我有三台負載平衡的 Apache 2.4.6 伺服器,在新安裝的 CentOS 7 上運行。實際網站。所有伺服器都在防火牆後面進行 NAT,並且沒有公用 IP 位址。然而,恰好每隔 30 秒,我就會在 Apache 日誌中看到相同的 3 個 SSL 錯誤。在下列日誌中,sub.example.com 代表一個子網域,該子網域與相關伺服器實際託管的子網域不同。 10.0.0.123 是內部網路負載平衡器的 IP 位址。
[Fri May 01 06:28:37.315078 2015] [ssl:info] [pid 13873] [client 10.0.0.123:37617] AH01964: Connection to child 5 established (server sub.example.com:443)
[Fri May 01 06:28:37.315175 2015] [ssl:debug] [pid 13873] ssl_engine_io.c(1201): (70014)End of file found: [client 10.0.0.123:37617] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
[Fri May 01 06:28:37.315183 2015] [ssl:info] [pid 13873] [client 10.0.0.123:37617] AH01998: Connection closed to child 5 with abortive shutdown (server sub.example.com:443)
如果我在實際與託管網站協商連接時遇到麻煩,我會繼續做一些事情,但實際網站運作得很好。我只是不想讓我的錯誤日誌充滿垃圾。任何幫助深表感謝。
答案1
在下列日誌中,sub.example.com 代表一個子網域,該子網域與相關伺服器實際託管的子網域不同。
[Fri May 01 06:28:37.315175 2015] [ssl:debug] [pid 13873] ssl_engine_io.c(1201): (70014)End of file found: [client 10.0.0.123:37617] AH02007: SSL handshake interrupted by system [Hint: Stop button pressed in browser?!]
檢查 sub.example.com 是否解析為與 example.com 相同的 IP 位址(或至少負載平衡器的 IP 位址之一)。如果是這種情況,那麼有人可能會嘗試訪問錯誤的站點,但會在 SSL 握手期間停止,因為憑證與訪問的 URL 不符。由於該訊息每 30 秒重複一次,因此可能是某種自動機制,這種機制過去可能有效,但在網站更改後可能會停止運作。在客戶端進行更改後,它也可能停止工作,因為一些腳本語言和工具現在預設檢查證書,而過去沒有檢查它。
若要偵測客戶端的來源,您可能需要查看日誌檔案或在重要位置進行封包擷取以找出客戶端 IP。如果您有權存取 DNS 設置,您也可能只是將 sub.example.com 指向任何地方。
答案2
聽起來負載平衡器正在探測活動連接埠..但直到最後才像apache所期望的那樣進行協商..沒什麼可擔心的..
也許你可以改變LB上的探測機制來獲得一些真實的URL?