nginx+ssl+download master = битые avi и mp3
Pavel Denisov
p на gazinter.net
Вт Мар 20 07:20:14 UTC 2012
Всем привет !
Имею проблему следующего плана.
Есть nginx-ы (на данный момент пробовал 1.0.14 и 1.1.17), которые отдают
файлы. Всё работает замечательно, но при использовании Download Master-а
файлы avi и mp3 приходят битые.
Конфиг nginx.conf такой.
user www-data;
worker_processes 8;
pid /var/run/nginx.pid;
events {
worker_connections 768;
}
http {
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
gzip on;
gzip_disable "msie6";
include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*;
}
Конфиг конкретного сервера такой.
upstream server-group {
ip_hash;
server api1:81;
server api2:81;
}
server {
listen 80;
server_name files.domainname.com;
server_name_in_redirect off;
rewrite ^(.*) https://files.domainname.com$1 permanent;
}
server {
listen 443;
ssl on;
ssl_certificate /etc/nginx/keys/domainname.com.crt;
ssl_certificate_key /etc/nginx/keys/domainname.com.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:
+EXP;
ssl_prefer_server_ciphers on;
client_max_body_size 2000m;
server_name files.domainname.com;
location /download/ {
secure_link $arg_st,$arg_e;
secure_link_md5 xxx111xxx$uri$arg_e$remote_addr;
if ($secure_link = "") {
return 403;
}
if ($secure_link = "0") {
return 403;
}
rewrite ^/download/(.*) /rest/download/$1 last;
}
location / {
rewrite ^/download/(.*) /rest/download/$1 last;
proxy_pass http://server-group;
proxy_next_upstream error timeout;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
location ^~ /files {
charset utf-8;
root /srv;
internal;
}
}
Сейчас стоит такой вот nginx.
nginx version: nginx/1.1.14
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx
--conf-path=/etc/nginx/nginx.conf
--error-log-path=/var/log/nginx/error.log
--http-client-body-temp-path=/var/lib/nginx/body
--http-fastcgi-temp-path=/var/lib/nginx/fastcgi
--http-log-path=/var/log/nginx/access.log
--http-proxy-temp-path=/var/lib/nginx/proxy
--http-scgi-temp-path=/var/lib/nginx/scgi
--http-uwsgi-temp-path=/var/lib/nginx/uwsgi
--lock-path=/var/lock/nginx.lock --pid-path=/var/run/nginx.pid
--with-debug --with-http_addition_module --with-http_dav_module
--with-http_flv_module --with-http_geoip_module
--with-http_gzip_static_module --with-http_image_filter_module
--with-http_mp4_module --with-http_perl_module
--with-http_random_index_module --with-http_realip_module
--with-http_secure_link_module --with-http_stub_status_module
--with-http_ssl_module --with-http_sub_module --with-http_xslt_module
--with-ipv6 --with-sha1=/usr/include/openssl
--with-md5=/usr/include/openssl --with-mail --with-mail_ssl_module
--add-module=/root/nginx-1.1.14/debian/modules/nginx-development-kit
--add-module=/root/nginx-1.1.14/debian/modules/nginx-upstream-fair
--add-module=/root/nginx-1.1.14/debian/modules/nginx-echo
--add-module=/root/nginx-1.1.14/debian/modules/nginx-lua
--add-module=/root/nginx-1.1.14/debian/modules/nginx-http-push
--add-module=/root/nginx-1.1.14/debian/modules/nginx-upload-module
--add-module=/root/nginx-1.1.14/debian/modules/nginx-upload-progress
--add-module=/root/nginx-1.1.14/debian/modules/mod_zip
--add-module=/root/nginx-1.1.14/debian/modules/headers-more-nginx-module
--add-module=/root/nginx-1.1.14/debian/modules/chunkin-nginx-module
Т.е. есть некий шифрованный URL (например
https://files.domainname.com/download/fileid123456?st=eEYnzmrrxzTjejtXssRnVQ&e=1332310281&u=4sAl7xYZ6Aqq), который генерится в PHP. Если его открыть, запрос через балансировщик прилетает на один из nginx-ов, Nginx проверяет через secure_link, правильный ли URL, и, если все ОК, отдаёт его одному из прокси. От прокси прилетает ответ с заголовками X-Accel-Redirect и Content-Disposition, по которому nginx идёт в internal локейшен и отдаёт файл по https-у.
Файлы лежат на подмонтированном через glusterfs сетевом хранилище. Всё
это дело живёт под Debian-ом.
Всё работает замечательно, пока мы не попробуем скачать avi или mp3,
используя Download Master (пробовали разные версии). Любым другим
способом качается замечательно и приходит не битым. Не медиа файлы
приходят целыми во всех вариантах. Никаких ошибок нигде не пишется, логи
чистые и красивые.
Есть идеи в какую сторону смотреть ?
Павел.
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120320/2ca3ab0e/attachment-0001.html>
Подробная информация о списке рассылки nginx-ru