docs: add nginx SNI + zerotier architecture post and nchan SSL renewal issue

2026-04-22 10:10:17 +08:00 · 2026-04-22 10:10:17 +08:00 · 15f51dd303
commit 15f51dd303
parent c2601d53ed
2 changed files with 420 additions and 0 deletions
--- a/examples/blog/docs/blog/2026-04-21.md
+++ b/examples/blog/docs/blog/2026-04-21.md
@ -0,0 +1,285 @@
 ---
 title: 家庭服务外网访问架构重构：Nginx SNI 分流 + ZeroTier 虚拟组网
 createTime: 2026/04/21 20:51:22
 tags:
  - nginx
  - zerotier
 description: 介绍一种基于 Nginx SNI 分流和 ZeroTier 虚拟组网的家庭服务外网访问架构，实现云服务器与内网物理机的协同工作
 ---
 ## 背景与动机
 ### 硬件环境
 - **云服务器**：阿里云 2核2G
 - **内网物理机**：Dell R730XD（E5-2650 v4, 32G）
 ### 之前的方案：frp 内网穿透
 早期使用 [frp](https://github.com/fatedier/frp) 的内网穿透方案 将内网服务暴露到外网：
 ```text
 用户请求 -> 阿里云nginx -> frps(云服务器) -> frpc(内网) -> 目标服务
 ```
 frp 方案的局限性：
 1. 所有流量都要经过 frp 转发，额外增加一层代理开销
 2. 每新增一个服务，需要同时修改云服务器和内网机的配置
 3. 某些协议（如 WebSocket）需要额外配置支持
 ## 架构概述
 本文介绍 SNI 分流 + ZeroTier 的架构方案核心组件：
 - **云服务器**：拥有公网 IP，作为流量入口，负责 SNI 分流
 - **ZeroTier**：建立云服务器与内网物理机的虚拟局域网隧道。参考[Zerotier组网的简单应用](./2024-07-01.md)
 - **内网物理机**：运行实际服务，通过 ZeroTier 接收转发流量
 核心思路：云服务器只做流量分发，实际服务运行在内网物理机。
 ### 网络拓扑
 ```text
                    网络请求
                       │
                       ▼
                     阿里云
                       │
         ┌─────────────┼───────────────┐
         │             │               │
         ▼             ▼               ▼
     frp.a.com   zerotier.a.com   *.a.com (默认)
         │              │              │
         ▼              ▼              ▼
 frp dashboard   zerotier ztncui   ZeroTier 隧道
                                       │
                                       ▼
                     ┌─────────────────────────────────────┐
                     │        内网物理机 (R730XD)           │
                     │       ZeroTier IP: 172.xx.xx.x      │
                     │                                     │
                     │  ┌─────────┬─────────┬──────────┐   │
                     │  │ service1│ service2│ service3 │   │
                     │  │ service4│ service5│   ...    │   │
                     │  └─────────┴─────────┴──────────┘   │
                     └─────────────────────────────────────┘
 ```
 ### 优势
 1. 内网服务不直接暴露公网，通过 ZeroTier 隧道通信
 2. 无需额外配置，新增/修改服务只需在内网配置，云服务器无需改动
 3. 降低云服务器负载压力，SNI 分流在四层完成，无需解密 HTTPS
 ## 云服务器配置
 云服务器作为流量入口，使用 Nginx 的 stream 模块进行四层代理和 SNI 分流。
 1. `/etc/nginx/nginx.conf`
 - stream 块：处理 443 端口的 TCP 流量，根据 SNI 域名分流
 - http 块：处理 80 端口的 HTTP 流量，没有SNI，但是可以直接根据域名分流转发到内网
 ```nginx
 stream {
    # 内网物理机 upstream (通过 ZeroTier)
    upstream home_backend {
        server 172.xx.x.x:443;
    }
    # 本地服务 upstream
    upstream local_https {
        server 127.0.0.1:8443;
    }
    # SNI 路由表
    map $ssl_preread_server_name $backend {
        frp.a.com       local_https;
        zerotier.a.com  local_https;
        default         home_backend;
    }
    server {
        listen 443;
        ssl_preread on;          # 启用 SNI 预读取
        proxy_pass $backend;      # 根据域名分流
        proxy_protocol on;        # 传递真实 IP
    }
 }
 ```
 2. HTTP 转发
 `/etc/nginx/nginx.conf` (http 块)
 ```nginx
 server {
    listen 80;
    # 因为frps和zerotier配置了特定server_name，优先于泛域名匹配，因此不影响本地服务转发
    server_name *.a.com a.com;
    client_max_body_size 500M;
    location / {
        proxy_pass http://172.xx.x.x:80;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
 }
 ```
 3. 本地 HTTPS 服务配置
 `/etc/nginx/conf.d/frp.a.com`处理需要在云服务器本地处理的特定域名
 ```nginx
 server {
    listen 8443 ssl http2 proxy_protocol;
    server_name frp.a.com;
    # 接收 proxy_protocol 传递的真实 IP
    set_real_ip_from 127.0.0.1;
    real_ip_header proxy_protocol;
    location / {
        proxy_pass http://127.0.0.1:6001;
    }
    ssl_certificate /etc/letsencrypt/live/frp.a.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/frp.a.com/privkey.pem;
 }
 # HTTP 重定向
 server {
    listen 80;
    server_name frp.a.com;
    return 301 https://$host$request_uri;
 }
 ```
 ## 内网物理机配置
 内网物理机运行在家庭网络中，通过 ZeroTier 与云服务器组成虚拟局域网。
 1. 内网服务配置
 处理阿里云转发过来的域名请求，根据子域名反向代理到不同服务：
 `/etc/nginx/conf.d/service1.a.com`
 ```nginx
 server {
    listen 443 ssl http2 proxy_protocol;
    server_name service1.a.com;
    # 接收 proxy_protocol 传递的真实 IP
    set_real_ip_from 127.0.0.1;
    real_ip_header proxy_protocol;
    location / {
        proxy_http_version 1.1;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_pass http://127.0.0.1:7001;
    }
    ssl_certificate /etc/letsencrypt/live/service1.a.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/service1.a.com/privkey.pem;
 }
 # HTTP 也被转发进来了，重定向
 server {
    listen 80;
    server_name service1.a.com;
    return 301 https://$host$request_uri;
 }
 ```
 2. 主配置文件
 `/etc/nginx/nginx.conf`
 内网 Nginx 使用标准的 HTTP 模块配置
 ```nginx
 user www-data;
 worker_processes auto;
 error_log /var/log/nginx/error.log;
 http {
    sendfile on;
    tcp_nopush on;
    types_hash_max_size 2048;
    include /etc/nginx/mime.types;
    default_type application/octet-stream;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    access_log /var/log/nginx/access.log;
    gzip on;
    # 包含所有站点配置
    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/conf.d/*.a.com; # 自己添加的include
 }
 ```
 ## 证书管理
 1. 云服务器证书
 为需要在本地处理的域名申请独立证书：
 ```text
 frp.a.com
 zerotier.a.com
 ```
 2. 内网物理机证书
 直接在内网就可以为泛域名和各个子域名申请证书（二选一即可）：
 ```text
 # 泛域名证书
 *.a.com
 # 独立子域名证书
 service1.a.com
 service2.a.com
 service3.a.com
 # ...
 ```
 由于我直接用`certbot --nginx`配置的证书，直接用`certbot renew`即可更新证书，无需手动操作。
 ## 问题
 1. SSL 协议错误
 `ERR_SSL_PROTOCOL_ERROR`
 由于 stream 模块配置了 `proxy_protocol on`，监听ssl的 Nginx 配置必须使用 `proxy_protocol` 协议，否则无法正常握手。
 云服务的服务、内网的服务，都需要加上。
 2. Nginx nchan 模块导致 SSL 证书续期失败
 Nginx nchan 模块导致 SSL 证书批量续期失败，可能是certbot大量重写配置文件并行重载nginx时导致的bug，参考:[Nginx nchan 模块导致 SSL 证书批量续期失败的调试记录](../notes/2026-04-22.md)。
 ## Reference
 - [Nginx Stream](http://nginx.org/en/docs/stream/ngx_stream_core_module.html)
 - [Nginx SNI](https://nginx.org/en/docs/stream/ngx_stream_ssl_preread_module.html)
 - [ZeroTier 官方文档](https://docs.zerotier.com/)
 - [Certbot 文档](https://eff-certbot.readthedocs.io/)
 - [Nginx Ticket #1135 - Connections timing out after upgrading to 1.10.2](https://trac.nginx.org/nginx/ticket/1135)
--- a/examples/blog/docs/notes/2026-04-22.md
+++ b/examples/blog/docs/notes/2026-04-22.md
@ -0,0 +1,135 @@
 ---
 title: Nginx nchan 模块导致 SSL 证书批量续期失败
 createTime: 2026/04/22 08:43:00
 tags:
  - nginx
  - ssl
  - certbot
  - nchan
 ---
 ## 问题背景
 在例行检查 SSL 证书自动续期时，发现 `certbot renew --dry-run` 命令出现大量失败。13 个域名中，前 6 个续期成功，后 7 个全部失败，返回 **504 Gateway Timeout** 错误。
 ## 环境信息
 | 组件     | 版本/配置 |
 | -------- | --------- |
 | Nginx    | 1.24.0    |
 | Certbot  | 2.9.0     |
 | 域名数量 | 13 个     |
 ## 错误信息
 ```text
 Certbot failed to authenticate some domains (authenticator: nginx).
 The Certificate Authority reported these problems:
  Domain: example.a.com
  Type:   unauthorized
  Detail: 12.34.56.78: Invalid response from
          http://example.a.com/.well-known/acme-challenge/xxx: 504
 ```
 ## 初步排查
 ### 1. 检查 Nginx 状态
 Nginx 服务显示运行正常，但发现异常：
 ```bash
 $ pgrep nginx | wc -l
 147
 ```
 有 **147 个 nginx 进程**，远超正常数量（通常 1 master + N workers）。
 并且无法正常访问到任何nginx代理的服务，疑似进程阻塞。
 ### 2. 检查错误日志
 ```bash
 $ grep "23:18" /var/log/nginx/error.log
 ```
 发现大量 worker 进程崩溃记录：
 ```text
 2026/04/21 23:18:20 [alert] 149662#149662: worker process 153306 exited on signal 6 (core dumped)
 2026/04/21 23:18:20 [alert] 149662#149662: shared memory zone "memstore" was locked by 153306
 2026/04/21 23:18:20 [alert] 149662#149662: worker process 153307 exited on signal 6 (core dumped)
 2026/04/21 23:18:20 [alert] 149662#149662: shared memory zone "memstore" was locked by 153307
 ...
 ```
 统计崩溃次数：
 ```bash
 $ grep -c "exited on signal 6" /var/log/nginx/error.log
 2361
 ```
 **2361 次 worker 进程崩溃！**
 ## 问题分析
 ```text
 certbot renew → 修改 nginx 配置 → nginx reload
              → nchan 模块 bug → worker 崩溃
              → 无法处理请求 → Let's Encrypt 等待超过 60 秒 → 504 超时
 ```
 certbot 按顺序处理证书，每个证书需要：
 1. 修改 nginx 配置添加临时验证路径
 2. reload nginx
 3. 等待 Let's Encrypt 验证
 4. 恢复配置
 当处理到第 7 个证书时，频繁的 reload 触发了 nchan 模块的 bug，导致 worker 进程批量崩溃。此时 nginx 无法正常响应请求，后续所有证书验证都超时失败。
 根据 [Nginx Ticket #1135](https://trac.nginx.org/nginx/ticket/1135) 的记录，nchan 模块在 nginx reload 时存在已知问题：
 > After upgrading from 1.10.1 without ALPN support to 1.10.2 with ALPN support... we've been getting into situations where Nginx completely stops serving connections without any warning.
 >
 > The nginx error log on the affected hosts gets these odd messages:
 >
 > ```text
 > worker process exited on signal 6 (core dumped)
 > shared memory zone "memstore" was locked by xxx
 > ```
 ## 解决方案
 禁用 nchan 模块
 ```bash
 # 1. 找到 nchan 模块配置
 ls -la /etc/nginx/modules-enabled/ | grep nchan
 # lrwxrwxrwx 1 root root 49 Apr 20 18:50 50-mod-nchan.conf -> /usr/share/nginx/modules-available/mod-nchan.conf
 # 2. 删除符号链接（禁用模块）
 sudo rm /etc/nginx/modules-enabled/50-mod-nchan.conf
 # 3. 测试配置
 sudo nginx -t
 # nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
 # nginx: configuration file /etc/nginx/nginx.conf test is successful
 # 4. 重启 nginx
 sudo service nginx restart
 ```
 重新运行 certbot 续期测试：
 ```bash
 sudo certbot renew --dry-run
 ```
 结果 13 个证书全部续期成功
 ## 参考链接
 - [Nginx Ticket #1135 - Connections timing out after upgrading to 1.10.2](https://trac.nginx.org/nginx/ticket/1135)
 - [nchan 官方文档](https://nchan.io/)
 - [Certbot 文档](https://eff-certbot.readthedocs.io/)