соотношение балансировщиков/веб-серверов (оффтоп, но...)

Igor Sysoev is at rambler-co.ru
Tue Oct 27 18:09:10 MSK 2009


On Tue, Oct 27, 2009 at 05:48:14PM +0300, big bond wrote:

> 27 октября 2009 г. 13:24 пользователь Igor Sysoev <is at rambler-co.ru> написал:
> > On Tue, Oct 27, 2009 at 12:22:17PM +0300, big bond wrote:
> >
> >> 26 октября 2009 г. 23:35 пользователь Igor Sysoev <is at rambler-co.ru> написал:
> >> > On Mon, Oct 26, 2009 at 11:04:53PM +0300, big bond wrote:
> >> >
> >> >> Согласен, но все же я пытаюсь определить, при каком количестве
> >> >> конкурентных SSL-сессий умрет балансировщик. Тесты показали, что в
> >> >> случае если SSL терминируется на apache, то количество ESTABLISHED на
> >> >> стороне клиента ~= количеству worker'ов apache (в тесте был 1 клиент и
> >> >> 1 сервер), причем с точностью до нескольких штук на тысячи соединений.
> >> >> Как точно посчитать количество SSL-handshake'ов?
> >> >
> >> > $ab -? 2>&1 | tail -2
> >> >    -Z ciphersuite  Specify SSL/TLS cipher suite (See openssl ciphers)
> >> >    -f protocol     Specify SSL/TLS protocol (SSL2, SSL3, TLS1, or ALL)
> >> > $
> >> >
> >> > как бы говорит нам, что оно умеет и HTTPS.
> >> Да, но:
> >> $man ab:
> >> <--------->
> >>        -s     When compiled in (ab -h will show you) use the SSL
> >> protected https rather than the http protocol. This feature is
> >> experimental and very rudimentary. You probably do not want to use it.
> >> <--------->
> >
> > Но попробовать-то это не мешает. Всяко лучше, чем flood_connect, который
> > не меряет вообще ничего. Можно попробовать httperf:
> >
> >       httperf --hog --server=www --wsess=10,5,2 --rate=1 --timeout=5 --ssl
> >              Like above, except that httperf contacts server www via  SSL  at
> >              port 443 (the default port for SSL connections).
> >
> Спасибо, попробую httperf, но я не уверен, что он сможет сгенерировать
> с одной десктоп-машины хотя бы пару десятков тысяч параллельных
> соединений (как это может flood_connect, но это решается
> дополнительными железками, в принципе), зато уж точно будут
> полноценные хендшейки + http запросы как бонус, хотя на данном этапе
> меня интересуют "чистые" ssl-сессии, без передачи данных внутри них.
> Причина проста - мы подверглись массированной атаке на текущие
> балансировщики (apache, балансируют + терминируют ssl) - тысячи пустых
> ssl-сессий заставили индейца породить тысячи worker'ов и они съели всю
> память.

В данном случае проблема не SSL, а в том, что Апач много ест памяти
на соединение.


-- 
Игорь Сысоев
http://sysoev.ru





More information about the nginx-ru mailing list