<div dir="ltr">What's the backend for this IIS, NGINX, Apache, etc?  Is it requiring SNI?  Do you have multiple hostnames?</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 29, 2017 at 7:05 AM, Michael Ottoson <span dir="ltr"><<a href="mailto:michael.ottoson@cri.com" target="_blank">michael.ottoson@cri.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks, Maxim.<br>
<br>
That makes a lot of sense.  However, the problem started at exactly the same time we moved SSL termination.  There were no changes to the application.  It is unlikely to be a mere coincidence - but it could be.<br>
<br>
We were previously using HAPROXY for load balancing (well, the company we inherited this from did) and the same happened when they tried moving SSL termination.<br>
<br>
There is a reply to my question on serverfault, suggesting increasing keepalives (<a href="https://www.nginx.com/blog/load-balancing-with-nginx-plus-part2/#keepalive" rel="noreferrer" target="_blank">https://www.nginx.com/blog/<wbr>load-balancing-with-nginx-<wbr>plus-part2/#keepalive</a>).  This is because moving SSL increases the number of TCP connects.  I'll give that a try and report back.<br>
<div class="HOEnZb"><div class="h5"><br>
-----Original Message-----<br>
From: nginx [mailto:<a href="mailto:nginx-bounces@nginx.org">nginx-bounces@nginx.<wbr>org</a>] On Behalf Of Maxim Dounin<br>
Sent: Wednesday, November 29, 2017 7:43 AM<br>
To: <a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
Subject: Re: Moving SSL termination to the edge increased the instance of 502 errors<br>
<br>
Hello!<br>
<br>
On Wed, Nov 29, 2017 at 04:27:37AM +0000, Michael Ottoson wrote:<br>
<br>
> Hi All,<br>
><br>
> We installed nginx as load balancer/failover in front of two upstream web servers.<br>
><br>
> At first SSL terminated at the web servers and nginx was configured as TCP passthrough on 443.<br>
><br>
> We rarely experiences 502s and when it did it was likely due to tuning/tweaking.<br>
><br>
> About a week ago we moved SSL termination to the edge.  Since then we've been getting daily 502s.  A small percentage - never reaching 1%.  But with ½ million requests per day, we are starting to get complaints.<br>
><br>
> Stranger: the percentage seems to be rising.<br>
><br>
> I have more details and a pretty picture here:<br>
><br>
> <a href="https://serverfault.com/questions/885638/moving-ssl-termination-to-the" rel="noreferrer" target="_blank">https://serverfault.com/<wbr>questions/885638/moving-ssl-<wbr>termination-to-the</a><br>
> -edge-increased-the-instance-<wbr>of-502-errors<br>
><br>
><br>
> Any advice how to squash those 502s?  Should I be worried nginx is leaking?<br>
<br>
First of all, you have to find the reason for these 502 errors.<br>
Looking into the error log is a good start.<br>
<br>
As per provided serverfault question, you see "no live upstreams"<br>
errors in logs.  These errors mean that all configured upstream servers were disabled due to previous errors (see <a href="http://nginx.org/en/docs/http/ngx_http_upstream_module.html#max_fails" rel="noreferrer" target="_blank">http://nginx.org/en/docs/http/<wbr>ngx_http_upstream_module.html#<wbr>max_fails</a>),<br>
that is, these errors are just a result of previous errors.  You have to find out real errors, they should be in the error log too.<br>
<br>
--<br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
______________________________<wbr>_________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx</a><br>
______________________________<wbr>_________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx</a></div></div></blockquote></div><br></div>