Re: nginx полностью загружает весь процессор при reload'e

Dmitry Sergeev identw на gmail.com
Пн Сен 2 15:54:51 UTC 2019


Спасибо большое за ответ.

Потестил  с параметрами:

ssl_session_tickets off;
ssl_session_ticket_key /etc/nginx/ssl/ticket.key;

И довольно интересно получилось:
http://joxi.net/krD6q0jTKkV9R2.jpg

На картинке числами отмечены reload'ы
1,2,6,7,10  - без настроек tickets (по умоланию включен)
3,4,5,8,9 - с отключенным tickets и файлом ssl_session_ticket_key.

При этом всегда был включен кэш сессий:

     ssl_session_cache   shared:SSL:20m;
     ssl_session_timeout 30m;

Пока сделал вывод, что с отключенным ssl_session_tickets средняя 
нагрузка выше, но при этом при reload'e нагрузка не так сильно 
возрастает по отношению к средней. Тесты не совсем чистые, постараюсь 
сделать более чистый эксперимент.


On 02/09/2019 16:55, Maxim Dounin wrote:
> Hello!
>
> On Sat, Aug 31, 2019 at 12:54:06PM +0500, Dmitry Sergeev wrote:
>
>> Добрый день!
>> Спасибо за ответ.
>>
>> Конфиг полный, просто сократил количетсво виртуальных хостов, так как они одинаковые.
> В конфиге значилось:
>
>      include /etc/nginx/conf.d/*.conf;
>      include /etc/nginx/sites-enabled/*;
>
> Так что понять по нему, полный он, или нет - не представляется
> возможным, отсюда и вопросы.
>
>> ssl_session_cache - действительно не настроено.
>> ssl_dhparam - аналогично.
>> сертификат один общий для всех, сгенерировал его для wildcard домена от let's encrypt (Signature Algorithm: sha256WithRSAEncryption, Public-Key: rsaEncryption (2048 bit)).
>>
>> Пытался оптимизировать ssl и посмотреть влияние его настроек на эту проблему. В частности пробовал глобально добавлять опции:
>>
>> *ssl_session_cache shared:SSL:20m;*
>> *ssl_session_timeout 30m; *вроде никак не влияло, но я проверю еще раз конечно, и более чательно.
> Если большая часть клиентов использует тикеты - то может и не
> повлиять.  Для теста можно попробовать отключить тикеты
> (ssl_session_tickets) и/или настроить внешний ключ
> (ssl_session_ticket_key), так как автоматически сгенерированные
> ключи при reload'е обновляются.
>
>> Про ssl_dhparam не понял, с точки зрения производительности -
>> его лучше добавлять но с небольшой битностью (2048 и меньше) или
>> лучше совсем не использовать?
> Лучше - не использовать.  Даже 2048 для классического
> Диффи-Хеллмана - это очень медленно.
>
-- 
Kind regards
Dmitry Sergeev
Tel: +7 (951) 129-75-72

----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20190902/45669ba7/attachment.htm>


Подробная информация о списке рассылки nginx-ru