华为云首页用户手册

WEB应用防火墙 WAF-如何排查404/502/504错误？:504 Gateway Timeout错误排查思路和处理建议

WEB应用防火墙 WAF-如何排查404/502/504错误？:504 Gateway Timeout错误排查思路和处理建议

时间：2024-01-10 09:32:09

WEB应用防火墙 WAF 业务中断排查

504 Gateway Timeout错误排查思路和处理建议

完成WAF 域名接入配置之后，业务正常，但当业务量增加时，发生504错误的概率增加，直接访问源站IP也有一定概率出现504错误，请参考图8进行排查处理。

图8 504错误排查思路
点击放大

表2 504错误问题处理
可能原因	排查方法	处理建议
原因一：后端服务器性能问题（连接数，CPU内存占用过大等）	源站性能问题，可以排查源站访问日志以及访问流量情况，定性分析。	优化服务器的相关配置，包括TCP网络参数的优化配置，ulimit相关参数设置等。如果是云模式部署方式，建议在ELB上增加后端服务器组或创建新的ELB，支撑大量增长的业务量。增加后端服务器组的详细操作，请参见添加后端云服务器（共享型）。配置新ELB的操作，请参考步骤 1~步骤 7。如果“对外协议”是HTTPS，建议在WAF设置HTTPS转发，回源走HTTP协议即“源站协议”设置为HTTP，降低后端服务器的计算压力。修改服务器信息的详细操作，请参见修改服务器信息。使用CC防护规则，拦截恶意流量。
原因二：安全组未将WAF回源IP设置为白名单或未放开端口源站有防火墙设备，且该防火墙设备拦截了WAF的回源IP	建议采用以下方法进行排查：排查客户源站是否有安全组，防火墙，服务器安全软件等。在客户端与WAF上同时进行抓包分析，排查源站防火墙等设备对WAF的长连接是否有主动丢包的现象。	源站服务器配置放行WAF回源IP的访问控制策略。云模式：请参见如何放行云模式WAF的回源IP段？。独享模式：请参见放行独享引擎回源IP。建议您关闭防火墙和服务器安全防护软件。
原因三：连接超时、read超时说明：源站响应时间过长导致504（数据库查询时间过长，大文件上传时间过长，源站故障等）。 WAF回源到客户源站超时时间大多为60秒或180秒，若超时则会报错504。	该问题有以下排查方法：绕过WAF，直接访问客户源站，查看响应时长查看全量日志里面访问日志源站响应时长建议客户绕过WAF测试上传功能，并检查客户上传文件大小	数据库查询时间过长：调整优化业务，尽量缩短查询时长，优化用户体验。修改请求的交互方式，让这种长连接在 60s 内能有一些数据交互（如，ack报文、心跳包、keep-alive等任何可以维持会话的报文）。大文件上传时间过长：调整优化业务，尽量缩短文件上传时间。建议使用FTP方式上传文件。直接通过IP上传，或者使用没有被WAF防护的域名上传。使用WAF的独享模式，独享WAF回源超时默认为180s。源站故障类：检查源站业务是否正常。
原因四：源站带宽不足，访问流量过大，带宽超限制	该问题有以下排查方法：若客户配置的WAF后端为7层ELB，则可以在ELB上查504相关日志若客户配置的WAF后端为4层ELB，则可以在ELB上查“Traffic exceeded the bandwidth threshold”相关字段日志若客户配置的WAF后端为EIP，则在504高峰查看EIP流量监控。	扩展源站服务器带宽。

创建新的ELB，参照以下方法将ELB的EIP作为服务器的IP地址，接入WAF。

修改服务器信息，大约需要2分钟同步生效。

创建负载均衡器。
登录管理控制台。
进入网站设置页面入口，如图9所示。

图9 网站设置入口
在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。
在“服务器信息”栏中，单击，进入“修改服务器信息”页面，单击“添加”，新增后端服务器。

图10 服务器配置
将“源站地址”设置为ELB的弹性公网IP地址。
单击“确定”，服务器信息修改成功。

上一篇：费用中心-可五天无理由退订:退订规则

下一篇：WEB应用防火墙 WAF-Web应用防火墙支持哪些防护规则？

WEB应用防火墙 WAF-如何排查404/502/504错误？:504 Gateway Timeout错误排查思路和处理建议

意见反馈

0/200

提交成功！非常感谢您的反馈，我们会继续努力做到更好反馈提交失败！请稍后重试！

推荐文章

解决方案
相关专题