这个问题很有意思，说起来还是由于可恶的GFW. 我目前使用一台阿里云华南的服务器来服务国内客户，然后用一台阿里云HKB 的服务器 + CDN 来服务国外客户. 但是郁闷的是，HKB 的服务器，nginx运行一会就回出现502 bad gateway，但是把HKB 的业务放在其他的服务商那里，就不会出现这个问题, 而且如果你不是用80端口，也不会出现这个问题

这个debug了将近一个星期才猛然间意识到，这也许是因为GFW 和阿里云盾的敏感词过滤系统，强制TCP 触发RST标志，造成502 connection reset

目前看来唯一的办法就是上https， 也就是说要secure data transfer between nginx and its upstream。。。我发现对我来说，还是英语描述比较完整

在这种情况下，nginx 的 upstream 要是用https， 但是因为只是作为内部数据传输，因此可以不用去买SSL证书，直接用self signed 的证书就可以了.

nginx 的官方，有一篇比较权威的教程:

https://www.nginx.com/resources/admin-guide/nginx-https-upstreams/

但是说实话，这个比较复杂，用的是SSL 的双面认证，类似于国内的网上银行的验证方式，而对于我们这种情况，只需要单向认证就可以了. 也就是说只需要在 后端的nginx 的服务器上安装自签发的SSL证书即可，前端nginx 配置调整为proxy_pass https.

关于如何给nginx安装自签发的ssl 证书，国内的教程也比较多，但是大部分都是先自建CA key crt，再签发，比较麻烦， 类似于这样:

http://blog.creke.net/762.html

这样做比较适合双向SSL认证

一个简单的方式可以借助下面的blog提到的方式:

http://blog.topspeedsnail.com/archives/3768

下面简单说下:

现在很多网站都使用https进行加密通讯及对网络服务器身份的鉴定。这遍文章介绍怎么在Nginx web服务上设置自签名SSL证书。由于不是由权威机构发布的证书，它（自签名证书）不能确认网络服务器身份，但是它可以对通信进行加密。

自签名证书适合个人或公司内部使用，如果要对外提供web服务，最好购买权威机构发布的证书。在github上有一个项目叫Let’s Encrypt，可以使用它签发免费的证书，并且大多数web浏览器都信任它。

创建SSL证书

我们可以创建一个目录用来存放所有SSL相关文件，在/etc/nginx下创建：

 sudo mkdir /etc/nginx/ssl

创建 SSL密钥和证书文件：

$ sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/nginx.key -out /etc/nginx/ssl/nginx.crt

我们来看一看上面命令各个选项的意思：

openssl：这是创建和管理OpenSSL密钥、证书和其它文件的命令行工具
req：指定使用X.509证书签名要求（CSR）
-x509：创建自签名证书，而不生成签名请求
-nodes：证书不使用密码，我们需要Nginx能直接读取文件，在重启Nginx时，不用输入密码
-days 365:：证书的有效时间，这里是一年
-newkey rsa:2048：同时生成一个新证书和新密钥，RSA密钥长度：2048位
-keyout：密钥生成的路径
-out：证书生成的路径
执行上面命令，需要回答一系列问题。其中，最重要的一个问题是Common Name (e.g. server FQDN or YOUR name)，输入你的域名。这里可以使用泛解析. 如果没有域名的话，使用ip地址。

这样就会生产key 和 crt

一个简单的nginx配置例子:

server {
 listen 80 default_server;
 listen [::]:80 default_server ipv6only=on;
 
 listen 443 ssl;
 
 root /usr/share/nginx/html;
 index index.html index.htm;
 
 server_name your_domain.com;
 ssl_certificate /etc/nginx/ssl/nginx.crt;
 ssl_certificate_key /etc/nginx/ssl/nginx.key;
 
 location / {
 try_files $uri $uri/ =404;
 }
}