线上Nginx频繁502的排查过程与解决方案

 更新时间:2026年01月27日 09:53:44   作者:白露与泡影  
本文详细介绍了在线上Nginx频繁出现502错误的排查过程,包括监控数据、Nginx和后端服务的状态检查、连接数分析以及最终的解决方案,作者通过调整系统参数、优化Nginx配置和多实例负载均衡等措施,成功解决了502错误问题,需要的朋友可以参考下

监控告警:Nginx 502错误率飙升到5%。

看了眼后端服务,运行正常,没有报错。重启Nginx,好了一会又开始502。

排查了3个小时,最后发现是upstream配置的问题。记录一下排查过程。

问题现象

监控数据

  • 502错误率:从0.1% → 5%
  • 后端服务:正常运行,无报错
  • CPU/内存:正常
  • 发生时间:流量高峰期

特点

  • 不是全部请求都502,大部分正常
  • 重启Nginx后短暂恢复,然后又出现
  • 后端服务日志没有异常

排查过程

Step 1:看Nginx错误日志

tail -f /var/log/nginx/error.log

发现大量这样的错误:

upstream timed out (110: Connection timed out) while connecting to upstream
upstream prematurely closed connection while reading response header

关键信息:是upstream连接的问题,不是后端服务本身的问题。

Step 2:检查后端服务状态

# 查看后端服务进程
ps aux | grep java

# 查看端口监听
ss -tlnp | grep 8080

# 直接测试后端
curl -I http://127.0.0.1:8080/health

后端服务正常,直接访问返回200。

Step 3:检查连接数

# 查看Nginx到后端的连接数
ss -ant | grep 8080 | wc -l

# 查看连接状态分布
ss -ant | grep 8080 | awk '{print $1}' | sort | uniq -c

发现问题了:

850 ESTABLISHED
   120 TIME_WAIT
    50 SYN_SENT

有50个连接卡在SYN_SENT状态,说明Nginx到后端的新连接建立不上。

Step 4:检查后端连接队列

# 查看后端服务的accept队列 
ss -lnt | grep 8080

输出:

State    Recv-Q   Send-Q   Local Address:Port
LISTEN   129      128      0.0.0.0:8080

问题找到了! Recv-Q是129,Send-Q是128。

这说明accept队列满了(128是默认值),新连接无法被接受。

根因分析

什么是accept队列

客户端 → SYN → 服务端(半连接队列)
服务端 → SYN+ACK → 客户端
客户端 → ACK → 服务端(全连接队列/accept队列)
应用程序 accept() → 取出连接

当accept队列满了,新的完成三次握手的连接无法进入队列,客户端会收到超时或RST。

为什么队列满了

后端是Spring Boot应用,默认配置:

server:
  tomcat:
    accept-count: 100  # Tomcat的accept队列

而系统层面的限制是net.core.somaxconn = 128,取两者较小值,所以实际accept队列只有128。

流量高峰时

  1. 请求量大,新连接多
  2. accept队列128不够用
  3. 新连接被拒绝
  4. Nginx收到超时,返回502

解决方案

方案一:调大系统参数

# 查看当前值
sysctl net.core.somaxconn

# 临时修改
sysctl -w net.core.somaxconn=65535

# 永久修改
echo "net.core.somaxconn = 65535" >> /etc/sysctl.conf
sysctl -p

方案二:调整Tomcat配置

server:
  tomcat:
    accept-count: 1000      # accept队列大小
    max-connections: 10000  # 最大连接数
    threads:
      max: 500              # 最大工作线程数

方案三:Nginx upstream优化

upstream backend {
    server 127.0.0.1:8080 max_fails=3 fail_timeout=30s;
    
    keepalive 100;  # 保持连接数,减少新建连接
}

server {
    location / {
        proxy_pass http://backend;
        
        proxy_connect_timeout 5s;      # 连接超时
        proxy_read_timeout 60s;        # 读取超时
        proxy_send_timeout 60s;        # 发送超时
        
        proxy_http_version 1.1;        # 使用HTTP/1.1
        proxy_set_header Connection ""; # 配合keepalive
    }
}

方案四:多实例负载均衡

如果单实例撑不住,可以部署多实例:

upstream backend {
    least_conn;  # 最少连接数策略
    
    server 127.0.0.1:8080 weight=1;
    server 127.0.0.1:8081 weight=1;
    server 127.0.0.1:8082 weight=1;
    
    keepalive 100;
}

最终配置

系统参数(/etc/sysctl.conf):

net.core.somaxconn = 65535
net.ipv4.tcp_max_syn_backlog = 65535
net.core.netdev_max_backlog = 65535

Spring Boot配置

server:
  tomcat:
    accept-count: 2000
    max-connections: 20000
    threads:
      max: 500
      min-spare: 50

Nginx配置

upstream backend {
    server 127.0.0.1:8080;
    keepalive 200;
}

server {
    location / {
        proxy_pass http://backend;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_connect_timeout 5s;
        proxy_read_timeout 60s;
    }
}

优化效果

指标优化前优化后
502错误率5%0.01%
accept队列溢出频繁
连接建立时间不稳定稳定<5ms

排查命令汇总

# 查看Nginx错误日志
tail -f /var/log/nginx/error.log

# 查看连接状态
ss -ant | grep <端口>

# 查看监听队列
ss -lnt | grep <端口>

# 查看队列溢出统计
netstat -s | grep -i listen

# 查看系统参数
sysctl net.core.somaxconn

# 实时监控连接数
watch -n 1 'ss -ant | grep <端口> | wc -l'

经验总结

502原因排查方向
upstream timed out后端处理慢或连接队列满
connection refused后端服务没启动
no live upstreams所有后端都不可用
prematurely closed后端主动断开连接

这次的坑:后端服务看起来正常,但accept队列满了,新连接进不来。

教训

  1. 系统默认的somaxconn=128太小,生产环境必须调大
  2. Nginx配置keepalive可以减少新建连接,降低队列压力
  3. 监控要加上连接队列指标

以上就是线上Nginx频繁502的排查过程与解决方案的详细内容,更多关于线上Nginx频繁502排查的资料请关注脚本之家其它相关文章!

相关文章

  • Nginx可视化管理软件NginxProxyManager的使用

    Nginx可视化管理软件NginxProxyManager的使用

    NginxProxyManager是一款基于Nginx的开源可视化管理工具,支持通过WebUI简易管理Nginx服务器,支持DockerCompose快速部署在Linux、Windows、macOS上,提供SSL证书获取、多代理管理等功能,感兴趣的可以了解一下
    2024-11-11
  • 比较完整的Nginx配置文件nginx.conf常用参数中文详解

    比较完整的Nginx配置文件nginx.conf常用参数中文详解

    这篇文章主要介绍了比较完整的Nginx配置文件nginx.conf常用参数中文详解,需要的朋友可以参考下
    2015-07-07
  • Nginx配置Https免费证书访问步骤

    Nginx配置Https免费证书访问步骤

    这篇文章主要为大家介绍了Nginx配置Https免费证书访问步骤,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪
    2023-08-08
  • nginx上设置html不缓存的方法实现

    nginx上设置html不缓存的方法实现

    前端项目发布以后,经常会遇到访问不到最新的版本,这主要是由于我们项目的入口文件index.html被浏览器或者代理缓存了,本文主要介绍了nginx上设置html不缓存,具有一定的参考价值,感兴趣的可以了解一下
    2024-02-02
  • Nginx proxy_ssl_server_name 解决后端多域名证书匹配失败的方法

    Nginx proxy_ssl_server_name 解决后端多域名证书匹配失败的方法

    本文介绍了Nginx反向代理HTTPS后端时的关键指令proxy_ssl_server_name,当后端托管多域名证书时,Nginx需启用SNI扩展以正确匹配证书,本文详细分析了问题场景、基础解决方案,并提供了进阶配置方案,感兴趣的可以了解一下
    2026-04-04
  • mac 下 安装nginx的方法小结

    mac 下 安装nginx的方法小结

    这里简单记录一下在mac系统下安装nginx的方法,推荐给大家,有需要的小伙伴可以参考下。
    2015-03-03
  • 如何自定义Nginx JSON日志格式配置

    如何自定义Nginx JSON日志格式配置

    Nginx作为最流行的Web服务器之一,其灵活的日志配置能力允许我们根据需求定制日志格式,本文将详细介绍如何配置Nginx以JSON格式记录访问日志,这种结构化日志格式特别适合ELK等日志分析系统处理,感兴趣的朋友一起看看吧
    2025-03-03
  • nginx通过nginx_upstream_check_module实现后端健康检查

    nginx通过nginx_upstream_check_module实现后端健康检查

    nginx的健康检查有两种,一种是被动健康检查,也就是nginx自带健康检查模块ngx_http_upstream_module,另一种就是主动健康检查,使用第三方模块nginx_upstream_check_module,下面就来介绍一下,感兴趣的可以了解一下
    2024-08-08
  • Nginx proxy、rewrite、alias配置过程

    Nginx proxy、rewrite、alias配置过程

    这篇文章主要介绍了Nginx proxy、rewrite、alias配置过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-06-06
  • 详解如何修改nginx的默认端口

    详解如何修改nginx的默认端口

    这篇文章主要介绍了详解如何修改nginx的默认端口,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-03-03

最新评论