全部產品
Search

搜尋本產品

    :Nginx Ingress FAQ

    文件中心

    :Nginx Ingress FAQ

    更新時間:Nov 09, 2024

    本文主要為您介紹Nginx Ingress常見問題的處理方法。

    Ingress支援哪些SSL/TLS版本?

    Ingress-Nginx預設支援TLS V1.2及V1.3版本,對於部分舊版本的瀏覽器,或者移動用戶端TLS版本低於1.2時,會導致用戶端在與Ingress-Nginx服務SSL版本協商時報錯。

    修改kube-system/nginx-configuration configmap添加以下配置,以啟用Ingress-Nginx對更多TLS版本的支援。具體操作,請參見TLS/HTTPS

    說明

    Nginx Ingress Controller 1.7.0及以後版本,如要啟用TLS v1.0與TLS v1.1,需要將@SECLEVEL=0添加到ssl-ciphers中。

    image.png

    ssl-ciphers: "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA"
ssl-protocols: "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"

    Ingress L7要求標頭預設是透傳的嗎?

    Ingress-Nginx預設透傳用戶端的要求標頭,有些不符合HTTP規則的要求標頭(例如Mobile Version),在轉寄到後端服務前會被過濾掉。為了不過濾掉這類要求標頭,您可以執行kubectl edit cm -n kube-system nginx-configuration命令在ConfigMap中添加配置。更多資訊,請參見ConfigMap

    enable-underscores-in-headers: true

    後端服務為HTTPS服務訪問時是否可以通過Ingress-Nginx轉寄?

    對於後端業務是HTTPS服務,但同樣希望可以通過Ingress-Nginx轉寄時,執行以下命令,在Ingress資源配置中添加以下Annotation。

    apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: xxxx
  annotations:
    # 注意這裡:必須指定後端服務為HTTPS服務。
    nginx.ingress.kubernetes.io/backend-protocol: "HTTPS"

    Ingress L7透傳用戶端IP嗎?

    Ingress-Nginx預設會通過X-Forwarded-For和X-Real-IP來透傳用戶端IP,但是當用戶端主動在要求標頭裡指定了X-Forwarded-For和X-Real-IP時,會導致服務端無法擷取到真實的用戶端IP。

    您可以執行kubectl edit cm -n kube-system nginx-configuration命令在ConfigMap中添加配置,以實現Ingress,L7透傳用戶端IP。

    compute-full-forwarded-for: "true"
forwarded-for-header: "X-Forwarded-For"
use-forwarded-headers: "true"

    如果在Nginx ingress之前有多層代理,您需要根據proxy-real-ip-cidr參數對配置進行調整,將前置代理的IP地址以CIDR格式添加到proxy-real-ip-cidr中,多個CIDR之間用逗號分隔。詳細資料請參見使用WAF或透明WAF

    proxy-real-ip-cidr:  "0.0.0.0/0,::/0"

    在IPv6情境下,如果Nginx Ingress收到的X-Forwarded-For頭為空白,並且前置有CLB可以啟用CLB 的Proxy Protocol來擷取用戶端IP。關於Proxy Protocol詳細資料請參見通過CLB四層監聽擷取用戶端真實IP

    Nginx Ingress Controller組件支援HSTS嗎?

    nginx-ingress-controller組件預設是開啟HSTS的,有些瀏覽器第一次基於PLAIN HTTP訪問時,服務端(開啟HSTS)會在返回給用戶端的回應標頭裡攜帶Non-Authoritative-Reason: HSTS欄位,說明服務端支援HSTS,當用戶端也支援的情況下下次會直接以HTTPS方式訪問服務端。服務端返回的回應標頭訊息體中包含有307 Internal Redirect狀態代碼,具體如下圖所示。1

    當用戶端不希望支援自動轉到HTTPS訪問服務端時,您可以關閉nginx-ingress-controller組件的HSTS。具體操作,請參見HSTS

    說明

    在瀏覽器端HSTS預設是有緩衝的,當關閉nginx-ingress-controller組件的HSTS後,請您清理緩衝。

    Ingress-Nginx支援哪些Rewrite配置?

    目前Ingress-Nginx支援一些簡單的Rewrite配置,具體請參見Rewrite。但是,對於一些進階的特別的Rewrite需求,您可以通過下面方式來配置。

    • configuration-snippet:請參見Configuration snippet,擴充一些配置到Location章節中。

    • server-snippet:請參見Server snippet,擴充一些配置到Server章節中。

    同時,snippet也支援一些全域配置,具體如下圖所示。更多相關資訊,請參見main-snippet2

    在ACK組件管理中升級Nginx Ingress Controller組件時,系統會有哪些更新?

    Nginx Ingress Controller組件在0.44之前的版本,包含以下資源:

    • serviceaccount/ingress-nginx

    • configmap/nginx-configuration

    • configmap/tcp-services

    • configmap/udp-services

    • clusterrole.rbac.authorization.k8s.io/ingress-nginx

    • clusterrolebinding.rbac.authorization.k8s.io/ingress-nginx

    • role.rbac.authorization.k8s.io/ingress-nginx

    • rolebinding.rbac.authorization.k8s.io/ingress-nginx

    • service/nginx-ingress-lb

    • deployment.apps/nginx-ingress-controller

    Nginx Ingress Controller組件在0.44版本及其之後的版本,額外包含以下資源:

    • validatingwebhookconfiguration.admissionregistration.k8s.io/ingress-nginx-admission

    • service/ingress-nginx-controller-admission

    • serviceaccount/ingress-nginx-admission

    • clusterrole.rbac.authorization.k8s.io/ingress-nginx-admission

    • clusterrolebinding.rbac.authorization.k8s.io/ingress-nginx-admission

    • role.rbac.authorization.k8s.io/ingress-nginx-admission

    • rolebinding.rbac.authorization.k8s.io/ingress-nginx-admission

    • job.batch/ingress-nginx-admission-create

    • job.batch/ingress-nginx-admission-patch

    在ACK的組件管理頁面對Nginx Ingress Controller組件進行升級時,系統保留以下資源配置不變更:

    • configmap/nginx-configuration

    • configmap/tcp-services

    • configmap/udp-services

    • service/nginx-ingress-lb

    所有其他資源的配置都會被覆蓋成預設配置。以deployment.apps/nginx-ingress-controller資源配置為例,其預設的replicas參數為2。如果您升級Nginx Ingress Controller組件之前的replicas為5,但是通過組件管理升級Ingress後,其replicas將會變為2,和預設配置一致。

    如何將Ingress-nginx的監聽由四層改為七層(HTTPS/HTTP)?

    Ingress Pod的負載平衡預設是TCP 443 和TCP 80,您可以建立一個HTTPS/HTTP類型的負載平衡,將Ingress-nginx的監聽由四層改為七層。

    說明

    修改監聽時服務會有短暫中斷,建議在業務低穀期進行修改監聽操作。

    1. 建立認證,並記錄cert-id。具體操作,請參見選擇阿里雲簽發認證

    2. 通過Annotation將Ingress所用負載平衡的監聽由四層改為七層。

      1. 登入Container Service管理主控台,在左側導覽列選擇叢集

      2. 叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇網路 > 服務

      3. 服務頁面頂部設定命名空間為kube-system,單擊ingress-nginx-lb右側操作列下的YAML 編輯

      4. 查看YAML對話方塊中,將ports中443連接埠的targetPort改為80。

          - name: https
    port: 443
    protocol: TCP
    targetPort: 80 # 將443連接埠的targetPort改為80

        annotations參數下添加以下內容,然後單擊更新

        service.beta.kubernetes.io/alibaba-cloud-loadbalancer-protocol-port: "http:80,https:443"
service.beta.kubernetes.io/alibaba-cloud-loadbalancer-cert-id: "${YOUR_CERT_ID}"

    3. 結果驗證。

      1. 服務頁面,單擊ingress-nginx-lb服務類型列的image

      2. 單擊監聽頁簽,可以看到監聽的前端協議/連接埠顯示HTTP:80和HTTPS:443,說明通過Annotation將負載平衡的監聽由四層改為七層成功。

    應用市場部署的ack-ingress-nginx如何使用已有SLB?

    1. 登入Container Service管理主控台,在左側導覽列選擇市場 > 應用市場

    2. 應用目錄頁面搜尋ack-ingress-nginxack-ingress-nginx-v1

      • 1.20以下叢集選中ack-ingress-nginx

      • 1.20以上叢集選中ack-ingress-nginx-v1

    3. 部署Ingress Controller。詳細資料,請參見部署多個Ingress Controller

      在部署過程中的參數頁面,刪除舊註解,添加新註解。

      1. 刪除controller.service.annotations下的所有註解。

        image..png

      2. 添加新的註解。

        # 指定SLB
service.beta.kubernetes.io/alibaba-cloud-loadbalancer-id: "${YOUR_LOADBALANCER_ID}"
# 強制覆蓋監聽
service.beta.kubernetes.io/alibaba-cloud-loadbalancer-force-override-listeners: "true"

        image..png

    4. 單擊確定,繼續部署。

    5. 部署成功後,配置對應的IngressClass,使用Ingress Controller。詳細資料,請參見部署多個Ingress Controller

    如何擷取多個Ingress Controller對應的訪問日誌?

    前提條件

    操作步驟:

    1. 登入Container Service管理主控台,在左側導覽列選擇叢集

    2. 叢集列表頁面,單擊目的地組群名稱,然後在左側導覽列,選擇叢集資訊

    3. 在叢集資訊頁面,單擊叢集資源。然後在叢集資源的列表中單擊Log ServiceProject的右側ID。

      image

    4. 跳轉到目的地組群的SLSLog Service,在日誌庫頁面建立Logstore。具體操作,請參見管理Logstore。為確保日誌不會重複採集,一個Logstore只採集一個Ingress Controller組件日誌。

      • Logstore名稱可以參考不同的Ingress Controller的組件名稱。

      • 建立成功後,在彈出的資料接入嚮導框中,單擊取消

    5. 日誌庫左側列表欄,單擊nginx-ingress > Logtail配置,然後在Logtail配置列表下,單擊k8s-nginx-ingress進入配置頁面。

    6. Logtail配置頁面,單擊複製。然後在Logtail複製頁面,單擊下拉框,選擇新建立的Logstore名稱,在容器過濾中,單擊容器Label白名單列的添加,並以索引值對的方式添加Ingress Controller組件容器Label。在Logtail複製頁面,單擊提交

      image

    7. 日誌庫左側列表欄,單擊新建立的Logstore名稱。在右側欄頂部,單擊開啟索引,然後在查詢分析頁面,單擊確定。即可完成對Logstore的配置。

    8. 日誌庫左側列表欄,選擇新建立Logstore名稱 > Logtail配置。在Logtail配置頁面中,單擊右側操作列下的管理Logtail配置。在配置詳情頁面,單擊處理外掛程式名稱列下的提前欄位(正則模式),查看Tlog欄位。

      8184e5bd055d3c2d8add99ce8a285eb0

    9. Logtail配置頁面,單擊切換為編輯器配置。在Logtail配置下,單擊編輯。在外掛程式配置中,配置對應日誌欄位Keys和Regex。配置完成,單擊儲存

      說明

      若不同的Nginx Ingress Controller日誌格式定義有所區別,需要對應地修改Logtail配置下的processors部分。

    如何開啟nginx-ingress-controller的TCP協議?

    ACK叢集中的Ingress資源預設僅支援路由外部HTTP和HTTPS流量至服務內,通過修改ingress-nginx組件的配置,可以實現來自非HTTP協議的外部TCP流量通過在ConfigMap中定義的TCP連接埠映射,路由至叢集內的服務。

    操作步驟如下:

    1. tcp-echo服務範本部署Service、Deployment服務。

    2. 部署以下模板ConfigMap。

      1. 編輯tcp-services-cm.yaml,儲存退出。

        apiVersion: v1
kind: ConfigMap
metadata:
  name: tcp-services
  namespace: kube-system 
data:
  9000: "default/tcp-echo:9000" # 表示任何通過連接埠9000接收到的外部TCP流量都將被路由到default命名空間下名為tcp-echo的服務上,該服務監聽的是內部連接埠9000。
  9001:"default/tcp-echo:9001"

      2. 使用如下命令部署ConfigMap。

        kubectl apply -f tcp-services-cm.yaml

    3. 新增nginx-ingress-controller組件的Service TCP連接埠,儲存退出。

      kubectl edit svc nginx-ingress-lb -n kube-system 
      apiVersion: v1
kind: Service
metadata:
  labels:
    app: nginx-ingress-lb
  name: nginx-ingress-lb
  namespace: kube-system
spec:
  allocateLoadBalancerNodePorts: true
  clusterIP: 192.168.xx.xx
  ipFamilies:
  - IPv4
  ports:
  - name: http
    nodePort: 30xxx
    port: 80
    protocol: TCP
    targetPort: 80
  - name: https
    nodePort: 30xxx
    port: 443
    protocol: TCP
    targetPort: 443
  - name: tcp-echo-9000       # 新增
    port: 9000                # 新增
    protocol: TCP             # 新增
    targetPort: 9000          # 新增
  - name: tcp-echo-9001       # 新增
    port: 9001                # 新增
    protocol: TCP             # 新增
    targetPort: 9001
selector:
    app: ingress-nginx
  sessionAffinity: None
  type: LoadBalancer

    4. 測試組態生效。

      1. 執行以下命令,查看Ingress服務,擷取Ingress SLB的地址。

         kubectl get svc -n kube-system| grep nginx-ingress-lb

        預期輸出。

        nginx-ingress-lb      LoadBalancer   192.168.xx.xx  172.16.xx.xx   80:31246/TCP,443:30298/TCP,9000:32545/TCP,9001:31069/TCP

      2. 使用nc命令給Ingress IP的9000連接埠發送helloworld。無返回資料則表示測試正常。

        echo "helloworld" |  nc <172.16.xx.xx> 9000

echo "helloworld" |  nc <172.16.xx.xx> 9001

    Nginx Ingress認證匹配邏輯是什嗎?

    當在Ingress資源配置中指定TLS認證時,認證的配置位於spec.tls欄位下,但實際使用的網域名稱則引用spec.rules.host欄位。而在Nginx Ingress Controller中,Controller會以Lua Table的形式儲存網域名稱到認證的映射關係。

    當用戶端向Nginx發起HTTPS請求時,會通過SNI攜帶請求的網域名稱host資訊,Nginx ingress採用certificate.call()來尋找對應的網域名稱是否存在配置的認證,若不存在則返回fake認證。

    相關的Nginx配置如下:

    
    ## start server _
    server {
        server_name _ ;
        listen 80 default_server reuseport backlog=65535 ;
        listen [::]:80 default_server reuseport backlog=65535 ;
        listen 443 default_server reuseport backlog=65535 ssl http2 ;
        listen [::]:443 default_server reuseport backlog=65535 ssl http2 ;
        set $proxy_upstream_name "-";
        ssl_reject_handshake off;
        ssl_certificate_by_lua_block {
            certificate.call()
        }
   ...
   }
    
    
    ## start server www.example.com
    server {
        server_name www.example.com ;
        listen 80  ;
        listen [::]:80  ;
        listen 443  ssl http2 ;
        listen [::]:443  ssl http2 ;
        set $proxy_upstream_name "-";
        ssl_certificate_by_lua_block {
            certificate.call()
        }
    ...
    }

    Ingress Nginx支援OCSP Stapling技術功能,可以改進認證狀態的驗證過程。基於此功能,用戶端無需直接向CA網站查詢認證狀態,從而減少認證驗證時間,提升訪問速度。更多資訊,請參見配置OCSP Stapling

    Nginx Ingress認證為什麼不匹配?

    找到您配置的認證Secret下對應的認證內容儲存為檔案(需要BASE64解碼後的內容),然後使用openssl命令進行解碼查看。

    kubectl get secret  <YOUR-SECRET-NAME>  -n <SECRET-NAMESPACE>  -o jsonpath={.data."tls\.crt"} |base64 -d  | openssl x509  -text -noout

    查看CN(Common Name)欄位中是否包含您請求的網域名稱,如果不符,您需要重建認證

    流量高負載情況下健全狀態檢查失敗怎麼辦?

    健全狀態檢查將通過訪問Nginx在10246連接埠上監聽的/healthz路徑,以驗證Nginx的狀態是否健康且服務正常運行。

    健全狀態檢查失敗時,預期如下:

    I0412 11:01:52.581960       7 healthz.go:261] nginx-ingress-controller check failed: healthz
[-]nginx-ingress-controller failed: the ingress controller is shutting down
2024/04/12 11:01:55 Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
W0412 11:01:55.895683       7 nginx_status.go:171] unexpected error obtaining nginx status info: Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
I0412 11:02:02.582247       7 healthz.go:261] nginx-ingress-controller check failed: healthz
[-]nginx-ingress-controller failed: the ingress controller is shutting down
2024/04/12 11:02:05 Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
W0412 11:02:05.896126       7 nginx_status.go:171] unexpected error obtaining nginx status info: Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
I0412 11:02:12.582687       7 healthz.go:261] nginx-ingress-controller check failed: healthz
[-]nginx-ingress-controller failed: the ingress controller is shutting down
2024/04/12 11:02:15 Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
W0412 11:02:15.895719       7 nginx_status.go:171] unexpected error obtaining nginx status info: Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
I0412 11:02:22.582516       7 healthz.go:261] nginx-ingress-controller check failed: healthz
[-]nginx-ingress-controller failed: the ingress controller is shutting down
2024/04/12 11:02:25 Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
W0412 11:02:25.896955       7 nginx_status.go:171] unexpected error obtaining nginx status info: Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
I0412 11:02:28.983016       7 nginx.go:408] "NGINX process has stopped"
I0412 11:02:28.983033       7 sigterm.go:44] Handled quit, delaying controller exit for 10 seconds
I0412 11:02:32.582587       7 healthz.go:261] nginx-ingress-controller check failed: healthz
[-]nginx-ingress-controller failed: the ingress controller is shutting down
2024/04/12 11:02:35 Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
W0412 11:02:35.895853       7 nginx_status.go:171] unexpected error obtaining nginx status info: Get "http://127.0.0.1:10246/nginx_status": dial tcp 127.0.0.1:10246: connect: connection refused
I0412 11:02:38.986048       7 sigterm.go:47] "Exiting" code=0

    當Nginx背景工作處理序負載過高時,會消耗大量CPU資源,有時甚至導致CPU資源接近100%。這種情況可能引發健全狀態檢查失敗。建議增加Pod副本數量,以便分散負載,確保健全狀態檢查能夠成功執行。

    cert-manager不符合預期,導致認證簽發失敗怎麼辦?

    如果您使用的認證管理工具Cert-manager未能按預期工作,導致認證簽發失敗,原因可能是啟動了Web應用程式防火牆(WAF)。WAF在開啟狀態下可能會干擾HTTP01請求,妨礙認證的簽發流程。建議關閉WAF,從而消除對認證簽發過程的影響。關閉WAF前,需充分評估其他因素,避免帶來不必要的影響。

    Nginx大壓力流量下為什麼佔用大量記憶體?

    如果發現Nginx在處理大流量時記憶體佔用異常增高,導致OOM事件,可以進入Pod內部重點檢查Controller進程的記憶體佔用較多,應該是Metrics相關效能指標導致記憶體流失。這個問題為Nginx Ingress Controller v1.6.4的已知問題,推薦您將Nginx Ingress Controller升級至最新版本,關閉Metrics採集,修改啟動參數,添加--enable-metrics=false。特別注意那些會顯著影響記憶體的指標,比如nginx_ingress_controller_ingress_upstream_latency_seconds。更多詳情,請參見Ingress Controller高壓測試Prometheus Metric記憶體流失及相關的Metrics PR

    修正Nginx Ingress Controller到期的升級狀態

    當Nginx Ingress Controller灰階升級過程中,如果遇到卡在驗證階段的情況,無法繼續操作(出現提示“Operation is forbidden for task in failed state”),這通常是因為組件升級任務由於超出預定的4天有效期間而被系統清除導致的。在這種情況下,您需要手動調整組件的灰階狀態以糾正問題。

    如果組件的升級進度已經達到發布階段,那麼無需執行升級操作。直到當前的任務因超過預設的到期時間(4天)而自動終止即可。

    操作步驟

    完成修改後,組件升級將自動繼續,替換舊版本Pod以完成灰階升級。不過,在控制台的組件管理介面中將依然會顯示升級中的狀態,該狀態將在大約兩周后消失恢複正常。

    1. 執行以下命令,編輯nginx-ingress-controller的Deployment。

      kubectl edit deploy -n kube-system  nginx-ingress-controller

    2. 將以下參數修正回指定值。

      • spec.minReadySeconds: 0

      • spec.progressDeadlineSeconds: 600

      • spec.strategy.rollingUpdate.maxSurge: 25%

      • spec.strategy.rollingUpdate.maxUnavailable: 25%

      image

    3. 編輯完成後儲存退出。

    從控制器v1.10版本起,為什麼分塊傳輸(Transfer-Encoding: chunked)無法正常工作?

    如果您的代碼設定了HTTP頭部Transfer-Encoding: chunked,並且控制器的日誌中出現關於重複頭部的錯誤資訊,這可能與Nginx的更新有關,關於更新記錄請參見Nginx的更新日誌。v1.10起的Nginx版本強化了對HTTP響應的校正,導致後端返回多個Transfer-Encoding: chunked頭部時被視為無效響應。因此,需要確保您的後端服務僅返回一個Transfer-Encoding: chunked頭。更多詳情,請參見GitHub Issue #11162

    Nginx Ingress如何配置IP黑白名單存取控制

    Nginx Ingress支援在ConfigMap中添加索引值對或在Ingress路由中添加Annotation的方式配置IP黑白名單存取控制。ConfigMap為全域生效,Ingress在路由維度生效,Ingress路由維度優先順序高於全域維度。如需在Ingress中添加Annotation,請參見下表。更多資訊,請參見Denylist Source RangeWhitelist Source Range

    Annotation

    說明

    nginx.ingress.kubernetes.io/denylist-source-range

    IP黑名單,支援IP地址或CIDR地址塊,以英文半形逗號(,)分隔。

    nginx.ingress.kubernetes.io/whitelist-source-range

    IP白名單,支援IP地址或CIDR地址塊,以英文半形逗號(,)分隔。

    Nginx Ingress v1.2.1已知問題

    在Ingress資源中配置defaultBackend時,可能會覆蓋預設server的defaultBackend設定。更多詳情請參見GitHub Issue #8823。為瞭解決這個問題,建議將Nginx Ingress Controller組件升級至v1.3或更高版本。關於如何升級組件的操作步驟,請參見升級Nginx Ingress Controller組件

    使用curl命令訪問公網服務時出現串連重設

    在使用curl命令通過HTTP協議訪問境外公網服務時,可能會遇到錯誤提示:curl: (56) Recv failure: Connection reset by peer。通常是由於HTTP明文請求中可能包含敏感詞,這些敏感詞導致請求被阻斷或響應被重設。您可以為路由規則配置HTTPS認證,確保使用加密方式進行通訊。