<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вт, 26 июл. 2022 г. в 02:35, Maxim Dounin <<a href="mailto:mdounin@mdounin.ru">mdounin@mdounin.ru</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello!<br>
<br>
On Mon, Jul 25, 2022 at 11:05:56AM +0300, Gena Makhomed wrote:<br>
<br>
> On 24.07.2022 1:15, Maxim Dounin wrote:<br>
> <br>
>  >> My nginx error log is being filled with errors which I believe are being<br>
>  >> surfaced from OpenSSL. The log entries number in the hundreds of<br>
>  >> thousands per day and I understand they are most likely due to<br>
>  >> conditions beyond my control. Examples of the log entries are:<br>
> <br>
> [...]<br>
> <br>
>  >> 2022/07/23 16:26:33 [alert] 849481#849481: *8078448 could not allocate<br>
>  >> new session in SSL session shared cache "le_nginx_SSL" while SSL<br>
>  >> handshaking, client: 175.156.80.121, server: <a href="http://0.0.0.0:443" rel="noreferrer" target="_blank">0.0.0.0:443</a><br>
>  ><br>
>  > This error indicate that nginx wasn't able to allocate new session<br>
>  > in the SSL session cache defined by the "ssl_session_cache"<br>
>  > directive, and removing an old session didn't help.  This<br>
>  > basically indicate that the SSL session cache is too small, and it<br>
>  > would be a good idea to either configure a larger cache or reduce<br>
>  > ssl_session_timeout.  The logging level is probably a bit too<br>
>  > scary, see <a href="https://trac.nginx.org/nginx/ticket/621" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/ticket/621</a> for details.<br>
> <br>
> Максим, Вы говорите, что "The message is probably a bit too scary<br>
> (while the situation itself is mostly harmless)".<br>
> <br>
> Тикету <a href="https://trac.nginx.org/nginx/ticket/621" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/ticket/621</a> уже 8 лет.<br>
> <br>
> Разве не проще один раз пофиксить эту проблему в исходниках nginx,<br>
> чем постоянно рассказывать пользователям в списках рассылки о том,<br>
> что "The logging level is probably a bit too scary"?<br>
> <br>
> Если просто поменять [alert] на [warn] - ничего ведь не сломается?<br>
> Почему же Вы этого не хочете или не можете сделать? Ведь это не сложно.<br>
<br>
По конкретному тикету есть несколько моментов:<br>
<br>
- Перед тем, как менять уровень логгирования - надо как минимум <br>
  проверить, что в случае невозможности выделения памяти для сессии <br>
  действительно ничего не ломается.<br></blockquote><div><br></div><div>можно, наверное, поменять alert на warn, а потом еще лет 8 исследовать описанные моменты, которые действительно требуют время</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
- А ещё неплохо бы сесть и внимательно посмотреть, не имеет ли <br>
  смысла изменить логику удаления старых сессий в случае нехватки <br>
  памяти, чтобы ошибок не возникало.  Или даже переделать логику <br>
  выделения памяти под сессии, дабы минимизировать вероятность <br>
  неуспеха.  Или прикрутить логику, аналогичную реализованной для <br>
  памяти под элементы кэша (<a href="http://hg.nginx.org/nginx/rev/c9d680b00744" rel="noreferrer" target="_blank">http://hg.nginx.org/nginx/rev/c9d680b00744</a>).<br>
<br>
Всё это требует времени, которое конечно.<br>
<br>
Кроме того, "постоянно рассказывать" - на моей памяти примерно <br>
первый раз за прошедшие с момента появления этого тикета 8 лет.  <br>
То есть проблемы, фактически, нет.<br>
<br>
> Сейчас в nginx trac открыто 263 тикета<br>
> <a href="https://trac.nginx.org/nginx/report/1" rel="noreferrer" target="_blank">https://trac.nginx.org/nginx/report/1</a><br>
> разве не было бы логично уменьшить их количество<br>
> до минимально возможного числа, в идеале - до нуля?<br>
<br>
Было бы логично, конечно.  Лично я регулярно занимаюсь тем, что <br>
уменьшаю количество открытых тикетов.  Открытых тикетов про <br>
проблемы в коде сейчас - 70 штук, большую часть просто так не <br>
закрыть.<br>
<br>
-- <br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
_______________________________________________<br>
nginx-ru mailing list -- <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
To unsubscribe send an email to <a href="mailto:nginx-ru-leave@nginx.org" target="_blank">nginx-ru-leave@nginx.org</a><br>
</blockquote></div></div>