逍遥的BLOG

2014.9.7发布LNAMP2.0版（2014.9.21更新）

一些运行在Nginx上的网站有时候会出现“502 Bad Gateway”错误，有些时候甚至频繁的出现。有些站长是在刚刚转移到Nginx之后就出现了这个问题，所以经常会怀疑这是不是Nginx的问题，但事实上这是个误区。

以下是从张宴和Ayou的博客搜集整理的一些Nginx 502错误的排查方法，供大家参考：

Nginx 502错误的原因比较多，是因为在代理模式下后端服务器出现问题引起的。这些错误一般都不是nginx本身的问题，一定要从后端找原因！但nginx把这些出错都揽在自己身上了，着实让nginx的推广者备受置疑，毕竟从字眼上理解，bad gateway？不就是bad nginx吗？让不了解的人看到，会直接把责任推在nginx身上，希望nginx下一个版本会把出错提示写稍微友好一些，至少不会是现在简单的一句502 Bad Gateway，另外还不忘附上自己的大名。

Nginx 502的触发条件

502错误最通常的出现情况就是后端主机当机。在upstream配置里有这么一项配置：proxy_next_upstream，这个配置指定了nginx在从一个后端主机取数据遇到何种错误时会转到下一个后端主机，里头写上的就是会出现502的所有情况拉，默认是error timeout。error就是当机、断线之类的，timeout就是读取堵塞超时，比较容易理解。我一般是全写上的：

proxy_next_upstream error timeout invalid_header http_500 http_503;

不过现在可能我要去掉http_500这一项了，http_500指定后端返回500错误时会转一个主机，后端的jsp出错的话，本来会打印一堆stacktrace的错误信息，现在被502取代了。但公司的程序员可不这么认为，他们认定是nginx出现了错误，我实在没空跟他们解释502的原理了……

503错误就可以保留，因为后端通常是apache resin，如果apache死机就是error，但resin死机，仅仅是503，所以还是有必要保留的。

解决办法

遇到502问题，可以优先考虑按照以下两个步骤去解决。

1、查看当前的PHP FastCGI进程数是否够用：

netstat -anpo | grep "php-cgi" | wc -l

如果实际使用的“FastCGI进程数”接近预设的“FastCGI进程数”，那么，说明“FastCGI进程数”不够用，需要增大。

2、部分PHP程序的执行时间超过了Nginx的等待时间，可以适当增加nginx.conf配置文件中FastCGI的timeout时间，例如：

...... http { ...... fastcgi_connect_timeout 300; fastcgi_send_timeout 300; fastcgi_read_timeout 300; ...... } ......

php.ini中memory_limit设低了会出错，修改了php.ini的memory_limit为64M，重启nginx，发现好了，原来是PHP的内存不足了。

如果这样修改了还解决不了问题，可以参考下面这些方案：

一、max-children和max-requests

一台服务器上运行着nginx php(fpm) xcache，访问量日均 300W pv左右

最近经常会出现这样的情况： php页面打开很慢，cpu使用率突然降至很低，系统负载突然升至很高，查看网卡的流量，也会发现突然降到了很低。这种情况只持续数秒钟就恢复了

检查php-fpm的日志文件发现了一些线索

Sep 30 08:32:23.289973 [NOTICE] fpm_unix_init_main(), line 271: getrlimit(nofile): max:51200, cur:51200 Sep 30 08:32:23.290212 [NOTICE] fpm_sockets_init_main(), line 371: using inherited socket fd=10, “127.0.0.1:9000″ Sep 30 08:32:23.290342 [NOTICE] fpm_event_init_main(), line 109: libevent: using epoll Sep 30 08:32:23.296426 [NOTICE] fpm_init(), line 47: fpm is running, pid 30587

在这几句的前面，是1000多行的关闭children和开启children的日志

原来，php-fpm有一个参数 max_requests，该参数指明了，每个children最多处理多少个请求后便会被关闭，默认的设置是500。因为php是把请求轮询给每个children，在大流量下，每个childre到达max_requests所用的时间都差不多，这样就造成所有的children基本上在同一时间被关闭。

在这期间，nginx无法将php文件转交给php-fpm处理，所以cpu会降至很低(不用处理php，更不用执行sql)，而负载会升至很高(关闭和开启children、nginx等待php-fpm)，网卡流量也降至很低(nginx无法生成数据传输给客户端)

解决问题很简单，增加children的数量，并且将 max_requests 设置未 0 或者一个比较大的值：

打开 /usr/local/php/etc/php-fpm.conf

调大以下两个参数(根据服务器实际情况，过大也不行）

<value name=”max_children”>5120</value> <value name=”max_requests”>600</value>

然后重启php-fpm。

二、增加缓冲区容量大小

将nginx的error log打开，发现“pstream sent too big header while reading response header from upstream”这样的错误提示。查阅了一下资料，大意是nginx缓冲区有一个bug造成的,我们网站的页面消耗占用缓冲区可能过大。参考老外写的修改办法增加了缓冲区容量大小设置，502问题彻底解决。后来系统管理员又对参数做了调整只保留了2个设置参数：client head buffer，fastcgi buffer size。

三、request_terminate_timeout

如果主要是在一些post或者数据库操作的时候出现502这种情况，而不是在静态页面操作中常见，那么可以查看一下php-fpm.conf设置中的一项：

request_terminate_timeout

这个值是max_execution_time，就是fast-cgi的执行脚本时间。

0s

0s为关闭，就是无限执行下去。（当时装的时候没仔细看就改了一个数字）

发现，问题解决了，执行很长时间也不会出错了。

优化fastcgi中，还可以改改这个值5s 看看效果。

php-cgi进程数不够用、php执行时间长、或者是php-cgi进程死掉，都会出现502错误。

如果您还有其他的解决方法，欢迎与编辑沟通！当然，如果你的网站并发量的确很大，那么最终也许需要寻求系统级的解决办法……

LNAMP一键安装包是什么？

1、Nginx 配置 ssl 模块

默认 Nginx 是没有 ssl 模块的，而我的 VPS 默认装的是 Nginx 0.7.63 ，顺带把 Nginx 升级到 0.7.64 并且 配置 ssl 模块方法如下：

下载 Nginx 0.7.64 版本，解压 进入解压目录：

如果要更改header信息的话，

上面的版本号和nginx自己修改

编译

make

切记不要 make install

（来源：http://www.hostloc.com/thread-4871-1-1.html）

因为是小网站，用不着平滑升级，直接 killall -HUP nginx 重启 nginx 即可。

OK，升级并且安装好 ssl 模块完毕，这里我把 Nginx 修改成了 zoulu，于是乎：

怎么样，很有个性吧！

2、使用 OpenSSL 生成证书

①、生成RSA密钥的方法

有的证书要 1024 的，所以得：

②、生成一个证书请求

会提示输入省份、城市、域名信息等，重要的是，email 一定要是你的域名后缀的，比如 webmaster@zou.lu 并且能接受邮件！

这样就有一个 csr 文件了，提交给 ssl 提供商的时候就是这个 csr 文件

（来源：http://www.lsproc.com/blog/nginx_ssl_config/）

直接 cat cert.csr

得到一大串字符，比如这样：

提交给你的 ssl 提供商即可，一般半个钟头到一天时间就会发给你证书，如图：

把所有文件全部上传到一个特定的目录，比如我是上传到 /root/zoulu/

这里，zoulukey.pem 和 zoulucert.csr 是自己在 VPS 生成的，剩下的都是证书签发机构颁发的。

一般情况下，直接用证书签发机构颁发的 crt 文件即可，比如 zou_lu.crt ，但是有很多证书签发机构默认在 Firefox 中文版下是不会信任的，经过仔细研究，终于发现，原来得把证书签发机构办法给你的 crt 文件也放入才行。

方法如下：

合并 PositiveSSLCA.crt （证书签发机构的 crt） 和 zou_lu.crt (自己域名的 crt)

cat  zou_lu.crt >> PositiveSSLCA.crt

mv PositiveSSLCA.crt  zou_lu.crt

或者直接用记事本打开，然后复制 PositiveSSLCA.crt 里面所有的内容到 zou_lu.crt 最下方即可。

（来源：http://www.lsproc.com/blog/nginx_ssl_config/）

③、修改 Nginx 配置

其他的配置信息和一般站点的一样，不再重复。

四、访问测试结果

在 Firefox 英文版 / Chrome / Opera / Safari / IE 6、7、8 下均没问题， https://zou.lu/ 在 Firefox 3.5.7 中文版下没问题，遇到问题的童鞋，检查你的系统时间，要是还不信任，那我也不是很清楚了，抱歉能力有限。

五、如何获得免费的证书

https://zou.lu/ 的证书是 PositiveSSL 签发的，这是一家 Comodo 的 Reseller ，目前可以通过如下途径获得：

去 NameCheap.com 注册、转移一个域名或者购买一款空间就能获得，而且是免费一年的哦！

需要注意的是，NameCheap 注册后颁发的证书没有证书签发机构的 PositiveSSLCA.crt ，这里我就放一个，为了大家安装方便：

你也可以试试 Startssl 的证书，缺点是在旧电脑，没有更新的情况下，IE 6是绝对不信任他的，详见：http://blog.s135.com/startssl/

最后声明一点，受信任的 ssl 证书必须有独立IP，或者说，一个IP只能对应一个域名的证书，爱玩的朋友可以弄一个玩玩。

502 bad gateway 最最烦人了，总是时不时的出现，昨天晚上blog就是出现了这样的问题，一直没有发现，今天早上才发现的，google的收录出现出错~ 

网页也是无法打开，但是SSH可以使用，无奈只能重启VPS了。

google了一下，解决502 bad gateway的最好最终极的方法就是重启php-fpm.

参考http://www.hostloc.com/viewthread.php?tid=19208&extra=&page=1这里的方法

使用了AA大大的脚本！

引用

cd /home

mkdir script

cd script

vim restart-php-fpm.phps

在新建的restart-php-fpm.phps输入代码：

引用

#!/usr/bin/php
<?
$url = ‘http://www.diahosting.com’;
$cmd = ‘/usr/local/php/sbin/php-fpm restart’;

for($i = 0; $i < 5; $i ++){
$exec = “curl –connect-timeout 3 -i $url 2>/dev/null”;
$res = shell_exec($exec);

if(stripos($res, ’502 Bad Gateway’) !== false){
shell_exec($cmd);
exit();
}
}
?>

:wq 保存之！

引用

chmod 755 /home/script/restart-php-fpm.phps

crontab -e

输入执行的代码： * * * * * /home/script/restart-php-fpm.phps

上面代码的意思是：每分钟执行一次phps的脚本文件~

:wq 保存之！

注意：*之间有空格！

查看设置成功还是失败

crontab -l

输出你要执行的命令，那么就OK啦！

这样就不需要害怕502 bad gateway~ 

但是vps系统还是要注意的，不知道什么时候会卡死，还是自动重启比较保险的！