Я пытаюсь указать субдомен на другой IP-адрес на другом сервере, но по какой-то причине он работает только время от времени (скажем, 1 из 20 раз). При просмотре http // galera.domain.com выдается ошибка «потребовалось слишком много времени для ответа» и изменяется URL-адрес на https // galera.domain.com. Прямой просмотр IP-адреса всегда работает нормально.
Вот моя текущая настройка:
Сервер 1 (nginx):
IP_ADDRESS_1.
HSTS включен [Strict Transport Security (max-age = 63072000; includeSubdomains)]
DNS для domain.com / www.domain.com указывает на IP_ADDRESS_1
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name domain.com www.domain.com;
return 301 https://$server_name$request_uri;
}
server {
# SSL configuration
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
include snippets/ssl-domain.com.conf;
include snippets/ssl-params.conf;
root /var/www/html;
index index.php index.html index.htm index.nginx-debian.html;
server_name domain.com;
location / {
try_files $uri $uri/ =404;
}
location ~ \.php$ {
include snippets/fastcgi-php.conf;
fastcgi_pass unix:/run/php/php7.0-fpm.sock;
}
location ~ /\.ht {
deny all;
}
}
Вот файл /etc/nginx/snippets/ssl-params.conf Сервера 1:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 10s;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains";
add_header X-Frame-Options DENY;
add_header X-Content-Type-Options nosniff;
ssl_dhparam /etc/ssl/certs/dhparam.pem;
Сервер 2 (кластер Galera №1 с phpmyadmin, работающим на apache):
IP_ADDRESS_2
DNS для galera.domain.com указывает на IP_ADDRESS_2
<VirtualHost *:80>
ServerAdmin me@domain.com
ServerName galera.domain.com
DocumentRoot /usr/share/phpmyadmin
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Надеюсь, вы все поможете пролить свет на эту, скорее всего, простую проблему.
изменить: HSTS [Strict Transport Security (max-age = 63072000; includeSubdomains)] включен на domain.com
изменить 2: добавлен код для /etc/nginx/snippets/ssl-params.conf
редактировать 3: РЕШЕНО. HSTS предотвращал загрузку небезопасного содержимого из поддомена. исправлено установкой сертификата SSL на galera.domain.com с использованием тех же протоколов (включая HSTS), что и domain.com
Вам необходимо согласовать действия с тем, кто устанавливает политику безопасности домена. Этот домен использует строгую транспортную безопасность, и вам не должно быть разрешено даже создавать субдомен для использования веб-сервером, пока вы не скоординируете действия.