worker process exited on signal 11
gurgen
nginx-forum на nginx.us
Ср Авг 5 15:31:34 UTC 2015
Коллеги,
поставил новый сертификат SSL на nginx от WoSIGN (бесплатный). Предыдущий
стоял StartSSL.
процессы nginx worker стали падать в Seg fault (11) на некоторых запросах,
которых не поймать.
После падения процесса в статистике stub_status висят соединения от этих
клиентов, последующие соединения при настроенном "limit_conn addr 10"
получают 503, то есть nginx думает что есть установленные соединения. По
netstat таких соединений нет вовсе (штук 20 висят живых).
В логах веселее:
2015/08/05 16:38:18 [alert] 17131#17131: worker process 18807 exited on
signal 11 (core dumped)
2015/08/05 16:41:16 [alert] 17131#17131: worker process 19852 exited on
signal 11 (core dumped)
2015/08/05 16:44:12 [alert] 17131#17131: worker process 20566 exited on
signal 11 (core dumped)
2015/08/05 16:47:12 [alert] 17131#17131: worker process 20812 exited on
signal 11 (core dumped)
2015/08/05 16:50:15 [alert] 17131#17131: worker process 19592 exited on
signal 11 (core dumped)
2015/08/05 16:53:15 [alert] 17131#17131: worker process 22300 exited on
signal 11 (core dumped)
2015/08/05 17:53:16 [alert] 17131#17131: worker process 680 exited on signal
11 (core dumped)
2015/08/05 17:56:16 [alert] 17131#17131: worker process 32332 exited on
signal 11 (core dumped)
2015/08/05 17:59:13 [alert] 17131#17131: worker process 870 exited on signal
11 (core dumped)
2015/08/05 18:02:13 [alert] 17131#17131: worker process 1658 exited on
signal 11 (core dumped)
2015/08/05 18:05:13 [alert] 17131#17131: worker process 1865 exited on
signal 11 (core dumped)
2015/08/05 18:08:14 [alert] 17131#17131: worker process 2641 exited on
signal 11 (core dumped)
2015/08/05 18:20:13 [alert] 17131#17131: worker process 4580 exited on
signal 11 (core dumped)
Есть два сервера для опытов.
Первый:
nginx version: nginx/1.6.2
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC)
TLS SNI support enabled
Второй:
nginx version: nginx/1.9.3
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-11) (GCC)
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
У сервера нагрузка до 200 запросов в минуту.
Вот два графика:
1. Обычная нагрузка на старом сертификате:
https://yadi.sk/i/hL74eSUwiHf2b
2. После смены сертификата:
https://yadi.sk/i/BURXJSwqiHf6P
Грешил на стабильную ветку, перевел посетителей на второй сервер с
mainline-версией. Ситуация аналогичная. Вот график:
https://yadi.sk/i/a4VrM7sKiHfNs
Падения на графиках - рестрат nginx руками. На первом worker_connections
1024, на втором уже 5096 поставил. Проблема не решается.
Проверить опять на старом сертификате не получится - он истёк.
Вот текущий stub_status:
Active connections: 2436
server accepts handled requests
9513 9513 19672
Reading: 0 Writing: 674 Waiting: 1719
Статистика в Apache совсем детская:
Total accesses: 20550 - Total Traffic: 31.6 MB
CPU Usage: u283.26 s32.49 cu.88 cs0 - 1.23% CPU load
.801 requests/sec - 1292 B/second - 1613 B/request
1 requests currently being processed, 9 idle workers
Нагрузка на сервере LA 0.10.
Есть push-соединения на обычном http, они не проблемные, их 20-30,
проксируются на dklab_realplexor. Если их отключить, ситуация не
исправлялась вовсе.
Для временного решения проблемы пришлось всех клиентов принудительно
перенаправлять на с https на http, но соединения всё-равно висят и копятся.
Подобные сертификаты стоят и на других серверах (получены месяц назад),
таких проблем нет. Свежий, видимо, выносит мозг.
Есть возможность поковырять первый сервер. Подскажите, каким образом можно
локализовать проблему?
spdy не влияет, включили уже с этой проблемой.
Конфиг простой:
server {
listen 443 spdy;
limit_conn addr 20;
server_name site.ru www.site.ru;
ssl on;
ssl_certificate /etc/nginx/ssl_2015/ssl2.crt;
ssl_certificate_key /etc/nginx/ssl_2015/ssl2.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH';
ssl_session_timeout 28h;
ssl_prefer_server_ciphers on;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate "/etc/nginx/ssl_2015/ssl2.crt";
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;
error_page 500 502 503 504 /503.html;
location = /503.html {
root /home/site/public_html;
}
if ( $ipban ) {
return 403;
}
location ~* /static {
root /home/site/public_html;
expires 30d;
access_log off;
limit_req zone=one burst=50 nodelay;
limit_conn addr 30;
}
location / {
limit_req zone=one burst=20 nodelay;
proxy_pass http://127.0.0.1:8080;
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-SSL "yes";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Range "";
proxy_set_header Request-Range "";
client_max_body_size 24m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
}
Posted at Nginx Forum: http://forum.nginx.org/read.php?21,260795,260795#msg-260795
Подробная информация о списке рассылки nginx-ru