5.9 KiB
5.9 KiB
存客宝 443 无法访问 · 深度诊断与方案
42.194.245.239 · kr-kf.quwanzhi.com / lytiao.com · 现象:HTTPS 无法打开,HTTP 正常
⚠️ 优先处理:443 不监听时,先检查 ps aux | grep nginx。若为系统 Nginx(/usr/sbin/nginx),先切回宝塔 Nginx 再查其他。详见服务器管理 SKILL Q0、_经验库/已整理/运维经验/宝塔443不监听_系统nginx与宝塔nginx优先排查.md。
综合分析:根因结论
关键对比(同网络下实测)
| 目标 | 80 | 443 | 9988 |
|---|---|---|---|
| 存客宝 42.194.245.239 | ✅ 可达 | ❌ 不可达 | ✅ 可达 |
| kr宝塔 43.139.27.93 | ✅ | ✅ 可达 | ✅ |
结论:kr宝塔 443 可达 → 排除测试端网络限制。问题仅出现在存客宝 443,属实例或腾讯云侧网络配置异常。
已排除
- ✅ 安全组:5 个均已含 443
- ✅ 服务器:iptables 放行、Nginx 监听、SSL 已配
- ✅ 测试网络:kr宝塔 443 通
最可能根因(优先级)
- 实例网络架构:多网卡/弹性网卡,公网流量实际生效的安全组与修改的不一致
- 腾讯云产品层:DDoS 高防、WAF 等对 443 有单独策略
- 规则顺序:DROP 在 ACCEPT 前匹配 443
一、深度诊断结论(2026-02)
1. 安全组规则核查
| 安全组 | 443 入站 | 备注 |
|---|---|---|
| sg-liw750jn | ✅ 有 | 明确 443/tcp |
| sg-7m7gdqg7 | ✅ 有 | 端口列表中含 443 |
| sg-abcjf9xf | ⚠️ ALL/ALL | 理论允许所有 |
| sg-g4ih01d7 | ✅ 有 | 明确 443/tcp |
| sg-podrm64t | ✅ | 含 ALL/ALL |
结论:5 个安全组均已含 443。
2. 服务器内状态(TAT)【2026-02 更新 · 已解决】
- iptables:已有 ACCEPT 规则 tcp dpt:443
- 原根因:运行的是系统 nginx (
/usr/sbin/nginx),非宝塔 nginx。系统 nginx 配置不含 443,故仅监听 80。 - 解决:停掉系统 nginx,启动宝塔 nginx(
/www/server/nginx/sbin/nginx -c /www/server/nginx/conf/nginx.conf),443 正常。
3. 外网实测
- 80:可达,HTTP 200
- 443:不可达(nc/curl 超时或连接失败)
三、可执行修复步骤
步骤 A:安全组补全 443(必做)
cd /Users/karuo/Documents/个人/卡若AI/01_卡资(金)/金仓_存储备份/服务器管理/scripts
/Users/karuo/Documents/个人/卡若AI/.venv_tencent/bin/python3 腾讯云_存客宝安全组放行443.py
执行后检查:
/Users/karuo/Documents/个人/卡若AI/.venv_tencent/bin/python3 腾讯云_存客宝安全组放行443.py --check
确认所有安全组「含443: ✅」。
步骤 B:腾讯云控制台深度核对(定位根因)
- 云服务器 CVM → 找到存客宝 42.194.245.239
- 实例详情 → 查看:弹性公网 IP 绑定方式、主网卡/弹性网卡、各网卡绑定的安全组
- 安全组 → 逐个检查 5 个安全组:入站规则顺序、是否存在 DROP 在 ACCEPT 前
- 安全产品:检查是否开启 DDoS 高防、WAF、云防火墙等,查看 443 相关策略
- 对比 kr宝塔:与 43.139.27.93 实例的网络配置、安全组绑定方式对比差异
步骤 C:修复 Nginx 443 监听(根因·2026-02 已定位)
根因:运行的是系统 nginx(/usr/sbin/nginx),非宝塔 nginx。系统 nginx 配置不含 443,仅监听 80。
修复步骤(任选):
- TAT 脚本:
python3 scripts/腾讯云_TAT_存客宝_Nginx443强制修复.py - 宝塔终端:
killall nginx; sleep 2; /www/server/nginx/sbin/nginx -c /www/server/nginx/conf/nginx.conf - 宝塔面板:软件商店 → Nginx → 重启
步骤 D:宝塔防火墙
- https://42.194.245.239:9988 → 安全 → 防火墙
- 确认 443 在放行列表
步骤 E:多网络验证
- 手机 4G 访问:https://kr-kf.quwanzhi.com
- 或使用在线端口检测:https://www.yougetsignal.com/tools/open-ports/
输入 42.194.245.239,端口 443
四、替代方案(若 443 仍不通)
方案 1:临时用 HTTP
- 访问 http://kr-kf.quwanzhi.com 或 http://www.lytiao.com
- 适合内部分发或过渡期
方案 2:CDN 代理(推荐)
使用 腾讯云 CDN 或 Cloudflare:
- 域名解析到 CDN
- CDN 回源协议选 HTTP(80)
- SSL 在 CDN 侧终止,用户访问 HTTPS
这样不依赖服务器 443 开放。
方案 3:kr宝塔反代(推荐,立即可用)
若 kr宝塔 43.139.27.93 的 443 可访问,可将 kr-kf 解析到 kr宝塔,由 kr宝塔 Nginx 反代到存客宝 HTTP 80。
操作步骤:
- 在 kr宝塔 宝塔面板 → 网站 → 添加站点 → 域名
kr-kf.quwanzhi.com - 站点设置 → 反向代理 → 添加反向代理:
- 代理目录:
/ - 目标 URL:
http://42.194.245.239
- 代理目录:
- 域名解析:将 kr-kf.quwanzhi.com 的 A 记录改为
43.139.27.93(原为 42.194.245.239) - kr宝塔 为该站点配置 SSL(Let's Encrypt)
效果:用户访问 https://kr-kf.quwanzhi.com → kr宝塔 443 → 反代到 存客宝 80。
五、相关脚本
| 脚本 | 用途 |
|---|---|
| 腾讯云_存客宝安全组放行443.py | 安全组添加 443 |
| 腾讯云_存客宝安全组放行443.py --check | 检查安全组规则 |
| 腾讯云_TAT_存客宝诊断443.py | 服务器内诊断 |
| 腾讯云_TAT_存客宝放行443本地防火墙.py | iptables/宝塔防火墙放行 |
| 存客宝_443放行_宝塔终端执行.sh | 在宝塔【终端】粘贴执行,确保防火墙 443 放行 |
| 存客宝_443深度诊断.py | 实例网络+安全组+服务器内全量诊断 |
| 腾讯云_TAT_存客宝_Nginx443修复.py | 诊断 Nginx 不监听 443 的原因(证书/配置) |
| 腾讯云_TAT_存客宝_Nginx443强制修复.py | 修复根因:切回宝塔 nginx,恢复 443 监听 |