Re: nginx полностью загружает весь процессор при reload'e

[Maxim Dounin]

Hello!

On Sat, Aug 31, 2019 at 12:54:06PM +0500, Dmitry Sergeev wrote:

> Добрый день!
> Спасибо за ответ.
> 
> Конфиг полный, просто сократил количетсво виртуальных хостов, так как они одинаковые.

В конфиге значилось:

    include /etc/nginx/conf.d/*.conf;
    include /etc/nginx/sites-enabled/*;

Так что понять по нему, полный он, или нет - не представляется 
возможным, отсюда и вопросы.

> ssl_session_cache - действительно не настроено.
> ssl_dhparam - аналогично.
> сертификат один общий для всех, сгенерировал его для wildcard домена от let's encrypt (Signature Algorithm: sha256WithRSAEncryption, Public-Key: rsaEncryption (2048 bit)).
> 
> Пытался оптимизировать ssl и посмотреть влияние его настроек на эту проблему. В частности пробовал глобально добавлять опции:
> 
> *ssl_session_cache shared:SSL:20m;*
> *ssl_session_timeout 30m; *вроде никак не влияло, но я проверю еще раз конечно, и более чательно.

Если большая часть клиентов использует тикеты - то может и не 
повлиять.  Для теста можно попробовать отключить тикеты 
(ssl_session_tickets) и/или настроить внешний ключ 
(ssl_session_ticket_key), так как автоматически сгенерированные 
ключи при reload'е обновляются.

> Про ssl_dhparam не понял, с точки зрения производительности - 
> его лучше добавлять но с небольшой битностью (2048 и меньше) или 
> лучше совсем не использовать?

Лучше - не использовать.  Даже 2048 для классического 
Диффи-Хеллмана - это очень медленно.

-- 
Maxim Dounin
http://mdounin.ru/