From eugene на uhss.ru Sun Oct 1 15:55:01 2017 From: eugene на uhss.ru (Delbert Webster) Date: Sun, 1 Oct 2017 15:55:01 +0000 Subject: =?UTF-8?Q?=E2=98=AFhey!_they_encouraged_me_much?= Message-ID: Hello! Just have a look at that amazing products many people can do! They influenced me a lot! Amazing! Here is the link http://excelforum.sk/special.php?UE9uZ2lueC1ydUBuZ2lueC5vcmc- Be well, Delbert Webster From nginx-forum на forum.nginx.org Wed Oct 4 08:22:32 2017 From: nginx-forum на forum.nginx.org (Aleksandr_Petrov) Date: Wed, 04 Oct 2017 04:22:32 -0400 Subject: =?UTF-8?B?0J/RgNC4INC90LDRgdGC0YDQvtC50LrQtSDRhNC+0YDQvNCw0YLQsCDQu9C+0LM=?= =?UTF-8?B?0L7Qsiwg0L3QtdC60L7RgtC+0YDRi9C1INC/0L7Qu9GPINC+0YLRgdGD0YI=?= =?UTF-8?B?0YHRgtCy0YPRjtGCINC40LvQuCDRgdGC0L7Rj9GCINC90LUg0L3QsCDRgdCy?= =?UTF-8?B?0L7QuNGFINC80LXRgdGC0LDRhQ==?= Message-ID: nginx version: nginx/1.12.1 Вот при таком формате логов: '[proxy ($upstream_cache_status) : $proxy_host $upstream_addr $upstream_response_time $upstream_status ], когда все работает логи пишутся правильно. Но когда хосты в апстримах выдают ошибки в логах отображается что-то не понятное. Вот примеры: 1 [proxy (-) : - ip1:port1, ip2:port2 7.133, 13.312 502, 502 ] 2 [proxy (-) : - ip1:port, ip2:port, ip3:port, ip4:port, ip5:port, ip6:port, upstream1 7.260, 7.168, 7.168, 7.168, 7.168, 7.168, 0.000 502, 502, 502, 502, 502, 502, 502 ] В первом примере нет $proxy_host, а во втором $proxy_host нет на своем месте, но он появился в списке адресов апстримов (upstream1). Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276669,276669#msg-276669 From chipitsine на gmail.com Wed Oct 4 09:57:37 2017 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Wed, 4 Oct 2017 14:57:37 +0500 Subject: =?UTF-8?B?UmU6INCf0YDQuCDQvdCw0YHRgtGA0L7QudC60LUg0YTQvtGA0LzQsNGC0LAg0Ls=?= =?UTF-8?B?0L7Qs9C+0LIsINC90LXQutC+0YLQvtGA0YvQtSDQv9C+0LvRjyDQvtGC0YE=?= =?UTF-8?B?0YPRgtGB0YLQstGD0Y7RgiDQuNC70Lgg0YHRgtC+0Y/RgiDQvdC1INC90LAg?= =?UTF-8?B?0YHQstC+0LjRhSDQvNC10YHRgtCw0YU=?= In-Reply-To: References: Message-ID: 4 октября 2017 г., 13:22 пользователь Aleksandr_Petrov < nginx-forum на forum.nginx.org> написал: > nginx version: nginx/1.12.1 > > Вот при таком формате логов: '[proxy ($upstream_cache_status) : $proxy_host > $upstream_addr $upstream_response_time $upstream_status ], когда все > $upstream_addr - тут может быть либо имя апстрима, либо прочерк, либо несколько апстримов. чтобы отделить поля друг от друга можно делать так '$upstream_cache_status\t$proxy_host\t$upstream_addr\t$upstream_response_time\t$upstream_status' TSV легче парсится всякой автоматикой > работает логи пишутся правильно. Но когда хосты в апстримах выдают ошибки в > логах отображается что-то не понятное. Вот примеры: > 1 [proxy (-) : - ip1:port1, ip2:port2 7.133, 13.312 502, 502 ] > 2 [proxy (-) : - ip1:port, ip2:port, ip3:port, ip4:port, ip5:port, > ip6:port, upstream1 7.260, 7.168, 7.168, 7.168, 7.168, 7.168, 0.000 502, > 502, 502, 502, 502, 502, 502 ] > > В первом примере нет $proxy_host, а во втором $proxy_host нет на своем > месте, но он появился в списке адресов апстримов (upstream1). > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,276669,276669#msg-276669 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Wed Oct 4 10:11:47 2017 From: nginx-forum на forum.nginx.org (Aleksandr_Petrov) Date: Wed, 04 Oct 2017 06:11:47 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQuCDQvdCw0YHRgtGA0L7QudC60LUg0YTQvtGA0LzQsNGC0LAg0Ls=?= =?UTF-8?B?0L7Qs9C+0LIsINC90LXQutC+0YLQvtGA0YvQtSDQv9C+0LvRjyDQvtGC0YE=?= =?UTF-8?B?0YPRgtGB0YLQstGD0Y7RgiDQuNC70Lgg0YHRgtC+0Y/RgiDQvdC1INC90LAg?= =?UTF-8?B?0YHQstC+0LjRhSDQvNC10YHRgtCw0YU=?= In-Reply-To: References: Message-ID: <8934d080b6f3d6ae1faca2ccfc740998.NginxMailingListRussian@forum.nginx.org> Илья Шипицин Wrote: ------------------------------------------------------- > 4 октября 2017 г., 13:22 пользователь Aleksandr_Petrov < > nginx-forum на forum.nginx.org> написал: > > > nginx version: nginx/1.12.1 > > > > Вот при таком формате логов: '[proxy ($upstream_cache_status) : > $proxy_host > > $upstream_addr $upstream_response_time $upstream_status ], когда > все > > > > > $upstream_addr - тут может быть либо имя апстрима, либо прочерк, либо > несколько апстримов. > чтобы отделить поля друг от друга можно делать так > > '$upstream_cache_status\t$proxy_host\t$upstream_addr\t$upstream_respon > se_time\t$upstream_status' > > TSV легче парсится всякой автоматикой > > > > работает логи пишутся правильно. Но когда хосты в апстримах выдают > ошибки в > > логах отображается что-то не понятное. Вот примеры: > > 1 [proxy (-) : - ip1:port1, ip2:port2 7.133, 13.312 502, 502 ] > > 2 [proxy (-) : - ip1:port, ip2:port, ip3:port, ip4:port, > ip5:port, > > ip6:port, upstream1 7.260, 7.168, 7.168, 7.168, 7.168, 7.168, 0.000 > 502, > > 502, 502, 502, 502, 502, 502 ] > > > > В первом примере нет $proxy_host, а во втором $proxy_host нет на > своем > > месте, но он появился в списке адресов апстримов (upstream1). > > > > Posted at Nginx Forum: https://forum.nginx.org/read. > > php?21,276669,276669#msg-276669 > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru на nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru Из документации следует, что $upstream_addr содержит ip адрес и порт сервера или серверов через запятую, которые обрабатывали запрос. Вопрос в том, почему в этом списке оказалось название апстрима($proxy_host) и почему его нет там где он указан в шаблоне. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276669,276674#msg-276674 From nginx-forum на forum.nginx.org Wed Oct 4 11:47:52 2017 From: nginx-forum на forum.nginx.org (deoline) Date: Wed, 04 Oct 2017 07:47:52 -0400 Subject: =?UTF-8?B?0KHRgtGA0YPQutGC0YPRgNCwINGB0YLQsNGC0LjRgdGC0LjQutC4INC/0L4gbmdp?= =?UTF-8?B?bng=?= Message-ID: <858cc4572cfffa5a75577899e92b02e3.NginxMailingListRussian@forum.nginx.org> Раньше видел информацию о том что можно отслеживать статистику по токен ключам. Суть задачи. Есть некий плеер с которого нужно считывать статистику. К примеру он находится у меня на сайте(АДМ других сайтов используют мой плеер) а нужно узнать статистику на другом сайте где размещенный данный плеер. Каким образом это сделать или скажите где нужно копать, ведь я в этом не разбросаюсь. Всем спасибо Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276675,276675#msg-276675 From alex.hha на gmail.com Wed Oct 4 13:27:01 2017 From: alex.hha на gmail.com (Alex Domoradov) Date: Wed, 4 Oct 2017 16:27:01 +0300 Subject: =?UTF-8?B?UmU6INCh0YLRgNGD0LrRgtGD0YDQsCDRgdGC0LDRgtC40YHRgtC40LrQuCDQv9C+?= =?UTF-8?B?IG5naW54?= In-Reply-To: <858cc4572cfffa5a75577899e92b02e3.NginxMailingListRussian@forum.nginx.org> References: <858cc4572cfffa5a75577899e92b02e3.NginxMailingListRussian@forum.nginx.org> Message-ID: А при чем тут nginx? 2017-10-04 14:47 GMT+03:00 deoline : > Раньше видел информацию о том что можно отслеживать статистику по токен > ключам. > Суть задачи. > Есть некий плеер с которого нужно считывать статистику. К примеру он > находится у меня на сайте(АДМ других сайтов используют мой плеер) а нужно > узнать статистику на другом сайте где размещенный данный плеер. > Каким образом это сделать или скажите где нужно копать, ведь я в этом не > разбросаюсь. > Всем спасибо > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,276675,276675#msg-276675 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From chipitsine на gmail.com Wed Oct 4 13:46:18 2017 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Wed, 4 Oct 2017 18:46:18 +0500 Subject: =?UTF-8?B?UmU6INCh0YLRgNGD0LrRgtGD0YDQsCDRgdGC0LDRgtC40YHRgtC40LrQuCDQv9C+?= =?UTF-8?B?IG5naW54?= In-Reply-To: <858cc4572cfffa5a75577899e92b02e3.NginxMailingListRussian@forum.nginx.org> References: <858cc4572cfffa5a75577899e92b02e3.NginxMailingListRussian@forum.nginx.org> Message-ID: 4 октября 2017 г., 16:47 пользователь deoline написал: > Раньше видел информацию о том что можно отслеживать статистику по токен > ключам. > Суть задачи. > Есть некий плеер с которого нужно считывать статистику. К примеру он > находится у меня на сайте(АДМ других сайтов используют мой плеер) а нужно > узнать статистику на другом сайте где размещенный данный плеер. > Каким образом это сделать или скажите где нужно копать, ведь я в этом не > разбросаюсь. > Всем спасибо > привет! смотреть надо в /var/log/nginx/access.log > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,276675,276675#msg-276675 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mdounin на mdounin.ru Wed Oct 4 15:32:54 2017 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 4 Oct 2017 18:32:54 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQuCDQvdCw0YHRgtGA0L7QudC60LUg0YTQvtGA0LzQsNGC0LAg0Ls=?= =?UTF-8?B?0L7Qs9C+0LIsINC90LXQutC+0YLQvtGA0YvQtSDQv9C+0LvRjyDQvtGC0YE=?= =?UTF-8?B?0YPRgtGB0YLQstGD0Y7RgiDQuNC70Lgg0YHRgtC+0Y/RgiDQvdC1INC90LAg?= =?UTF-8?B?0YHQstC+0LjRhSDQvNC10YHRgtCw0YU=?= In-Reply-To: References: Message-ID: <20171004153253.GQ16067@mdounin.ru> Hello! On Wed, Oct 04, 2017 at 04:22:32AM -0400, Aleksandr_Petrov wrote: > nginx version: nginx/1.12.1 > > Вот при таком формате логов: '[proxy ($upstream_cache_status) : $proxy_host > $upstream_addr $upstream_response_time $upstream_status ], когда все > работает логи пишутся правильно. Но когда хосты в апстримах выдают ошибки в > логах отображается что-то не понятное. Вот примеры: > 1 [proxy (-) : - ip1:port1, ip2:port2 7.133, 13.312 502, 502 ] > 2 [proxy (-) : - ip1:port, ip2:port, ip3:port, ip4:port, ip5:port, > ip6:port, upstream1 7.260, 7.168, 7.168, 7.168, 7.168, 7.168, 0.000 502, > 502, 502, 502, 502, 502, 502 ] > > В первом примере нет $proxy_host, Переменная $proxy_host доступна только непосредственно в том location'е, где осуществляется проксирование. Соответственно если в конфигурации страницы ошибок перенаправляются с помощью директивы erro_page, где проксирование не используется, то пустое значение ожидаемо. > а во втором $proxy_host нет на своем > месте, но он появился в списке адресов апстримов (upstream1). Название upstream'а попадает в переменную $upstream_addr тогда, когда конкретный сервер выбран быть не может, потому что все имеющиеся сервера признаны неработающими. В это же время в логе ошибок будет ошибка про "no live upstreams". -- Maxim Dounin http://nginx.org/ From andrey на kopeyko.ru Thu Oct 5 17:41:17 2017 From: andrey на kopeyko.ru (Andrey Kopeyko) Date: Thu, 05 Oct 2017 20:41:17 +0300 Subject: =?UTF-8?B?bmd4X2h0dHBfbWlycm9yX21vZHVsZSDQsiDRgdGC0LDQsdC40LvRjNC90L7QuSA=?= =?UTF-8?B?0LLQtdGA0YHQuNC4?= Message-ID: Добрый день, товарищи! Вопрос к сотрудникам компании NGINX, Inc - в какие, примерно, сроки можно ожидать появления модуля ngx_http_mirror_module в стабильной версии nginx? Случится ли это до НГ? Спрашиваю потому, что функционал этот зело полезен в запускающемся проекте, но одновременно есть жёсткое требование "использовать только стабильную ветку". Если до НГ модуль не попадает в стабильную версию - будем искать другие варианты... -- Best regards, Andrey A. Kopeyko From mdounin на mdounin.ru Thu Oct 5 18:13:11 2017 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 5 Oct 2017 21:13:11 +0300 Subject: =?UTF-8?B?UmU6IG5neF9odHRwX21pcnJvcl9tb2R1bGUg0LIg0YHRgtCw0LHQuNC70YzQvdC+?= =?UTF-8?B?0Lkg0LLQtdGA0YHQuNC4?= In-Reply-To: References: Message-ID: <20171005181311.GF16067@mdounin.ru> Hello! On Thu, Oct 05, 2017 at 08:41:17PM +0300, Andrey Kopeyko wrote: > Добрый день, товарищи! > > Вопрос к сотрудникам компании NGINX, Inc - в какие, примерно, сроки > можно ожидать появления модуля ngx_http_mirror_module в стабильной > версии nginx? Случится ли это до НГ? Очередная стабильная ветка у нас традиционно возникает где-то в районе Дня космонавтики, 12 апреля. Вряд ли до Нового года случится ещё один. > Спрашиваю потому, что функционал этот зело полезен в запускающемся > проекте, но одновременно есть жёсткое требование "использовать только > стабильную ветку". > > Если до НГ модуль не попадает в стабильную версию - будем искать другие > варианты... Очевидный другой вариант - пересмотреть "жёсткое требование". -- Maxim Dounin http://nginx.org/ From vbart на nginx.com Thu Oct 5 18:31:00 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Thu, 05 Oct 2017 21:31 +0300 Subject: =?UTF-8?B?UmU6IG5neF9odHRwX21pcnJvcl9tb2R1bGUg0LIg0YHRgtCw0LHQuNC70YzQvdC+?= =?UTF-8?B?0Lkg0LLQtdGA0YHQuNC4?= In-Reply-To: References: Message-ID: <6500343.XJcY6OJIVW@vbart-workstation> On Thursday 05 October 2017 20:41:17 Andrey Kopeyko wrote: > Добрый день, товарищи! > > Вопрос к сотрудникам компании NGINX, Inc - в какие, примерно, сроки > можно ожидать появления модуля ngx_http_mirror_module в стабильной > версии nginx? Случится ли это до НГ? > > Спрашиваю потому, что функционал этот зело полезен в запускающемся > проекте, но одновременно есть жёсткое требование "использовать только > стабильную ветку". > > Если до НГ модуль не попадает в стабильную версию - будем искать другие > варианты... > > А чем обусловлено это жесткое требование? С точки зрение стабильности - обе ветки стабильные, а mainline порой даже стабильнее. -- Валентин Бартенев From nginx-forum на forum.nginx.org Fri Oct 6 04:34:31 2017 From: nginx-forum на forum.nginx.org (EugeneNF) Date: Fri, 06 Oct 2017 00:34:31 -0400 Subject: =?UTF-8?B?UmU6INCe0YfQtdC90Ywg0LzQtdC00LvQtdC90L3Ri9C5INC+0YLQstC10YIg0L8=?= =?UTF-8?B?0L7RgdC70LUg0L3QtdGB0LrQvtC70YzQutC40YUg0LHRi9GB0YLRgNGL0YUg?= =?UTF-8?B?0L7RgtCy0LXRgtC+0LI=?= In-Reply-To: <233e91c2a7f2a9f51f34c47431157a55.NginxMailingListRussian@forum.nginx.org> References: <233e91c2a7f2a9f51f34c47431157a55.NginxMailingListRussian@forum.nginx.org> Message-ID: <2cbb9156c5a7bdb4e53597b8ae6d9248.NginxMailingListRussian@forum.nginx.org> Поскольку с помощью опций nginx нельзя, я сделал отмену предыдущего запроса в приложении (как многократно рекомендовалось). Работает быстро и без ошибок. Спасибо всем за рекомендации и прояснения! Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276486,276726#msg-276726 From nginx-forum на forum.nginx.org Sat Oct 7 11:46:24 2017 From: nginx-forum на forum.nginx.org (demolitionman) Date: Sat, 07 Oct 2017 07:46:24 -0400 Subject: Proxy_cache Message-ID: <1d4824e17dd7bcf863fe2295862f066b.NginxMailingListRussian@forum.nginx.org> Доброго дня комрады! С Ngnix знаком неделю, сроки горят. Настраиваю связку nginx+gunicorn+memcached+postgresql+Django Уперся в одну задачу, пол дня ковыряю ни как решение найти не могу. Задача такая есть два сервера nginx1 nginx2, необходимо что бы первый сервер кэшировал объекты (медиафайлы, картинки) на втором, а второй сервер кэшировал на первом. Как создать локальный кэш я разобрался, а как заставить кэшировать на другой машине ни как понять не могу, Есть идея просто при монтировать диру с другого сервера. Но почему то кажется что в Ngnix это делается по другому. Подскажите личным примером либо статьей из гугла. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276756,276756#msg-276756 From andrey на kopeyko.ru Sat Oct 7 12:43:02 2017 From: andrey на kopeyko.ru (Andrey Kopeyko) Date: Sat, 07 Oct 2017 15:43:02 +0300 Subject: Proxy_cache In-Reply-To: <1d4824e17dd7bcf863fe2295862f066b.NginxMailingListRussian@forum.nginx.org> References: <1d4824e17dd7bcf863fe2295862f066b.NginxMailingListRussian@forum.nginx.org> Message-ID: <4e13e2442cc38c5f728b49898c6eedfd@kopeyko.ru> demolitionman писал 2017-10-07 14:46: > Доброго дня комрады! С Ngnix знаком неделю, сроки горят. Настраиваю > связку > nginx+gunicorn+memcached+postgresql+Django > Уперся в одну задачу, пол дня ковыряю ни как решение найти не могу. > Задача такая есть два сервера nginx1 nginx2, необходимо что бы первый > сервер > кэшировал объекты (медиафайлы, картинки) на втором, а второй сервер > кэшировал на первом. > Как создать локальный кэш я разобрался, а как заставить кэшировать на > другой > машине ни как понять не могу, А зачем? какую проблемы вы хотите этим решить? Обычно нет беды в том, что каждый из серверов будет держать свою копию кеша - ну да, бэкенды будут вычислять эти запросы дважды. Если это двойное вычисление для вас всё-таки дорого - придётся кеш усложнить: сервера будут кешировать не у себя, а проксировать на третий "центральный" кеш. А на случай его падения - бэкапом иметь свой локальный кеш, синхронизируемый rsync-ом с центрального. Только стандартными средствами nginx эта конструкция не реализуется, тут надо допрограммировать. Постучитель в личку, расскажу подробнее как это у нас во вьетнамском поиске делалось. > Есть идея просто при монтировать диру с другого сервера. Но почему то > кажется что в Ngnix это делается по другому. Подскажите личным примером > либо > статьей из гугла. > > Posted at Nginx Forum: > https://forum.nginx.org/read.php?21,276756,276756#msg-276756 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Best regards, Andrey A. Kopeyko From kpoxa на kpoxa.net Mon Oct 9 11:13:06 2017 From: kpoxa на kpoxa.net (kpoxa) Date: Mon, 9 Oct 2017 14:13:06 +0300 Subject: Proxy_cache In-Reply-To: <4e13e2442cc38c5f728b49898c6eedfd@kopeyko.ru> References: <1d4824e17dd7bcf863fe2295862f066b.NginxMailingListRussian@forum.nginx.org> <4e13e2442cc38c5f728b49898c6eedfd@kopeyko.ru> Message-ID: Проще сделать цепочки nginx1-nginx2-backend nginx2-nginx1-backend так будет вычисление одноразовое и контент сразу будет на обоих кешах. Только надо не забыть сделать так, что если с nginx1 не доступен nginx2, то пусть он сам перезапрашивает у backend. + любой из множества вариантов проверки на зацикливание. 7 октября 2017 г., 15:43 пользователь Andrey Kopeyko написал: > demolitionman писал 2017-10-07 14:46: > >> Доброго дня комрады! С Ngnix знаком неделю, сроки горят. Настраиваю связку >> nginx+gunicorn+memcached+postgresql+Django >> Уперся в одну задачу, пол дня ковыряю ни как решение найти не могу. >> Задача такая есть два сервера nginx1 nginx2, необходимо что бы первый >> сервер >> кэшировал объекты (медиафайлы, картинки) на втором, а второй сервер >> кэшировал на первом. >> Как создать локальный кэш я разобрался, а как заставить кэшировать на >> другой >> машине ни как понять не могу, >> > > А зачем? какую проблемы вы хотите этим решить? > > Обычно нет беды в том, что каждый из серверов будет держать свою копию > кеша - ну да, бэкенды будут вычислять эти запросы дважды. > > Если это двойное вычисление для вас всё-таки дорого - придётся кеш > усложнить: сервера будут кешировать не у себя, а проксировать на третий > "центральный" кеш. А на случай его падения - бэкапом иметь свой локальный > кеш, синхронизируемый rsync-ом с центрального. > > Только стандартными средствами nginx эта конструкция не реализуется, тут > надо допрограммировать. Постучитель в личку, расскажу подробнее как это у > нас во вьетнамском поиске делалось. > > Есть идея просто при монтировать диру с другого сервера. Но почему то >> кажется что в Ngnix это делается по другому. Подскажите личным примером >> либо >> статьей из гугла. >> >> Posted at Nginx Forum: >> https://forum.nginx.org/read.php?21,276756,276756#msg-276756 >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > -- > Best regards, > Andrey A. Kopeyko > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From chipitsine на gmail.com Mon Oct 9 11:26:28 2017 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Mon, 9 Oct 2017 16:26:28 +0500 Subject: Proxy_cache In-Reply-To: References: <1d4824e17dd7bcf863fe2295862f066b.NginxMailingListRussian@forum.nginx.org> <4e13e2442cc38c5f728b49898c6eedfd@kopeyko.ru> Message-ID: у вас любой из nginx-ов может быть недоступен в какой-то момент времени (например, полчаса, вы там систему переставляете) явления, которые будут происходить в случае недоступности одного из двух балансеров - контент окажется только на одном из балансеров. кроме цепочек вам предстоит придумать, как вы будете жить с таким контентом. если вы с ним будете жить "ок", то, наверное ничего страшного, если балансеры будут независимы друг от друга 9 октября 2017 г., 16:13 пользователь kpoxa написал: > Проще сделать цепочки > nginx1-nginx2-backend > nginx2-nginx1-backend > так будет вычисление одноразовое и контент сразу будет на обоих кешах. > Только надо не забыть сделать так, что если с nginx1 не доступен nginx2, то > пусть он сам перезапрашивает у backend. > + любой из множества вариантов проверки на зацикливание. > > 7 октября 2017 г., 15:43 пользователь Andrey Kopeyko > написал: > > demolitionman писал 2017-10-07 14:46: >> >>> Доброго дня комрады! С Ngnix знаком неделю, сроки горят. Настраиваю >>> связку >>> nginx+gunicorn+memcached+postgresql+Django >>> Уперся в одну задачу, пол дня ковыряю ни как решение найти не могу. >>> Задача такая есть два сервера nginx1 nginx2, необходимо что бы первый >>> сервер >>> кэшировал объекты (медиафайлы, картинки) на втором, а второй сервер >>> кэшировал на первом. >>> Как создать локальный кэш я разобрался, а как заставить кэшировать на >>> другой >>> машине ни как понять не могу, >>> >> >> А зачем? какую проблемы вы хотите этим решить? >> >> Обычно нет беды в том, что каждый из серверов будет держать свою копию >> кеша - ну да, бэкенды будут вычислять эти запросы дважды. >> >> Если это двойное вычисление для вас всё-таки дорого - придётся кеш >> усложнить: сервера будут кешировать не у себя, а проксировать на третий >> "центральный" кеш. А на случай его падения - бэкапом иметь свой локальный >> кеш, синхронизируемый rsync-ом с центрального. >> >> Только стандартными средствами nginx эта конструкция не реализуется, тут >> надо допрограммировать. Постучитель в личку, расскажу подробнее как это у >> нас во вьетнамском поиске делалось. >> >> Есть идея просто при монтировать диру с другого сервера. Но почему то >>> кажется что в Ngnix это делается по другому. Подскажите личным примером >>> либо >>> статьей из гугла. >>> >>> Posted at Nginx Forum: >>> https://forum.nginx.org/read.php?21,276756,276756#msg-276756 >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru на nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >> >> -- >> Best regards, >> Andrey A. Kopeyko >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From sb на nginx.com Mon Oct 9 13:23:45 2017 From: sb на nginx.com (Sergey Budnevitch) Date: Mon, 9 Oct 2017 16:23:45 +0300 Subject: nginx is hiring: PS engineer Message-ID: Добрый день. Мы ищем инженера в отдел профессионального сервиса в московский офис Nginx. Задачи: * профессиональный сервис так или иначе связанный с nginx/nginx-plus: установка,настройка nginx, аудит конфигурации, консультирование, нагрузочное тестирование, поиск узких мест в производительности. * поддержка и развитие внутренней инфраструктуры Требования: * знание и понимание современных unix архитектур, tcp/ip & networks; * знание одного или нескольких скриптовых языков. Python предпочтителен. Придется иметь дело с lua, javascript, perl. * навыки чтения кода на C * технический английский. Базовый устный английский Желательно: * хорошее знание протокола HTTP * навыки и опыт использования perf, dtrace, systemtap * опыт работы в highload проектах С нашей стороны: * работа в проекте с международным признанием, в небольшом коллективе разработчиков и инженеров. * опыт работы над проектами компаний из Fortune-500 * конкурентная зарплата, ДМС, гибкий график работы, участие в опционной программе. Работа в Москве, полная занятость, вариант с удаленной работой, увы, не подходит. Если вы заинтересованы в вакансии, пожалуйста, присылайте ваши CV на sb на nginx.com From mdounin на mdounin.ru Tue Oct 10 15:40:10 2017 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 10 Oct 2017 18:40:10 +0300 Subject: nginx-1.13.6 Message-ID: <20171010154010.GO75166@mdounin.ru> Изменения в nginx 1.13.6 10.10.2017 *) Исправление: при использовании директивы ssl_preread в модуле stream не работало переключение на следующий бэкенд. *) Исправление: в модуле ngx_http_v2_module. Спасибо Piotr Sikora. *) Исправление: nginx не поддерживал даты после 2038 года на 32-битных платформах с 64-битным time_t. *) Исправление: в обработке дат до 1970 года и после 10000 года. *) Исправление: в модуле stream таймауты ожидания UDP-пакетов от бэкендов не логгировались или логгировались на уровне info вместо error. *) Исправление: при использовании HTTP/2 nginx мог вернуть ошибку 400, не указав в логе причину. *) Исправление: в обработке повреждённых файлов кэша. *) Исправление: при кэшировании ошибок, перехваченных error_page, не учитывались заголовки управления кэшированием. *) Исправление: при использовании HTTP/2 тело запроса могло быть повреждено. *) Исправление: в обработке адресов клиентов при использовании unix domain сокетов. *) Исправление: при использовании директивы "hash ... consistent" в блоке upstream nginx нагружал процессор, если использовались большие веса и все или почти все бэкенды были недоступны. -- Maxim Dounin http://nginx.org/ From thresh на nginx.com Tue Oct 10 16:45:27 2017 From: thresh на nginx.com (Konstantin Pavlov) Date: Tue, 10 Oct 2017 19:45:27 +0300 Subject: =?UTF-8?B?UmU6IG5naW54IG1haW5saW5lINC40Lcg0L7RhNC40YbQuNCw0LvRjNC90L7Qs9C+?= =?UTF-8?B?INGA0LXQv9C+0LfQuNGC0L7RgNC40Y8gLSDQvdC1INGA0LDQsdC+0YLQsNC1?= =?UTF-8?B?0YIgSFRUUC8yINCyINCx0YDQsNGD0LfQtdGA0LUgQ2hyb21l?= In-Reply-To: <5d43d2bd-8a0f-3025-8431-a8b718ca44f8@csdoc.com> References: <5d43d2bd-8a0f-3025-8431-a8b718ca44f8@csdoc.com> Message-ID: <79712f9d-af6a-bfe9-a7a0-bffe9b7dbac4@nginx.com> Здравствуйте, Gena, On 23/09/2017 23:37, Gena Makhomed wrote: > Здравствуйте, All! > > CentOS 7.4 с OpenSSL 1.0.2k-fips (пакет openssl-1.0.2k-8.el7.x86_64) > устанавливаю nginx версии 1.13.5 из официального репозитория mainline > и при этом вижу, что в Google Chrome не работает протокол HTTP/2 > > почему? > > ведь в системе уже установлена новая версия OpenSSL с поддержкой ALPN > > # nginx -V > nginx version: nginx/1.13.5 > built by gcc 4.8.5 20150623 (Red Hat 4.8.5-11) (GCC) > built with OpenSSL 1.0.1e-fips 11 Feb 2013 > > наверное проблема в том, что nginx из официального репозитория mainline > собирается с устаревшей библиотекой OpenSSL 1.0.1e-fips > > можно ли как-то исправить эту проблему? Пакеты nginx 1.13.6, доступные в официальном репозитории mainline на nginx.org, собраны на CentOS 7.4 с openssl 1.0.2. Отдельно отмечу, что на CentOS/RHEL 7.0-7.3 эти пакеты установить не получится, если ОС сконфигурирована на использование репозиториев конкретного релиза, а не всей 7 ветки. При этом ошибка установки пакета будет выглядеть примерно так: Error: Package: 1:nginx-1.13.6-1.el7_4.ngx.x86_64 (nginx) Requires: libcrypto.so.10(OPENSSL_1.0.2)(64bit) You could try using --skip-broken to work around the problem You could try running: rpm -Va --nofiles --nodigest Решение тут только одно - обновляться до 7.4, т.к. предыдущие minor-релизы не поддерживаются авторами дистрибутива (в т.ч. по security-проблемам). -- Konstantin Pavlov www.nginx.com From a.vasilishin на kpi.ua Tue Oct 10 17:08:16 2017 From: a.vasilishin на kpi.ua (=?UTF-8?B?0JDQvdC00YDQtdC5INCS0LDRgdC40LvQuNGI0LjQvQ==?=) Date: Tue, 10 Oct 2017 20:08:16 +0300 Subject: nginx-1.13.6 In-Reply-To: <20171010154010.GO75166@mdounin.ru> References: <20171010154010.GO75166@mdounin.ru> Message-ID: Извиняюсь, может где-то пропустил анонс, репозиторий дебиан еще обновляется? From gmm на csdoc.com Tue Oct 10 19:22:41 2017 From: gmm на csdoc.com (Gena Makhomed) Date: Tue, 10 Oct 2017 22:22:41 +0300 Subject: contrib/vim, contrib/geo2nginx.pl, contrib/unicode2nginx In-Reply-To: <79712f9d-af6a-bfe9-a7a0-bffe9b7dbac4@nginx.com> References: <5d43d2bd-8a0f-3025-8431-a8b718ca44f8@csdoc.com> <79712f9d-af6a-bfe9-a7a0-bffe9b7dbac4@nginx.com> Message-ID: <7e29fa3a-1787-c31d-09c9-9473fb508481@csdoc.com> On 10.10.2017 19:45, Konstantin Pavlov wrote: > Пакеты nginx 1.13.6, доступные в официальном репозитории mainline на nginx.org, собраны на CentOS 7.4 с openssl 1.0.2. Отлично, спасибо! В tar.gz дистрибутиве есть каталог contrib/vim - можно ли сделать так, чтобы содержимое этого каталога при установке пакета ложилось в каталог /usr/share/vim/vimfiles ? Это было бы очень удобно для пользователей vim - тогда vim будет автоматически похватывать эти конфигурационные файлы. И второй вопрос, можно ли скрипт contrib/geo2nginx.pl положить в каталог /usr/share/nginx ? это будет удобно для тех, кто пользуется базой http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip И заодно содержимое каталога contrib/unicode2nginx положить в каталог /usr/share/nginx/unicode2nginx ? Места эти три файла занимают не много. P.S. Может быть кому-то пригодится: cat /etc/nginx/geo/renew #!/bin/bash URL=http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip ZIP=/etc/nginx/geo/GeoIPCountryCSV.zip CSV=/etc/nginx/geo/GeoIPCountryWhois.csv CONF=/etc/nginx/geo/geo_ip_country.conf if ! /usr/bin/curl --silent --output $ZIP --time-cond $ZIP --remote-time $URL ; then exit 1 ; fi if ! /usr/bin/unzip -qq -o $ZIP $(basename $CSV) -d $(dirname $CSV) ; then exit 1 ; fi if ! /usr/bin/perl /usr/share/nginx/geo2nginx.pl < $CSV > $CONF ; then exit 1 ; fi if ! /usr/bin/systemctl reload nginx ; then exit 1 ; fi ============================================================ cat /etc/cron.d/renew-geo RANDOM_DELAY=45 0 3 * * * root /etc/nginx/geo/renew -- Best regards, Gena From chipitsine на gmail.com Wed Oct 11 05:17:33 2017 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Wed, 11 Oct 2017 10:17:33 +0500 Subject: contrib/vim, contrib/geo2nginx.pl, contrib/unicode2nginx In-Reply-To: <7e29fa3a-1787-c31d-09c9-9473fb508481@csdoc.com> References: <5d43d2bd-8a0f-3025-8431-a8b718ca44f8@csdoc.com> <79712f9d-af6a-bfe9-a7a0-bffe9b7dbac4@nginx.com> <7e29fa3a-1787-c31d-09c9-9473fb508481@csdoc.com> Message-ID: На правах рекламы https://github.com/m-messiah/ip2geo Отличная альтернатива конвертору 11 окт. 2017 г. 0:22 пользователь "Gena Makhomed" написал: On 10.10.2017 19:45, Konstantin Pavlov wrote: Пакеты nginx 1.13.6, доступные в официальном репозитории mainline на > nginx.org, собраны на CentOS 7.4 с openssl 1.0.2. > Отлично, спасибо! В tar.gz дистрибутиве есть каталог contrib/vim - можно ли сделать так, чтобы содержимое этого каталога при установке пакета ложилось в каталог /usr/share/vim/vimfiles ? Это было бы очень удобно для пользователей vim - тогда vim будет автоматически похватывать эти конфигурационные файлы. И второй вопрос, можно ли скрипт contrib/geo2nginx.pl положить в каталог /usr/share/nginx ? это будет удобно для тех, кто пользуется базой http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip И заодно содержимое каталога contrib/unicode2nginx положить в каталог /usr/share/nginx/unicode2nginx ? Места эти три файла занимают не много. P.S. Может быть кому-то пригодится: cat /etc/nginx/geo/renew #!/bin/bash URL=http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip ZIP=/etc/nginx/geo/GeoIPCountryCSV.zip CSV=/etc/nginx/geo/GeoIPCountryWhois.csv CONF=/etc/nginx/geo/geo_ip_country.conf if ! /usr/bin/curl --silent --output $ZIP --time-cond $ZIP --remote-time $URL ; then exit 1 ; fi if ! /usr/bin/unzip -qq -o $ZIP $(basename $CSV) -d $(dirname $CSV) ; then exit 1 ; fi if ! /usr/bin/perl /usr/share/nginx/geo2nginx.pl < $CSV > $CONF ; then exit 1 ; fi if ! /usr/bin/systemctl reload nginx ; then exit 1 ; fi ============================================================ cat /etc/cron.d/renew-geo RANDOM_DELAY=45 0 3 * * * root /etc/nginx/geo/renew -- Best regards, Gena _______________________________________________ nginx-ru mailing list nginx-ru на nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Wed Oct 11 05:55:51 2017 From: nginx-forum на forum.nginx.org (demolitionman) Date: Wed, 11 Oct 2017 01:55:51 -0400 Subject: Proxy_cache In-Reply-To: References: Message-ID: В общем решили на каждом Nginx держать свой кэш. и с помощью sync2 делать синхронизацию этого кэша. Если один nginx отвалится то LB перенаправит на другой. как бы все ок. Тут у меня другая проблема появилась, уже моск весь сломал. не отдает gunicorn стили. [error] 11431#0: *1 open() "/root/env/myproject/static/admin/css/login.css" failed (13: Permission denied), client: 192.168.200.46, server: 10.230.40.190, request: "GET /static/admin/css/login.css HTTP/1.1", host: "10.230.40.188", referrer: "http://10.230.40.188/admin/login/?next=/admin/" blog.conf server { listen 80; server_name 10.230.40.190; location / { proxy_pass http://10.230.40.190:8009; proxy_set_header X-Forwarded-Host $server_name; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_redirect off; } location /static/ { autoindex off; root /root/env/myproject; } setting.py import os # Build paths inside the project like this: os.path.join(BASE_DIR, ...) BASE_DIR = os.path.dirname(os.path.dirname(__file__)) RESOURCE_DIR = os.path.dirname(BASE_DIR) # Quick-start development settings - unsuitable for production # See https://docs.djangoproject.com/en/1.11/howto/deployment/checklist/ # SECURITY WARNING: keep the secret key used in production secret! SECRET_KEY = 'grj&8iul8=*5-!nbaf-86*+*3s!j%%pj(wdjg$x+jalbet на shm' # SECURITY WARNING: don't run with debug turned on in production! DEBUG = True ALLOWED_HOSTS = ['*'] # Application definition INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'django.contrib.staticfiles', ] MIDDLEWARE = [ 'django.middleware.security.SecurityMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ] ROOT_URLCONF = 'myproject.urls' TEMPLATES = [ { 'BACKEND': 'django.template.backends.django.DjangoTemplates', 'DIRS': [], 'APP_DIRS': True, 'OPTIONS': { 'context_processors': [ 'django.template.context_processors.debug', 'django.template.context_processors.request', 'django.contrib.auth.context_processors.auth', 'django.contrib.messages.context_processors.messages', ], }, }, ] WSGI_APPLICATION = 'myproject.wsgi.application' # Database # https://docs.djangoproject.com/en/1.11/ref/settings/#databases DATABASES = { 'default': { 'ENGINE': 'django.db.backends.postgresql_psycopg2', 'NAME': 'gunicorn', 'USER': 'gunicorn', 'PASSWORD': 'gunicorn', 'HOST': '10.230.40.194', 'PORT': '5432', } } # Password validation # https://docs.djangoproject.com/en/1.11/ref/settings/#auth-password-validators AUTH_PASSWORD_VALIDATORS = [ { 'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator', }, { 'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator', }, { 'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator', }, { 'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator', }, ] # Internationalization # https://docs.djangoproject.com/en/1.11/topics/i18n/ LANGUAGE_CODE = 'ru-ru' TIME_ZONE = 'Asia/Almaty' USE_I18N = True USE_L10N = True USE_TZ = True # Static files (CSS, JavaScript, Images) # https://docs.djangoproject.com/en/1.11/howto/static-files/ STATIC_ROOT = os.path.join(RESOURCE_DIR, 'static') STATIC_URL = '/static/' MEDIA_ROOT = os.path.join(RESOURCE_DIR, 'media') MEDIA_URL = '/media/' TEMPLATE_DIRS = [os.path.join(BASE_DIR, 'templates')] } Когда захожу на сервер gunicorn напрямую http://10.230.40.190:8009/admin в консоли ошибки Not Found: /static/admin/css/login.css Not Found: /static/admin/css/base.css Не могу понять, где он пытается найти папку static? в корне что ли? Я везде симлинки понаделал, результата 0 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,122768,276803#msg-276803 From nginx на mva.name Wed Oct 11 06:48:20 2017 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Wed, 11 Oct 2017 13:48:20 +0700 Subject: contrib/vim, contrib/geo2nginx.pl, contrib/unicode2nginx In-Reply-To: <7e29fa3a-1787-c31d-09c9-9473fb508481@csdoc.com> References: <5d43d2bd-8a0f-3025-8431-a8b718ca44f8@csdoc.com> <79712f9d-af6a-bfe9-a7a0-bffe9b7dbac4@nginx.com> <7e29fa3a-1787-c31d-09c9-9473fb508481@csdoc.com> Message-ID: <1617711.LIm251zx3L@note> > В tar.gz дистрибутиве есть каталог contrib/vim - можно ли сделать так, > чтобы содержимое этого каталога при установке пакета ложилось в каталог > /usr/share/vim/vimfiles ? Это было бы очень удобно для пользователей vim 1) есть же ещё как минимум neovim 2) обычно это выносят в отдельный пакет 3) я, если честно, уже запутался, где более актуальный: в тарболле nginx или среди тех, что на гитхабе (там они появились раньше, чем в тарболле) From nginx-forum на forum.nginx.org Wed Oct 11 10:06:52 2017 From: nginx-forum на forum.nginx.org (demolitionman) Date: Wed, 11 Oct 2017 06:06:52 -0400 Subject: Proxy_cache In-Reply-To: References: Message-ID: В общем папку static я создал на сервере nginx и все заработало, теперь я не могу понять каким образом кешировать медиафайлы картинки на сервере nginx. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,122768,276811#msg-276811 From mdounin на mdounin.ru Wed Oct 11 13:42:47 2017 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 11 Oct 2017 16:42:47 +0300 Subject: contrib/vim, contrib/geo2nginx.pl, contrib/unicode2nginx In-Reply-To: <7e29fa3a-1787-c31d-09c9-9473fb508481@csdoc.com> References: <5d43d2bd-8a0f-3025-8431-a8b718ca44f8@csdoc.com> <79712f9d-af6a-bfe9-a7a0-bffe9b7dbac4@nginx.com> <7e29fa3a-1787-c31d-09c9-9473fb508481@csdoc.com> Message-ID: <20171011134247.GV75166@mdounin.ru> Hello! On Tue, Oct 10, 2017 at 10:22:41PM +0300, Gena Makhomed wrote: > On 10.10.2017 19:45, Konstantin Pavlov wrote: > > > Пакеты nginx 1.13.6, доступные в официальном репозитории mainline на nginx.org, собраны на CentOS 7.4 с openssl 1.0.2. > > Отлично, спасибо! > > В tar.gz дистрибутиве есть каталог contrib/vim - можно ли сделать так, > чтобы содержимое этого каталога при установке пакета ложилось в каталог > /usr/share/vim/vimfiles ? Это было бы очень удобно для пользователей vim > - тогда vim будет автоматически похватывать эти конфигурационные файлы. > > И второй вопрос, можно ли скрипт contrib/geo2nginx.pl положить в каталог > /usr/share/nginx ? это будет удобно для тех, кто пользуется базой > http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip > > И заодно содержимое каталога contrib/unicode2nginx положить в каталог > /usr/share/nginx/unicode2nginx ? Места эти три файла занимают не много. Содержимое contrib/ ни коим образом не поддерживается разработчиками, и ставить это в рамках пакетов, IMHO, было бы странно. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Wed Oct 11 16:56:49 2017 From: nginx-forum на forum.nginx.org (neomaq) Date: Wed, 11 Oct 2017 12:56:49 -0400 Subject: =?UTF-8?B?0L/RgNC4INC40LfQvNC10L3QtdC90LjQuCBzdGF0aWMg0YTQsNC50LvQsCBuZ2lu?= =?UTF-8?B?eCDQvtGC0LTQsNC10YIg0LzRg9GB0L7RgCAoQlVHPyk=?= Message-ID: <7c74659a7aeb16ea7c1232d8794e58a5.NginxMailingListRussian@forum.nginx.org> Ubuntu 16.04 nginx -v 1.12.1 При изменении static файла nginx отдает мусор несколько секунд имеем тривиальный location: location ~ \.(jpg|jpeg|gif|png|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|wav|bmp|rtf|js|ico|swf|xml|mp3|html|svg)$ { root /var/www; etag on; } меняю текстовый файл, расположенный в в данном location и наблюдаю следующую картину: по http заголовкам видно, что первые 5-15 секунд скачет вперед-назад во времени заголовок "Last-Modified" и "Content-length" и "Etag" как будто nginx отдает разные файлы, через несколько секунд это прекращается и nginx отдает корректный файл, с правильным содержимым проверял в real time следующим образом: с соседнего хоста каждые 0.5 секунды выводил результат прямого коннекта на порт: nc testserver 80 < in.txt in.txt: GET /test.txt HTTP/1.1 HOST: blablahost ----------------------------- при 300-500 rps клиенты успевают нахватать некорректных js/css файлов, что ломает отображение сайта во время деплоя для наглядности записал минутную gif'ку https://drive.google.com/open?id=0B7WRF7P_dq4gcFEyTWljNElfeGs обратите внимание как скачет "Content-length" и "Etag" Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276818,276818#msg-276818 From mdounin на mdounin.ru Wed Oct 11 17:53:47 2017 From: mdounin на mdounin.ru (Maxim Dounin) Date: Wed, 11 Oct 2017 20:53:47 +0300 Subject: =?UTF-8?B?UmU6INC/0YDQuCDQuNC30LzQtdC90LXQvdC40Lggc3RhdGljINGE0LDQudC70LAg?= =?UTF-8?B?bmdpbngg0L7RgtC00LDQtdGCINC80YPRgdC+0YAgKEJVRz8p?= In-Reply-To: <7c74659a7aeb16ea7c1232d8794e58a5.NginxMailingListRussian@forum.nginx.org> References: <7c74659a7aeb16ea7c1232d8794e58a5.NginxMailingListRussian@forum.nginx.org> Message-ID: <20171011175347.GY75166@mdounin.ru> Hello! On Wed, Oct 11, 2017 at 12:56:49PM -0400, neomaq wrote: > Ubuntu 16.04 > nginx -v 1.12.1 > > При изменении static файла nginx отдает мусор несколько секунд > > > имеем тривиальный location: > > location ~ > \.(jpg|jpeg|gif|png|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|wav|bmp|rtf|js|ico|swf|xml|mp3|html|svg)$ > { > root /var/www; > etag on; > } > > меняю текстовый файл, расположенный в в данном location > и наблюдаю следующую картину: > > по http заголовкам видно, что первые 5-15 секунд скачет вперед-назад во > времени заголовок "Last-Modified" > и "Content-length" и "Etag" > > как будто nginx отдает разные файлы, через несколько секунд это > прекращается и nginx отдает корректный файл, > с правильным содержимым [...] Файлы надо менять атомарно. Пишете новую версию файла, потом делаете mv в нужное имя. Любая попытка редактировать файлы "по месту" - чревата тем, что nginx откроет файл и начнёт его читать до обновления, а продолжит - уже после, и таким образом клиенту уйдёт причудливая смесь двух файлов. В хорошем случае, если файл стал меньше, nginx проблему заметит и ругнётся в лог, в плохом - просто клиент получит мусор. В вашем случае, судя по всему, ситуация усугубляется ещё и включённым open_file_cache, который позволяет наблюдать вышеописанный race с гарантией, так как время между открытием файла и его отдачей может доходить до 60 секунд (open_file_cache_valid). -- Maxim Dounin http://nginx.org/ From vbart на nginx.com Wed Oct 11 17:55:15 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Wed, 11 Oct 2017 20:55:15 +0300 Subject: =?UTF-8?B?UmU6INC/0YDQuCDQuNC30LzQtdC90LXQvdC40Lggc3RhdGljINGE0LDQudC70LAg?= =?UTF-8?B?bmdpbngg0L7RgtC00LDQtdGCINC80YPRgdC+0YAgKEJVRz8p?= In-Reply-To: <7c74659a7aeb16ea7c1232d8794e58a5.NginxMailingListRussian@forum.nginx.org> References: <7c74659a7aeb16ea7c1232d8794e58a5.NginxMailingListRussian@forum.nginx.org> Message-ID: <1904722.ajkJNmseWJ@vbart-workstation> On Wednesday 11 October 2017 12:56:49 neomaq wrote: > Ubuntu 16.04 > nginx -v 1.12.1 > > При изменении static файла nginx отдает мусор несколько секунд > [..] Если файл меняется, то изменения должны быть атомарными, в противном случае мусор - естественный результат неатомарных изменений. Ещё вероятно и open_file_cache включен для усугубления ситуации? -- Валентин Бартенев From bgx на protva.ru Wed Oct 11 18:26:55 2017 From: bgx на protva.ru (Evgeniy Berdnikov) Date: Wed, 11 Oct 2017 21:26:55 +0300 Subject: =?UTF-8?B?UmU6INC/0YDQuCDQuNC30LzQtdC90LXQvdC40Lggc3RhdGljINGE0LDQudC70LAg?= =?UTF-8?B?bmdpbngg0L7RgtC00LDQtdGCINC80YPRgdC+0YAgKEJVRz8p?= In-Reply-To: <7c74659a7aeb16ea7c1232d8794e58a5.NginxMailingListRussian@forum.nginx.org> References: <7c74659a7aeb16ea7c1232d8794e58a5.NginxMailingListRussian@forum.nginx.org> Message-ID: <20171011182655.kindmaqhk4lxzmle@protva.ru> On Wed, Oct 11, 2017 at 12:56:49PM -0400, neomaq wrote: > При изменении static файла nginx отдает мусор несколько секунд Файл можно менять по-разному, т.е. разными последовательностями сисколов. Есть атомарная замена через rename(2), есть другие варианты. Редактор vi меняет не атомарно -- он сначала переименовывает старый файл, добавляя к имени тильду (~), а потом открывает новый и пишет в него. Здесь и файл можно получить битый (то есть с содержимым, не совпадающим с результатом редактирования, так как файл пишется не мгновенно), плюс есть промежуток времени, когда файла с нужным именем в каталоге просто нет, т.е. клиент может получить статус-код 404. > по http заголовкам видно, что первые 5-15 секунд скачет вперед-назад во > времени заголовок "Last-Modified" > и "Content-length" и "Etag" Здесь разные процессы выдают результаты кэширования в разные моменты времени. > при 300-500 rps клиенты успевают нахватать некорректных js/css файлов, что > ломает отображение сайта во время деплоя А здесь, наверное, смешаны два разных вопроса: 1. Ваш ролик демонстрирует небитые файлы, но из-за кэшировния процессы nginx выдают разные их версии. 2. Если выдача разных версий js/css ломает изображение, значит, эти версии не соответствуют содержимому других элементов страницы, в том числе коду других js/css, которые подгружает страница. Чтобы файл выдавался небитым, его нужно заменять атомарно. Чтобы страница не ломалась, нужно, чтобы все её элементы были нужной версии. То есть требуется транзакционность деплоя, а не просто атомарность замены отдельных файлов. -- Eugene Berdnikov From nginx-forum на forum.nginx.org Thu Oct 12 03:18:16 2017 From: nginx-forum на forum.nginx.org (demolitionman) Date: Wed, 11 Oct 2017 23:18:16 -0400 Subject: Proxy_cache In-Reply-To: References: Message-ID: <6d3dab2dc055f521c8e53da11989db18.NginxMailingListRussian@forum.nginx.org> Вообще схема выглядит так ASA+LB | | |------nginx1---gunicorn--memcached---pgsql |---|-----|----\-------/--\------/-----------\--------/ |---|---FS----\-----/----\----/-------------\------/ |---|-----|------\---/------\--/---------------\----/ |---|--sync2---\-/--------\/-----------------\--/ |---|-----|-------/-\--------/\------------------/\ |---|----FS----/---\------/--\----------------/--\ |---|-----|-----/-----\----/----\--------------/----\ |------nginx2--gunicorn--memcached---pgsql Пока что не разобрался со статическими файлами и динамическими ngnix, нужно почитать, двинулся дальше. Подскажите пожалуйста, нужно ли в целях надежности memcached держать на отдельной виртуальной машине? Если да, то как прикрутить его к gunicorn через tcp сокет? Как бы локально я могу прикрутить, а вот сказать gunicorn что memcached где то там в сети, еще не научился((( Схемку я пожалуй сохраню, прикольная получилась) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,122768,276826#msg-276826 From nginx-forum на forum.nginx.org Thu Oct 12 03:19:12 2017 From: nginx-forum на forum.nginx.org (demolitionman) Date: Wed, 11 Oct 2017 23:19:12 -0400 Subject: Proxy_cache In-Reply-To: <6d3dab2dc055f521c8e53da11989db18.NginxMailingListRussian@forum.nginx.org> References: <6d3dab2dc055f521c8e53da11989db18.NginxMailingListRussian@forum.nginx.org> Message-ID: Чуть не забыл pgsql между собой тоже синхронизируются, какой софт посоветуете для этого? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,122768,276827#msg-276827 From nginx-forum на forum.nginx.org Thu Oct 12 04:32:53 2017 From: nginx-forum на forum.nginx.org (emejibka) Date: Thu, 12 Oct 2017 00:32:53 -0400 Subject: =?UTF-8?B?0J7RiNC40LHQutCwICDQv9GA0Lgg0LjRgdC/0L7Qu9GM0LfQvtCy0LDQvdC40Lgg?= =?UTF-8?B?UmV2ZXJzZSBwcm94eSDQuCBzc2w=?= Message-ID: <6769caff6a13ed8865ff5a05fadc9729.NginxMailingListRussian@forum.nginx.org> Здравствуйте. Неожиданно один из сайтов перестал работать извне. В логах появились ошибки 2017/10/12 09:22:19 [error] 10729#0: *580 peer closed connection in SSL handshake (54: Connection reset by peer) while SSL handshaking to upstream, client: 83.169.216.72, server: mydomain.ru, request: "GET /favicon.ico HTTP/1.1", upstream: "https://192.168.255.4:443/favicon.ico", host: "mydomain.ru", referrer: "https://mydomain.ru/" Nginx настроен следующим образом server { listen 443 ssl; server_name mydomain.ru; ssl_certificate /usr/local/etc/nginx/ssl/certificate.crt; ssl_certificate_key /usr/local/etc/nginx/ssl/private.key; location / { proxy_pass https://mydomain.ru; } } Сертификаты на серверах одинаковые, mydomain.ru разрешается в разные адреса в зависимости от адреса клиента, т.е. клиенты извне присылают запросы на nginx, тот пересылает запросы на сервер внутри сети, клиенты в локальной сети отправляют запросы на сервер, минуя nginx. Я не могу никак понять почему nginx сам разрешает имя mydomain.ru в локальный ip адрес и посылает запрос используя ip адрес, а не доменное имя. Аналогичным образом настроены другие сервера и они работают. nginx version: nginx/1.8.1 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276828,276828#msg-276828 From dmitriy на lyalyuev.info Thu Oct 12 06:07:26 2017 From: dmitriy на lyalyuev.info (Dmitriy Lyalyuev) Date: Thu, 12 Oct 2017 09:07:26 +0300 Subject: Proxy_cache In-Reply-To: References: <6d3dab2dc055f521c8e53da11989db18.NginxMailingListRussian@forum.nginx.org> Message-ID: Боюсь, что эти вопросы не относятся к теме рассылки. Вам стоит сходить куда-то на StackOverflow или Toster. Обычно подобные вопросы задают там. Тут обсуждают Nginx и его модули/конфигурации. 2017-10-12 6:19 GMT+03:00 demolitionman : > Чуть не забыл pgsql между собой тоже синхронизируются, какой софт > посоветуете для этого? > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,122768,276827#msg-276827 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -- With best regards, Dmitriy Lyalyuev https://lyalyuev.info ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mdounin на mdounin.ru Thu Oct 12 14:04:03 2017 From: mdounin на mdounin.ru (Maxim Dounin) Date: Thu, 12 Oct 2017 17:04:03 +0300 Subject: =?UTF-8?B?UmU6INCe0YjQuNCx0LrQsCAg0L/RgNC4INC40YHQv9C+0LvRjNC30L7QstCw0L0=?= =?UTF-8?B?0LjQuCBSZXZlcnNlIHByb3h5INC4IHNzbA==?= In-Reply-To: <6769caff6a13ed8865ff5a05fadc9729.NginxMailingListRussian@forum.nginx.org> References: <6769caff6a13ed8865ff5a05fadc9729.NginxMailingListRussian@forum.nginx.org> Message-ID: <20171012140403.GD75166@mdounin.ru> Hello! On Thu, Oct 12, 2017 at 12:32:53AM -0400, emejibka wrote: > Здравствуйте. > Неожиданно один из сайтов перестал работать извне. В логах появились ошибки > 2017/10/12 09:22:19 [error] 10729#0: *580 peer closed connection in SSL > handshake (54: Connection reset by peer) while SSL handshaking to upstream, > client: 83.169.216.72, server: mydomain.ru, request: "GET /favicon.ico > HTTP/1.1", upstream: "https://192.168.255.4:443/favicon.ico", host: > "mydomain.ru", referrer: "https://mydomain.ru/" > > Nginx настроен следующим образом > server { > listen 443 ssl; > server_name mydomain.ru; > > ssl_certificate /usr/local/etc/nginx/ssl/certificate.crt; > ssl_certificate_key /usr/local/etc/nginx/ssl/private.key; > > location / { > proxy_pass https://mydomain.ru; > } > } > > Сертификаты на серверах одинаковые, mydomain.ru разрешается в разные адреса > в зависимости от адреса клиента, т.е. клиенты извне присылают запросы на > nginx, тот пересылает запросы на сервер внутри сети, клиенты в локальной > сети отправляют запросы на сервер, минуя nginx. > > Я не могу никак понять почему nginx сам разрешает имя mydomain.ru в > локальный ip адрес и посылает запрос используя ip адрес, а не доменное имя. А что вы понимаете под словами "посылает запрос используя ip адрес, а не доменное имя"? Послать HTTP-запрос, используя доменное имя, невозможно. Нужно превратить имя в IP-адрес, установить с ним соединение, и после этого посылать запрос. В сообщении об ошибке явно указано, с каким адресом nginx пытался общаться, когда произошла ошибка - 192.168.255.4. Если это правильный адрес - то дальше надо разбираться, почему соответствующий бекенд закрыл соединение. Если неправильный - надо разбираться, почему он неправильный. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Thu Oct 12 15:24:12 2017 From: nginx-forum на forum.nginx.org (abramov90) Date: Thu, 12 Oct 2017 11:24:12 -0400 Subject: =?UTF-8?B?0J/RgNCw0LLQuNC70YzQvdC+INC+0YLQtNCw0YLRjCDRgdGC0LDRgtC40LrRgw==?= Message-ID: Всем доброго времени суток, я фронт енд разработчик, потому сильно не ругайте, думаю, вопрос относительно банальный, у меня SPA, но когда я перехожу на урлу типа hostname/page/subpage сервер (при этом, пути на статику у меня относительные, в силу особенность аппликации не могу установить абсолютные) то браузер соответственно ищет статику по адресу hostname/page/js ну или hostname/page/css, а она лежит по hostname/js, hostname/css ну и не найдя соответственно возвращает мне index.html (как указано в try_files) вот конфиг хоста server { listen 80; server_name ; //урла указана валидная, тут просто заменил root ; //паснейм указан валидный, тут просто заменил index index.html; client_body_timeout 10s; client_header_timeout 10s; include /usr/local/etc/nginx/mime.types; client_body_buffer_size 128k; proxy_max_temp_file_size 0; include /etc/nginx/conf.d/iplist/blacklist_*.conf; include /tmp/nginx-blacklist*.conf; charset UTF-8; location / { try_files $uri /index.html; } } как сделать правильно? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276842,276842#msg-276842 From sytar.alex на gmail.com Thu Oct 12 15:40:35 2017 From: sytar.alex на gmail.com (Aleksandr Sytar) Date: Thu, 12 Oct 2017 18:40:35 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQsNCy0LjQu9GM0L3QviDQvtGC0LTQsNGC0Ywg0YHRgtCw0YLQuNC6?= =?UTF-8?B?0YM=?= In-Reply-To: References: Message-ID: 12 октября 2017 г., 18:24 пользователь abramov90 < nginx-forum на forum.nginx.org> написал: > Всем доброго времени суток, я фронт енд разработчик, потому сильно не > ругайте, думаю, вопрос относительно банальный, у меня SPA, но когда я > перехожу на урлу типа > > hostname/page/subpage сервер (при этом, пути на статику у меня > относительные, в силу особенность аппликации не могу установить абсолютные) > > то браузер соответственно ищет статику по адресу hostname/page/js > ... > > как сделать правильно? > Задать тег base, чтобы относительные URL считались от него, а не от текущей страницы. ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Thu Oct 12 15:54:30 2017 From: nginx-forum на forum.nginx.org (abramov90) Date: Thu, 12 Oct 2017 11:54:30 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQsNCy0LjQu9GM0L3QviDQvtGC0LTQsNGC0Ywg0YHRgtCw0YLQuNC6?= =?UTF-8?B?0YM=?= In-Reply-To: References: Message-ID: <7e21fcfa946bbb11e8ed307d083da6cd.NginxMailingListRussian@forum.nginx.org> Base не подходит, потому что у меня на сервере алиас еще один хост и это две разные аппликации Один хост domain.io Второй хост my.domain.io Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276842,276844#msg-276844 From nginx-forum на forum.nginx.org Fri Oct 13 06:36:19 2017 From: nginx-forum на forum.nginx.org (emejibka) Date: Fri, 13 Oct 2017 02:36:19 -0400 Subject: =?UTF-8?B?UmU6INCe0YjQuNCx0LrQsCAg0L/RgNC4INC40YHQv9C+0LvRjNC30L7QstCw0L0=?= =?UTF-8?B?0LjQuCBSZXZlcnNlIHByb3h5INC4IHNzbA==?= In-Reply-To: <20171012140403.GD75166@mdounin.ru> References: <20171012140403.GD75166@mdounin.ru> Message-ID: nginx разрешил адрес правильно, но дело в том что сертификат выписан на имя mydomain.ru, а не на 192.168.255.4. Поэтому при попытке установить соединения получаем ошибку сертификата. У нас есть три сайта, настроенные одинаково. Два работают, один нет. В логах nginx я не видел попыток установить соединения на адреса двух других серверов. В общем картина следующая, у нас есть при поддомена 1.mydomain.ru; 2.mydomain.ru; 3.mydomain.ru; Внутри локальной сети эти домены разрешаются в разные локальные адреса, 192.168.255.4, 192.168.255.5, 192.168.255.6. На каждом из этих серверов поднят веб-сервер. Из вне все домены разрешаются в один адрес, который обслуживает nginx и проксирует запросы к нужному серверу. Если открыть в браузере адрес 1.mydomain.ru, то браузер говорит что сертификат валиден. Если, вместо 1.mydomain.ru использовать соотвествующий адрес, то браузер говорит что сертификат не валиден (т.к. он выписан на домен, а не адрес). Так вот дело в том что nginx почему-то для одного домена сначала делает разрешение адреса, а потом проксирует запрос, а для двух других наоборот. Какие логи можно включить, что бы понять почему так происходит? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276828,276848#msg-276848 From alex.hha на gmail.com Fri Oct 13 08:26:26 2017 From: alex.hha на gmail.com (Alex Domoradov) Date: Fri, 13 Oct 2017 11:26:26 +0300 Subject: =?UTF-8?B?UmU6INCe0YjQuNCx0LrQsCDQv9GA0Lgg0LjRgdC/0L7Qu9GM0LfQvtCy0LDQvdC4?= =?UTF-8?B?0LggUmV2ZXJzZSBwcm94eSDQuCBzc2w=?= In-Reply-To: References: <20171012140403.GD75166@mdounin.ru> Message-ID: > но дело в том что сертификат выписан на имя mydomain.ru, а не на 192.168.255.4 вы ведь знаете как работает http, верно? Какая разница в какой адрес он резолвится, интернет проводник отправляет http заголовок Host, на основании которого nginx и будет принимать решение к каким сервером будет обработан конкретный запрос. ибо при проксировании надо передавать соотв заголовки location / { proxy_pass https://192.168.255.4; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Port $server_port; } например как то так 2017-10-13 9:36 GMT+03:00 emejibka : > nginx разрешил адрес правильно, но дело в том что сертификат выписан на имя > mydomain.ru, а не на 192.168.255.4. Поэтому при попытке установить > соединения получаем ошибку сертификата. > > У нас есть три сайта, настроенные одинаково. Два работают, один нет. В > логах > nginx я не видел попыток установить соединения на адреса двух других > серверов. > > В общем картина следующая, у нас есть при поддомена > 1.mydomain.ru; > 2.mydomain.ru; > 3.mydomain.ru; > > Внутри локальной сети эти домены разрешаются в разные локальные адреса, > 192.168.255.4, 192.168.255.5, 192.168.255.6. На каждом из этих серверов > поднят веб-сервер. > Из вне все домены разрешаются в один адрес, который обслуживает nginx и > проксирует запросы к нужному серверу. > > Если открыть в браузере адрес 1.mydomain.ru, то браузер говорит что > сертификат валиден. Если, вместо 1.mydomain.ru использовать соотвествующий > адрес, то браузер говорит что сертификат не валиден (т.к. он выписан на > домен, а не адрес). Так вот дело в том что nginx почему-то для одного > домена > сначала делает разрешение адреса, а потом проксирует запрос, а для двух > других наоборот. > > Какие логи можно включить, что бы понять почему так происходит? > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,276828,276848#msg-276848 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From dmitriy на lyalyuev.info Fri Oct 13 08:27:33 2017 From: dmitriy на lyalyuev.info (Dmitriy Lyalyuev) Date: Fri, 13 Oct 2017 11:27:33 +0300 Subject: =?UTF-8?B?UmU6INCe0YjQuNCx0LrQsCDQv9GA0Lgg0LjRgdC/0L7Qu9GM0LfQvtCy0LDQvdC4?= =?UTF-8?B?0LggUmV2ZXJzZSBwcm94eSDQuCBzc2w=?= In-Reply-To: References: <20171012140403.GD75166@mdounin.ru> Message-ID: Возможно вам поможет вот это: http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_verify http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_server_name http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_trusted_certificate Ну и заголовки правильные выставляйте. 2017-10-13 9:36 GMT+03:00 emejibka : > nginx разрешил адрес правильно, но дело в том что сертификат выписан на имя > mydomain.ru, а не на 192.168.255.4. Поэтому при попытке установить > соединения получаем ошибку сертификата. > > У нас есть три сайта, настроенные одинаково. Два работают, один нет. В > логах > nginx я не видел попыток установить соединения на адреса двух других > серверов. > > В общем картина следующая, у нас есть при поддомена > 1.mydomain.ru; > 2.mydomain.ru; > 3.mydomain.ru; > > Внутри локальной сети эти домены разрешаются в разные локальные адреса, > 192.168.255.4, 192.168.255.5, 192.168.255.6. На каждом из этих серверов > поднят веб-сервер. > Из вне все домены разрешаются в один адрес, который обслуживает nginx и > проксирует запросы к нужному серверу. > > Если открыть в браузере адрес 1.mydomain.ru, то браузер говорит что > сертификат валиден. Если, вместо 1.mydomain.ru использовать соотвествующий > адрес, то браузер говорит что сертификат не валиден (т.к. он выписан на > домен, а не адрес). Так вот дело в том что nginx почему-то для одного > домена > сначала делает разрешение адреса, а потом проксирует запрос, а для двух > других наоборот. > > Какие логи можно включить, что бы понять почему так происходит? > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,276828,276848#msg-276848 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -- With best regards, Dmitriy Lyalyuev https://lyalyuev.info ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mail на sho0ter.com Fri Oct 13 09:18:23 2017 From: mail на sho0ter.com (=?UTF-8?B?0JzQsNC60YHQuNC8INCR0LDRiNGC0L7QstC+0Lk=?=) Date: Fri, 13 Oct 2017 12:18:23 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <1506592790.64271139@f451.i.mail.ru> References: <1506592790.64271139@f451.i.mail.ru> Message-ID: <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> Апну топик, обновился к майнлайновому 1.13.6 проблема осталась, почему-то NGINX упорно хочет работать исключительно по TLSv1.2 протоколу, отвергая остальные Конфиг тот же nginx version: nginx/1.13.6 built with OpenSSL 1.1.0f  25 May 2017 TLS SNI support enabled configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-qNPYfb/nginx-1.13.6=. -fstack-protector-strong -Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -fPIC' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_v2_module --with-http_dav_module --with-http_slice_module --with-threads --with-http_addition_module --with-http_geoip_module=dynamic --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_sub_module --with-http_xslt_module=dynamic --with-stream=dynamic --with-stream_ssl_module --with-stream_ssl_preread_module --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-auth-pam --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-dav-ext --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-echo --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-upstream-fair --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-subs-filter Может подскажет кто-то хоть в какую сторону копать? Очень признателен за любые советы 28.09.2017 12:59, Максим Баштовой пишет: > > nginx                             1.13.5-1 > openssl                           1.1.0f-5 > > ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; > ssl_certificate /etc/nginx/ssl/chained.crt; > ssl_certificate_key /etc/nginx/ssl/ssl.key; > ssl_dhparam /etc/nginx/ssl/dhparam.pem; > ssl_prefer_server_ciphers on; > ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:RSA+3DES:!NULL:!RC4; > ssl_ecdh_curve prime256v1; > ssl_session_cache shared:SSL:10m; > ssl_session_tickets off; > ssl_stapling on; > ssl_stapling_verify on; > ssl_trusted_certificate /etc/nginx/ssl/ocsp.crt; > resolver 8.8.8.8 8.8.4.4 valid=300s; > resolver_timeout 5s; > add_header Strict-Transport-Security "max-age=31536000; > includeSubDomains; preload"; > #add_header X-Frame-Options SOMEORIGIN; > add_header X-Content-Type-Options nosniff; > add_header X-XSS-Protection "1; mode=block;"; > > SSL тест сообщает: > > Protocols > TLS 1.3 No > TLS 1.2 Yes > TLS 1.1 No > TLS 1.0 No > SSL 3 No > SSL 2 No > > > Старые браузеры, соотв., поотваливались > > Подскажите, пожалуйста, как вернуть поддержку старых версий TLS? > > С уважением, > Максим Баштовой > www.sho0ter.com > mail на sho0ter.com > -- С уважением, Максим "Sho0ter" Баштовой www.sho0ter.com mail на sho0ter.com ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From kovalkov на fastvps.ru Fri Oct 13 09:19:56 2017 From: kovalkov на fastvps.ru (Dmitriy Kovalkov) Date: Fri, 13 Oct 2017 12:19:56 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> Message-ID: Приложите вывод nginx -T --- Respectfully, Dmitrii Kovalkov FASTVPS technical department 2017-10-13 12:18 GMT+03:00 Максим Баштовой : > Апну топик, обновился к майнлайновому 1.13.6 проблема осталась, почему-то > NGINX упорно хочет работать исключительно по TLSv1.2 протоколу, отвергая > остальные > Конфиг тот же > > nginx version: nginx/1.13.6 > built with OpenSSL 1.1.0f 25 May 2017 > TLS SNI support enabled > configure arguments: --with-cc-opt='-g -O2 -fdebug-prefix-map=/build/nginx-qNPYfb/nginx-1.13.6=. > -fstack-protector-strong -Wformat -Werror=format-security -fPIC -Wdate-time > -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -fPIC' > --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf > --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log > --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid > --modules-path=/usr/lib/nginx/modules --http-client-body-temp-path=/var/lib/nginx/body > --http-fastcgi-temp-path=/var/lib/nginx/fastcgi > --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi > --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit > --with-http_ssl_module --with-http_stub_status_module > --with-http_realip_module --with-http_auth_request_module > --with-http_v2_module --with-http_dav_module --with-http_slice_module > --with-threads --with-http_addition_module --with-http_geoip_module=dynamic > --with-http_gunzip_module --with-http_gzip_static_module > --with-http_image_filter_module=dynamic --with-http_sub_module > --with-http_xslt_module=dynamic --with-stream=dynamic > --with-stream_ssl_module --with-stream_ssl_preread_module > --with-mail=dynamic --with-mail_ssl_module --add-dynamic-module=/build/ > nginx-qNPYfb/nginx-1.13.6/debian/modules/http-auth-pam > --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-dav-ext > --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-echo > --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/ > debian/modules/http-upstream-fair --add-dynamic-module=/build/ > nginx-qNPYfb/nginx-1.13.6/debian/modules/http-subs-filter > > Может подскажет кто-то хоть в какую сторону копать? > Очень признателен за любые советы > > 28.09.2017 12:59, Максим Баштовой пишет: > > nginx 1.13.5-1 > openssl 1.1.0f-5 > > ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; > ssl_certificate /etc/nginx/ssl/chained.crt; > ssl_certificate_key /etc/nginx/ssl/ssl.key; > ssl_dhparam /etc/nginx/ssl/dhparam.pem; > ssl_prefer_server_ciphers on; > ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:RSA+3DES:!NULL:!RC4; > ssl_ecdh_curve prime256v1; > ssl_session_cache shared:SSL:10m; > ssl_session_tickets off; > ssl_stapling on; > ssl_stapling_verify on; > ssl_trusted_certificate /etc/nginx/ssl/ocsp.crt; > resolver 8.8.8.8 8.8.4.4 valid=300s; > resolver_timeout 5s; > add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; > preload"; > #add_header X-Frame-Options SOMEORIGIN; > add_header X-Content-Type-Options nosniff; > add_header X-XSS-Protection "1; mode=block;"; > > SSL тест сообщает: > Protocols > TLS 1.3 No > TLS 1.2 Yes > TLS 1.1 No > TLS 1.0 No > SSL 3 No > SSL 2 No > > > Старые браузеры, соотв., поотваливались > > Подскажите, пожалуйста, как вернуть поддержку старых версий TLS? > > С уважением, > Максим Баштовой > www.sho0ter.com > mail на sho0ter.com > > > -- > С уважением, > Максим "Sho0ter" Баштовойwww.sho0ter.commail на sho0ter.com > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mail на sho0ter.com Fri Oct 13 09:34:05 2017 From: mail на sho0ter.com (=?UTF-8?B?0JzQsNC60YHQuNC8INCR0LDRiNGC0L7QstC+0Lk=?=) Date: Fri, 13 Oct 2017 12:34:05 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> Message-ID: <1f868638-f119-4c95-b32b-18612bfb38f6@sho0ter.com> Прикладываю вывод nginx -T nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful # configuration file /etc/nginx/nginx.conf: user www-data; worker_processes 8; pid /run/nginx.pid; include /etc/nginx/modules-enabled/*.conf; events {         worker_connections 1024;         # multi_accept on; } http {         # Requests limit zone         limit_req_zone $binary_remote_addr zone=client_ip:16m rate=4r/s;         ##         # Basic Settings         ##         sendfile on;         tcp_nopush on;         tcp_nodelay on;         keepalive_timeout 30;         types_hash_max_size 2048;         server_tokens off;         # server_names_hash_bucket_size 64;         # server_name_in_redirect off;         client_max_body_size 100m;         include /etc/nginx/mime.types;         default_type application/octet-stream;         ##         # SSL Settings         ##         ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE         ssl_prefer_server_ciphers on;         ##         # Logging Settings         ##         access_log /var/log/nginx/default.access.log;         error_log /var/log/nginx/default.error.log;         #access_log off;         #error_log off;         ##         # Gzip Settings         ##         gzip on;         gzip_disable "msie6";         # gzip_vary on;         # gzip_proxied any;         # gzip_comp_level 6;         # gzip_buffers 16 8k;         # gzip_http_version 1.1;         gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;         ##         # Virtual Host Configs         ##         include /etc/nginx/conf.d/*.conf;         include /etc/nginx/sites-enabled/*; } #mail { #       # See sample authentication script at: #       # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript # #       # auth_http localhost/auth.php; #       # pop3_capabilities "TOP" "USER"; #       # imap_capabilities "IMAP4rev1" "UIDPLUS"; # #       server { #               listen     localhost:110; #               protocol   pop3; #               proxy      on; #       } # #       server { #               listen     localhost:143; #               protocol   imap; #               proxy      on; #       } #} # configuration file /etc/nginx/modules-enabled/50-mod-http-auth-pam.conf: load_module modules/ngx_http_auth_pam_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-http-dav-ext.conf: load_module modules/ngx_http_dav_ext_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-http-echo.conf: load_module modules/ngx_http_echo_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-http-geoip.conf: load_module modules/ngx_http_geoip_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-http-image-filter.conf: load_module modules/ngx_http_image_filter_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-http-subs-filter.conf: load_module modules/ngx_http_subs_filter_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-http-upstream-fair.conf: load_module modules/ngx_http_upstream_fair_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-http-xslt-filter.conf: load_module modules/ngx_http_xslt_filter_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-mail.conf: load_module modules/ngx_mail_module.so; # configuration file /etc/nginx/modules-enabled/50-mod-stream.conf: load_module modules/ngx_stream_module.so; # configuration file /etc/nginx/mime.types: types {     text/html                             html htm shtml;     text/css                              css;     text/xml                              xml;     image/gif                             gif;     image/jpeg                            jpeg jpg;     application/javascript                js;     application/atom+xml                  atom;     application/rss+xml                   rss;     text/mathml                           mml;     text/plain                            txt;     text/vnd.sun.j2me.app-descriptor      jad;     text/vnd.wap.wml                      wml;     text/x-component                      htc;     image/png                             png;     image/tiff                            tif tiff;     image/vnd.wap.wbmp                    wbmp;     image/x-icon                          ico;     image/x-jng                           jng;     image/x-ms-bmp                        bmp;     image/svg+xml                         svg svgz;     image/webp                            webp;     application/font-woff                 woff;     application/java-archive              jar war ear;     application/json                      json;     application/mac-binhex40              hqx;     application/msword                    doc;     application/pdf                       pdf;     application/postscript                ps eps ai;     application/rtf                       rtf;     application/vnd.apple.mpegurl         m3u8;     application/vnd.ms-excel              xls;     application/vnd.ms-fontobject         eot;     application/vnd.ms-powerpoint         ppt;     application/vnd.wap.wmlc              wmlc;     application/vnd.google-earth.kml+xml  kml;     application/vnd.google-earth.kmz      kmz;     application/x-7z-compressed           7z;     application/x-cocoa                   cco;     application/x-java-archive-diff       jardiff;     application/x-java-jnlp-file          jnlp;     application/x-makeself                run;     application/x-perl                    pl pm;     application/x-pilot                   prc pdb;     application/x-rar-compressed          rar;     application/x-redhat-package-manager  rpm;     application/x-sea                     sea;     application/x-shockwave-flash         swf;     application/x-stuffit                 sit;     application/x-tcl                     tcl tk;     application/x-x509-ca-cert            der pem crt;     application/x-xpinstall               xpi;     application/xhtml+xml                 xhtml;     application/xspf+xml                  xspf;     application/zip                       zip;     application/octet-stream              bin exe dll;     application/octet-stream              deb;     application/octet-stream              dmg;     application/octet-stream              iso img;     application/octet-stream              msi msp msm; application/vnd.openxmlformats-officedocument.wordprocessingml.document docx; application/vnd.openxmlformats-officedocument.spreadsheetml.sheet xlsx; application/vnd.openxmlformats-officedocument.presentationml.presentation pptx;     audio/midi                            mid midi kar;     audio/mpeg                            mp3;     audio/ogg                             ogg;     audio/x-m4a                           m4a;     audio/x-realaudio                     ra;     video/3gpp                            3gpp 3gp;     video/mp2t                            ts;     video/mp4                             mp4;     video/mpeg                            mpeg mpg;     video/quicktime                       mov;     video/webm                            webm;     video/x-flv                           flv;     video/x-m4v                           m4v;     video/x-mng                           mng;     video/x-ms-asf                        asx asf;     video/x-ms-wmv                        wmv;     video/x-msvideo                       avi; } # configuration file /etc/nginx/conf.d/upstream.conf: upstream production {         server unix:/run/php/php7.0-fpm.sock; } # configuration file /etc/nginx/snippets/fastcgi-php.conf: # regex to split $uri to $fastcgi_script_name and $fastcgi_path fastcgi_split_path_info ^(.+\.php)(/.+)$; # Check that the PHP script exists before passing it try_files $fastcgi_script_name =404; limit_req zone=client_ip burst=8; limit_req_status 429; # Bypass the fact that try_files resets $fastcgi_path_info # see: http://trac.nginx.org/nginx/ticket/321 set $path_info $fastcgi_path_info; fastcgi_param PATH_INFO $path_info; fastcgi_index index.php; include fastcgi.conf; # configuration file /etc/nginx/fastcgi.conf: fastcgi_param  SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param  QUERY_STRING       $query_string; fastcgi_param  REQUEST_METHOD     $request_method; fastcgi_param  CONTENT_TYPE       $content_type; fastcgi_param  CONTENT_LENGTH     $content_length; fastcgi_param  SCRIPT_NAME        $fastcgi_script_name; fastcgi_param  REQUEST_URI        $request_uri; fastcgi_param  DOCUMENT_URI       $document_uri; fastcgi_param  DOCUMENT_ROOT      $document_root; fastcgi_param  SERVER_PROTOCOL    $server_protocol; fastcgi_param  REQUEST_SCHEME     $scheme; fastcgi_param  HTTPS              $https if_not_empty; fastcgi_param  GATEWAY_INTERFACE  CGI/1.1; fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version; fastcgi_param  REMOTE_ADDR        $remote_addr; fastcgi_param  REMOTE_PORT        $remote_port; fastcgi_param  SERVER_ADDR        $server_addr; fastcgi_param  SERVER_PORT        $server_port; fastcgi_param  SERVER_NAME        $server_name; # PHP only, required if PHP was built with --enable-force-cgi-redirect fastcgi_param  REDIRECT_STATUS    200; # configuration file /etc/nginx/snippets/common.conf: location ~* ^.+.(css|js|jpg|jpeg|gif|png|bmp|ico|zip|tgz|gz|rar|bz2|doc|docx|xls|xlsx|pdf|ppt|pptx|txt|tar|mid|midi|wav|rtf|mp3|mp4|flv|webm|swf|tiff|jar|svg|woff2|ttf|tif|tiff)$ {         access_log off;         #expires 1d;         add_header Cache-Control public,max-age=2592000; } location ~ /\. {         deny all; } # configuration file /etc/nginx/sites-enabled/default: server {         listen 80 default_server;         server_name _;         return 301 https://www.domain.com$request_uri; } # configuration file /etc/nginx/fastcgi_params: fastcgi_param  QUERY_STRING       $query_string; fastcgi_param  REQUEST_METHOD     $request_method; fastcgi_param  CONTENT_TYPE       $content_type; fastcgi_param  CONTENT_LENGTH     $content_length; fastcgi_param  SCRIPT_NAME        $fastcgi_script_name; fastcgi_param  REQUEST_URI        $request_uri; fastcgi_param  DOCUMENT_URI       $document_uri; fastcgi_param  DOCUMENT_ROOT      $document_root; fastcgi_param  SERVER_PROTOCOL    $server_protocol; fastcgi_param  REQUEST_SCHEME     $scheme; fastcgi_param  HTTPS              $https if_not_empty; fastcgi_param  GATEWAY_INTERFACE  CGI/1.1; fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version; fastcgi_param  REMOTE_ADDR        $remote_addr; fastcgi_param  REMOTE_PORT        $remote_port; fastcgi_param  SERVER_ADDR        $server_addr; fastcgi_param  SERVER_PORT        $server_port; fastcgi_param  SERVER_NAME        $server_name; # PHP only, required if PHP was built with --enable-force-cgi-redirect fastcgi_param  REDIRECT_STATUS    200; # configuration file /etc/nginx/sites-enabled/production: server {         listen 443 ssl http2;         server_name domain.com;         include snippets/ssl.conf;         return 301 https://www.domain.com$request_uri; } server {         listen 443 ssl http2;         server_name www.domain.com;         include snippets/ssl.conf;         root /www/production/public;         index index.html index.htm index.nginx-debian.html index.php;         access_log /var/log/nginx/production.access.log;         error_log /var/log/nginx/production.error.log;         error_page 404 /404.html;         location / {                 try_files $uri /index.php?$query_string;         }         location /index.php {                 include snippets/fastcgi-php.conf;                 fastcgi_pass production;         }         include snippets/common.conf; } # configuration file /etc/nginx/snippets/ssl.conf:         ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;         ssl_certificate /etc/nginx/ssl/taburetka.ua.chained.crt;         ssl_certificate_key /etc/nginx/ssl/taburetka.ua.key;         ssl_dhparam /etc/nginx/ssl/dhparam.pem;         ssl_prefer_server_ciphers on;         ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:RSA+3DES:!NULL:!RC4;         ssl_ecdh_curve prime256v1;         ssl_session_cache shared:SSL:10m;         ssl_session_tickets off;         ssl_stapling on;         ssl_stapling_verify on;         ssl_trusted_certificate /etc/nginx/ssl/ocsp.crt;         resolver 8.8.8.8 8.8.4.4 valid=300s;         resolver_timeout 5s;         add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";         #add_header X-Frame-Options SOMEORIGIN;         add_header X-Content-Type-Options nosniff;         add_header X-XSS-Protection "1; mode=block;"; 13.10.2017 12:19, Dmitriy Kovalkov пишет: > Приложите вывод nginx -T > > --- > Respectfully, Dmitrii Kovalkov > FASTVPS technical department > > 2017-10-13 12:18 GMT+03:00 Максим Баштовой >: > > Апну топик, обновился к майнлайновому 1.13.6 проблема осталась, > почему-то NGINX упорно хочет работать исключительно по TLSv1.2 > протоколу, отвергая остальные > Конфиг тот же > > nginx version: nginx/1.13.6 > built with OpenSSL 1.1.0f  25 May 2017 > TLS SNI support enabled > configure arguments: --with-cc-opt='-g -O2 > -fdebug-prefix-map=/build/nginx-qNPYfb/nginx-1.13.6=. > -fstack-protector-strong -Wformat -Werror=format-security -fPIC > -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-z,relro > -Wl,-z,now -fPIC' --prefix=/usr/share/nginx > --conf-path=/etc/nginx/nginx.conf > --http-log-path=/var/log/nginx/access.log > --error-log-path=/var/log/nginx/error.log > --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid > --modules-path=/usr/lib/nginx/modules > --http-client-body-temp-path=/var/lib/nginx/body > --http-fastcgi-temp-path=/var/lib/nginx/fastcgi > --http-proxy-temp-path=/var/lib/nginx/proxy > --http-scgi-temp-path=/var/lib/nginx/scgi > --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug > --with-pcre-jit --with-http_ssl_module > --with-http_stub_status_module --with-http_realip_module > --with-http_auth_request_module --with-http_v2_module > --with-http_dav_module --with-http_slice_module --with-threads > --with-http_addition_module --with-http_geoip_module=dynamic > --with-http_gunzip_module --with-http_gzip_static_module > --with-http_image_filter_module=dynamic --with-http_sub_module > --with-http_xslt_module=dynamic --with-stream=dynamic > --with-stream_ssl_module --with-stream_ssl_preread_module > --with-mail=dynamic --with-mail_ssl_module > --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-auth-pam > --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-dav-ext > --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-echo > --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-upstream-fair > --add-dynamic-module=/build/nginx-qNPYfb/nginx-1.13.6/debian/modules/http-subs-filter > > Может подскажет кто-то хоть в какую сторону копать? > Очень признателен за любые советы > > > 28.09.2017 12:59, Максим Баштовой пишет: >> >> nginx                             1.13.5-1 >> openssl                           1.1.0f-5 >> >> ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; >> ssl_certificate /etc/nginx/ssl/chained.crt; >> ssl_certificate_key /etc/nginx/ssl/ssl.key; >> ssl_dhparam /etc/nginx/ssl/dhparam.pem; >> ssl_prefer_server_ciphers on; >> ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:RSA+3DES:!NULL:!RC4; >> ssl_ecdh_curve prime256v1; >> ssl_session_cache shared:SSL:10m; >> ssl_session_tickets off; >> ssl_stapling on; >> ssl_stapling_verify on; >> ssl_trusted_certificate /etc/nginx/ssl/ocsp.crt; >> resolver 8.8.8.8 8.8.4.4 valid=300s; >> resolver_timeout 5s; >> add_header Strict-Transport-Security "max-age=31536000; >> includeSubDomains; preload"; >> #add_header X-Frame-Options SOMEORIGIN; >> add_header X-Content-Type-Options nosniff; >> add_header X-XSS-Protection "1; mode=block;"; >> >> SSL тест сообщает: >> >> Protocols >> TLS 1.3 No >> TLS 1.2 Yes >> TLS 1.1 No >> TLS 1.0 No >> SSL 3 No >> SSL 2 No >> >> >> Старые браузеры, соотв., поотваливались >> >> Подскажите, пожалуйста, как вернуть поддержку старых версий TLS? >> >> С уважением, >> Максим Баштовой >> www.sho0ter.com >> mail на sho0ter.com >> > > -- > С уважением, > Максим "Sho0ter" Баштовой > www.sho0ter.com > mail на sho0ter.com > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением, Максим "Sho0ter" Баштовой www.sho0ter.com mail на sho0ter.com ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From gmm на csdoc.com Fri Oct 13 09:35:20 2017 From: gmm на csdoc.com (Gena Makhomed) Date: Fri, 13 Oct 2017 12:35:20 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> Message-ID: On 13.10.2017 12:18, Максим Баштовой wrote: > почему-то NGINX упорно хочет работать исключительно по TLSv1.2 > протоколу, отвергая остальные Если взять дистрибутив nginx с официального сайта http://nginx.org/en/linux_packages.html#mainline проблема воспроизводится? -- Best regards, Gena From mail на sho0ter.com Fri Oct 13 10:07:35 2017 From: mail на sho0ter.com (=?UTF-8?B?0JzQsNC60YHQuNC8INCR0LDRiNGC0L7QstC+0Lk=?=) Date: Fri, 13 Oct 2017 13:07:35 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> Message-ID: <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> 13.10.2017 12:35, Gena Makhomed пишет: > On 13.10.2017 12:18, Максим Баштовой wrote: > >> почему-то NGINX упорно хочет работать исключительно по TLSv1.2 >> протоколу, отвергая остальные > > Если взять дистрибутив nginx с официального сайта > http://nginx.org/en/linux_packages.html#mainline > проблема воспроизводится? > Установил с официального репозитория nginx version: nginx/1.13.6 built by gcc 6.3.0 20170516 (Debian 6.3.0-18) built with OpenSSL 1.1.0f  25 May 2017 TLS SNI support enabled configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-g -O2 -fdebug-prefix-map=/data/builder/debuild/nginx-1.13.6/debian/debuild-base/nginx-1.13.6=. -specs=/usr/share/dpkg/no-pie-compile.specs -fstack-protector-strong -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' --with-ld-opt='-specs=/usr/share/dpkg/no-pie-link.specs -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie' Конфиг тот же, опять только TLSv1.2 -- С уважением, Максим "Sho0ter" Баштовой www.sho0ter.com mail на sho0ter.com From alexander.moskalenko на gmail.com Fri Oct 13 10:19:48 2017 From: alexander.moskalenko на gmail.com (Alexander Moskalenko) Date: Fri, 13 Oct 2017 12:19:48 +0200 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> Message-ID: Смотрите свои настройки Cloudflare, ваш конфиг на клиента абсолютно никак не влияет On Fri, Oct 13, 2017 at 12:07 PM, Максим Баштовой wrote: > > > 13.10.2017 12:35, Gena Makhomed пишет: > >> On 13.10.2017 12:18, Максим Баштовой wrote: >> >> почему-то NGINX упорно хочет работать исключительно по TLSv1.2 протоколу, >>> отвергая остальные >>> >> >> Если взять дистрибутив nginx с официального сайта >> http://nginx.org/en/linux_packages.html#mainline >> проблема воспроизводится? >> >> > Установил с официального репозитория > > nginx version: nginx/1.13.6 > built by gcc 6.3.0 20170516 (Debian 6.3.0-18) > built with OpenSSL 1.1.0f 25 May 2017 > TLS SNI support enabled > configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx > --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf > --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log > --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock > --http-client-body-temp-path=/var/cache/nginx/client_temp > --http-proxy-temp-path=/var/cache/nginx/proxy_temp > --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp > --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp > --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx > --group=nginx --with-compat --with-file-aio --with-threads > --with-http_addition_module --with-http_auth_request_module > --with-http_dav_module --with-http_flv_module --with-http_gunzip_module > --with-http_gzip_static_module --with-http_mp4_module > --with-http_random_index_module --with-http_realip_module > --with-http_secure_link_module --with-http_slice_module > --with-http_ssl_module --with-http_stub_status_module > --with-http_sub_module --with-http_v2_module --with-mail > --with-mail_ssl_module --with-stream --with-stream_realip_module > --with-stream_ssl_module --with-stream_ssl_preread_module > --with-cc-opt='-g -O2 -fdebug-prefix-map=/data/build > er/debuild/nginx-1.13.6/debian/debuild-base/nginx-1.13.6=. > -specs=/usr/share/dpkg/no-pie-compile.specs -fstack-protector-strong > -Wformat -Werror=format-security -Wp,-D_FORTIFY_SOURCE=2 -fPIC' > --with-ld-opt='-specs=/usr/share/dpkg/no-pie-link.specs -Wl,-z,relro > -Wl,-z,now -Wl,--as-needed -pie' > > Конфиг тот же, опять только TLSv1.2 > > -- > С уважением, > Максим "Sho0ter" Баштовой > www.sho0ter.com > mail на sho0ter.com > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From mail на sho0ter.com Fri Oct 13 10:24:16 2017 From: mail на sho0ter.com (=?UTF-8?B?0JzQsNC60YHQuNC8INCR0LDRiNGC0L7QstC+0Lk=?=) Date: Fri, 13 Oct 2017 13:24:16 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> Message-ID: Проверял я без CloudFlare На данный момент прикрыт временно клаудфларом как раз из-за этой проблемы 13.10.2017 13:19, Alexander Moskalenko пишет: > Смотрите свои настройки Cloudflare, ваш конфиг на клиента абсолютно > никак не влияет > > On Fri, Oct 13, 2017 at 12:07 PM, Максим Баштовой > wrote: > > > > 13.10.2017 12:35, Gena Makhomed пишет: > > On 13.10.2017 12:18, Максим Баштовой wrote: > > почему-то NGINX упорно хочет работать исключительно по > TLSv1.2 протоколу, отвергая остальные > > > Если взять дистрибутив nginx с официального сайта > http://nginx.org/en/linux_packages.html#mainline > > проблема воспроизводится? > > > Установил с официального репозитория > > nginx version: nginx/1.13.6 > built by gcc 6.3.0 20170516 (Debian 6.3.0-18) > built with OpenSSL 1.1.0f  25 May 2017 > TLS SNI support enabled > configure arguments: --prefix=/etc/nginx > --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules > --conf-path=/etc/nginx/nginx.conf > --error-log-path=/var/log/nginx/error.log > --http-log-path=/var/log/nginx/access.log > --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock > --http-client-body-temp-path=/var/cache/nginx/client_temp > --http-proxy-temp-path=/var/cache/nginx/proxy_temp > --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp > --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp > --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx > --group=nginx --with-compat --with-file-aio --with-threads > --with-http_addition_module --with-http_auth_request_module > --with-http_dav_module --with-http_flv_module > --with-http_gunzip_module --with-http_gzip_static_module > --with-http_mp4_module --with-http_random_index_module > --with-http_realip_module --with-http_secure_link_module > --with-http_slice_module --with-http_ssl_module > --with-http_stub_status_module --with-http_sub_module > --with-http_v2_module --with-mail --with-mail_ssl_module > --with-stream --with-stream_realip_module --with-stream_ssl_module > --with-stream_ssl_preread_module --with-cc-opt='-g -O2 > -fdebug-prefix-map=/data/builder/debuild/nginx-1.13.6/debian/debuild-base/nginx-1.13.6=. > -specs=/usr/share/dpkg/no-pie-compile.specs > -fstack-protector-strong -Wformat -Werror=format-security > -Wp,-D_FORTIFY_SOURCE=2 -fPIC' > --with-ld-opt='-specs=/usr/share/dpkg/no-pie-link.specs > -Wl,-z,relro -Wl,-z,now -Wl,--as-needed -pie' > > Конфиг тот же, опять только TLSv1.2 > > -- > С уважением, > Максим "Sho0ter" Баштовой > www.sho0ter.com > mail на sho0ter.com > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- С уважением, Максим "Sho0ter" Баштовой www.sho0ter.com mail на sho0ter.com ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From gmm на csdoc.com Fri Oct 13 10:50:40 2017 From: gmm на csdoc.com (Gena Makhomed) Date: Fri, 13 Oct 2017 13:50:40 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> Message-ID: <484f7ffc-065e-84ea-4479-88359deaa19a@csdoc.com> On 13.10.2017 13:07, Максим Баштовой wrote: >>> почему-то NGINX упорно хочет работать исключительно по TLSv1.2 >>> протоколу, отвергая остальные >> Если взять дистрибутив nginx с официального сайта >> http://nginx.org/en/linux_packages.html#mainline >> проблема воспроизводится? > Установил с официального репозитория > nginx version: nginx/1.13.6 > built by gcc 6.3.0 20170516 (Debian 6.3.0-18) > built with OpenSSL 1.1.0f  25 May 2017 > Конфиг тот же, опять только TLSv1.2 Ясно. Значит проблема в Debian, https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют. Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx из исходников, используя OpenSSL библиотеку с https://www.openssl.org/ -- Best regards, Gena From kpoxa на kpoxa.net Fri Oct 13 14:31:10 2017 From: kpoxa на kpoxa.net (kpoxa) Date: Fri, 13 Oct 2017 17:31:10 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <484f7ffc-065e-84ea-4479-88359deaa19a@csdoc.com> References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> <484f7ffc-065e-84ea-4479-88359deaa19a@csdoc.com> Message-ID: В debian проблемы нет. У меня не воспроизводится с указанными настройками ssl. Проверял на 8 и на 9 релизах дебиана. 13 октября 2017 г., 13:50 пользователь Gena Makhomed написал: > On 13.10.2017 13:07, Максим Баштовой wrote: > > почему-то NGINX упорно хочет работать исключительно по TLSv1.2 протоколу, >>>> отвергая остальные >>>> >>> > Если взять дистрибутив nginx с официального сайта >>> http://nginx.org/en/linux_packages.html#mainline >>> проблема воспроизводится? >>> >> > Установил с официального репозитория >> > > nginx version: nginx/1.13.6 >> built by gcc 6.3.0 20170516 (Debian 6.3.0-18) >> built with OpenSSL 1.1.0f 25 May 2017 >> > > Конфиг тот же, опять только TLSv1.2 >> > > Ясно. Значит проблема в Debian, > > https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html > > рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют. > > Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx > из исходников, используя OpenSSL библиотеку с https://www.openssl.org/ > > -- > Best regards, > Gena > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -------------- next part -------------- An HTML attachment was scrubbed... URL: From kovalkov на fastvps.ru Fri Oct 13 14:41:35 2017 From: kovalkov на fastvps.ru (Dmitriy Kovalkov) Date: Fri, 13 Oct 2017 17:41:35 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> <484f7ffc-065e-84ea-4479-88359deaa19a@csdoc.com> Message-ID: Попробуйте выполнить openssl ciphers -v | awk '{print $2}' | sort | uniq и посмотреть, в самом openssl какие у Вас TLS есть. --- Respectfully, Dmitrii Kovalkov FASTVPS technical department 13 октября 2017 г., 17:31 пользователь kpoxa написал: > В debian проблемы нет. У меня не воспроизводится с указанными настройками > ssl. Проверял на 8 и на 9 релизах дебиана. > > 13 октября 2017 г., 13:50 пользователь Gena Makhomed > написал: > > On 13.10.2017 13:07, Максим Баштовой wrote: >> >> почему-то NGINX упорно хочет работать исключительно по TLSv1.2 протоколу, >>>>> отвергая остальные >>>>> >>>> >> Если взять дистрибутив nginx с официального сайта >>>> http://nginx.org/en/linux_packages.html#mainline >>>> проблема воспроизводится? >>>> >>> >> Установил с официального репозитория >>> >> >> nginx version: nginx/1.13.6 >>> built by gcc 6.3.0 20170516 (Debian 6.3.0-18) >>> built with OpenSSL 1.1.0f 25 May 2017 >>> >> >> Конфиг тот же, опять только TLSv1.2 >>> >> >> Ясно. Значит проблема в Debian, >> >> https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html >> >> рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют. >> >> Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx >> из исходников, используя OpenSSL библиотеку с https://www.openssl.org/ >> >> -- >> Best regards, >> Gena >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From kovalkov на fastvps.ru Fri Oct 13 14:45:06 2017 From: kovalkov на fastvps.ru (Dmitriy Kovalkov) Date: Fri, 13 Oct 2017 17:45:06 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: References: <1506592790.64271139@f451.i.mail.ru> <7cdd38f9-c2d5-26a0-c98e-2c0063c64ece@sho0ter.com> <54fa1d82-4425-67d3-3fca-2a2f962c0b19@sho0ter.com> <484f7ffc-065e-84ea-4479-88359deaa19a@csdoc.com> Message-ID: Не, хрень говорю вероятно :( --- Respectfully, Dmitrii Kovalkov FASTVPS technical department 13 октября 2017 г., 17:41 пользователь Dmitriy Kovalkov написал: > Попробуйте выполнить > > openssl ciphers -v | awk '{print $2}' | sort | uniq > > и посмотреть, в самом openssl какие у Вас TLS есть. > > --- > Respectfully, Dmitrii Kovalkov > FASTVPS technical department > > 13 октября 2017 г., 17:31 пользователь kpoxa написал: > > В debian проблемы нет. У меня не воспроизводится с указанными настройками >> ssl. Проверял на 8 и на 9 релизах дебиана. >> >> 13 октября 2017 г., 13:50 пользователь Gena Makhomed >> написал: >> >> On 13.10.2017 13:07, Максим Баштовой wrote: >>> >>> почему-то NGINX упорно хочет работать исключительно по TLSv1.2 >>>>>> протоколу, отвергая остальные >>>>>> >>>>> >>> Если взять дистрибутив nginx с официального сайта >>>>> http://nginx.org/en/linux_packages.html#mainline >>>>> проблема воспроизводится? >>>>> >>>> >>> Установил с официального репозитория >>>> >>> >>> nginx version: nginx/1.13.6 >>>> built by gcc 6.3.0 20170516 (Debian 6.3.0-18) >>>> built with OpenSSL 1.1.0f 25 May 2017 >>>> >>> >>> Конфиг тот же, опять только TLSv1.2 >>>> >>> >>> Ясно. Значит проблема в Debian, >>> >>> https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html >>> >>> рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют. >>> >>> Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx >>> из исходников, используя OpenSSL библиотеку с https://www.openssl.org/ >>> >>> -- >>> Best regards, >>> Gena >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru на nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> >> >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mail на sho0ter.com Fri Oct 13 18:11:22 2017 From: mail на sho0ter.com (=?UTF-8?B?0JzQsNC60YHQuNC8INCR0LDRiNGC0L7QstC+0Lk=?=) Date: Fri, 13 Oct 2017 21:11:22 +0300 Subject: =?UTF-8?B?UmVbMl06INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg?= =?UTF-8?B?0YHRgtCw0YDRi9GFINC/0YDQvtGC0L7QutC+0LvQvtCyINC/0L7RgdC70LUg?= =?UTF-8?B?0L7QsdC90L7QstC70LXQvdC40Y8=?= In-Reply-To: References: <1506592790.64271139@f451.i.mail.ru> Message-ID: <1507918282.560435863@f500.i.mail.ru> $ openssl ciphers -v | awk '{print $2}' | sort | uniq SSLv3 TLSv1 TLSv1.2 Таки да, сижу на ветке unstable Получается, скоро такое ждет всех дебианщиков >Пятница, 13 октября 2017, 17:45 +03:00 от Dmitriy Kovalkov : > >Не, хрень говорю вероятно :( > >--- >Respectfully, Dmitrii Kovalkov >FASTVPS technical department > >13 октября 2017 г., 17:41 пользователь Dmitriy Kovalkov < kovalkov на fastvps.ru > написал: >>Попробуйте выполнить  >> >>openssl ciphers -v | awk '{print $2}' | sort | uniq >> >>и посмотреть, в самом openssl какие у Вас TLS есть. >> >>--- >>Respectfully, Dmitrii Kovalkov >>FASTVPS technical department >> >>13 октября 2017 г., 17:31 пользователь kpoxa < kpoxa на kpoxa.net > написал: >> >>>В debian проблемы нет. У меня не воспроизводится с указанными настройками ssl. Проверял на 8 и на 9 релизах дебиана. >>> >>>13 октября 2017 г., 13:50 пользователь Gena Makhomed < gmm на csdoc.com > написал: >>> >>>>On 13.10.2017 13:07, Максим Баштовой wrote: >>>> >>>>>>>почему-то NGINX упорно хочет работать исключительно по TLSv1.2 протоколу, отвергая остальные >>>> >>>>>>Если взять дистрибутив nginx с официального сайта >>>>>>http://nginx.org/en/linux_packages.html#mainline >>>>>>проблема воспроизводится? >>>> >>>>>Установил с официального репозитория >>>> >>>>>nginx version: nginx/1.13.6 >>>>>built by gcc 6.3.0 20170516 (Debian 6.3.0-18) >>>>>built with OpenSSL 1.1.0f  25 May 2017 >>>> >>>>>Конфиг тот же, опять только TLSv1.2 >>>> >>>>Ясно. Значит проблема в Debian, >>>> >>>>https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html >>>> >>>>рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют. >>>> >>>>Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx >>>>из исходников, используя OpenSSL библиотеку с https://www.openssl.org/ >>>> >>>>-- >>>>Best regards, >>>> Gena >>>> >>>>_______________________________________________ >>>>nginx-ru mailing list >>>>nginx-ru на nginx.org >>>>http://mailman.nginx.org/mailman/listinfo/nginx-ru >>> >>>_______________________________________________ >>>nginx-ru mailing list >>>nginx-ru на nginx.org >>>http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > >_______________________________________________ >nginx-ru mailing list >nginx-ru на nginx.org >http://mailman.nginx.org/mailman/listinfo/nginx-ru С уважением, Максим Баштовой www.sho0ter.com mail на sho0ter.com ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx на kinetiksoft.com Sun Oct 15 11:10:09 2017 From: nginx на kinetiksoft.com (=?utf-8?B?0JjQstCw0L0=?=) Date: Sun, 15 Oct 2017 14:10:09 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <1507918282.560435863@f500.i.mail.ru> References: <1506592790.64271139@f451.i.mail.ru> <1507918282.560435863@f500.i.mail.ru> Message-ID: <8928930.d9d9lqqPFB@cybernote> Здравствуйте! Не пугайте народ, пожалуйста! Не всех, а только тех, кто по какой-то странной причине юзает в продакшене debian unstable. _Всех_ дебианщиков это изменение затронет не раньше конца поддержки stretch, а именно: approx. 2020 (full) / approx. 2022 (LTS) (https://wiki.debian.org/ DebianReleases) , И тут я полностью согласен с автором данного изменения, а именно в части > OpenSSL made a release 5 years ago that supported TLS 1.2. The > current support of the server side seems to be around 90%. I hope > that by the time Buster releases the support for TLS 1.2 will be > high enough that I don't need to enable them again. С уважением, Иван Прокудин. P.S. Хотите экспериментов в продакшене - ставьте gentoo :-D В письме от пятница, 13 октября 2017 г. 21:11:22 MSK пользователь Максим Баштовой написал: > $ openssl ciphers -v | awk '{print $2}' | sort | uniq > SSLv3 > TLSv1 > TLSv1.2 > Таки да, сижу на ветке unstable > Получается, скоро такое ждет всех дебианщиков > > >Пятница, 13 октября 2017, 17:45 +03:00 от Dmitriy Kovalkov > >: > > > >Не, хрень говорю вероятно :( > > > >--- > >Respectfully, Dmitrii Kovalkov > >FASTVPS technical department > > > >13 октября 2017 г., 17:41 пользователь Dmitriy Kovalkov < kovalkov на fastvps.ru > написал: > >>Попробуйте выполнить > >> > >>openssl ciphers -v | awk '{print $2}' | sort | uniq > >> > >>и посмотреть, в самом openssl какие у Вас TLS есть. > >> > >>--- > >>Respectfully, Dmitrii Kovalkov > >>FASTVPS technical department > >> > >>13 октября 2017 г., 17:31 пользователь kpoxa < kpoxa на kpoxa.net > написал: > >>>В debian проблемы нет. У меня не воспроизводится с указанными настройками > >>>ssl. Проверял на 8 и на 9 релизах дебиана.>>> > >>>13 октября 2017 г., 13:50 пользователь Gena Makhomed < gmm на csdoc.com > написал: > >>>>On 13.10.2017 13:07, Максим Баштовой wrote: > >>>>>>>почему-то NGINX упорно хочет работать исключительно по TLSv1.2 > >>>>>>>протоколу, отвергая остальные>>>>>> > >>>>>>Если взять дистрибутив nginx с официального сайта > >>>>>>http://nginx.org/en/linux_packages.html#mainline > >>>>>>проблема воспроизводится? > >>>>> > >>>>>Установил с официального репозитория > >>>>> > >>>>>nginx version: nginx/1.13.6 > >>>>>built by gcc 6.3.0 20170516 (Debian 6.3.0-18) > >>>>>built with OpenSSL 1.1.0f 25 May 2017 > >>>>> > >>>>>Конфиг тот же, опять только TLSv1.2 > >>>> > >>>>Ясно. Значит проблема в Debian, > >>>> > >>>>https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html > >>>> > >>>>рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют. > >>>> > >>>>Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx > >>>>из исходников, используя OpenSSL библиотеку с https://www.openssl.org/ > >>> > >>>_______________________________________________ > >>>nginx-ru mailing list > >>>nginx-ru на nginx.org > >>>http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > >_______________________________________________ > >nginx-ru mailing list > >nginx-ru на nginx.org > >http://mailman.nginx.org/mailman/listinfo/nginx-ru > > С уважением, > Максим Баштовой > www.sho0ter.com > mail на sho0ter.com From mail на sho0ter.com Sun Oct 15 22:00:00 2017 From: mail на sho0ter.com (=?UTF-8?B?0JzQsNC60YHQuNC8INCR0LDRiNGC0L7QstC+0Lk=?=) Date: Mon, 16 Oct 2017 01:00:00 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <8928930.d9d9lqqPFB@cybernote> References: <1506592790.64271139@f451.i.mail.ru> <1507918282.560435863@f500.i.mail.ru> <8928930.d9d9lqqPFB@cybernote> Message-ID: <1508104800.402982831@f357.i.mail.ru> С дебианом всегда выбор: либо стабильная ветка либо актуальные пакеты (не учитывая варианта добавлять отдельные репозитории) Постоянно работал с unstable веткой дебиана и проблем особых не возникало, это, пожалуй, единственная за последний год на моей памяти Собсно, проблему решил добавлением файла /etc/apt/preferences.d/ssl С содержимым: Package: libssl1.1 Pin: release o=Debian,a=stable Pin-Priority: 900 А затем: # apt update # apt install --reinstall libssl1.1 >Воскресенье, 15 октября 2017, 14:10 +03:00 от Иван : > >Здравствуйте! > >Не пугайте народ, пожалуйста! Не всех, а только тех, кто по какой-то странной >причине юзает в продакшене debian unstable. _Всех_ дебианщиков это изменение >затронет не раньше конца поддержки stretch, а именно: >approx. 2020 (full) / approx. 2022 (LTS) ( https://wiki.debian.org/ >DebianReleases) >, > >И тут я полностью согласен с автором данного изменения, а именно в части >> OpenSSL made a release 5 years ago that supported TLS 1.2. The >> current support of the server side seems to be around 90%. I hope >> that by the time Buster releases the support for TLS 1.2 will be >> high enough that I don't need to enable them again. > >С уважением, Иван Прокудин. > >P.S. Хотите экспериментов в продакшене - ставьте gentoo :-D > >В письме от пятница, 13 октября 2017 г. 21:11:22 MSK пользователь Максим >Баштовой написал: >> $ openssl ciphers -v | awk '{print $2}' | sort | uniq >> SSLv3 >> TLSv1 >> TLSv1.2 >> Таки да, сижу на ветке unstable >> Получается, скоро такое ждет всех дебианщиков >> >> >Пятница, 13 октября 2017, 17:45 +03:00 от Dmitriy Kovalkov >> >< kovalkov на fastvps.ru >: >> > >> >Не, хрень говорю вероятно :( >> > >> >--- >> >Respectfully, Dmitrii Kovalkov >> >FASTVPS technical department >> > >> >13 октября 2017 г., 17:41 пользователь Dmitriy Kovalkov < >kovalkov на fastvps.ru > написал: >> >>Попробуйте выполнить >> >> >> >>openssl ciphers -v | awk '{print $2}' | sort | uniq >> >> >> >>и посмотреть, в самом openssl какие у Вас TLS есть. >> >> >> >>--- >> >>Respectfully, Dmitrii Kovalkov >> >>FASTVPS technical department >> >> >> >>13 октября 2017 г., 17:31 пользователь kpoxa < kpoxa на kpoxa.net > написал: >> >>>В debian проблемы нет. У меня не воспроизводится с указанными настройками >> >>>ssl. Проверял на 8 и на 9 релизах дебиана.>>> >> >>>13 октября 2017 г., 13:50 пользователь Gena Makhomed < gmm на csdoc.com > >написал: >> >>>>On 13.10.2017 13:07, Максим Баштовой wrote: >> >>>>>>>почему-то NGINX упорно хочет работать исключительно по TLSv1.2 >> >>>>>>>протоколу, отвергая остальные>>>>>> >> >>>>>>Если взять дистрибутив nginx с официального сайта >> >>>>>> http://nginx.org/en/linux_packages.html#mainline >> >>>>>>проблема воспроизводится? >> >>>>> >> >>>>>Установил с официального репозитория >> >>>>> >> >>>>>nginx version: nginx/1.13.6 >> >>>>>built by gcc 6.3.0 20170516 (Debian 6.3.0-18) >> >>>>>built with OpenSSL 1.1.0f 25 May 2017 >> >>>>> >> >>>>>Конфиг тот же, опять только TLSv1.2 >> >>>> >> >>>>Ясно. Значит проблема в Debian, >> >>>> >> >>>> https://lists.debian.org/debian-devel-announce/2017/08/msg00004.html >> >>>> >> >>>>рекомендую перейти на CentOS 7.4 - там такие глюки отсутствуют. >> >>>> >> >>>>Если же хочется "в гамаке и стоя", тогда придется пересобирать nginx >> >>>>из исходников, используя OpenSSL библиотеку с https://www.openssl.org/ >> >>> >> >>>_______________________________________________ >> >>>nginx-ru mailing list >> >>> nginx-ru на nginx.org >> >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > >> >_______________________________________________ >> >nginx-ru mailing list >> > nginx-ru на nginx.org >> > http://mailman.nginx.org/mailman/listinfo/nginx-ru >> >> С уважением, >> Максим Баштовой >> www.sho0ter.com >> mail на sho0ter.com > >_______________________________________________ >nginx-ru mailing list >nginx-ru на nginx.org >http://mailman.nginx.org/mailman/listinfo/nginx-ru С уважением, Максим Баштовой www.sho0ter.com mail на sho0ter.com ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From mail на sho0ter.com Sun Oct 15 22:10:24 2017 From: mail на sho0ter.com (=?UTF-8?B?0JzQsNC60YHQuNC8INCR0LDRiNGC0L7QstC+0Lk=?=) Date: Mon, 16 Oct 2017 01:10:24 +0300 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0LvQtdC80LAg0YEg0L/QvtC00LTQtdGA0LbQutC+0Lkg0YE=?= =?UTF-8?B?0YLQsNGA0YvRhSDQv9GA0L7RgtC+0LrQvtC70L7QsiDQv9C+0YHQu9C1INC+?= =?UTF-8?B?0LHQvdC+0LLQu9C10L3QuNGP?= In-Reply-To: <1508104800.402982831@f357.i.mail.ru> References: <1506592790.64271139@f451.i.mail.ru> <8928930.d9d9lqqPFB@cybernote> <1508104800.402982831@f357.i.mail.ru> Message-ID: <1508105424.200520147@f56.i.mail.ru> >Понедельник, 16 октября 2017, 1:00 +03:00 от Максим Баштовой : > >С дебианом всегда выбор: либо стабильная ветка либо актуальные пакеты (не учитывая варианта добавлять отдельные репозитории) > >Постоянно работал с unstable веткой дебиана и проблем особых не возникало, это, пожалуй, единственная за последний год на моей памяти > >Собсно, проблему решил добавлением файла >/etc/apt/preferences.d/ssl > >С содержимым: > >Package: libssl1.1 >Pin: release o=Debian,a=stable >Pin-Priority: 900 >А затем: ># apt update ># apt install --reinstall libssl1.1 Сделаю поправку: # apt update # apt showpkg libssl1.1 смотрим какая версия в стабльной ветке, затем # apt install --reinstall libssl1.1= затем на всякий случай # apt install --reinstall libssl1.1 С уважением, Максим Баштовой www.sho0ter.com mail на sho0ter.com ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Mon Oct 16 09:12:46 2017 From: nginx-forum на forum.nginx.org (emejibka) Date: Mon, 16 Oct 2017 05:12:46 -0400 Subject: =?UTF-8?B?UmU6INCe0YjQuNCx0LrQsCDQv9GA0Lgg0LjRgdC/0L7Qu9GM0LfQvtCy0LDQvdC4?= =?UTF-8?B?0LggUmV2ZXJzZSBwcm94eSDQuCBzc2w=?= In-Reply-To: References: Message-ID: Спасибо, разобрался. На конечном сервере обновили gitlab и в нём отключили поддержку старых версий tsl, а на реверс прокси новые версии не поддерживает. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276828,276886#msg-276886 From mdounin на mdounin.ru Tue Oct 17 13:35:09 2017 From: mdounin на mdounin.ru (Maxim Dounin) Date: Tue, 17 Oct 2017 16:35:09 +0300 Subject: nginx-1.12.2 Message-ID: <20171017133509.GC26836@mdounin.ru> Изменения в nginx 1.12.2 17.10.2017 *) Исправление: клиентские SSL-соединения сразу закрывались, если использовался отложенный accept и параметр proxy_protocol директивы listen. *) Исправление: клиентские соединения могли сбрасываться при тестировании конфигурации, если использовался параметр reuseport директивы listen на Linux. *) Исправление: на 32-битных платформах при запросе более 4 гигабайт с помощью нескольких диапазонов возвращалась некорректная длина ответа. *) Исправление: при использовании директивы ssl_preread в модуле stream не работало переключение на следующий бэкенд. *) Исправление: при использовании HTTP/2 тело запроса могло быть повреждено. *) Исправление: в обработке адресов клиентов при использовании unix domain сокетов. -- Maxim Dounin http://nginx.org/ From nginx-forum на forum.nginx.org Wed Oct 18 22:28:19 2017 From: nginx-forum на forum.nginx.org (S.A.N) Date: Wed, 18 Oct 2017 18:28:19 -0400 Subject: gzip filter failed to use preallocated memory Message-ID: <7c7b5f6d166e1e5cdb27108f57a07a37.NginxMailingListRussian@forum.nginx.org> Здравствуйте. Мы начали использовать OS ClearLinux for Intel® Architecture, (отличная производительность) Все работает хорошо, но в логах Nginx мы постоянно видим [alert] 31591#31591: *1 gzip filter failed to use preallocated memory: 65536 of 16368 Таких записей очень много, не смотря на их уровень важности [alert] все работает нормально и Nginx отдает правильно упакованые gzip ответы. Я так понимаю, Nginx просто сообщает что у нас не стандартная gzip библиотека, но зачем [alert] и зачем так засорять лог, может стоит адаптировать код Nginx для работы с такими gzip библиотеками, или может мы можем скомпилить Nginx с спец опцией? Спасибо. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276955,276955#msg-276955 From igor на sysoev.ru Fri Oct 20 07:42:39 2017 From: igor на sysoev.ru (Igor Sysoev) Date: Fri, 20 Oct 2017 10:42:39 +0300 Subject: unit-0.2 beta release Message-ID: http://unit.nginx.org Changes with Unit 0.2 19 Oct 2017 *) Feature: Go package improvements. *) Feature: configuration persistence. *) Feature: improved handling of configuration errors. *) Feature: application "timeout" property. *) Bugfix: Go application crashed under load. *) Bugfix: POST request for PHP were handled incorrectly. *) Bugfix: the router exited abnormally if all listeners had been deleted. *) Bugfix: the router crashed under load. *) Bugfix: memory leak in the router. -- Igor Sysoev http://nginx.com From swood на fotofor.biz Fri Oct 20 08:27:33 2017 From: swood на fotofor.biz (Anton Kiryushkin) Date: Fri, 20 Oct 2017 11:27:33 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: Простите за мою не понятливость. Но где в unit задается путь до php.ini? Используется сугубо тот, что был при сборке, или же можно как-то указать тот, с которым нужно запуститься? 2017-10-20 10:42 GMT+03:00 Igor Sysoev : > http://unit.nginx.org > > Changes with Unit 0.2 19 Oct > 2017 > > *) Feature: Go package improvements. > > *) Feature: configuration persistence. > > *) Feature: improved handling of configuration errors. > > *) Feature: application "timeout" property. > > *) Bugfix: Go application crashed under load. > > *) Bugfix: POST request for PHP were handled incorrectly. > > *) Bugfix: the router exited abnormally if all listeners had been > deleted. > > *) Bugfix: the router crashed under load. > > *) Bugfix: memory leak in the router. > > > -- > Igor Sysoev > http://nginx.com > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Best regards, Anton Kiryushkin -------------- next part -------------- An HTML attachment was scrubbed... URL: From uncleandyv на gmail.com Fri Oct 20 08:45:34 2017 From: uncleandyv на gmail.com (Andrey Velikoredchanin) Date: Fri, 20 Oct 2017 11:45:34 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: Очень интересная штука! Обязательно будем пробовать. 20 октября 2017 г., 11:27 пользователь Anton Kiryushkin написал: > Простите за мою не понятливость. Но где в unit задается путь до php.ini? > Используется сугубо тот, что был при сборке, или же можно как-то указать > тот, с которым нужно запуститься? > > 2017-10-20 10:42 GMT+03:00 Igor Sysoev : > >> http://unit.nginx.org >> >> Changes with Unit 0.2 19 Oct >> 2017 >> >> *) Feature: Go package improvements. >> >> *) Feature: configuration persistence. >> >> *) Feature: improved handling of configuration errors. >> >> *) Feature: application "timeout" property. >> >> *) Bugfix: Go application crashed under load. >> >> *) Bugfix: POST request for PHP were handled incorrectly. >> >> *) Bugfix: the router exited abnormally if all listeners had been >> deleted. >> >> *) Bugfix: the router crashed under load. >> >> *) Bugfix: memory leak in the router. >> >> >> -- >> Igor Sysoev >> http://nginx.com >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > > > -- > Best regards, > Anton Kiryushkin > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From chipitsine на gmail.com Fri Oct 20 13:00:53 2017 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Fri, 20 Oct 2017 18:00:53 +0500 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: 20 октября 2017 г., 13:45 пользователь Andrey Velikoredchanin < uncleandyv на gmail.com> написал: > Очень интересная штука! Обязательно будем пробовать. > можно поподробнее, чем именно интересна ? возможность запускать php или go - есть, всякие там php-fpm, caddy, ... понятно, что, скорее всего на unit тоже будет работать. а в чем преимущество, в двух словах? > > 20 октября 2017 г., 11:27 пользователь Anton Kiryushkin > написал: > > Простите за мою не понятливость. Но где в unit задается путь до php.ini? >> Используется сугубо тот, что был при сборке, или же можно как-то указать >> тот, с которым нужно запуститься? >> >> 2017-10-20 10:42 GMT+03:00 Igor Sysoev : >> >>> http://unit.nginx.org >>> >>> Changes with Unit 0.2 19 Oct >>> 2017 >>> >>> *) Feature: Go package improvements. >>> >>> *) Feature: configuration persistence. >>> >>> *) Feature: improved handling of configuration errors. >>> >>> *) Feature: application "timeout" property. >>> >>> *) Bugfix: Go application crashed under load. >>> >>> *) Bugfix: POST request for PHP were handled incorrectly. >>> >>> *) Bugfix: the router exited abnormally if all listeners had been >>> deleted. >>> >>> *) Bugfix: the router crashed under load. >>> >>> *) Bugfix: memory leak in the router. >>> >>> >>> -- >>> Igor Sysoev >>> http://nginx.com >>> >>> _______________________________________________ >>> nginx-ru mailing list >>> nginx-ru на nginx.org >>> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> >> >> >> >> -- >> Best regards, >> Anton Kiryushkin >> >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From kulmaks на gmail.com Fri Oct 20 13:29:57 2017 From: kulmaks на gmail.com (Maksim Kulik) Date: Fri, 20 Oct 2017 16:29:57 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: Экономия ресурсов, например. Возьмем виртуальный хостинг, на котором установлено 5 версий PHP. Для каждой версии должен быть master-процесс php-fpm, который, как минимум, кушает память, сокет и т.д. В идеале его еще и мониторить надо на предмет доступности. Добавим сюда возможность изменения конфигурации "на лету" без перезапуска рабочих процессов (на случай перевода одного из 500 сайтов на другую версию PHP) - и мы получим очень удобную замену нынешним костылям по крайней мере для хостеров. 20 октября 2017 г., 16:00 пользователь Илья Шипицин написал: > > > 20 октября 2017 г., 13:45 пользователь Andrey Velikoredchanin < > uncleandyv на gmail.com> написал: > >> Очень интересная штука! Обязательно будем пробовать. >> > > можно поподробнее, чем именно интересна ? > возможность запускать php или go - есть, всякие там php-fpm, caddy, ... > > понятно, что, скорее всего на unit тоже будет работать. а в чем > преимущество, в двух словах? > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From corochoone на gmail.com Fri Oct 20 13:36:23 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 16:36:23 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: >> Экономия ресурсов, например. Возьмем виртуальный хостинг, на котором установлено 5 версий PHP. Для каждой версии должен быть master-процесс php-fpm, который, как минимум, кушает память, сокет и т.д. На виртуальном хостинге для КАЖДОГО клиента должен быть запущен ОТДЕЛЬНЫЙ php-fpm процесс, иначе это не безопасность будет а решето! А раз отдельный php-fpm процесс со своим userid то и не важно какой версии PHP он будет - всё-равно его запускать придётся. Так что если используется php-fpm то никакой экономии ресурсов не будет 20 октября 2017 г., 16:29 пользователь Maksim Kulik написал: > Экономия ресурсов, например. Возьмем виртуальный хостинг, на котором > установлено 5 версий PHP. Для каждой версии должен быть master-процесс > php-fpm, который, как минимум, кушает память, сокет и т.д. В идеале его еще > и мониторить надо на предмет доступности. Добавим сюда возможность > изменения конфигурации "на лету" без перезапуска рабочих процессов (на > случай перевода одного из 500 сайтов на другую версию PHP) - и мы получим > очень удобную замену нынешним костылям по крайней мере для хостеров. > > 20 октября 2017 г., 16:00 пользователь Илья Шипицин > написал: > >> >> >> 20 октября 2017 г., 13:45 пользователь Andrey Velikoredchanin < >> uncleandyv на gmail.com> написал: >> >>> Очень интересная штука! Обязательно будем пробовать. >>> >> >> можно поподробнее, чем именно интересна ? >> возможность запускать php или go - есть, всякие там php-fpm, caddy, ... >> >> понятно, что, скорее всего на unit тоже будет работать. а в чем >> преимущество, в двух словах? >> >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From kulmaks на gmail.com Fri Oct 20 13:42:54 2017 From: kulmaks на gmail.com (Maksim Kulik) Date: Fri, 20 Oct 2017 16:42:54 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: Так в таком случае использование unit еще выгоднее: ему не надо держать master-процесс для каждой версии php, не говоря о процессе для каждого пользователя. P.S. Может я немного отстал от актуальных знаний о PHP-FPM, но зачем под каждого пользователя запускать отдельный master-процесс? Достаточно ведь завести для конкретного пользователя свой pool (работающий от имени этого пользователя), а мастер-процесс будет всегда один. Если я ошибаюсь - скиньте, плиз, линку на почту где можно подробнее почитать об опасности запуска одного мастер-процесса для разных пользователей. 20 октября 2017 г., 16:36 пользователь Виктор Вислобоков < corochoone на gmail.com> написал: > >> Экономия ресурсов, например. Возьмем виртуальный хостинг, на котором > установлено 5 версий PHP. Для каждой версии должен быть master-процесс > php-fpm, который, как минимум, кушает память, сокет и т.д. > > На виртуальном хостинге для КАЖДОГО клиента должен быть запущен ОТДЕЛЬНЫЙ > php-fpm процесс, иначе это не безопасность будет а решето! А раз отдельный > php-fpm процесс со своим userid то и не важно какой версии PHP он будет - > всё-равно его запускать придётся. Так что если используется php-fpm то > никакой экономии ресурсов не будет > >> ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From ppb на valuehost.ru Fri Oct 20 13:46:51 2017 From: ppb на valuehost.ru (Peter B. Pokryshev) Date: Fri, 20 Oct 2017 16:46:51 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: <20171020164651.2d9f1c46d844cd2f759874d3@valuehost.ru> On Fri, 20 Oct 2017 16:29:57 +0300 Maksim Kulik wrote: > Экономия ресурсов, например. Возьмем виртуальный хостинг, на котором > установлено 5 версий PHP. Для каждой версии должен быть master-процесс > php-fpm, который, как минимум, кушает память, сокет и т.д. В идеале его еще > и мониторить надо на предмет доступности. Добавим сюда возможность > изменения конфигурации "на лету" без перезапуска рабочих процессов (на > случай перевода одного из 500 сайтов на другую версию PHP) - и мы получим > очень удобную замену нынешним костылям по крайней мере для хостеров. > Привет. Да, крутая тема, но вот что делать с апачёвым mod_rewrite хостеру... Это получается чтобы у клиента он заработал, ему надо пихнуть свои правила куда-то в панели управления, откуда эти правила хостер конвертит в правила nginx? Или я всё проспал и такой проблемы уже нет? > 20 октября 2017 г., 16:00 пользователь Илья Шипицин > написал: > > > > > > > 20 октября 2017 г., 13:45 пользователь Andrey Velikoredchanin < > > uncleandyv на gmail.com> написал: > > > >> Очень интересная штука! Обязательно будем пробовать. > >> > > > > можно поподробнее, чем именно интересна ? > > возможность запускать php или go - есть, всякие там php-fpm, caddy, ... > > > > понятно, что, скорее всего на unit тоже будет работать. а в чем > > преимущество, в двух словах? > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru на nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > -- Peter B. Pokryshev From slw на zxy.spb.ru Fri Oct 20 13:48:31 2017 From: slw на zxy.spb.ru (Slawa Olhovchenkov) Date: Fri, 20 Oct 2017 16:48:31 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: <20171020134831.GC9097@zxy.spb.ru> On Fri, Oct 20, 2017 at 04:42:54PM +0300, Maksim Kulik wrote: > Так в таком случае использование unit еще выгоднее: ему не надо держать > master-процесс для каждой версии php, не говоря о процессе для каждого > пользователя. > > P.S. Может я немного отстал от актуальных знаний о PHP-FPM, но зачем под > каждого пользователя запускать отдельный master-процесс? Достаточно ведь > завести для конкретного пользователя свой pool (работающий от имени этого > пользователя), а мастер-процесс будет всегда один. Если я ошибаюсь - > скиньте, плиз, линку на почту где можно подробнее почитать об опасности > запуска одного мастер-процесса для разных пользователей. Это достаточно самоочевидно для любого, кто немного интересуется безопасностью. Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше 20+. В общем когда приходит понимание, что программ без ошибок не бывает. Тогда доходит и мысль о том, что общий мастер-процесс на всех должен иметь возможность читать конфиг принадлежащий любому пользователю и перезапускать пул(ы) от любого пользовательского UID, а это уже есть некторая дыра, т.к. он получается должен быть рутовым. В модели отдельного мастера на пользователя он после запуска безвозвратно дропает свои привелегии и эта схема в целом меньше подвержена протечкам. From niakrisn на gmail.com Fri Oct 20 13:53:41 2017 From: niakrisn на gmail.com (=?UTF-8?B?0J3QuNC60LjRgtCwINCa0L7Qt9C70L7Qsg==?=) Date: Fri, 20 Oct 2017 16:53:41 +0300 Subject: unit-0.2 beta release In-Reply-To: <20171020134831.GC9097@zxy.spb.ru> References: <20171020134831.GC9097@zxy.spb.ru> Message-ID: 20 октября 2017 г., 16:48 пользователь Slawa Olhovchenkov написал: > > Это достаточно самоочевидно для любого, кто немного интересуется > безопасностью. > Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше 20+. > В общем когда приходит понимание, что программ без ошибок не бывает. > Тогда доходит и мысль о том, что общий мастер-процесс на всех должен > иметь возможность читать конфиг принадлежащий любому пользователю и > перезапускать пул(ы) от любого пользовательского UID, а это уже есть > некторая дыра, т.к. он получается должен быть рутовым. > В модели отдельного мастера на пользователя он после запуска > безвозвратно дропает свои привелегии и эта схема в целом меньше > подвержена протечкам. Наверное unit больше для микросервисных приложений которые уже давно пишутся на разных языках (у одного приложения могут быть сервисы написанные на разных языках), а не для массового хостинга. Если думать в этом ключе, то выгода становится очевидной. -------------- next part -------------- An HTML attachment was scrubbed... URL: From kulmaks на gmail.com Fri Oct 20 13:58:26 2017 From: kulmaks на gmail.com (Maksim Kulik) Date: Fri, 20 Oct 2017 16:58:26 +0300 Subject: unit-0.2 beta release In-Reply-To: <20171020134831.GC9097@zxy.spb.ru> References: <20171020134831.GC9097@zxy.spb.ru> Message-ID: Нуууу... в таком случае unit и писать не надо. Это ж будет один мастер-процесс, который будет работать под рутом и иметь доступ к данным вообще всех сайтов. Проблема слегка преувеличена и, если бы все были настолько параноидальными в безопасности - мы бы до сих пор не увидели систем виртуализации, т.к. во всех таких системах есть тот, кто имеет доступ ко всем виртуалкам одновременно и в нем 100% есть ошибки, которые потенциально могут позволить получить доступ к нему из виртуальной среды, ну а там уже и ко всему серверу. P.S. Я не утверждаю, что это правильный подход, но ради быстродействия/удобства/цены можно в некоторых случаях снизить планку безопасности. > Это достаточно самоочевидно для любого, кто немного интересуется > безопасностью. > Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше 20+. > В общем когда приходит понимание, что программ без ошибок не бывает. > Тогда доходит и мысль о том, что общий мастер-процесс на всех должен > иметь возможность читать конфиг принадлежащий любому пользователю и > перезапускать пул(ы) от любого пользовательского UID, а это уже есть > некторая дыра, т.к. он получается должен быть рутовым. > В модели отдельного мастера на пользователя он после запуска > безвозвратно дропает свои привелегии и эта схема в целом меньше > подвержена протечкам. > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From uncleandyv на gmail.com Fri Oct 20 14:03:26 2017 From: uncleandyv на gmail.com (Andrey Velikoredchanin) Date: Fri, 20 Oct 2017 17:03:26 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: 20 октября 2017 г., 16:00 пользователь Илья Шипицин написал: > > > 20 октября 2017 г., 13:45 пользователь Andrey Velikoredchanin < > uncleandyv на gmail.com> написал: > >> Очень интересная штука! Обязательно будем пробовать. >> > > можно поподробнее, чем именно интересна ? > Для меня unit интересен возможностью прозрачного апгрейда сайта без обрыва имеющихся коннектов. -------------- next part -------------- An HTML attachment was scrubbed... URL: From slw на zxy.spb.ru Fri Oct 20 14:07:12 2017 From: slw на zxy.spb.ru (Slawa Olhovchenkov) Date: Fri, 20 Oct 2017 17:07:12 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <20171020134831.GC9097@zxy.spb.ru> Message-ID: <20171020140712.GD9097@zxy.spb.ru> On Fri, Oct 20, 2017 at 04:58:26PM +0300, Maksim Kulik wrote: > Нуууу... в таком случае unit и писать не надо. Это ж будет один > мастер-процесс, который будет работать под рутом и иметь доступ к данным > вообще всех сайтов. Проблема слегка преувеличена и, если бы все были > настолько параноидальными в безопасности - мы бы до сих пор не увидели > систем виртуализации, т.к. во всех таких системах есть тот, кто имеет > доступ ко всем виртуалкам одновременно и в нем 100% есть ошибки, которые > потенциально могут позволить получить доступ к нему из виртуальной среды, > ну а там уже и ко всему серверу. такая проблема действительно есть и для некоторых применений требуется использование именно физически отдельных машин. примеры "вылезания" из виртулизированной машины, кстати, известны. > P.S. Я не утверждаю, что это правильный подход, но ради > быстродействия/удобства/цены можно в некоторых случаях снизить планку > безопасности. вот правильное направление мысли, но надо до конца проходить. надо именно что сравнивать удобство и цену. если у нас 20 пользователей и у каждого в пуле постоянно штук 10 процессов молотят -- то это одно. особенно если молотит там php фреймворк какой, который каждый отжирает под гиг рамы, а местеру 10 метров достаточно -- тут можно пренебречь тем, что у нас отдельный мастер что-то потребляет. а вот если их 100500, а молотят в один момент только 10 из них -- то все уже несколько иначе. удобство -- вообще отдельный вопрос. > > Это достаточно самоочевидно для любого, кто немного интересуется > > безопасностью. > > Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше 20+. > > В общем когда приходит понимание, что программ без ошибок не бывает. > > Тогда доходит и мысль о том, что общий мастер-процесс на всех должен > > иметь возможность читать конфиг принадлежащий любому пользователю и > > перезапускать пул(ы) от любого пользовательского UID, а это уже есть > > некторая дыра, т.к. он получается должен быть рутовым. > > В модели отдельного мастера на пользователя он после запуска > > безвозвратно дропает свои привелегии и эта схема в целом меньше > > подвержена протечкам. > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru на nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From pavel2000 на ngs.ru Fri Oct 20 14:10:47 2017 From: pavel2000 на ngs.ru (Pavel V.) Date: Fri, 20 Oct 2017 21:10:47 +0700 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: <4917795.20171020211047@ngs.ru> Здравствуйте, Maksim. Вы писали 20 октября 2017 г., 20:42:54: > Так в таком случае использование unit еще выгоднее: ему не надо держать > master-процесс для каждой версии php, не говоря о процессе для каждого пользователя. > Если я ошибаюсь - скиньте, плиз, линку на почту где можно подробнее почитать об опасности > запуска одного мастер-процесса для разных пользователей. Помнится мне, opcache держит кеш в shared memory, создаваемой родительским процессом, и, соответственно, общей для всех дочерних процессов - для всех пулов. Именно из-за этого мы делаем отдельный fpm instance для каждого _собственного_ проекта. Поправьте меня, если заблуждаюсь... > На виртуальном хостинге для КАЖДОГО клиента должен быть запущен ОТДЕЛЬНЫЙ > php-fpm процесс, иначе это не безопасность будет а решето! А раз отдельный > php-fpm процесс со своим userid то и не важно какой версии PHP он будет - > всё-равно его запускать придётся. Так что если используется php-fpm то никакой экономии ресурсов не будет -- С уважением, Pavel mailto:pavel2000 на ngs.ru From corochoone на gmail.com Fri Oct 20 14:13:37 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 17:13:37 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: >> Так в таком случае использование unit еще выгоднее: ему не надо держать master-процесс для каждой версии php, не говоря о процессе для каждого пользователя. Не представляю как это будет работать. Возьмём mod_php для апача - весь PHP грузится модулем в веб-сервер (а безопасность обеспечивает скажем mod_ruid, переключая userid), но в этом случае не получится загрузить в один веб-сервер несколько версий этого модуля. Или возьмём php-fpm, который сам по себе и который даёт возможность тому же nginx'у обращаться к своему сокету или порту, этих может быть до лешего версий, но тогда каждый из них является по сути самостоятельным процессом. >> Проблема слегка преувеличена и, если бы все были настолько параноидальными в безопасности - мы бы до сих пор не увидели систем виртуализации Скорее преуменьшена :) С виртуализацией несколько по-другому дело обстоит и сравнивать в данном случае некорректно. 20 октября 2017 г., 16:42 пользователь Maksim Kulik написал: > Так в таком случае использование unit еще выгоднее: ему не надо держать > master-процесс для каждой версии php, не говоря о процессе для каждого > пользователя. > > P.S. Может я немного отстал от актуальных знаний о PHP-FPM, но зачем под > каждого пользователя запускать отдельный master-процесс? Достаточно ведь > завести для конкретного пользователя свой pool (работающий от имени этого > пользователя), а мастер-процесс будет всегда один. Если я ошибаюсь - > скиньте, плиз, линку на почту где можно подробнее почитать об опасности > запуска одного мастер-процесса для разных пользователей. > > 20 октября 2017 г., 16:36 пользователь Виктор Вислобоков < > corochoone на gmail.com> написал: > >> >> Экономия ресурсов, например. Возьмем виртуальный хостинг, на котором >> установлено 5 версий PHP. Для каждой версии должен быть master-процесс >> php-fpm, который, как минимум, кушает память, сокет и т.д. >> >> На виртуальном хостинге для КАЖДОГО клиента должен быть запущен ОТДЕЛЬНЫЙ >> php-fpm процесс, иначе это не безопасность будет а решето! А раз отдельный >> php-fpm процесс со своим userid то и не важно какой версии PHP он будет - >> всё-равно его запускать придётся. Так что если используется php-fpm то >> никакой экономии ресурсов не будет >> >>> > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From slw на zxy.spb.ru Fri Oct 20 14:21:01 2017 From: slw на zxy.spb.ru (Slawa Olhovchenkov) Date: Fri, 20 Oct 2017 17:21:01 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: <20171020142101.GE9097@zxy.spb.ru> On Fri, Oct 20, 2017 at 05:13:37PM +0300, Виктор Вислобоков wrote: > >> Так в таком случае использование unit еще выгоднее: ему не надо держать > master-процесс для каждой версии php, не говоря о процессе для каждого > пользователя. > Не представляю как это будет работать. > Возьмём mod_php для апача - весь PHP грузится модулем в веб-сервер (а > безопасность обеспечивает скажем mod_ruid, переключая userid), но в этом > случае не получится загрузить в один веб-сервер несколько версий этого > модуля. на самом деле загрузить-то получится (наверное, не проверял), а вот активировать нужный для конкретно URL может быть проблемой. впрочем, возможно проблему решит правка сырцов для замены директив php_* на phpXY_*. в любом случае, nginx unit не решает проблему с pear и pecl, например, в случае php (и я не смотрел как он решает проблему с собственно php разных версий). From vbart на nginx.com Fri Oct 20 14:25:06 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 20 Oct 2017 17:25:06 +0300 Subject: unit-0.2 beta release In-Reply-To: <20171020134831.GC9097@zxy.spb.ru> References: <20171020134831.GC9097@zxy.spb.ru> Message-ID: <13353024.6dfavkLYYZ@vbart-workstation> On Friday 20 October 2017 16:48:31 Slawa Olhovchenkov wrote: > On Fri, Oct 20, 2017 at 04:42:54PM +0300, Maksim Kulik wrote: > > > Так в таком случае использование unit еще выгоднее: ему не надо держать > > master-процесс для каждой версии php, не говоря о процессе для каждого > > пользователя. > > > > P.S. Может я немного отстал от актуальных знаний о PHP-FPM, но зачем под > > каждого пользователя запускать отдельный master-процесс? Достаточно ведь > > завести для конкретного пользователя свой pool (работающий от имени этого > > пользователя), а мастер-процесс будет всегда один. Если я ошибаюсь - > > скиньте, плиз, линку на почту где можно подробнее почитать об опасности > > запуска одного мастер-процесса для разных пользователей. > > Это достаточно самоочевидно для любого, кто немного интересуется > безопасностью. > Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше 20+. > В общем когда приходит понимание, что программ без ошибок не бывает. > Тогда доходит и мысль о том, что общий мастер-процесс на всех должен > иметь возможность читать конфиг принадлежащий любому пользователю и > перезапускать пул(ы) от любого пользовательского UID, а это уже есть > некторая дыра, т.к. он получается должен быть рутовым. > В модели отдельного мастера на пользователя он после запуска > безвозвратно дропает свои привелегии и эта схема в целом меньше > подвержена протечкам. [..] Основной процесс Unit-а, который работает от рута, не читает конфигов и не взаимодействует с пользователями и их приложениями. Каждое приложение со своей конфигурацией полностью изолировано. Точно также, как были бы изолированы отдельные процессы php-fpm, запущенные независимо друг от друга на одной машине. -- Валентин Бартенев From corochoone на gmail.com Fri Oct 20 14:25:43 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 17:25:43 +0300 Subject: unit-0.2 beta release In-Reply-To: <20171020142101.GE9097@zxy.spb.ru> References: <20171020142101.GE9097@zxy.spb.ru> Message-ID: >> на самом деле загрузить-то получится (наверное, не проверял), не получится. ибо даже разные версии PHP используют одно и тоже пространство имён функций и таблиц символов. >> впрочем, возможно проблему решит правка сырцов для замены директив Крайне в этом сомневаюсь. Если бы это было так просто, давно бы уже были решения на эту тему, а их нет. Когда нужны разные версии в режиме mod_php просто запускаешь второй сервер apache (здесь же) с другим модулем mod_php 20 октября 2017 г., 17:21 пользователь Slawa Olhovchenkov написал: > On Fri, Oct 20, 2017 at 05:13:37PM +0300, Виктор Вислобоков wrote: > > > >> Так в таком случае использование unit еще выгоднее: ему не надо > держать > > master-процесс для каждой версии php, не говоря о процессе для каждого > > пользователя. > > Не представляю как это будет работать. > > Возьмём mod_php для апача - весь PHP грузится модулем в веб-сервер (а > > безопасность обеспечивает скажем mod_ruid, переключая userid), но в этом > > случае не получится загрузить в один веб-сервер несколько версий этого > > модуля. > > на самом деле загрузить-то получится (наверное, не проверял), а вот > активировать нужный для конкретно URL может быть проблемой. > > впрочем, возможно проблему решит правка сырцов для замены директив > php_* на phpXY_*. > > в любом случае, nginx unit не решает проблему с pear и pecl, например, в > случае php (и я не смотрел как он решает проблему с собственно php > разных версий). > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From corochoone на gmail.com Fri Oct 20 14:27:30 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 17:27:30 +0300 Subject: unit-0.2 beta release In-Reply-To: <13353024.6dfavkLYYZ@vbart-workstation> References: <20171020134831.GC9097@zxy.spb.ru> <13353024.6dfavkLYYZ@vbart-workstation> Message-ID: >> Каждое приложение со своей конфигурацией полностью изолировано. Точно также, как были бы изолированы отдельные процессы php-fpm, запущенные независимо друг от друга на одной машине. Тогда я пока не вижу никакой выгоды от unit'а в сравнении со связкой nginx+php-fpm. 20 октября 2017 г., 17:25 пользователь Валентин Бартенев написал: > On Friday 20 October 2017 16:48:31 Slawa Olhovchenkov wrote: > > On Fri, Oct 20, 2017 at 04:42:54PM +0300, Maksim Kulik wrote: > > > > > Так в таком случае использование unit еще выгоднее: ему не надо держать > > > master-процесс для каждой версии php, не говоря о процессе для каждого > > > пользователя. > > > > > > P.S. Может я немного отстал от актуальных знаний о PHP-FPM, но зачем > под > > > каждого пользователя запускать отдельный master-процесс? Достаточно > ведь > > > завести для конкретного пользователя свой pool (работающий от имени > этого > > > пользователя), а мастер-процесс будет всегда один. Если я ошибаюсь - > > > скиньте, плиз, линку на почту где можно подробнее почитать об опасности > > > запуска одного мастер-процесса для разных пользователей. > > > > Это достаточно самоочевидно для любого, кто немного интересуется > > безопасностью. > > Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше > 20+. > > В общем когда приходит понимание, что программ без ошибок не бывает. > > Тогда доходит и мысль о том, что общий мастер-процесс на всех должен > > иметь возможность читать конфиг принадлежащий любому пользователю и > > перезапускать пул(ы) от любого пользовательского UID, а это уже есть > > некторая дыра, т.к. он получается должен быть рутовым. > > В модели отдельного мастера на пользователя он после запуска > > безвозвратно дропает свои привелегии и эта схема в целом меньше > > подвержена протечкам. > [..] > > Основной процесс Unit-а, который работает от рута, не читает конфигов > и не взаимодействует с пользователями и их приложениями. > > Каждое приложение со своей конфигурацией полностью изолировано. Точно > также, > как были бы изолированы отдельные процессы php-fpm, запущенные независимо > друг > от друга на одной машине. > > -- > Валентин Бартенев > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From igor на sysoev.ru Fri Oct 20 14:29:15 2017 From: igor на sysoev.ru (Igor Sysoev) Date: Fri, 20 Oct 2017 17:29:15 +0300 Subject: unit-0.2 beta release In-Reply-To: <20171020142101.GE9097@zxy.spb.ru> References: <20171020142101.GE9097@zxy.spb.ru> Message-ID: <44484BBE-3048-4CC9-B711-876DCB0B1B73@sysoev.ru> > On 20 Oct 2017, at 17:21, Slawa Olhovchenkov wrote: > > On Fri, Oct 20, 2017 at 05:13:37PM +0300, Виктор Вислобоков wrote: > >>>> Так в таком случае использование unit еще выгоднее: ему не надо держать >> master-процесс для каждой версии php, не говоря о процессе для каждого >> пользователя. >> Не представляю как это будет работать. >> Возьмём mod_php для апача - весь PHP грузится модулем в веб-сервер (а >> безопасность обеспечивает скажем mod_ruid, переключая userid), но в этом >> случае не получится загрузить в один веб-сервер несколько версий этого >> модуля. > > на самом деле загрузить-то получится (наверное, не проверял), а вот > активировать нужный для конкретно URL может быть проблемой. > > впрочем, возможно проблему решит правка сырцов для замены директив > php_* на phpXY_*. > > в любом случае, nginx unit не решает проблему с pear и pecl, например, в > случае php (и я не смотрел как он решает проблему с собственно php > разных версий). В unit главный процесс сначала форкается, а потом динамически подгружает нужный модуль, который слинкован с соответствующей версией php/python. Поэтому можно одновременно запускать разные версии языков. -- Igor Sysoev http://nginx.com From chipitsine на gmail.com Fri Oct 20 14:30:46 2017 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Fri, 20 Oct 2017 19:30:46 +0500 Subject: unit-0.2 beta release In-Reply-To: <13353024.6dfavkLYYZ@vbart-workstation> References: <20171020134831.GC9097@zxy.spb.ru> <13353024.6dfavkLYYZ@vbart-workstation> Message-ID: Валентин, посмотрите вот эти штуки ? # grep '(warning' typescript [src/nxt_file_cache.c:290] -> [src/nxt_file_cache.c:302]: (warning) Either the condition 'handler==NULL' is redundant or there is possible null pointer dereference: handler. [src/nxt_port_socket.c:498] -> [src/nxt_port_socket.c:505]: (warning) Either the condition 'b==NULL' is redundant or there is possible null pointer dereference: b. и, кажется, не работают тесты при "make tests" (вот это прямо напрашивается в travis) я хотел этим заняться, завал, к сожалению еще на пару месяцев 20 октября 2017 г., 19:25 пользователь Валентин Бартенев написал: > On Friday 20 October 2017 16:48:31 Slawa Olhovchenkov wrote: > > On Fri, Oct 20, 2017 at 04:42:54PM +0300, Maksim Kulik wrote: > > > > > Так в таком случае использование unit еще выгоднее: ему не надо держать > > > master-процесс для каждой версии php, не говоря о процессе для каждого > > > пользователя. > > > > > > P.S. Может я немного отстал от актуальных знаний о PHP-FPM, но зачем > под > > > каждого пользователя запускать отдельный master-процесс? Достаточно > ведь > > > завести для конкретного пользователя свой pool (работающий от имени > этого > > > пользователя), а мастер-процесс будет всегда один. Если я ошибаюсь - > > > скиньте, плиз, линку на почту где можно подробнее почитать об опасности > > > запуска одного мастер-процесса для разных пользователей. > > > > Это достаточно самоочевидно для любого, кто немного интересуется > > безопасностью. > > Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше > 20+. > > В общем когда приходит понимание, что программ без ошибок не бывает. > > Тогда доходит и мысль о том, что общий мастер-процесс на всех должен > > иметь возможность читать конфиг принадлежащий любому пользователю и > > перезапускать пул(ы) от любого пользовательского UID, а это уже есть > > некторая дыра, т.к. он получается должен быть рутовым. > > В модели отдельного мастера на пользователя он после запуска > > безвозвратно дропает свои привелегии и эта схема в целом меньше > > подвержена протечкам. > [..] > > Основной процесс Unit-а, который работает от рута, не читает конфигов > и не взаимодействует с пользователями и их приложениями. > > Каждое приложение со своей конфигурацией полностью изолировано. Точно > также, > как были бы изолированы отдельные процессы php-fpm, запущенные независимо > друг > от друга на одной машине. > > -- > Валентин Бартенев > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From vbart на nginx.com Fri Oct 20 14:32:05 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 20 Oct 2017 17:32:05 +0300 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: <1998766.geU7EtzJt3@vbart-workstation> On Friday 20 October 2017 11:27:33 Anton Kiryushkin wrote: > Простите за мою не понятливость. Но где в unit задается путь до php.ini? > Используется сугубо тот, что был при сборке, или же можно как-то указать > тот, с которым нужно запуститься? > [..] Пока используется тот, что был задан при сборке библиотеки php конкретной версии. Ближе к продакшен релизу появится возможность настраивать через конфигурацию. Есть идея отказаться от отдельных, разбросанных где-то ini-файлов, не читать их вообще, а сделать всю настройку единообразной через конфигурацию unit-а. -- Валентин Бартенев From corochoone на gmail.com Fri Oct 20 14:34:39 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 17:34:39 +0300 Subject: unit-0.2 beta release In-Reply-To: <44484BBE-3048-4CC9-B711-876DCB0B1B73@sysoev.ru> References: <20171020142101.GE9097@zxy.spb.ru> <44484BBE-3048-4CC9-B711-876DCB0B1B73@sysoev.ru> Message-ID: >> В unit главный процесс сначала форкается, а потом динамически подгружает нужный модуль, который слинкован с соответствующей версией php/python. Поэтому можно одновременно запускать разные версии языков. Эээ... не совсем понял. А вот этот "нужный модуль" это часть Unit? Если да, то каким образом достигается его линковка например с разными версиями PHP одновременно? Или это целый набор "нужных модулей" каждый под нужную нам версию PHP? Если да, то получается мы должны собрать каждый такой "нужный модуль" для каждой версии PHP которую планируем использовать? 20 октября 2017 г., 17:29 пользователь Igor Sysoev написал: > > On 20 Oct 2017, at 17:21, Slawa Olhovchenkov wrote: > > > > On Fri, Oct 20, 2017 at 05:13:37PM +0300, Виктор Вислобоков wrote: > > > >>>> Так в таком случае использование unit еще выгоднее: ему не надо > держать > >> master-процесс для каждой версии php, не говоря о процессе для каждого > >> пользователя. > >> Не представляю как это будет работать. > >> Возьмём mod_php для апача - весь PHP грузится модулем в веб-сервер (а > >> безопасность обеспечивает скажем mod_ruid, переключая userid), но в этом > >> случае не получится загрузить в один веб-сервер несколько версий этого > >> модуля. > > > > на самом деле загрузить-то получится (наверное, не проверял), а вот > > активировать нужный для конкретно URL может быть проблемой. > > > > впрочем, возможно проблему решит правка сырцов для замены директив > > php_* на phpXY_*. > > > > в любом случае, nginx unit не решает проблему с pear и pecl, например, в > > случае php (и я не смотрел как он решает проблему с собственно php > > разных версий). > > В unit главный процесс сначала форкается, а потом динамически подгружает > нужный модуль, который слинкован с соответствующей версией php/python. > Поэтому можно одновременно запускать разные версии языков. > > > -- > Igor Sysoev > http://nginx.com > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From vbart на nginx.com Fri Oct 20 14:42:59 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 20 Oct 2017 17:42:59 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <44484BBE-3048-4CC9-B711-876DCB0B1B73@sysoev.ru> Message-ID: <2022808.iyAgohj5Y4@vbart-workstation> On Friday 20 October 2017 17:34:39 Виктор Вислобоков wrote: > >> В unit главный процесс сначала форкается, а потом динамически подгружает > нужный модуль, который слинкован с соответствующей версией php/python. > Поэтому можно одновременно запускать разные версии языков. > Эээ... не совсем понял. > А вот этот "нужный модуль" это часть Unit? Если да, то каким образом > достигается его линковка например с разными версиями PHP одновременно? Или > это целый набор "нужных модулей" каждый под нужную нам версию PHP? Если да, > то получается мы должны собрать каждый такой "нужный модуль" для каждой > версии PHP которую планируем использовать? > [..] Именно так. Одна сборка php - один модуль. Модуль можно собрать, либо поставить из нашего репозитория, если вы используете стандартные пакеты с php. Если вы собираете свои пакеты с php, то просто добавляете туда сборку модуля для unit-а, и unit сам их обнаружит и подхватит. -- Валентин Бартенев From chipitsine на gmail.com Fri Oct 20 14:43:44 2017 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Fri, 20 Oct 2017 19:43:44 +0500 Subject: unit-0.2 beta release In-Reply-To: References: <20171020134831.GC9097@zxy.spb.ru> <13353024.6dfavkLYYZ@vbart-workstation> Message-ID: и вот, кажется, интересные штуки # grep '(error' typescript [src/go/unit/nxt_go_port_memory.c:52]: (error) Undefined behavior: Variable 'name' is used as parameter and destination in s[n]printf(). [src/nxt_lib.c:96]: (error) Uninitialized variable: n [src/nxt_main_process.c:398]: (error) Memory pointed to by 'start' is freed twice. [src/nxt_php_sapi.c:313]: (error) Uninitialized struct member: script_name.start [src/nxt_port_memory.c:475]: (error) Dereferencing 'mmap_handler' after it is deallocated / released 20 октября 2017 г., 19:30 пользователь Илья Шипицин написал: > Валентин, посмотрите вот эти штуки ? > > # grep '(warning' typescript > [src/nxt_file_cache.c:290] -> [src/nxt_file_cache.c:302]: (warning) Either > the condition 'handler==NULL' is redundant or there is possible null > pointer dereference: handler. > [src/nxt_port_socket.c:498] -> [src/nxt_port_socket.c:505]: (warning) > Either the condition 'b==NULL' is redundant or there is possible null > pointer dereference: b. > > > и, кажется, не работают тесты при "make tests" (вот это прямо > напрашивается в travis) > > я хотел этим заняться, завал, к сожалению еще на пару месяцев > > 20 октября 2017 г., 19:25 пользователь Валентин Бартенев > написал: > > On Friday 20 October 2017 16:48:31 Slawa Olhovchenkov wrote: >> > On Fri, Oct 20, 2017 at 04:42:54PM +0300, Maksim Kulik wrote: >> > >> > > Так в таком случае использование unit еще выгоднее: ему не надо >> держать >> > > master-процесс для каждой версии php, не говоря о процессе для каждого >> > > пользователя. >> > > >> > > P.S. Может я немного отстал от актуальных знаний о PHP-FPM, но зачем >> под >> > > каждого пользователя запускать отдельный master-процесс? Достаточно >> ведь >> > > завести для конкретного пользователя свой pool (работающий от имени >> этого >> > > пользователя), а мастер-процесс будет всегда один. Если я ошибаюсь - >> > > скиньте, плиз, линку на почту где можно подробнее почитать об >> опасности >> > > запуска одного мастер-процесса для разных пользователей. >> > >> > Это достаточно самоочевидно для любого, кто немного интересуется >> > безопасностью. >> > Ну и для програмистов эдак начиная примерно с 15+ лет опыта. Но лучше >> 20+. >> > В общем когда приходит понимание, что программ без ошибок не бывает. >> > Тогда доходит и мысль о том, что общий мастер-процесс на всех должен >> > иметь возможность читать конфиг принадлежащий любому пользователю и >> > перезапускать пул(ы) от любого пользовательского UID, а это уже есть >> > некторая дыра, т.к. он получается должен быть рутовым. >> > В модели отдельного мастера на пользователя он после запуска >> > безвозвратно дропает свои привелегии и эта схема в целом меньше >> > подвержена протечкам. >> [..] >> >> Основной процесс Unit-а, который работает от рута, не читает конфигов >> и не взаимодействует с пользователями и их приложениями. >> >> Каждое приложение со своей конфигурацией полностью изолировано. Точно >> также, >> как были бы изолированы отдельные процессы php-fpm, запущенные независимо >> друг >> от друга на одной машине. >> >> -- >> Валентин Бартенев >> _______________________________________________ >> nginx-ru mailing list >> nginx-ru на nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru >> > > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From igor на sysoev.ru Fri Oct 20 14:44:00 2017 From: igor на sysoev.ru (Igor Sysoev) Date: Fri, 20 Oct 2017 17:44:00 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <20171020142101.GE9097@zxy.spb.ru> <44484BBE-3048-4CC9-B711-876DCB0B1B73@sysoev.ru> Message-ID: <9F79D50B-A238-469C-A4F0-B4CFA7734F2C@sysoev.ru> > On 20 Oct 2017, at 17:34, Виктор Вислобоков wrote: > > >> В unit главный процесс сначала форкается, а потом динамически подгружает нужный модуль, который слинкован с соответствующей версией php/python. Поэтому можно одновременно запускать разные версии языков. > Эээ... не совсем понял. > А вот этот "нужный модуль" это часть Unit? Если да, то каким образом достигается его линковка например с разными версиями PHP одновременно? Или это целый набор "нужных модулей" каждый под нужную нам версию PHP? Если да, то получается мы должны собрать каждый такой "нужный модуль" для каждой версии PHP которую планируем использовать? Да: ./configure ./configure php --config=php53-config --module=php53 ./configure php --config=php71-config --module=php71 make В build будут собраны php53.unit.so и php71.unit.so. -- Igor Sysoev http://nginx.com From slw на zxy.spb.ru Fri Oct 20 14:44:48 2017 From: slw на zxy.spb.ru (Slawa Olhovchenkov) Date: Fri, 20 Oct 2017 17:44:48 +0300 Subject: unit-0.2 beta release In-Reply-To: <44484BBE-3048-4CC9-B711-876DCB0B1B73@sysoev.ru> References: <20171020142101.GE9097@zxy.spb.ru> <44484BBE-3048-4CC9-B711-876DCB0B1B73@sysoev.ru> Message-ID: <20171020144448.GF9097@zxy.spb.ru> On Fri, Oct 20, 2017 at 05:29:15PM +0300, Igor Sysoev wrote: > > On 20 Oct 2017, at 17:21, Slawa Olhovchenkov wrote: > > > > On Fri, Oct 20, 2017 at 05:13:37PM +0300, Виктор Вислобоков wrote: > > > >>>> Так в таком случае использование unit еще выгоднее: ему не надо держать > >> master-процесс для каждой версии php, не говоря о процессе для каждого > >> пользователя. > >> Не представляю как это будет работать. > >> Возьмём mod_php для апача - весь PHP грузится модулем в веб-сервер (а > >> безопасность обеспечивает скажем mod_ruid, переключая userid), но в этом > >> случае не получится загрузить в один веб-сервер несколько версий этого > >> модуля. > > > > на самом деле загрузить-то получится (наверное, не проверял), а вот > > активировать нужный для конкретно URL может быть проблемой. > > > > впрочем, возможно проблему решит правка сырцов для замены директив > > php_* на phpXY_*. > > > > в любом случае, nginx unit не решает проблему с pear и pecl, например, в > > случае php (и я не смотрел как он решает проблему с собственно php > > разных версий). > > В unit главный процесс сначала форкается, а потом динамически подгружает > нужный модуль, который слинкован с соответствующей версией php/python. > Поэтому можно одновременно запускать разные версии языков. тут проблема со стандартным путями получения pear/pecl слинкованными с разными версиями php. мне как-то не известны дистрибутивы, предоставляющие это из коробки. да, есть способы, позволяющие этого добиться, скажем с FreeBSD ports, но это не самоочевидно. для rpm/deb это, как я понимаю, еще менее очевидно из-за малой популярности пересборки и меньшего понимания процесса массами. я собственно об этом. From vbart на nginx.com Fri Oct 20 15:05:36 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 20 Oct 2017 18:05:36 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <13353024.6dfavkLYYZ@vbart-workstation> Message-ID: <6450015.BYiieUXT3m@vbart-workstation> On Friday 20 October 2017 17:27:30 Виктор Вислобоков wrote: > >> Каждое приложение со своей конфигурацией полностью изолировано. Точно > также, как были бы изолированы отдельные процессы php-fpm, запущенные > независимо друг от друга на одной машине. > > Тогда я пока не вижу никакой выгоды от unit'а в сравнении со связкой > nginx+php-fpm. > [..] В произвольном порядке: - Unit будет быстрее nginx+php-fpm и тратить меньше ресурсов просто за счет своей архитектуры. - Меньше движущихся частей. Unit требует меньше настройки и приседаний, чем связка nginx+php-fpm. Просто потому, что вместо нескольких компонентов с разными подходами к конфигурации, которые нужно связывать друг с другом и как-то затем мониторить, обновлять - получается один. - Если вам требуется запускать на php-fpm несколько приложений от разных пользователей, то вам либо приходится использовать его pool-ы, либо запускать отдельные независимые инстансы php-fpm. В первом случае при добавлении, удалении, изменении пользователя/приложения приходится перезапускать весь рой процессов, даже если остальная конфигурация не претерпела изменений. Это может быть очень накладно по ресурсам. Во втором случае, управлять этим всем добром гораздо сложнее. Unit не требует отдельного менеджмента, в отличии от нескольких независимых php-fpm; И во всех случаях требуются дополнительные приседания, чтобы обновить сам php или настройки приложения без потери запросов и просадки производительности. - Если завтра вам понадобится запустить ещё что-то на python, go, ruby, your language, у вас будет для этого уже знакомый и понятный инструмент. - Количество выполняемых функций будет расширяться, так что в дальнейшем Unit сможет стать не только легковесной заменой для php-fpm, но и ряда других компонентов, которые сейчас приходится использовать и настраивать в довесок. -- Валентин Бартенев From corochoone на gmail.com Fri Oct 20 15:21:35 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 18:21:35 +0300 Subject: unit-0.2 beta release In-Reply-To: <6450015.BYiieUXT3m@vbart-workstation> References: <13353024.6dfavkLYYZ@vbart-workstation> <6450015.BYiieUXT3m@vbart-workstation> Message-ID: >> Unit будет быстрее nginx+php-fpm и тратить меньше ресурсов просто за счет своей архитектуры. Очень спорное утверждение. fastCGI всегда выигрывало в споре с mod_php, так что не вижу за счёт чего. Хочу увидеть сравнительные тесты. >> Меньше движущихся частей. Unit требует меньше настройки и приседаний, чем связка nginx+php-fpm Опять же спорно. Для nginx + php-fpm требует лишь nginx из дистра и php-fpm из дистра, нет необходимости дособирать какие-то доп.модули. А конфиги для разных версий PHP всё равно будут разными. >> Если вам требуется запускать на php-fpm несколько приложений от разных пользователей, то вам либо приходится использовать его pool-ы, либо запускать отдельные независимые инстансы php-fpm. Верно, так и тут придётся дополнительный модуль к Unit собирать и подгружать. >> В первом случае при добавлении, удалении, изменении пользователя/приложения приходится перезапускать весь рой процессов, даже если остальная конфигурация не претерпела изменений. Это может быть очень накладно по ресурсам. Ничего накладного не вижу. nginx релоадится вообще прозрачно и незаметно. php-fpm тоже поддерживает reload хотя и не такой гладкий, да и перезапускать нужно будет только один нужный php-fpm >> Во втором случае, управлять этим всем добром гораздо сложнее. Unit не требует отдельного менеджмента, в отличии от нескольких независимых php-fpm; Пока я этого не увидел. Скорее наоборот - на каждую версию php-fpm нужен отдельный менеджмент Unit'а чтобы поключить соответствующий модуль. >> И во всех случаях требуются дополнительные приседания, чтобы обновить сам php или настройки приложения без потери запросов и просадки производительности. Если речь идёт о настолько критичных делах, то будет несколько апстримов, которые можно обновлять по одному без обозначенных потерь. >> Если завтра вам понадобится запустить ещё что-то на python, go, ruby, your language, у вас будет для этого уже знакомый и понятный инструмент. Вот! Наконец-то вижу сильный аргумент! Согласен. Но пока нам нужен только PHP, это неважно. >> Количество выполняемых функций будет расширяться, так что в дальнейшем Unit сможет стать не только легковесной заменой для php-fpm, но и ряда других компонентов, которые сейчас приходится использовать и настраивать в довесок. Поживём-увидим! Пока что я каких-то очевидных преимуществ, ради которых бы стоило переходить на Unit не увидел. 20 октября 2017 г., 18:05 пользователь Валентин Бартенев написал: > On Friday 20 October 2017 17:27:30 Виктор Вислобоков wrote: > > >> Каждое приложение со своей конфигурацией полностью изолировано. Точно > > также, как были бы изолированы отдельные процессы php-fpm, запущенные > > независимо друг от друга на одной машине. > > > > Тогда я пока не вижу никакой выгоды от unit'а в сравнении со связкой > > nginx+php-fpm. > > > [..] > > В произвольном порядке: > > - Unit будет быстрее nginx+php-fpm и тратить меньше ресурсов просто за > счет своей архитектуры. > > - Меньше движущихся частей. Unit требует меньше настройки и приседаний, > чем > связка nginx+php-fpm. Просто потому, что вместо нескольких компонентов > с разными подходами к конфигурации, которые нужно связывать друг с > другом > и как-то затем мониторить, обновлять - получается один. > > - Если вам требуется запускать на php-fpm несколько приложений от разных > пользователей, то вам либо приходится использовать его pool-ы, либо > запускать отдельные независимые инстансы php-fpm. > > В первом случае при добавлении, удалении, изменении > пользователя/приложения > приходится перезапускать весь рой процессов, даже если остальная > конфигурация > не претерпела изменений. Это может быть очень накладно по ресурсам. > > Во втором случае, управлять этим всем добром гораздо сложнее. Unit не > требует > отдельного менеджмента, в отличии от нескольких независимых php-fpm; > > И во всех случаях требуются дополнительные приседания, чтобы обновить > сам php > или настройки приложения без потери запросов и просадки > производительности. > > - Если завтра вам понадобится запустить ещё что-то на python, go, ruby, > your > language, у вас будет для этого уже знакомый и понятный инструмент. > > - Количество выполняемых функций будет расширяться, так что в дальнейшем > Unit > сможет стать не только легковесной заменой для php-fpm, но и ряда других > компонентов, которые сейчас приходится использовать и настраивать в > довесок. > > -- > Валентин Бартенев > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From igor на sysoev.ru Fri Oct 20 15:26:01 2017 From: igor на sysoev.ru (Igor Sysoev) Date: Fri, 20 Oct 2017 18:26:01 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <13353024.6dfavkLYYZ@vbart-workstation> <6450015.BYiieUXT3m@vbart-workstation> Message-ID: <3B6F448F-1E30-4211-A291-BC3302BA1CA4@sysoev.ru> > On 20 Oct 2017, at 18:21, Виктор Вислобоков wrote: > > Ничего накладного не вижу. nginx релоадится вообще прозрачно и незаметно. В 2002 году я тоже так думал. А вообще есть сайты с тысячами SSL-сертификатов, переконфигурованием раз в минуту и соединениями, живущими сутками, из-за которых в памяти висят тысячи воркеров. -- Igor Sysoev http://nginx.com From corochoone на gmail.com Fri Oct 20 15:29:39 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 18:29:39 +0300 Subject: unit-0.2 beta release In-Reply-To: <3B6F448F-1E30-4211-A291-BC3302BA1CA4@sysoev.ru> References: <13353024.6dfavkLYYZ@vbart-workstation> <6450015.BYiieUXT3m@vbart-workstation> <3B6F448F-1E30-4211-A291-BC3302BA1CA4@sysoev.ru> Message-ID: >> А вообще есть сайты с тысячами SSL-сертификатов, переконфигурованием раз в минуту и соединениями, живущими сутками, из-за которых в памяти висят тысячи воркеров. Согласен, как и есть проекты, которые выносят функциональность nginx на уровень ядра Linux :) Специфика проектов бывает разная, кто бы спорил, но я скорее размышляю на предмет массовости использования Unit. 20 октября 2017 г., 18:26 пользователь Igor Sysoev написал: > > On 20 Oct 2017, at 18:21, Виктор Вислобоков > wrote: > > > > Ничего накладного не вижу. nginx релоадится вообще прозрачно и незаметно. > > В 2002 году я тоже так думал. > > А вообще есть сайты с тысячами SSL-сертификатов, переконфигурованием раз > в минуту и соединениями, живущими сутками, из-за которых в памяти висят > тысячи воркеров. > > > -- > Igor Sysoev > http://nginx.com > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From vbart на nginx.com Fri Oct 20 15:56:02 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Fri, 20 Oct 2017 18:56:02 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <6450015.BYiieUXT3m@vbart-workstation> Message-ID: <2460247.lQti8vLT7E@vbart-workstation> On Friday 20 October 2017 18:21:35 Виктор Вислобоков wrote: >> Unit будет быстрее nginx+php-fpm и тратить меньше ресурсов просто за >> счет своей архитектуры. > Очень спорное утверждение. fastCGI всегда выигрывало в споре с mod_php, так > что не вижу за счёт чего. > Хочу увидеть сравнительные тесты. nginx + php-fpm возможно выигрывает у nginx + apache/mod_php, но скорее по вине сложности правильной настройки последнего под данный микробенчмарк. fastCGI даже теоретически не может обогнать встроенное решение просто потому, что нужны накладные расходы на пересылку данных. > >> Меньше движущихся частей. Unit требует меньше настройки и приседаний, >> чем связка nginx+php-fpm > Опять же спорно. Для nginx + php-fpm требует лишь nginx из дистра и php-fpm > из дистра, нет необходимости дособирать какие-то доп.модули. А конфиги для > разных версий PHP всё равно будут разными. В связке nginx+php-fpm как минимум нужно настраивать сам nginx и конфиг для него, отдельно настраивать php-fpm, соответственно конфиг для него. Вам не нужно собирать модули для Unit-а, если вы не собираетесь собирать собственных версий php. Вы также их ставите из дистрибутива. # apt-get install unit-php unit-python2.7 unit-python3.5 unit-go И они обновляются вместе с обновлением php/python в дистрибутиве. > >> Если вам требуется запускать на php-fpm несколько приложений от разных >> пользователей, то вам либо приходится использовать его pool-ы, либо >> запускать отдельные независимые инстансы php-fpm. > > Верно, так и тут придётся дополнительный модуль к Unit собирать и > подгружать. 1. Для разных пользователей используется один и тот же модуль. 2. Unit сам подгружает модули самостоятельно, для это не нужно ничего делать. 3. Собирать свой модуль нужно только в случаях, когда вы сами собираете свой php. 4. Не забывайте, что отдельный инстанс php-fpm - это ещё отдельный слушающий сокет и отдельная настройка в nginx под него. > >> В первом случае при добавлении, удалении, изменении >> пользователя/приложения приходится перезапускать весь рой процессов, даже >> если остальная конфигурация не претерпела изменений. Это может быть очень >> накладно по ресурсам. > > Ничего накладного не вижу. nginx релоадится вообще прозрачно и незаметно. > php-fpm тоже поддерживает reload хотя и не такой гладкий, да и > перезапускать нужно будет только один нужный php-fpm Насколько я знаю, перезагрузить добавить новый пул или удалить существующий, без затрагивания процессов, принадлежащих к другим пулам, в php-fpm невозможно. У некоторых бывает до 10000 пулов и бывает так, что их нужно добавлять и менять по нескольку раз в минуту. > >> Во втором случае, управлять этим всем добром гораздо сложнее. Unit не >> требует отдельного менеджмента, в отличии от нескольких независимых php-fpm; > > Пока я этого не увидел. Скорее наоборот - на каждую версию php-fpm нужен > отдельный менеджмент Unit'а чтобы поключить соответствующий модуль. > 1. Повторюсь. Модули ставятся из пакетов, также как вы ставите сам php или python. 2. Unit-модуль, в отличии от отдельной программы, не добавляет дополнительных трудозатрат на его настройку, мониторинг и запуск. $ cat unit.log [..] 2017/10/19 17:47:42 [info] 16123#16123 discovery started 2017/10/19 17:47:42 [notice] 16123#16123 module: php 5.6.31-pl0-gentoo "build/php56.unit.so" 2017/10/19 17:47:42 [notice] 16123#16123 module: php 7.0.24 "build/php70.unit.so" 2017/10/19 17:47:42 [notice] 16123#16123 module: php 7.1.10 "build/php71.unit.so" 2017/10/19 17:47:42 [notice] 16123#16123 module: python 2.7.10 "build/py27.unit.so" 2017/10/19 17:47:42 [notice] 16123#16123 module: python 3.3.5 "build/py33.unit.so" 2017/10/19 17:47:42 [notice] 16123#16123 module: python 3.4.5 "build/py34.unit.so" [..] Выше в логе видно, что Unit запустил отдельный процесс discovery и узнал о доступных к использованию модулях и версиях в данный момент времени на моей системе. >> И во всех случаях требуются дополнительные приседания, чтобы обновить >> сам php или настройки приложения без потери запросов и просадки >> производительности. > > Если речь идёт о настолько критичных делах, то будет несколько апстримов, > которые можно обновлять по одному без обозначенных потерь. > Верно, об этих приседаниях и идет речь. И вам нужно об этом позаботиться, продумать и спланировать весь процесс и нигде не ошибиться. -- Валентин Бартенев From corochoone на gmail.com Fri Oct 20 16:19:59 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 19:19:59 +0300 Subject: unit-0.2 beta release In-Reply-To: <2460247.lQti8vLT7E@vbart-workstation> References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> Message-ID: >> nginx + php-fpm возможно выигрывает у nginx + apache/mod_php, но скореепо вине сложности правильной настройки последнего под данный микробенчмарк. Не так. nginx+php-fpm НАМНОГО выигрывает у nginx+apache/mod_php, а вот nginx+apache/fastCGI просто выигрывает у mod_php, хотя и ненамного. И выигрывают они не по вине сложности правильной настройки, а потому что mod_php встраивается в апаче, но вся функциональность apache которая обслуживает весь концерт никуда не девается, а она медленная. >> fastCGI даже теоретически не может обогнать встроенное решение просто потому, что нужны накладные расходы на пересылку данных. Теоретически не знаю, а на практике обгоняет. По крайней мере на мультиюзер окружениях и это тоже понятно: ведь apache надо переключать контекст между раными userid, а fastCGI запускается отдельно для каждого юзвера. >>В связке nginx+php-fpm как минимум нужно настраивать сам nginx и конфиг для него, отдельно настраивать php-fpm, соответственно конфиг для него. Ну а тут надо будет настраивать Unit и конфиг для него, и от конфига php вы никуда не денетесь, потому как там тоже надо крутить. Без разницы в общем. >> Для разных пользователей используется один и тот же модуль. А кто переключает контект userid? Если Unit то на это будут уходить доп.ресурсы как у apache >> Насколько я знаю, перезагрузить добавить новый пул или удалить существующий, без затрагивания процессов, принадлежащих к другим пулам, в php-fpm невозможно. Да. Но там где юзер=инстанс, мы можем обойтись перезапуском инстанса юзверя >> Верно, об этих приседаниях и идет речь. И вам нужно об этом позаботиться, продумать и спланировать весь процесс и нигде не ошибиться. Для этого и придумали chef, ansible и прочее. Чтобы один раз оттестровать и не ошибиться. Дискуссию можно сворачивать, ибо спорить можно долго и наверное безрезультатно. Тем более пока Unit ещё ранняя бета. Поживём-посмотрим как будет дальше. 20 октября 2017 г., 18:56 пользователь Валентин Бартенев написал: > On Friday 20 October 2017 18:21:35 Виктор Вислобоков wrote: > >> Unit будет быстрее nginx+php-fpm и тратить меньше ресурсов просто за > >> счет своей архитектуры. > > Очень спорное утверждение. fastCGI всегда выигрывало в споре с mod_php, > так > > что не вижу за счёт чего. > > Хочу увидеть сравнительные тесты. > > nginx + php-fpm возможно выигрывает у nginx + apache/mod_php, но скорее > по вине сложности правильной настройки последнего под данный микробенчмарк. > > fastCGI даже теоретически не может обогнать встроенное решение просто > потому, > что нужны накладные расходы на пересылку данных. > > > > > >> Меньше движущихся частей. Unit требует меньше настройки и приседаний, > >> чем связка nginx+php-fpm > > Опять же спорно. Для nginx + php-fpm требует лишь nginx из дистра и > php-fpm > > из дистра, нет необходимости дособирать какие-то доп.модули. А конфиги > для > > разных версий PHP всё равно будут разными. > > В связке nginx+php-fpm как минимум нужно настраивать сам nginx и конфиг для > него, отдельно настраивать php-fpm, соответственно конфиг для него. > > Вам не нужно собирать модули для Unit-а, если вы не собираетесь собирать > собственных версий php. Вы также их ставите из дистрибутива. > > # apt-get install unit-php unit-python2.7 unit-python3.5 unit-go > > И они обновляются вместе с обновлением php/python в дистрибутиве. > > > > > >> Если вам требуется запускать на php-fpm несколько приложений от разных > >> пользователей, то вам либо приходится использовать его pool-ы, либо > >> запускать отдельные независимые инстансы php-fpm. > > > > Верно, так и тут придётся дополнительный модуль к Unit собирать и > > подгружать. > > 1. Для разных пользователей используется один и тот же модуль. > > 2. Unit сам подгружает модули самостоятельно, для это не нужно ничего > делать. > > 3. Собирать свой модуль нужно только в случаях, когда вы сами собираете > свой php. > > 4. Не забывайте, что отдельный инстанс php-fpm - это ещё отдельный > слушающий > сокет и отдельная настройка в nginx под него. > > > > > >> В первом случае при добавлении, удалении, изменении > >> пользователя/приложения приходится перезапускать весь рой процессов, > даже > >> если остальная конфигурация не претерпела изменений. Это может быть > очень > >> накладно по ресурсам. > > > > Ничего накладного не вижу. nginx релоадится вообще прозрачно и незаметно. > > php-fpm тоже поддерживает reload хотя и не такой гладкий, да и > > перезапускать нужно будет только один нужный php-fpm > > Насколько я знаю, перезагрузить добавить новый пул или удалить > существующий, > без затрагивания процессов, принадлежащих к другим пулам, в php-fpm > невозможно. > > У некоторых бывает до 10000 пулов и бывает так, что их нужно добавлять и > менять > по нескольку раз в минуту. > > > > >> Во втором случае, управлять этим всем добром гораздо сложнее. Unit не > >> требует отдельного менеджмента, в отличии от нескольких независимых > php-fpm; > > > > Пока я этого не увидел. Скорее наоборот - на каждую версию php-fpm нужен > > отдельный менеджмент Unit'а чтобы поключить соответствующий модуль. > > > > 1. Повторюсь. Модули ставятся из пакетов, также как вы ставите сам php > или python. > > 2. Unit-модуль, в отличии от отдельной программы, не добавляет > дополнительных > трудозатрат на его настройку, мониторинг и запуск. > > $ cat unit.log > [..] > 2017/10/19 17:47:42 [info] 16123#16123 discovery started > 2017/10/19 17:47:42 [notice] 16123#16123 module: php 5.6.31-pl0-gentoo > "build/php56.unit.so" > 2017/10/19 17:47:42 [notice] 16123#16123 module: php 7.0.24 "build/ > php70.unit.so" > 2017/10/19 17:47:42 [notice] 16123#16123 module: php 7.1.10 "build/ > php71.unit.so" > 2017/10/19 17:47:42 [notice] 16123#16123 module: python 2.7.10 "build/ > py27.unit.so" > 2017/10/19 17:47:42 [notice] 16123#16123 module: python 3.3.5 "build/ > py33.unit.so" > 2017/10/19 17:47:42 [notice] 16123#16123 module: python 3.4.5 "build/ > py34.unit.so" > [..] > > Выше в логе видно, что Unit запустил отдельный процесс discovery и узнал о > доступных > к использованию модулях и версиях в данный момент времени на моей системе. > > > >> И во всех случаях требуются дополнительные приседания, чтобы обновить > >> сам php или настройки приложения без потери запросов и просадки > >> производительности. > > > > Если речь идёт о настолько критичных делах, то будет несколько апстримов, > > которые можно обновлять по одному без обозначенных потерь. > > > > Верно, об этих приседаниях и идет речь. И вам нужно об этом позаботиться, > продумать и спланировать весь процесс и нигде не ошибиться. > > -- > Валентин Бартенев > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From uncleandyv на gmail.com Fri Oct 20 17:33:01 2017 From: uncleandyv на gmail.com (Andrey Velikoredchanin) Date: Fri, 20 Oct 2017 20:33:01 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> Message-ID: Кстати, а для perl предвидится реализация модуля? Он, конечно, староват, но на нем еще много чего написано и пишется. -------------- next part -------------- An HTML attachment was scrubbed... URL: From pavel2000 на ngs.ru Fri Oct 20 17:39:55 2017 From: pavel2000 на ngs.ru (Pavel V.) Date: Sat, 21 Oct 2017 00:39:55 +0700 Subject: unit-0.2 beta release In-Reply-To: References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> Message-ID: <1208761239.20171021003955@ngs.ru> Здравствуйте, Andrey. Вы писали 21 октября 2017 г., 0:33:01: > Кстати, а для perl предвидится реализация модуля? Он, конечно, староват, но > на нем еще много чего написано и пишется. Было бы интересно. -- С уважением, Pavel mailto:pavel2000 на ngs.ru From nginx-forum на forum.nginx.org Fri Oct 20 19:03:22 2017 From: nginx-forum на forum.nginx.org (S.A.N) Date: Fri, 20 Oct 2017 15:03:22 -0400 Subject: unit-0.2 beta release In-Reply-To: References: Message-ID: <87f7a340c433a4094793c456c9a43537.NginxMailingListRussian@forum.nginx.org> Я уже подымал эту тему на Github https://github.com/nginx/unit/issues/6 Будет хорошо создать здесь отдельные maillist для Unit. Я согласен с теми кто считает что Unit сложно будет конкурировать с PHP-FPM. 1. Простота в настройке и запуске разных версий РНР - это совсем не сложно, есть пакеты Remi разных РНР версий, подключаешь их все как хочешь, проблем нет, но с каждым годом потребности в РНР 5 будет все меньше, все переходят на РНР 7+. 2. Производительность, пока что говорить рано, но уже понятно что для статики и кеширование пока что нужен Nginx, значит Unit нужно проксировать, это означает дополнительный сокет рассходы, Browse -> Nginx -> Unit это тоже самое как сейчас Browse -> Nginx -> FPM, когда Unit научитися отдавать статику и кешировать ответы тогда вопрос кто будет заниматься балансировкой, сейчас это делается в Nginx указываются пулы upstream к удаленным FPM бекендам, это значит что Unit тоже придется проксировать если нужна балансировка нагрузки. Но, я вижу свободную и перспективную нишу для Unit, дело в том что PHP-FPM нужен только тем РНР скриптам которые "умирают" после каждого запроса. Мы уже три года в продакшене используюм РНР скрипты которые запускаются через PHP-cli с модулем libuv он нужен для evetloop и асинхрого I/O, на РНР написан НТТР сервер который асинхорно обрабатывает все НТТР запросы от Nginx. Это работает на 40% быстрей чем Node.js и 200% чем PHP-FPM и дает много возможностей websocket и много другое. Короче говоря в РНР нет промышленного App Server, как в Node.js, ваш Unit отличный претендент на роль True App Server для PHP, то что сейчас в Unit пулы отдельных РНР процессов которые очищают состояния скрипта после каждого запроса, это не круто, и для этого уже есть хорошее решения - PHP-FPM. Мне от Unit, нужны только три event в userland моего скрипта, причем очень правильно если бы Unit умел не только НТТР но и Websocket, вот event которые универсальны для НТТР и для Websocket, бекенд будет полностью абстрагирован от протокола клиента. onOpen - новое соединения onMessage - новое сообщения или новый запрос если это НТТР протокол onError - ошибка. onClose - коректное завершения соединения. РНР скрипт не блокироваться и Unit может вызывать эти евенты не дожидаясь ответа на предыдущий, это очень эффективно и быстро. Если вам интересно я могу детально обсуждать. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276967,277004#msg-277004 From igor на sysoev.ru Fri Oct 20 19:27:23 2017 From: igor на sysoev.ru (Igor Sysoev) Date: Fri, 20 Oct 2017 22:27:23 +0300 Subject: unit-0.2 beta release In-Reply-To: <87f7a340c433a4094793c456c9a43537.NginxMailingListRussian@forum.nginx.org> References: <87f7a340c433a4094793c456c9a43537.NginxMailingListRussian@forum.nginx.org> Message-ID: <16CA33B7-C4DF-447A-B475-5C8C1889FB4F@sysoev.ru> > On 20 Oct 2017, at 22:03, S.A.N wrote: > > Будет хорошо создать здесь отдельные maillist для Unit. http://mailman.nginx.org/mailman/listinfo/unit Но это только английский. -- Igor Sysoev http://nginx.com From slw на zxy.spb.ru Fri Oct 20 19:38:40 2017 From: slw на zxy.spb.ru (Slawa Olhovchenkov) Date: Fri, 20 Oct 2017 22:38:40 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> Message-ID: <20171020193840.GG9097@zxy.spb.ru> On Fri, Oct 20, 2017 at 07:19:59PM +0300, Виктор Вислобоков wrote: > >> nginx + php-fpm возможно выигрывает у nginx + apache/mod_php, но > скореепо вине сложности правильной настройки последнего под данный > микробенчмарк. > Не так. nginx+php-fpm НАМНОГО выигрывает у nginx+apache/mod_php, а вот > nginx+apache/fastCGI просто выигрывает у mod_php, хотя и ненамного. > И выигрывают они не по вине сложности правильной настройки, а потому что > mod_php встраивается в апаче, но вся функциональность apache которая > обслуживает весь концерт никуда не девается, а она медленная. нет. на самом деле все сильно зависит от того, что происходит на каждый запрос внутри php. вполне возможно, что разницей между mod_php и php-fpm можно просто пренебречь. From corochoone на gmail.com Fri Oct 20 19:41:41 2017 From: corochoone на gmail.com (=?UTF-8?B?0JLQuNC60YLQvtGAINCS0LjRgdC70L7QsdC+0LrQvtCy?=) Date: Fri, 20 Oct 2017 22:41:41 +0300 Subject: unit-0.2 beta release In-Reply-To: <20171020193840.GG9097@zxy.spb.ru> References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> <20171020193840.GG9097@zxy.spb.ru> Message-ID: >> нет. на самом деле все сильно зависит от того, что происходит на каждый запрос внутри php. вполне возможно, что разницей между mod_php и php-fpm можно просто пренебречь. Простите, но я же не голословно говорю. Пытались мы, не один раз пытались, крутили все ручки, делали что только можно, но php-fpm делает apache+mod_php в разы. Попробуйте сами, наберите одинаковую конфигуацию на один сайт с тем и этим и запустите нагрузочное тестирование 20 октября 2017 г., 22:38 пользователь Slawa Olhovchenkov написал: > On Fri, Oct 20, 2017 at 07:19:59PM +0300, Виктор Вислобоков wrote: > > > >> nginx + php-fpm возможно выигрывает у nginx + apache/mod_php, но > > скореепо вине сложности правильной настройки последнего под данный > > микробенчмарк. > > Не так. nginx+php-fpm НАМНОГО выигрывает у nginx+apache/mod_php, а вот > > nginx+apache/fastCGI просто выигрывает у mod_php, хотя и ненамного. > > И выигрывают они не по вине сложности правильной настройки, а потому что > > mod_php встраивается в апаче, но вся функциональность apache которая > > обслуживает весь концерт никуда не девается, а она медленная. > > нет. на самом деле все сильно зависит от того, что происходит на > каждый запрос внутри php. вполне возможно, что разницей между mod_php > и php-fpm можно просто пренебречь. > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -------------- next part -------------- An HTML attachment was scrubbed... URL: From ano на bestmx.net Fri Oct 20 19:50:12 2017 From: ano на bestmx.net (Andrey Oktyabrskiy) Date: Fri, 20 Oct 2017 22:50:12 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> Message-ID: <14ac255a-671e-99d3-088d-9cbe3a760231@bestmx.net> Andrey Velikoredchanin wrote: > Кстати, а для perl предвидится реализация модуля? Он, конечно, староват, > но на нем еще много чего написано и пишется. Я бы обобщил вопрос: насколько сложно пришить к юниту новый интерпретатор? From igor на sysoev.ru Fri Oct 20 19:58:00 2017 From: igor на sysoev.ru (Igor Sysoev) Date: Fri, 20 Oct 2017 22:58:00 +0300 Subject: unit-0.2 beta release In-Reply-To: <14ac255a-671e-99d3-088d-9cbe3a760231@bestmx.net> References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> <14ac255a-671e-99d3-088d-9cbe3a760231@bestmx.net> Message-ID: <66C363C0-1EB1-40FA-8034-4B3EA116CB10@sysoev.ru> > On 20 Oct 2017, at 22:50, Andrey Oktyabrskiy wrote: > > Andrey Velikoredchanin wrote: >> Кстати, а для perl предвидится реализация модуля? Он, конечно, староват, >> но на нем еще много чего написано и пишется. > Я бы обобщил вопрос: насколько сложно пришить к юниту новый интерпретатор? С точки зрения юнита, языки делятся на две категории: 1) встраивание языка в юнит: PHP, Python, Ruby, Perl - эти языки имеют некий стандартный интерфейс для встраивания в веб-сервер; 2) встраивание модуля юнита в приложение: Go, Node.js, Java. Первое сделать, как правило, проще. Но перл не в ближних планах, поскольку его популярность падает. -- Igor Sysoev http://nginx.com From ano на bestmx.net Fri Oct 20 20:19:13 2017 From: ano на bestmx.net (Andrey Oktyabrskiy) Date: Fri, 20 Oct 2017 23:19:13 +0300 Subject: unit-0.2 beta release In-Reply-To: <66C363C0-1EB1-40FA-8034-4B3EA116CB10@sysoev.ru> References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> <14ac255a-671e-99d3-088d-9cbe3a760231@bestmx.net> <66C363C0-1EB1-40FA-8034-4B3EA116CB10@sysoev.ru> Message-ID: Igor Sysoev wrote: > С точки зрения юнита, языки делятся на две категории: > 1) встраивание языка в юнит: PHP, Python, Ruby, Perl - эти языки имеют некий > стандартный интерфейс для встраивания в веб-сервер; > 2) встраивание модуля юнита в приложение: Go, Node.js, Java. Спасибо. Была бы очень кстати какая-то документашка для (1). Понимаю, что на данный момент это несколько преждевременно. > Первое сделать, как правило, проще. Но перл не в ближних планах, поскольку > его популярность падает. Ну меня больше что-то типа Lua интересует. From slw на zxy.spb.ru Fri Oct 20 20:26:58 2017 From: slw на zxy.spb.ru (Slawa Olhovchenkov) Date: Fri, 20 Oct 2017 23:26:58 +0300 Subject: unit-0.2 beta release In-Reply-To: References: <6450015.BYiieUXT3m@vbart-workstation> <2460247.lQti8vLT7E@vbart-workstation> <20171020193840.GG9097@zxy.spb.ru> Message-ID: <20171020202658.GH9097@zxy.spb.ru> On Fri, Oct 20, 2017 at 10:41:41PM +0300, Виктор Вислобоков wrote: > >> нет. на самом деле все сильно зависит от того, что происходит на каждый > запрос внутри php. вполне возможно, что разницей между mod_php и php-fpm > можно просто пренебречь. > Простите, но я же не голословно говорю. > Пытались мы, не один раз пытались, крутили все ручки, делали что только > можно, но php-fpm делает apache+mod_php в разы. ну пускай внутри php-fpm один запрос будет выполняться одну секунду. по вашему он в mod_php будет выполняться секунды? извЕните, но это бред. > Попробуйте сами, наберите одинаковую конфигуацию на один сайт с тем и этим > и запустите нагрузочное тестирование было бы желание, а результат можно получить любой напередзаданный: а) одинаково б) апач выигрывает в) fpm выигрывает правильный подбор сайта рулит. > 20 октября 2017 г., 22:38 пользователь Slawa Olhovchenkov > написал: > > > On Fri, Oct 20, 2017 at 07:19:59PM +0300, Виктор Вислобоков wrote: > > > > > >> nginx + php-fpm возможно выигрывает у nginx + apache/mod_php, но > > > скореепо вине сложности правильной настройки последнего под данный > > > микробенчмарк. > > > Не так. nginx+php-fpm НАМНОГО выигрывает у nginx+apache/mod_php, а вот > > > nginx+apache/fastCGI просто выигрывает у mod_php, хотя и ненамного. > > > И выигрывают они не по вине сложности правильной настройки, а потому что > > > mod_php встраивается в апаче, но вся функциональность apache которая > > > обслуживает весь концерт никуда не девается, а она медленная. > > > > нет. на самом деле все сильно зависит от того, что происходит на > > каждый запрос внутри php. вполне возможно, что разницей между mod_php > > и php-fpm можно просто пренебречь. > > > > _______________________________________________ > > nginx-ru mailing list > > nginx-ru на nginx.org > > http://mailman.nginx.org/mailman/listinfo/nginx-ru > > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx на mva.name Fri Oct 20 15:30:41 2017 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Fri, 20 Oct 2017 22:30:41 +0700 Subject: unit-0.2 beta release In-Reply-To: <6450015.BYiieUXT3m@vbart-workstation> References: <6450015.BYiieUXT3m@vbart-workstation> Message-ID: <1566475.mCQlrrKDGn@note> > - Unit будет быстрее nginx+php-fpm и тратить меньше ресурсов просто за > счет своей архитектуры. > Я что-то недопонял... Данное утверждение предполагает использование Unit без NginX перед ним?.. From nginx-forum на forum.nginx.org Sun Oct 22 12:28:30 2017 From: nginx-forum на forum.nginx.org (supermicro) Date: Sun, 22 Oct 2017 08:28:30 -0400 Subject: =?UTF-8?B?0KDQsNC30LzQtdGAINC40YHQv9C+0LvQvdGP0LXQvNC+0LPQviDRhNCw0LnQu9Cw?= =?UTF-8?B?Lg==?= Message-ID: Здравствуйте. Для решения некоторых задач мне понадобилось подключить модуль random_index. Для этого я скачала исходники той же версии, что установлена на нашем сервере (Ubuntu 16.04 LTS, версия Nginx 1.10.3, установлена при помощи apt install nginx). Посмотрела параметры с которыми скомпилирован nginx и решила заодно удалить все не используемые модули для ускорения работы (раз уже все равно компилируем из исходников). БЫЛО: ./configure --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-proxy-temp-path=/var/lib/nginx/proxy --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-debug --with-pcre-jit --with-http_ssl_module --with-http_stub_status_module --with-http_realip_module --with-http_auth_request_module --with-http_addition_module --with-http_dav_module --with-http_geoip_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module --with-http_v2_module --with-http_sub_module --with-http_xslt_module --with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module --with-threads СТАЛО: ./configure --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2' --with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' --prefix=/usr/share/nginx --conf-path=/etc/nginx/nginx.conf --http-log-path=/var/log/nginx/access.log --error-log-path=/var/log/nginx/error.log --lock-path=/var/lock/nginx.lock --pid-path=/run/nginx.pid --http-client-body-temp-path=/var/lib/nginx/body --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --with-pcre-jit --with-http_realip_module --with-http_geoip_module --with-threads --with-http_random_index_module Но когда файл скомпилировался (gcc version 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.5)), то каково было мое удивление, что размер стал больше, чем был! Размер оригинального файла - 1230768 байт, а получившегося - 4211352 байт. А если скомпилировать с теми же параметрами, что и у оригинального файла, то размер получается вообще 8748504 байт. Подскажите пожалуйста, почему так получается и как мне добиться уменьшения размеров файла. Второй вопрос уже по модулю random_index. В директории, для которой указан параметр random_index, лежит 5 файлов с разным содержимым 1.html-5.html В лог файлах nginx появляются записи вида: GET /test/random/ HTTP/1.1" 200 7 Но как мне узнать, какой именно файл был показан? Спасибо. С уважением, Виктория. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277023,277023#msg-277023 From bgx на protva.ru Sun Oct 22 12:40:59 2017 From: bgx на protva.ru (Evgeniy Berdnikov) Date: Sun, 22 Oct 2017 15:40:59 +0300 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: References: Message-ID: <20171022124059.dzm7nhgnj5iayjln@protva.ru> On Sun, Oct 22, 2017 at 08:28:30AM -0400, supermicro wrote: > Но когда файл скомпилировался (gcc version 5.4.0 20160609 (Ubuntu > 5.4.0-6ubuntu1~16.04.5)), то каково было мое удивление, что размер стал > больше, чем был! Размер оригинального файла - 1230768 байт, а получившегося > - 4211352 байт. А если скомпилировать с теми же параметрами, что и у > оригинального файла, то размер получается вообще 8748504 байт. > Подскажите пожалуйста, почему так получается и как мне добиться уменьшения > размеров файла. Файл в дистрибутиве скорее всего скомпилирован без -g и, возможно, с -s, или же пострипан после сборки (т.е. удалены таблицы символов). Посмотреть можно командой file /path/to/nginx, если там будет написано "stripped", значит, таблиц символов нет. Ну и man file, man strip, man gcc на предмет ключей компиляции/сборки. -- Eugene Berdnikov From nginx-forum на forum.nginx.org Sun Oct 22 12:51:26 2017 From: nginx-forum на forum.nginx.org (supermicro) Date: Sun, 22 Oct 2017 08:51:26 -0400 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: <20171022124059.dzm7nhgnj5iayjln@protva.ru> References: <20171022124059.dzm7nhgnj5iayjln@protva.ru> Message-ID: <8d699a579f97b5a2c6f18a0e6703c9b0.NginxMailingListRussian@forum.nginx.org> >Посмотреть можно командой file /path/to/nginx, если там будет написано "stripped", значит, таблиц символов нет. Действительно, был "stripped". После strip всё встало на свои места, -rwxr-xr-x 1 root root 1230760 Oct 22 12:35 nginx-1.10.3.big* -rwxr-xr-x 1 root root 1230768 Oct 22 10:35 nginx-1.10.3.original* -rwxr-xr-x 1 root root 786072 Oct 22 12:36 nginx-1.10.3.small* Спасибо большое. С уважением, Виктория. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277023,277025#msg-277025 From gmm на csdoc.com Sun Oct 22 13:01:49 2017 From: gmm на csdoc.com (Gena Makhomed) Date: Sun, 22 Oct 2017 16:01:49 +0300 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: References: Message-ID: On 22.10.2017 15:28, supermicro wrote: > Для решения некоторых задач мне понадобилось подключить модуль random_index. Проще и лучше будет взять готовый пакет с сайта nginx.org: http://nginx.org/en/linux_packages.html#mainline там nginx собран с параметром --with-http_random_index_module Заодно и обновление nginx будет без проблем. > Для этого я скачала исходники той же версии, что установлена на нашем > сервере (Ubuntu 16.04 LTS, версия Nginx 1.10.3, установлена при помощи apt > install nginx). Изменения между 1.10.3 и 1.13.6: http://nginx.org/en/CHANGES 1.10.3 - это очень старая версия с большим количеством ошибок. > Второй вопрос уже по модулю random_index. > В директории, для которой указан параметр random_index, лежит 5 файлов с > разным содержимым 1.html-5.html > В лог файлах nginx появляются записи вида: > > GET /test/random/ HTTP/1.1" 200 7 > > Но как мне узнать, какой именно файл был показан? Эта информация пишется в error.log на уровне debug. -- Best regards, Gena From nginx-forum на forum.nginx.org Sun Oct 22 13:18:21 2017 From: nginx-forum на forum.nginx.org (supermicro) Date: Sun, 22 Oct 2017 09:18:21 -0400 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: References: Message-ID: <3a2f8be5c58f5a77449eaa50b643cb04.NginxMailingListRussian@forum.nginx.org> >Проще и лучше будет взять готовый пакет с сайта nginx.org: >там nginx собран с параметром --with-http_random_index_module >Заодно и обновление nginx будет без проблем. Хотя со стороны обновлений это и лучше, но не избавляет от "лишних" модулей. Перекомпилировала с ключом --with-debug, тоже было не сложно :) >> Но как мне узнать, какой именно файл был показан? >Эта информация пишется в error.log на уровне debug. Очень много лишнего туда пишется, для продакшна не очень подходит. Есть ли другие варианты? -- С уважением, Виктория. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277023,277027#msg-277027 From gmm на csdoc.com Sun Oct 22 13:31:16 2017 From: gmm на csdoc.com (Gena Makhomed) Date: Sun, 22 Oct 2017 16:31:16 +0300 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: <3a2f8be5c58f5a77449eaa50b643cb04.NginxMailingListRussian@forum.nginx.org> References: <3a2f8be5c58f5a77449eaa50b643cb04.NginxMailingListRussian@forum.nginx.org> Message-ID: On 22.10.2017 16:18, supermicro wrote: > Перекомпилировала с ключом --with-debug, тоже было не сложно :) > >>> Но как мне узнать, какой именно файл был показан? >> Эта информация пишется в error.log на уровне debug. > Очень много лишнего туда пишется, для продакшна не очень подходит. > Есть ли другие варианты? Есть. Например, можно пропатчить файл src\http\modules\ngx_http_random_index_module.c чтобы он выводил в лог нужную Вам информацию не на уровне debug. -- Best regards, Gena From nginx-forum на forum.nginx.org Sun Oct 22 13:45:53 2017 From: nginx-forum на forum.nginx.org (supermicro) Date: Sun, 22 Oct 2017 09:45:53 -0400 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: References: Message-ID: <382c1399fb2bce4e4d84db42e6748853.NginxMailingListRussian@forum.nginx.org> >> Есть ли другие варианты? >Есть. Например, можно пропатчить файл src\http\modules\ngx_http_random_index_module.c >чтобы он выводил в лог нужную Вам информацию не на уровне debug. Это конечно можно, но не все умеют :) Попробую, так как других вариантов похоже, что нет. Спасибо большое ещё раз! -- С уважением, Виктория. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277023,277029#msg-277029 From vadim.lazovskiy на gmail.com Mon Oct 23 10:05:40 2017 From: vadim.lazovskiy на gmail.com (Vadim Lazovskiy) Date: Mon, 23 Oct 2017 13:05:40 +0300 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: <382c1399fb2bce4e4d84db42e6748853.NginxMailingListRussian@forum.nginx.org> References: <382c1399fb2bce4e4d84db42e6748853.NginxMailingListRussian@forum.nginx.org> Message-ID: Здравствуйте. Заведите кастомный лог, используйте log_format: log_format log_random '$remote_addr "$request" $request_filename'; ... location /test/ { access_log /var/log/nginx/test.log log_random; random_index on; } Если хотите, чтобы попадало и в дефолтный лог и в кастомный, то в данном location нужно дополнительно продублировать директиву access_log c уровня server в противном случае будет писаться только в 1 лог. 22 октября 2017 г., 16:45 пользователь supermicro < nginx-forum на forum.nginx.org> написал: > >> Есть ли другие варианты? > > >Есть. Например, можно пропатчить файл > src\http\modules\ngx_http_random_index_module.c > >чтобы он выводил в лог нужную Вам информацию не на уровне debug. > > Это конечно можно, но не все умеют :) > Попробую, так как других вариантов похоже, что нет. > Спасибо большое ещё раз! > > -- > С уважением, Виктория. > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,277023,277029#msg-277029 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > -- WBR, Vadim Lazovskiy -------------- next part -------------- An HTML attachment was scrubbed... URL: From andrey на kopeyko.ru Mon Oct 23 10:52:58 2017 From: andrey на kopeyko.ru (Andrey Kopeyko) Date: Mon, 23 Oct 2017 13:52:58 +0300 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: References: <3a2f8be5c58f5a77449eaa50b643cb04.NginxMailingListRussian@forum.nginx.org> Message-ID: <3bbdaa5641c856a7fdc41a6074872463@kopeyko.ru> Gena Makhomed писал 2017-10-22 16:31: > On 22.10.2017 16:18, supermicro wrote: > >> Перекомпилировала с ключом --with-debug, тоже было не сложно :) >> >>>> Но как мне узнать, какой именно файл был показан? >>> Эта информация пишется в error.log на уровне debug. >> Очень много лишнего туда пишется, для продакшна не очень подходит. >> Есть ли другие варианты? > > Есть. Например, можно пропатчить файл > src\http\modules\ngx_http_random_index_module.c > чтобы он выводил в лог нужную Вам информацию не на уровне debug. Это вредный совет. Правильнее будет -- выделить нужное в отдельный location и включать уровень debug только там. location /test/random/ { ... error_log /path/to/error.log debug } -- Best regards, Andrey A. Kopeyko From nginx-forum на forum.nginx.org Mon Oct 23 17:21:52 2017 From: nginx-forum на forum.nginx.org (supermicro) Date: Mon, 23 Oct 2017 13:21:52 -0400 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: References: Message-ID: Здравствуйте. > Заведите кастомный лог, используйте log_format: > > log_format log_random '$remote_addr "$request" $request_filename'; Vadim, большое спасибо!! А я уже начала исходники изучать и пытаться понять как ngx_log_debugX заменить на ngx_log_t. Пока безуспешно, но было интересно попробовать. Подскажите, как вы узнали про $request_filename, в официальной документации об этом ни слова (https://nginx.ru/ru/docs/http/ngx_http_log_module.html#log_format) -- С уважением, Виктория. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277023,277037#msg-277037 From vbart на nginx.com Mon Oct 23 17:31:45 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Mon, 23 Oct 2017 20:31:45 +0300 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: References: Message-ID: <2448738.LSeaBGKNcs@vbart-workstation> On Monday 23 October 2017 13:21:52 supermicro wrote: > Здравствуйте. > > > Заведите кастомный лог, используйте log_format: > > > > log_format log_random '$remote_addr "$request" $request_filename'; > > Vadim, большое спасибо!! > А я уже начала исходники изучать и пытаться понять как ngx_log_debugX > заменить на ngx_log_t. Пока безуспешно, но было интересно попробовать. > > Подскажите, как вы узнали про $request_filename, в официальной > документации об этом ни слова > (https://nginx.ru/ru/docs/http/ngx_http_log_module.html#log_format) > Там неспроста написано, что _кроме общих_ переменных можно использовать дополнительно... Список всех переменных: http://nginx.org/ru/docs/varindex.html -- Валентин Бартенев From nginx-forum на forum.nginx.org Mon Oct 23 17:34:32 2017 From: nginx-forum на forum.nginx.org (supermicro) Date: Mon, 23 Oct 2017 13:34:32 -0400 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: <3bbdaa5641c856a7fdc41a6074872463@kopeyko.ru> References: <3bbdaa5641c856a7fdc41a6074872463@kopeyko.ru> Message-ID: <94fd1ddf832257d6581b8ffb9b4fcd71.NginxMailingListRussian@forum.nginx.org> Здравствуйте. > > Есть. Например, можно пропатчить файл > > src\http\modules\ngx_http_random_index_module.c > > чтобы он выводил в лог нужную Вам информацию не на уровне debug. > > Это вредный совет. > > Правильнее будет -- выделить нужное в отдельный location и включать > уровень debug только там. > > location /test/random/ { > ... > error_log /path/to/error.log debug > } Решаемая задача предполагает, что этот метод будет работать во всех поддиректориях. Но выше уже подсказали, что правильнее будет завести кастомный лог. location / { access_log /var/log/nginx/domain.main.log log_apache; access_log /var/log/nginx/domain.random.log log_random; random_index on; ... } Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277023,277039#msg-277039 From nginx-forum на forum.nginx.org Mon Oct 23 17:39:16 2017 From: nginx-forum на forum.nginx.org (supermicro) Date: Mon, 23 Oct 2017 13:39:16 -0400 Subject: =?UTF-8?B?UmU6INCg0LDQt9C80LXRgCDQuNGB0L/QvtC70L3Rj9C10LzQvtCz0L4g0YTQsNC5?= =?UTF-8?B?0LvQsC4=?= In-Reply-To: <2448738.LSeaBGKNcs@vbart-workstation> References: <2448738.LSeaBGKNcs@vbart-workstation> Message-ID: <60183f4e59496fe6524ef2b02803c5e0.NginxMailingListRussian@forum.nginx.org> Валентин Бартенев Wrote: > > Подскажите, как вы узнали про $request_filename, в официальной > > документации об этом ни слова > > (https://nginx.ru/ru/docs/http/ngx_http_log_module.html#log_format) > > > > Там неспроста написано, что _кроме общих_ переменных можно > использовать > дополнительно... > > Список всех переменных: > http://nginx.org/ru/docs/varindex.html "О сколько нам открытий чудных" Я только подписалась на рассылку и уже столько полезной информации. Большое всем спасибо! -- С уважением, Виктория. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277023,277040#msg-277040 From uncleandyv на gmail.com Tue Oct 24 08:49:07 2017 From: uncleandyv на gmail.com (Andrey Velikoredchanin) Date: Tue, 24 Oct 2017 11:49:07 +0300 Subject: unit-0.2 beta release In-Reply-To: <1566475.mCQlrrKDGn@note> References: <6450015.BYiieUXT3m@vbart-workstation> <1566475.mCQlrrKDGn@note> Message-ID: Вопрос разработчикам nginx unit - его лицензия будет оставаться открытой в будущем? Будет-ли версия Enterprise и чем она будет отличаться от открытой? -------------- next part -------------- An HTML attachment was scrubbed... URL: From nick на nginx.com Tue Oct 24 14:52:33 2017 From: nick на nginx.com (Nick Shadrin) Date: Tue, 24 Oct 2017 07:52:33 -0700 Subject: unit-0.2 beta release In-Reply-To: References: <6450015.BYiieUXT3m@vbart-workstation> <1566475.mCQlrrKDGn@note> Message-ID: Да, unit будет оставаться доступным по лицензии Apache 2.0. Все текущие функции будут оставаться открытыми. -- Nick Shadrin / Sr. Product Manager / nick на nginx.com > On Oct 24, 2017, at 01:49, Andrey Velikoredchanin wrote: > > Вопрос разработчикам nginx unit - его лицензия будет оставаться открытой в будущем? Будет-ли версия Enterprise и чем она будет отличаться от открытой? > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nick на nginx.com Tue Oct 24 15:41:47 2017 From: nick на nginx.com (Nick Shadrin) Date: Tue, 24 Oct 2017 08:41:47 -0700 Subject: unit-0.2 beta release In-Reply-To: <1566475.mCQlrrKDGn@note> References: <6450015.BYiieUXT3m@vbart-workstation> <1566475.mCQlrrKDGn@note> Message-ID: <295872D1-3826-4BBD-91FE-1A12C81392BA@nginx.com> > On Oct 20, 2017, at 08:30, Vadim A. Misbakh-Soloviov wrote: > >> - Unit будет быстрее nginx+php-fpm и тратить меньше ресурсов просто за >> счет своей архитектуры. >> > > Я что-то недопонял... > > Данное утверждение предполагает использование Unit без NginX перед ним?.. Существуют разные архитектуры и задачи. В отдельных случаях, в глубине сети, в бэкенде, это будет допустимо. -- Nick Shadrin / Sr. Product Manager / nick на nginx.com From vbart на nginx.com Tue Oct 24 16:09:58 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Tue, 24 Oct 2017 19:09:58 +0300 Subject: unit-0.2 beta release In-Reply-To: <1566475.mCQlrrKDGn@note> References: <6450015.BYiieUXT3m@vbart-workstation> <1566475.mCQlrrKDGn@note> Message-ID: <3082700.KJd3PYNPyu@vbart-workstation> On Friday 20 October 2017 22:30:41 Vadim A. Misbakh-Soloviov wrote: > > - Unit будет быстрее nginx+php-fpm и тратить меньше ресурсов просто за > > счет своей архитектуры. > > > > Я что-то недопонял... > > Данное утверждение предполагает использование Unit без NginX перед ним?.. Да. -- Валентин Бартенев From public-mail на alekciy.ru Thu Oct 26 06:42:42 2017 From: public-mail на alekciy.ru (=?UTF-8?B?0JDQu9C10LrRgdC10Lkg0KHRg9C90LTRg9C60L7Qsg==?=) Date: Thu, 26 Oct 2017 10:42:42 +0400 Subject: unit-0.2 beta release In-Reply-To: <20171020144448.GF9097@zxy.spb.ru> References: <20171020142101.GE9097@zxy.spb.ru> <44484BBE-3048-4CC9-B711-876DCB0B1B73@sysoev.ru> <20171020144448.GF9097@zxy.spb.ru> Message-ID: 20 октября 2017 г., 18:44 пользователь Slawa Olhovchenkov написал: > тут проблема со стандартным путями получения pear/pecl слинкованными с > разными версиями php. мне как-то не известны дистрибутивы, > предоставляющие это из коробки. Но всегда можно подключить альтернативные репозитории в духе https://www.dotdeb.org/ или https://deb.sury.org/ -------------- next part -------------- An HTML attachment was scrubbed... URL: From alex.emergy на gmail.com Sat Oct 28 11:24:25 2017 From: alex.emergy на gmail.com (Alex Emergy) Date: Sat, 28 Oct 2017 14:24:25 +0300 Subject: =?UTF-8?B?0J/QvtC00LzQtdC90LAgVXNlci1BZ2VudCfQsCDQtNC70Y8g0LHRjdC60LXQvdC0?= =?UTF-8?B?0LA=?= Message-ID: Есть сайт работающий через торрент стрим. Там js делает запросы на локальный порт, на котором висит софтина AceStream, что-то типа: http://127.0.0.1:6878/webui/api/service?callback=jQuery17033631382683313515_1509188498027&method=get_version&format=jsonp&_=150918849805 http://192.168.1.11:6878/server/api?method=open_in_player&content_id=2920e9961c24ab4e44b07c1fab4f6b750bd2ddfa&player_id=0f3a8626f1017b92058dd3cdcb2c2d15d8e5a2a3&_=1509189716189 В результате чего, контент воспроизводится локально в VLC плеере. Задача: подменить локальный адрес на 192.168.1.11, на котором и весит эта софтина, для того, чтобы с любого устройства в локальной сети, можно было зайти на сайт и включить воспроизведение на телевизоре (медиасервере). Т.е. удалённо. Не долго думая, я прописал в DNS, адрес сайта есть мой шлюз и сделал конфиг в моём nigix, для подмены строк в js скрипте. server { listen 80; server_name myru.tv www.myru.tv; set $ua "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"; gzip off; gunzip on; gzip_proxied off; location / { proxy_set_header User-Agent $ua; proxy_set_header Accept ""; proxy_set_header Accept-Encoding ""; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; location = /player/script.js { sub_filter_once off; sub_filter '127.0.0.1:6878' '192.168.1.11:6878'; sub_filter_types *; proxy_pass http://myru.tv; } proxy_pass http://myru.tv; } } Все работает, за исключением подмены User-Agent'а. И если не менять его в клиентском ПО (браузере), сайт выдаёт заглушку, типа ПО для моей платформы в разработке. В общем экспериментировал-экспериментировал - никак не могу заставить "бэкенд" думать что у меня винда((( Объясните, что я делаю не правильно -- С уважением, Alex Emergy ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From alex.emergy на gmail.com Sun Oct 29 20:41:32 2017 From: alex.emergy на gmail.com (Alex Emergy) Date: Sun, 29 Oct 2017 23:41:32 +0300 Subject: =?UTF-8?B?UmU6INCf0L7QtNC80LXQvdCwIFVzZXItQWdlbnQn0LAg0LTQu9GPINCx0Y3QutC1?= =?UTF-8?B?0L3QtNCw?= In-Reply-To: References: Message-ID: В общем дело оказалось не в nginx. Там в js user-agent проверяется. server { listen 80; server_name myru.tv www.myru.tv; location / { add_header 'Cache-Control' 'no-store, no-cache, must-revalidate, proxy-revalidate, max-age=0'; expires off; proxy_hide_header User-Agent; proxy_set_header Accept ""; proxy_set_header Accept-Encoding ""; proxy_set_header Host $host; proxy_set_header User-Agent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.78 Safari/537.36"; location = /player/script.js { sub_filter_once off; sub_filter '127.0.0.1:6878' '192.168.1.11:6878'; sub_filter '_platform=TorrentStream.Utils.detectPlatform()' '_platform="windows"'; sub_filter_types *; proxy_pass http://myru.tv; } proxy_pass http://myru.tv; } } 28 октября 2017 г., 14:24 пользователь Alex Emergy написал: > Есть сайт работающий через торрент стрим. Там js делает запросы на > локальный порт, на котором висит софтина AceStream, что-то типа: > > http://127.0.0.1:6878/webui/api/service?callback= > jQuery17033631382683313515_1509188498027&method=get_ > version&format=jsonp&_=150918849805 > http://192.168.1.11:6878/server/api?method=open_in_player&content_id= > 2920e9961c24ab4e44b07c1fab4f6b750bd2ddfa&player_id= > 0f3a8626f1017b92058dd3cdcb2c2d15d8e5a2a3&_=1509189716189 > > В результате чего, контент воспроизводится локально в VLC плеере. > > Задача: подменить локальный адрес на 192.168.1.11, на котором и весит эта > софтина, для того, чтобы с любого устройства в локальной сети, можно было > зайти на сайт и включить воспроизведение на телевизоре (медиасервере). Т.е. > удалённо. > > Не долго думая, я прописал в DNS, адрес сайта есть мой шлюз и сделал > конфиг в моём nigix, для подмены строк в js скрипте. > > server { > listen 80; > server_name myru.tv www.myru.tv; > > set $ua "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like > Gecko) Chrome/41.0.2228.0 Safari/537.36"; > > gzip off; > gunzip on; > gzip_proxied off; > > location / { > proxy_set_header User-Agent $ua; > proxy_set_header Accept ""; > proxy_set_header Accept-Encoding ""; > proxy_set_header Host $host; > proxy_set_header X-Real-IP $remote_addr; > proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; > > location = /player/script.js { > sub_filter_once off; > sub_filter '127.0.0.1:6878' '192.168.1.11:6878'; > sub_filter_types *; > proxy_pass http://myru.tv; > } > > proxy_pass http://myru.tv; > } > } > > Все работает, за исключением подмены User-Agent'а. И если не менять его в > клиентском ПО (браузере), сайт выдаёт заглушку, типа ПО для моей платформы > в разработке. > > В общем экспериментировал-экспериментировал - никак не могу заставить > "бэкенд" думать что у меня винда((( > > Объясните, что я делаю не правильно > > -- > С уважением, > Alex Emergy > -- С уважением, Рулев Александр ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Mon Oct 30 03:44:19 2017 From: nginx-forum на forum.nginx.org (=?UTF-8?Q? =D0=94=D0=B8=D0=BC=D0=B0_=D0=9A=D1=83=D0=BB=D0=B8=D0=BA ?=) Date: Sun, 29 Oct 2017 23:44:19 -0400 Subject: =?UTF-8?Q?Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= Message-ID: Всем Hello, world! Будет ли когда-нибудь реализовано то, о чём пишут здесь: https://ospanel.io/forum/viewtopic.php?p=22363#p22363 Речь идёт о платном параметре queue (очередь запросов) в конфиге upstream. Там в принципе уже всё написали, что вы знаете о ситуации, что не любите Windows и бла бла бла, но на Windows работает огромное количество разработчиков, так просто удобнее. Стоит ли ожидать решения описанной там проблемы? Конечно отсутствие PHP-FPM on windows это проблема PHP (которая в принципе не разрешима), а не Nginx, но раз вы были так добры и добавили опцию max_conn то почему бы не раздобреть уже до конца? Получилось как-бы половинчатое решение с вашей стороны... ведь для работы с FastCGI нужны оба этих параметра и max_conns и queue. Сейчас сложилась такая ситуация, что разработчики PHP не могут (нет решения), разработчики Nginx не хотят (есть платное решение), а в результате целая система отрезана от нормальной работы с FastCGI. Можно не сомневаться в том, что все айтишники сидящие на Windows пожмут вам руку в случае добавления параметра queue в бесплатную версию в догонку к max_conns, ведь самоцель работы программиста - это довольные пользователи его творения. Спасибо за ответы, с уважением Дима Кулик. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277116,277116#msg-277116 From bgx на protva.ru Mon Oct 30 06:32:36 2017 From: bgx на protva.ru (Evgeniy Berdnikov) Date: Mon, 30 Oct 2017 09:32:36 +0300 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: References: Message-ID: <20171030063236.x2rnug22hwtj45in@protva.ru> On Sun, Oct 29, 2017 at 11:44:19PM -0400, Дима Кулик wrote: > в том, что все айтишники сидящие на Windows пожмут вам руку в случае > добавления параметра queue в бесплатную версию в догонку к max_conns, ведь > самоцель работы программиста - это довольные пользователи его творения. У разработчиков лицензионная версия Windows, и они работают ради идеи, а не за деньги? -- Eugene Berdnikov From chipitsine на gmail.com Mon Oct 30 06:38:41 2017 From: chipitsine на gmail.com (=?UTF-8?B?0JjQu9GM0Y8g0KjQuNC/0LjRhtC40L0=?=) Date: Mon, 30 Oct 2017 11:38:41 +0500 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <20171030063236.x2rnug22hwtj45in@protva.ru> References: <20171030063236.x2rnug22hwtj45in@protva.ru> Message-ID: 30 октября 2017 г., 11:32 пользователь Evgeniy Berdnikov написал: > On Sun, Oct 29, 2017 at 11:44:19PM -0400, Дима Кулик wrote: > > в том, что все айтишники сидящие на Windows пожмут вам руку в случае > > добавления параметра queue в бесплатную версию в догонку к max_conns, > ведь > > самоцель работы программиста - это довольные пользователи его творения. > > У разработчиков лицензионная версия Windows, и они работают ради идеи, > а не за деньги? > лицензирование продуктов Microsoft по подписке MSDN весьма либеральное. сама Windows - вроде бы всегда платная, но да, Microsoft для разработчиков предоставляет кучу всего на почти бесплатной основе. (конечно же, это не является призывом делать так же с продуктами nginx plus) > -- > Eugene Berdnikov > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From nginx-forum на forum.nginx.org Mon Oct 30 06:59:39 2017 From: nginx-forum на forum.nginx.org (=?UTF-8?Q? =D0=94=D0=B8=D0=BC=D0=B0_=D0=9A=D1=83=D0=BB=D0=B8=D0=BA ?=) Date: Mon, 30 Oct 2017 02:59:39 -0400 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <20171030063236.x2rnug22hwtj45in@protva.ru> References: <20171030063236.x2rnug22hwtj45in@protva.ru> Message-ID: <64b5fdd394a47119248578eb92e3c975.NginxMailingListRussian@forum.nginx.org> Evgeniy Berdnikov Wrote: ------------------------------------------------------- > У разработчиков лицензионная версия Windows, и они работают ради > идеи, > а не за деньги? Видимо да, раз существуют такие ресурсы как GitHub и SourceForge например. Никогда о них не слышали? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277116,277119#msg-277119 From nginx на mva.name Mon Oct 30 10:54:24 2017 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Mon, 30 Oct 2017 17:54:24 +0700 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <64b5fdd394a47119248578eb92e3c975.NginxMailingListRussian@forum.nginx.org> References: <20171030063236.x2rnug22hwtj45in@protva.ru> <64b5fdd394a47119248578eb92e3c975.NginxMailingListRussian@forum.nginx.org> Message-ID: <3018724.jYya1XjaG7@note> > Видимо да, раз существуют такие ресурсы как GitHub и SourceForge например. > Никогда о них не слышали? 1) количество windows-разработчиков слабо влияет на существование github, например. А sourceforge с их политикой лучше бы и не существовал (но количество windows- разработчиков с лицензионной windows на его существование точно так же не влияет. 2) речь шла не об этом. Вам тонко намекнули, что ваш запрос выглядит как "запилите бесплатно фичу, которую вам нет никакого интереса (и ресурсов) запиливать и тестировать, а мы просто скажем спасибо". Хотя деньги на лицензию Windows вы нашли, а денег на лицензию nginx+ почему-то не хотите найти. Чем разработчики NginX хуже и почему их не надо поддерживать материально, а Microsoft - надо? From nginx-forum на forum.nginx.org Mon Oct 30 13:18:25 2017 From: nginx-forum на forum.nginx.org (=?UTF-8?Q? =D0=94=D0=B8=D0=BC=D0=B0_=D0=9A=D1=83=D0=BB=D0=B8=D0=BA ?=) Date: Mon, 30 Oct 2017 09:18:25 -0400 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <3018724.jYya1XjaG7@note> References: <3018724.jYya1XjaG7@note> Message-ID: <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> Vadim A. Misbakh-Soloviov Wrote: ------------------------------------------------------- > 1) количество windows-разработчиков слабо влияет на существование > github, > например. > А sourceforge с их политикой лучше бы и не существовал (но количество > windows- > разработчиков с лицензионной windows на его существование точно так же > не > влияет. > Боюсь вы потеряли суть повествования. Кони, люди, сайты github и sourceforge с их политикой касательно Windows и влияние Windows-пользователей на их существование... Серьёзно? Речь в моём первоначальном вопросе идёт о том, что отрезана целая платформа, в данном случае Windows, от нормальный работы с PHP. От этого страдают Windows разработчики на такой связке. > 2) речь шла не об этом. > Вам тонко намекнули, что ваш запрос выглядит как "запилите бесплатно > фичу, > которую вам нет никакого интереса (и ресурсов) запиливать и > тестировать, а мы > просто скажем спасибо". Хотя деньги на лицензию Windows вы нашли, а > денег на > лицензию nginx+ почему-то не хотите найти. Чем разработчики NginX хуже > и > почему их не надо поддерживать материально, а Microsoft - надо? > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru Так от разработчиков никто ничего и не требует, я лишь задал вопрос и вместо обсуждения проблемы взаимодействия PHP и Nginx в Windows системах тут уже третий человек пишет про деньги. Банкноты затмили здравый смысл? Или что происходит? Если уж вы заикнулись про лицензии, то использование Win Server на выделенном сервере обойдётся в $200-$300 за год, а Nginx Plus $2500 за каждый поток на сервере. Подумайте, на что обычный разработчик найдёт деньги, а на что не найдёт и у какого продукта адекватные цены... Так что тут даже если захочешь поддержать Nginx, то от цен глаза из орбит выпрыгнут. Думаю это сделано специально, чтобы полностью отсечь частных разработчиков и работать только с бизнес-сегментом у которого есть такие деньги. Поэтому не нужно тут высоких слов о поддержке разработчиков Nginx, у них сейчас есть инвестиции в $20млн и я сомневаюсь что им нужно собирать по $10-$20 через paypal для реализации какой-либо функции, которая уже реализована в Nginx Plus и от отсутствия которой нет возможности нормально работать с PHP на Windows. И заметьте, еще никто из разработчиков Nginx тут не ответил и не написал: бро... помоги, зарплат нет, сейчас всё как в 90-е годы, вот тебе старая добрая страничка для сбора средств по 5-10-15 баксов, собирайте, а мы обязательно вам поможем с вашей проблемой на Windows. Вместо этого тишина. Я надеялся на какой-то вменяемый ответ, но всё сразу же скатилось к деньгам, а жаль. Что же, всем удачи, всем спасибо, продолжайте в том же духе :-) Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277116,277125#msg-277125 From nginx на mva.name Mon Oct 30 13:49:16 2017 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Mon, 30 Oct 2017 20:49:16 +0700 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> References: <3018724.jYya1XjaG7@note> <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> Message-ID: <7187485.ES3L01RiKx@note> > что отрезана целая платформа, в данном случае Windows, от нормальный работы > с PHP. От этого страдают Windows разработчики на такой связке. > обязательно вам поможем с вашей проблемой на Windows. Вместо этого тишина. > Я надеялся на какой-то вменяемый ответ, но всё сразу же скатилось к деньгам, > а жаль. Что же, всем удачи, всем спасибо, продолжайте в том же духе :-) Про NginX, windows и приоритетность Windows как целевой платформы у NginX уже писан не один десяток тредов. Именно поэтому никто из разработчиков не хочет тут ничего писать. Им не интересно переливать всё по кругу в восьмимиллионный раз. From nginx на mva.name Mon Oct 30 13:52:25 2017 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Mon, 30 Oct 2017 20:52:25 +0700 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> References: <3018724.jYya1XjaG7@note> <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> Message-ID: <7820580.tccu4ufBnJ@note> > что отрезана целая платформа, в данном случае Windows, от нормальный работы > с PHP. От этого страдают Windows разработчики на такой связке. А, и да, я хотел ещё сделать замечание о том, что по задумке Microsoft (и они делают всё что могут для того, чтобы это было именно так) "родным" способм разработки веб-приложений под windows является запуск их под Microsoft IIS. И, как ни странно, он вполне замечательно (насколько это вообще может быть применено к использованию Windows для этих целей) работает. From valery+nginx на grid.net.ru Mon Oct 30 13:54:02 2017 From: valery+nginx на grid.net.ru (Valery Kholodkov) Date: Mon, 30 Oct 2017 14:54:02 +0100 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> References: <3018724.jYya1XjaG7@note> <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> Message-ID: On 30-10-17 14:18, "Дима Кулик" wrote: > Если уж вы заикнулись про лицензии, то использование Win Server на > выделенном сервере обойдётся в $200-$300 за год, а Nginx Plus $2500 за > каждый поток на сервере. Подумайте, на что обычный разработчик найдёт > деньги, а на что не найдёт и у какого продукта адекватные цены... Если нет денег, почему бы не сделать самому? Val From annulen на yandex.ru Mon Oct 30 13:59:21 2017 From: annulen на yandex.ru (Konstantin Tokarev) Date: Mon, 30 Oct 2017 16:59:21 +0300 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> References: <3018724.jYya1XjaG7@note> <9c4a62ddca0518dfcd9bea6ac60ca59b.NginxMailingListRussian@forum.nginx.org> Message-ID: <132451509371961@web27o.yandex.ru> 30.10.2017, 16:18, "Дима Кулик" : > Vadim A. Misbakh-Soloviov Wrote: > ------------------------------------------------------- > >>  1) количество windows-разработчиков слабо влияет на существование >>  github, >>  например. >>  А sourceforge с их политикой лучше бы и не существовал (но количество >>  windows- >>  разработчиков с лицензионной windows на его существование точно так же >>  не >>  влияет. > > Боюсь вы потеряли суть повествования. Кони, люди, сайты github и sourceforge > с их политикой касательно Windows и влияние Windows-пользователей на их > существование... Серьёзно? Речь в моём первоначальном вопросе идёт о том, > что отрезана целая платформа, в данном случае Windows, от нормальный работы > с PHP. От этого страдают Windows разработчики на такой связке. Разработчики, связавшиеся с а) Windows и b) PHP по определению должны страдать :) А вообще возьмите денвер и не парьтесь. > >>  2) речь шла не об этом. >>  Вам тонко намекнули, что ваш запрос выглядит как "запилите бесплатно >>  фичу, >>  которую вам нет никакого интереса (и ресурсов) запиливать и >>  тестировать, а мы >>  просто скажем спасибо". Хотя деньги на лицензию Windows вы нашли, а >>  денег на >>  лицензию nginx+ почему-то не хотите найти. Чем разработчики NginX хуже >>  и >>  почему их не надо поддерживать материально, а Microsoft - надо? >>  _______________________________________________ >>  nginx-ru mailing list >>  nginx-ru на nginx.org >>  http://mailman.nginx.org/mailman/listinfo/nginx-ru > > Так от разработчиков никто ничего и не требует, я лишь задал вопрос и вместо > обсуждения проблемы взаимодействия PHP и Nginx в Windows системах тут уже > третий человек пишет про деньги. Банкноты затмили здравый смысл? Или что > происходит? > > Если уж вы заикнулись про лицензии, то использование Win Server на > выделенном сервере обойдётся в $200-$300 за год, а Nginx Plus $2500 за > каждый поток на сервере. Подумайте, на что обычный разработчик найдёт > деньги, а на что не найдёт и у какого продукта адекватные цены... Так что > тут даже если захочешь поддержать Nginx, то от цен глаза из орбит выпрыгнут. > Думаю это сделано специально, чтобы полностью отсечь частных разработчиков и > работать только с бизнес-сегментом у которого есть такие деньги. Поэтому не > нужно тут высоких слов о поддержке разработчиков Nginx, у них сейчас есть > инвестиции в $20млн и я сомневаюсь что им нужно собирать по $10-$20 через > paypal для реализации какой-либо функции, которая уже реализована в Nginx > Plus и от отсутствия которой нет возможности нормально работать с PHP на > Windows. > > И заметьте, еще никто из разработчиков Nginx тут не ответил и не написал: > бро... помоги, зарплат нет, сейчас всё как в 90-е годы, вот тебе старая > добрая страничка для сбора средств по 5-10-15 баксов, собирайте, а мы > обязательно вам поможем с вашей проблемой на Windows. Вместо этого тишина. > > Я надеялся на какой-то вменяемый ответ, но всё сразу же скатилось к деньгам, > а жаль. Что же, всем удачи, всем спасибо, продолжайте в том же духе :-) > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277116,277125#msg-277125 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Regards, Konstantin From vbart на nginx.com Mon Oct 30 14:30:17 2017 From: vbart на nginx.com (=?utf-8?B?0JLQsNC70LXQvdGC0LjQvSDQkdCw0YDRgtC10L3QtdCy?=) Date: Mon, 30 Oct 2017 17:30:17 +0300 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: References: Message-ID: <10485141.lpDdYMWJeJ@vbart-workstation> On Sunday 29 October 2017 23:44:19 Дима Кулик wrote: > Всем Hello, world! > > Будет ли когда-нибудь реализовано то, о чём пишут здесь: > https://ospanel.io/forum/viewtopic.php?p=22363#p22363 > > Речь идёт о платном параметре queue (очередь запросов) в конфиге upstream. > Там в принципе уже всё написали, что вы знаете о ситуации, что не любите > Windows и бла бла бла, но на Windows работает огромное количество > разработчиков, так просто удобнее. Стоит ли ожидать решения описанной там > проблемы? > > Конечно отсутствие PHP-FPM on windows это проблема PHP (которая в принципе > не разрешима), а не Nginx, но раз вы были так добры и добавили опцию > max_conn то почему бы не раздобреть уже до конца? Получилось как-бы > половинчатое решение с вашей стороны... ведь для работы с FastCGI нужны оба > этих параметра и max_conns и queue. > > Сейчас сложилась такая ситуация, что разработчики PHP не могут (нет > решения), разработчики Nginx не хотят (есть платное решение), а в результате > целая система отрезана от нормальной работы с FastCGI. Можно не сомневаться > в том, что все айтишники сидящие на Windows пожмут вам руку в случае > добавления параметра queue в бесплатную версию в догонку к max_conns, ведь > самоцель работы программиста - это довольные пользователи его творения. > > Спасибо за ответы, с уважением Дима Кулик. > [..] 1. Разработчики nginx ничего не имеют против Windows. Более того, с компанией Microsoft у нас сотрудничество по ряду вопросов. 2. Никакого платного решения не существует. Просто потому, что не существует и платной версии nginx под Windows. 3. Windows существенно отличается от unix-подобных систем по ряду интерфейсов и механизмов, что делает невозможным полноценную и эффектную работу многих unix приложений, к которым относится и nginx. По той же самой причине не существует php-fpm под Windows. Версия nginx под Windows является скорее хаком, вечной бетой, о чем честно заявлено на официальном сайте: http://nginx.org/ru/docs/windows.html Мы не рекомендуем её к использованию в целях, отличных от тестовых. И только благодаря нашей любви к Windows-пользователям она поддерживается в рабочем состоянии и собираются новые версии. 4. Никакие новые функции или директивы в nginx не решат ваших проблем, поскольку фундаментальная их причина заключается в выборе неподходящих друг к другу платформы и стека веб-технологий. Соответственно, просить об этом бессмысленно. -- Валентин Бартенев From nginx-forum на forum.nginx.org Mon Oct 30 16:58:49 2017 From: nginx-forum на forum.nginx.org (mrhate) Date: Mon, 30 Oct 2017 12:58:49 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0YDQvtGBIGh0dHBzINC90LAg0L/QvtGA0YIsINC+0YLQu9C4?= =?UTF-8?B?0YfQvdGL0Lkg0L7RgiA0NDM=?= In-Reply-To: <37ee9065dab868add034fbcb387a1247.NginxMailingListRussian@forum.nginx.org> References: <37ee9065dab868add034fbcb387a1247.NginxMailingListRussian@forum.nginx.org> Message-ID: <3662adb44b19f7eb8a4312ce2b1d29d5.NginxMailingListRussian@forum.nginx.org> Здравствуйте! Не могли бы поделиться iptables правилами для TRANSPARENT-proxy? Похожая задача, в iptables новичек, не могу совладать с ним( Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276241,277134#msg-277134 From nginx-forum на forum.nginx.org Mon Oct 30 17:27:03 2017 From: nginx-forum на forum.nginx.org (=?UTF-8?Q? =D0=94=D0=B8=D0=BC=D0=B0_=D0=9A=D1=83=D0=BB=D0=B8=D0=BA ?=) Date: Mon, 30 Oct 2017 13:27:03 -0400 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: <10485141.lpDdYMWJeJ@vbart-workstation> References: <10485141.lpDdYMWJeJ@vbart-workstation> Message-ID: Валентин Бартенев, несомненно всё так. Вы правы во всём, но мы же говорим не о продакшене. а о разработчиках, которым нужно чтобы оно просто работало хоть как-то. А эффективно это в Windows среде или нет это уже дело десятое, оно имеет значение только на боевом сервере. Многим просто удобно работать на Windows. Это как с телефонами, кто-то любит samsung, кто-то Apple и т.д. Поэтому зря тут некоторые накинулись на связку Win+PHP+Nginx, в случае разработки это личное дело каждого. Поэтому я и спрашивал можно ли ожидать того, что появится параметр queue, но видимо зря потревожил этот форум... Уже желаю что спрашивал. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277116,277135#msg-277135 From vovansystems на gmail.com Mon Oct 30 17:38:19 2017 From: vovansystems на gmail.com (VovansystemS) Date: Mon, 30 Oct 2017 20:38:19 +0300 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: References: <10485141.lpDdYMWJeJ@vbart-workstation> Message-ID: Добрый день, > Валентин Бартенев, несомненно всё так. Вы правы во всём, но мы же говорим не > о продакшене. а о разработчиках > Многим просто удобно работать на Windows. а WSL не решит Ваших проблем? https://msdn.microsoft.com/en-us/commandline/wsl/about From alex.hha на gmail.com Mon Oct 30 17:39:53 2017 From: alex.hha на gmail.com (Alex Domoradov) Date: Mon, 30 Oct 2017 19:39:53 +0200 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: References: <10485141.lpDdYMWJeJ@vbart-workstation> Message-ID: В эпоху когда есть докер зачем вам разрабатывать из под windows, если не секрет? Или вы используете php модули заточенные под win? 2017-10-30 19:27 GMT+02:00 "Дима Кулик" : > Валентин Бартенев, несомненно всё так. Вы правы во всём, но мы же говорим > не > о продакшене. а о разработчиках, которым нужно чтобы оно просто работало > хоть как-то. А эффективно это в Windows среде или нет это уже дело десятое, > оно имеет значение только на боевом сервере. > > Многим просто удобно работать на Windows. Это как с телефонами, кто-то > любит > samsung, кто-то Apple и т.д. Поэтому зря тут некоторые накинулись на связку > Win+PHP+Nginx, в случае разработки это личное дело каждого. Поэтому я и > спрашивал можно ли ожидать того, что появится параметр queue, но видимо зря > потревожил этот форум... Уже желаю что спрашивал. > > Posted at Nginx Forum: https://forum.nginx.org/read. > php?21,277116,277135#msg-277135 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru > ----------- следущая часть ----------- Вложение в формате HTML было извлечено… URL: From maxim на nginx.com Mon Oct 30 19:21:22 2017 From: maxim на nginx.com (Maxim Konovalov) Date: Mon, 30 Oct 2017 12:21:22 -0700 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: References: <10485141.lpDdYMWJeJ@vbart-workstation> Message-ID: <2089fc54-f97e-72db-b704-2811f0741546@nginx.com> Дмитрий, добрый день. On 30/10/2017 10:27, "Дима Кулик" wrote: > <...> Поэтому я и спрашивал можно ли ожидать того, что появится > параметр queue, но видимо зря потревожил этот форум... Уже желаю > что спрашивал. Нормальный вопрос и Валентин, кажется, ответил на него достаточно пОлно. Короткая версия ответа: нет, пока не планируем. -- Maxim Konovalov "I'm not a software developer, but it doesn't seem as rocket science" From koticka на mail.ru Mon Oct 30 19:31:24 2017 From: koticka на mail.ru (Kostya Alexandrov) Date: Mon, 30 Oct 2017 22:31:24 +0300 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: References: <10485141.lpDdYMWJeJ@vbart-workstation> Message-ID: А в чем проблема поднять linux/free в виртуалке как раз для php+nginx? On 30/10/2017 20:27, "Дима Кулик" wrote: > Валентин Бартенев, несомненно всё так. Вы правы во всём, но мы же говорим не > о продакшене. а о разработчиках, которым нужно чтобы оно просто работало > хоть как-то. А эффективно это в Windows среде или нет это уже дело десятое, > оно имеет значение только на боевом сервере. > > Многим просто удобно работать на Windows. Это как с телефонами, кто-то любит > samsung, кто-то Apple и т.д. Поэтому зря тут некоторые накинулись на связку > Win+PHP+Nginx, в случае разработки это личное дело каждого. Поэтому я и > спрашивал можно ли ожидать того, что появится параметр queue, но видимо зря > потревожил этот форум... Уже желаю что спрашивал. > > Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277116,277135#msg-277135 > > _______________________________________________ > nginx-ru mailing list > nginx-ru на nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru From nginx на mva.name Mon Oct 30 20:30:43 2017 From: nginx на mva.name (Vadim A. Misbakh-Soloviov) Date: Tue, 31 Oct 2017 03:30:43 +0700 Subject: =?UTF-8?Q?Re=3A_Nginx_=D0=B8_queue_=D0=B2_upstream_=28Windows=29?= In-Reply-To: References: <10485141.lpDdYMWJeJ@vbart-workstation> Message-ID: <2392071.ZJFpAq2nzd@note> > А в чем проблема поднять linux/free в виртуалке как раз для php+nginx? Да, впринципе, почти никакой (тем более, что, вроде как, и виртуалка-то не нужна в этой вашей десяточке, вроде: там убунта встроенная). Но только, сдаётся мне, это сродни установки виртуалки с вышеупомянутой для outlook/word/excel и т.п. From nginx-forum на forum.nginx.org Tue Oct 31 00:36:06 2017 From: nginx-forum на forum.nginx.org (oradba25) Date: Mon, 30 Oct 2017 20:36:06 -0400 Subject: =?UTF-8?B?UmU6INCf0YDQvtCx0YDQvtGBIGh0dHBzINC90LAg0L/QvtGA0YIsINC+0YLQu9C4?= =?UTF-8?B?0YfQvdGL0Lkg0L7RgiA0NDM=?= In-Reply-To: <3662adb44b19f7eb8a4312ce2b1d29d5.NginxMailingListRussian@forum.nginx.org> References: <37ee9065dab868add034fbcb387a1247.NginxMailingListRussian@forum.nginx.org> <3662adb44b19f7eb8a4312ce2b1d29d5.NginxMailingListRussian@forum.nginx.org> Message-ID: Добрый день Вообще-то все описано https://www.nginx.com/blog/ip-transparency-direct-server-return-nginx-plus-transparent-proxy У меня для Linux нарисована такая инструкция, может есть какие-то неточности: -- NGINX должен осуществлять привязку к локальному сокету любого адреса (внешнего адреса клиента), поэтому он должен работать с правами root (что есть весьма несекурно, тем более что он торчит наружу): user root ... server { ... proxy_bind $remote_addr transparent; ... } -- Маршрутизировать все требуемые пакеты внутри себя (не выпускать наружу). Правила сохранены в /etc/sysconfig/iptables, маршрутизация в route-eth0, rule-eth0 каталога /etc/sysconfig/network-scripts. (Чтоб правила подхватились в CentOS 7 надо запретить NetworkManager.service, Firewall.service и разрешить network.service, iptables.service, либо научиться настраивать Firewall.service): iptables -t mangle -N DIVERT # Новая цепочка iptables -t mangle -A DIVERT -j MARK --set-mark 0x1/0xffffffff # Просто маркируем пакет iptables -t mangle -A DIVERT -j ACCEPT # И пропускаем iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT # Все пакеты для уже открытых сокетов отправляются в DIVERT, где просто помечаются iptables -t mangle -A PREROUTING -p tcp -m multiport --sport 443,10443,8080,8081 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 0 # Все ответы от серверов помечаем и пробрасываем на localhost:0 ip rule add fwmark 1 lookup 100 # Все маркированные пакеты обрабатываем таблицей маршрутизации 100 ip route add local 0.0.0.0/0 dev lo table 100 # Где просто обрабатываем их локально ip route flush cache -- На проксируемых (upstream) серверах возвращать ответы на NGINX, независимо от адреса назначения (Default route to NGINX). Для этого можно поднять фиктивный интерфейс, куда и ходит именно NGINX в той же подсети. HTTP-сервер должен слушать этот адрес. Это прописывается в файлах ifcfg-eth0:0, route-eth0:0, rule-eth0:0 каталога /etc/sysconfig/network-scripts: ip addr add IP_адрес_интерфейса/27 brd broadcast_интерфейса dev eth0 label eth0:0 # Адрес куда ходит NGINX ip rule from IP_адрес_интерфейса table 100 # Все пакеты с этого адреса обрабатываются таблицей маршрутизации 100 ip route IP_адрес_интерфейса dev eth0 proto kernel scope link src IP_адрес_интерфейса table 100 # Где прописан сам этот адрес ip route default via IP_адрес_сервера_NGINX dev eth0 table 100 # И дефолтовый маршрут на NGINX ip route flush cache Posted at Nginx Forum: https://forum.nginx.org/read.php?21,276241,277142#msg-277142 From nginx-forum на forum.nginx.org Tue Oct 31 07:37:48 2017 From: nginx-forum на forum.nginx.org (Dothris) Date: Tue, 31 Oct 2017 03:37:48 -0400 Subject: =?UTF-8?B?0JHQtdC70YvQuSDRgdC/0LjRgdC+0Log0YHQtdGA0YLQuNGE0LjQutCw0YLQvtCy?= =?UTF-8?B?INC40LvQuCDQtNC+0YHRgtGD0L8g0L7Qv9GA0LXQtNC10LvQtdC90L3Ri9C8?= =?UTF-8?B?INGB0LXRgNGC0LjRhNC40LrQsNGC0LDQvA==?= Message-ID: <4b0d0dba780b88db5ec4501165fcbf7a.NginxMailingListRussian@forum.nginx.org> Добрый день! Подскажите пожалуйста по этому вопросу https://stackoverflow.com/questions/36744260/restrict-allowed-users-when-using-client-certificates You could combine $ssl_client_s_dn with map directive: map $ssl_client_s_dn $access_denied { default 1; "alice" 0; "bob" 0; } and check it with if if ($access_denied) { return 403; } Мы должны где-то определить переменную $access_denied? Или необходимо просто заменить alice, bob на сертификаты, для которых доступ разрешен, а для остальных сертификатов доступ будет запрещен? Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277155,277155#msg-277155 From nginx-forum на forum.nginx.org Tue Oct 31 09:39:00 2017 From: nginx-forum на forum.nginx.org (Dothris) Date: Tue, 31 Oct 2017 05:39:00 -0400 Subject: =?UTF-8?B?UmU6INCR0LXQu9GL0Lkg0YHQv9C40YHQvtC6INGB0LXRgNGC0LjRhNC40LrQsNGC?= =?UTF-8?B?0L7QsiDQuNC70Lgg0LTQvtGB0YLRg9C/INC+0L/RgNC10LTQtdC70LXQvdC9?= =?UTF-8?B?0YvQvCDRgdC10YDRgtC40YTQuNC60LDRgtCw0Lw=?= In-Reply-To: <4b0d0dba780b88db5ec4501165fcbf7a.NginxMailingListRussian@forum.nginx.org> References: <4b0d0dba780b88db5ec4501165fcbf7a.NginxMailingListRussian@forum.nginx.org> Message-ID: <7d9aa6296b053333e603cd5c16a134cc.NginxMailingListRussian@forum.nginx.org> Сам себе и отвечаю. В переменную $access_denied заносятся 0 или 1 в зависимости от сравнения $ssl_client_s_dn с alice и bob. Если $ssl_client_s_dn не равна ни alice ни bob, то $access_denied будет 1 Posted at Nginx Forum: https://forum.nginx.org/read.php?21,277155,277156#msg-277156