<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вт, 26 июл. 2022 г. в 19:33, Gena Makhomed <<a href="mailto:gmm@csdoc.com">gmm@csdoc.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 26.07.2022 16:59, Maxim Dounin wrote:<br>
<br>
>>>> >> 2022/07/23 16:26:33 [alert] 849481#849481: *8078448 could not allocate<br>
>>>> >> new session in SSL session shared cache "le_nginx_SSL" while SSL<br>
>>>> >> handshaking, client: 175.156.80.121, server: <a href="http://0.0.0.0:443" rel="noreferrer" target="_blank">0.0.0.0:443</a><br>
<br>
[...]<br>
<br>
>> Если не будет в логах ошибок - каким образом тогда пользователь<br>
>> сможет понять, что размер кэша для сессий SSL слишком маленький?<br>
<br>
> Точно так же, как и сейчас - по статистике повторного<br>
> использования сессий, других способов нет.  Обсуждаемое сообщение<br>
> об ошибке возникает тогда и только тогда, когда не удаётся<br>
> выделить память после удаления одной из старых сессий.  Такое<br>
> может происходить, например, если удалённая сессия заметно<br>
> отличается по размеру от создаваемой, и попадает в другой диапазон<br>
> выделений slab-аллокатора.<br>
<br>
А каким образом эту статистику повторного использования сессий<br>
можно получить? Для этого надо писать в лог значение переменной<br>
$ssl_session_reused потом скриптом вычислять процент запросов,<br></blockquote><div><br></div><div>и да, и нет. действительно, сессию можно логировать, но это не значит, что сессия была использована.</div><div>сессии это устаревший механизм, сейчас 100% современных браузеров используют tls tickets</div><div><br></div><div><a href="https://stackoverflow.com/questions/19939247/ssl-session-tickets-vs-session-ids">SSL session tickets vs session ids - Stack Overflow</a><br></div><div><br></div><div>это примерно как сессии, но хранятся на клиенте.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
у которых $ssl_session_reused возвращает значение "r" ? И в том случае,<br>
если этот процент стал меньше обычно наблюдаемого значения -<br></blockquote><div><br></div><div>вопрос хороший, но, не уверен, что актуальный.</div><div><br></div><div>из того, с чем реально сталкивались - ротация тикетов и сессий. есть два пограничных подхода</div><div><br></div><div>а) никогда не делать релоад. (сессии вечные, безопасники несчастны)</div><div>б) иногда делать релоад. сессии ротируются, но по вам со всей дури прилетает cpu storm на полных хендшейках</div><div><br></div><div>как-то управляемо ротировать сессии, без привязки к релоаду, было бы идеально</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
это будет означать, что размер кэша для сессий SSL<br>
возможно стал слишком мал и его желательно увеличить?<br>
<br>
-- <br>
Best regards,<br>
  Gena<br>
_______________________________________________<br>
nginx-ru mailing list -- <a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
To unsubscribe send an email to <a href="mailto:nginx-ru-leave@nginx.org" target="_blank">nginx-ru-leave@nginx.org</a><br>
</blockquote></div></div>