEngine on
  SSLCertificateFile /etc/ssl/certs/www.myapp.fr.pem


  ProxyPass / https://myapp.fr/
  ProxyPassReverse / https://myapp.fr/

      LogLevel info
     CustomLog "|/usr/sbin/rotatelogs /var/log/httpd/myapp.fr/SSL.myapp.fr_access.%Y-%m-%d.log 5M" combined
     ErrorLog  "|/usr/sbin/rotatelogs /var/log/httpd/myapp.fr/SSL.myapp.fr_error.%Y-%m-%d.log 5M"
</VirtualHost>

Myapp.fr определен в /etc/hosts как 192.168.1.51, IP-адрес веб-сервера

DMZ использует ProxyPass для этого веб-сервера. Этот веб-сервер используется для ProxyPass для реального сервера приложений.

Конфигурация Apache на веб-сервере

    <VirtualHost *:443>
    ServerName myapp.fr
    RedirectMatch ^/$ https://myapp.fr/Collaborateurs/
         ProxyRequests Off
    SSLCertificateFile /etc/ssl/certs/www.myapp.fr.pem
     SSLProxyEngine On
    SSLEngine on

    ProxyPass /Collaborateurs/ https://ApplicationServer:8443/Collaborateurs/
    ProxyPassReverse /Collaborateurs/ https://ApplicationServer:8443/Collaborateurs/

     LogLevel info
        CustomLog "|/usr/sbin/rotatelogs ${APACHE_LOG_DIR}/myapp/SSL.myapp.fr_access.%Y-%m-%d.log 5M" combined
        ErrorLog  "|/usr/sbin/rotatelogs ${APACHE_LOG_DIR}/myapp/SSL.myapp.fr_error.%Y-%m-%d.log 5M"
</VirtualHost>

Проблема вот в чем. Иногда в моих журналах появляется случайная ошибка, соответствующая ошибке плохого шлюза (502) для пользователя.

логи из /var/log/httpd/myapp.fr/SSL.myapp.fr_error.%Y-%m-%d.log:

[Mon Dec 23 08:58:31 2013] [info] Seeding PRNG with 136 bytes of entropy
[Mon Dec 23 08:58:31 2013] [info] Initial (No.1) HTTPS request received for child 11 (server myapp.fr:443)
[Mon Dec 23 08:58:31 2013] [info] [client 192.168.1.52] Connection to child 0 established (server myapp.fr:443)
[Mon Dec 23 08:58:31 2013] [info] Seeding PRNG with 136 bytes of entropy
[Mon Dec 23 08:58:31 2013] [info] [client 192.168.1.52] SSL Proxy connect failed
[Mon Dec 23 08:58:31 2013] [info] SSL Library Error: 336151568 error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
[Mon Dec 23 08:58:31 2013] [info] [client 192.168.1.52] Connection closed to child 0 with abortive shutdown (server myapp.fr:443)
[Mon Dec 23 08:58:31 2013] [error] (502)Unknown error 502: proxy: pass request body failed to 192.168.1.52:8443 (ApplicationServer.domain.lan)
[Mon Dec 23 08:58:31 2013] [error] proxy: pass request body failed to 192.168.1.52:8443 (ApplicationServer.red.lan) from 10.0.0.2 ()

Вот те же логи, когда никаких ошибок не возникает:

[Mon Dec 23 09:08:30 2013] [info] Initial (No.1) HTTPS request received for child 8 (server myapp.fr:443)
[Mon Dec 23 09:08:30 2013] [info] Initial (No.1) HTTPS request received for child 0 (server myapp.fr:443)
[Mon Dec 23 09:08:30 2013] [info] [client 192.168.1.52] Connection to child 0 established (server myapp.fr:443)
[Mon Dec 23 09:08:30 2013] [info] Seeding PRNG with 136 bytes of entropy
[Mon Dec 23 09:08:31 2013] [info] Initial (No.1) HTTPS request received for child 3 (server myapp.fr:443)
[Mon Dec 23 09:08:31 2013] [info] [client 192.168.1.52] Connection to child 0 established (server myapp.fr:443)
[Mon Dec 23 09:08:31 2013] [info] Seeding PRNG with 136 bytes of entropy

Я не могу понять, почему происходит эта ошибка. Есть ли у кого-нибудь идеи? Спасибо за вашу возможную наводку - и извините за мой плохой английский :D

решение1

Сбой подключения SSL-прокси означает, что произошла какая-то сетевая ошибка между вашим веб-сервером и вашим сервером приложений до завершения SSL-рукопожатия. Без получения трассировок пакетов (и многого другого) из вашей сети, выяснить точную причину сбоя TCP-подключения практически невозможно. Я бы поискал перегрузку сети или очень высокую нагрузку на сервер приложений во время ошибок.

решение2

Проблема была в интеграции Hyper-V:

Обновление компонентов интеграции Linux с версии 3.4 до 3.5 на прокси-сервере решило проблему.

Связанный контент