Re: SSL сертификаты

[Maxim Dounin]

Hello!

On Mon, Jul 22, 2019 at 12:17:55PM -0400, rihad wrote:

> Можно как-то обойтись без reload (SIGHUP) nginx для того чтобы он перечитал
> с диска сертификаты (ssl_certificate)? Без этого он не бывает в курсе что
> они были обновлены.

В свежих версиях - можно, если в директиве ssl_certificate будут 
использоваться переменные, то nginx будет грузить эти сертификаты 
при каждом SSL handshake'е.

Но лучше так не делать без острой нужды, так как у этого подхода 
хватает своих проблем - начиная от производительности (так как 
сертификаты и ключи загружаются при каждом handshake'е) и 
заканчивая безопасностью (при такой схеме требуются права на 
чтение ключей не только root'у, но и рабочим процессам nginx'а).

> Но у релоад есть плохая штука что он наверняка забывает
> такие вещи как inactive=nnn в директиве proxy_cache_path, и если reload
> происходит раз в неделю, то любой inactive выше недели по сути ничего не
> делает.

Это не так.  Если конфигурация кэша не менялась - то данные о 
активности элементов кэша при reload'е не теряются.

> Также каждый релоад требует перечтения всех имеющихся данных cache
> loader'ом, а когда таких данных сотни гигов и диски (пока :)) крутящиеся,
> директива max_size не способна ограничивать дисковое пространство (т.к. пока
> loader все файлы не перечитает nginx не знает сколько пространства занято,
> если не ошибаюсь).

И это не так.  Если конфигурация кэша не менялась - информация о 
содержимом кэша при reload'е не перечитывается.

-- 
Maxim Dounin
http://mdounin.ru/