Re: nginx SSL offload в highload проекте

Илья Шипицин chipitsine at gmail.com
Thu Aug 23 12:15:33 UTC 2012


23 августа 2012 г., 17:50 пользователь Alexandre Snarskii
<snar at snar.spb.ru>написал:

> On Thu, Aug 23, 2012 at 05:26:47PM +0600, Илья Шипицин wrote:
> >     >
> >     > у меня все равно не выстраивается картина.
> >     >
> >     > вот смотрите, допустим по цепочке от пользователя  до сервера НЕ
> >     фильтруется
> >     > icmp, в этом случае все будет хорошо и, если я на сервере скажу
> "icmp
> >     dest
> >     > unreah frag required", то пользователь это увидит.
> >     >
> >     > в противном случае, если в транзите режется icmp, то сколько я ни
> говори,
> >     он не
> >     > услышит.
> >     >
> >     > как в этом случае поможет "attempt to prevent this problem by
> inferring
> >     that
> >     > large payload packets have been dropped due to MTU" ? ну ок,
> я сказал, по
> >     > дороге icmp потерялось, меня никто не услышал.
> >     >
> >     > или я что-то упускаю из вида ?
> >
> >     Подразумевается, видимо, что-то типа того, что на сервере можно
> >     "увидеть" tcp retransmit'ы. Если это ретрансмит первого же "полного"
> >     пакета, можно предположить, что до пользователя есть проблема с mtu и
> >     понизить mtu для данного адреса.
> >
> >
> >
> > сам по себе MTU не особо интересен. интереснее MSS. мы на OpenBSD
> столкнулись с
> > тем, что они живут каждый своей жизнью (на линуксе - mss вычисляется
> исходя
> > из mtu).
> >
> >
> >
> >     Но ловить проблемы с PMTU таким образом - это все-таки жестоко,
> >     начиная с того, что придется перехватывать (либо на уровне bpf,
> >     либо рисовать ядрёный патч) весь траффик и вести tcp state machine.
> >     jimho, не стоит овчинка выделки.
> >
> >
> > то есть, понижая MSS до "безопасного" уровня я по сути делаю то, что
> > подразумевается в "умных pmtu устройствах" ? или есть нюансы ?
>
> Что вы подразумеваете под "умным pmtu устройством" ? Если это
> устройство абонентского доступа (например, pppoe'шный/pptp'шный
> концентратор или клиентская короёбочка/роутер, цепляющаяся по
> pppoe/pptp) - то да, именно он (а не конечный сервер, то есть
> не вы) и должен заниматься переписыванием значения mss'а если
>

как вы понимаете, это рассылка про nginx. соответственно, речь идет про те
настройки, которые можно сделать именно на сервере.



> он в пакете уже есть, и результирующий "полноMSS'ный" пакет
> превысит MTU линка.
> Как показывает практика (~30k pppoe пользователей на одной из
> предыдущих работ) - mss fixup'ы на настроенном провайдерском
> оборудовании работают вполне корректно.
>
> То же, что делаете вы - скопом понижаете MSS для всего интернета
> в целом (в том числе для подавляющего большинства пользователей
> у которых нет проблем с MTU) - ну, ok, за счет некоторого overhead'а
> для всех пользователей вы добавляете возможность работы для некоторого
> (подозреваю, довольно малого) количества пользователей из "недонастроенных"
> сетей, то есть маскируете проблему. Как следствие - а) overhead таки
> есть и б) если так будут поступать все - проблему никогда и не починят,
> просто потому что не заметят ;)
>


проблему и не заметят.
не так много приложений, включающих флаг DF.
если у пользователя открывается ВКонтакт, но не открывается настроенный
мной SSL-ный сайт (на который он пришел с включенным DF, потому что Windows
так всегда делает), то крайним буду я.


>
> Считать ли это нюансом - на ваше усмотрение ;)
>

мы с этим довольно давно живем и вполне успешно.


>
> --
> In theory, there is no difference between theory and practice.
> But, in practice, there is.
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20120823/079832e8/attachment.html>


Подробная информация о списке рассылки nginx-ru