AG
каждая собака нынче девопс
💪
А я админ. Просто админ. Примусы починяю....
Ну ещё отделом руководить заставили. За деньги, правда ))
Size: a a a
2019 December 21
Vs
Ну. У нас есть такая проблема. Куча хостов на одном сервере, а из-за сертификатов каждый рестарт превращается в ад.
На тестах серты в переменную показали просто нифиговое сокращение времени рестарта до 0.06 сек. Но мы не можем ввиду специфики подать туда нагрузку... стремно чот.
Дело в том, что в этом случае на каждое новое установление TLS серт и ключ должны читаться с диска. К чему это приведёт в продакшн - пока неизвестно ))
На тестах серты в переменную показали просто нифиговое сокращение времени рестарта до 0.06 сек. Но мы не можем ввиду специфики подать туда нагрузку... стремно чот.
Дело в том, что в этом случае на каждое новое установление TLS серт и ключ должны читаться с диска. К чему это приведёт в продакшн - пока неизвестно ))
положить на мемдиск?
Y
положить на мемдиск?
Там чуть ниже я (и не только я) расписал, почему не влияет.
AG
Я думаю что взять пару серверов и там дать нагрузку равную проду только для кейса ссл в нджинксе с переменными в путях к сертификату это не сложно
AN
Хм. А если оно генерит при обращении, значит можно попробовать не менять ничего в консерватории, а попробовать дать сделать nginx то же самое?
Ога.
Ключевой момент - ибежать вычитывания из файла на каждый новый коннект. Остальное - плюс-минус одинаково будет.
Ключевой момент - ибежать вычитывания из файла на каждый новый коннект. Остальное - плюс-минус одинаково будет.
AG
Ога.
Ключевой момент - ибежать вычитывания из файла на каждый новый коннект. Остальное - плюс-минус одинаково будет.
Ключевой момент - ибежать вычитывания из файла на каждый новый коннект. Остальное - плюс-минус одинаково будет.
Не на каждый, а только на первый
Y
Ога.
Ключевой момент - ибежать вычитывания из файла на каждый новый коннект. Остальное - плюс-минус одинаково будет.
Ключевой момент - ибежать вычитывания из файла на каждый новый коннект. Остальное - плюс-минус одинаково будет.
Ну это вполне решается средствами самой системы. Причём по дефолту в основном. Ну или tmpfs и подобными.
AN
Не на каждый, а только на первый
Если путь к файлу прописан переменной - то, если я правильно понимаю, fopen() оно будет дергать на _каждый_ коннект.
Понятно, что второй и последующие будут пролетать через кэш фс, но контекст-свитч никто не отменял.
Понятно, что второй и последующие будут пролетать через кэш фс, но контекст-свитч никто не отменял.
AG
Если путь к файлу прописан переменной - то, если я правильно понимаю, fopen() оно будет дергать на _каждый_ коннект.
Понятно, что второй и последующие будут пролетать через кэш фс, но контекст-свитч никто не отменял.
Понятно, что второй и последующие будут пролетать через кэш фс, но контекст-свитч никто не отменял.
Нет, fopen только первый раз, потом у тебя в памяти будет инициализировано
AG
В openssl как я понимаю
AN
Надо в код смотреть. Есть сомнения, что это так работает.
AG
После ткрминирования сессии дестроя то нет и не надо
AG
Надо в код смотреть. Есть сомнения, что это так работает.
Тогда замена серта без релоада бы работала. Проверь на летсенкрипт с одним доменом
AG
У меня не работает, поэтому такой вывод
AG
Можно ещё стрейсом глянуть, тогда будет видно с другой стороны
Y
Если путь к файлу прописан переменной - то, если я правильно понимаю, fopen() оно будет дергать на _каждый_ коннект.
Понятно, что второй и последующие будут пролетать через кэш фс, но контекст-свитч никто не отменял.
Понятно, что второй и последующие будут пролетать через кэш фс, но контекст-свитч никто не отменял.
Нет. Не каждый. На каждый _первый_ коннект от конкретного пользователя.
Не стоит забывать про другие современные технологии и примочки типа tickets cache
Не стоит забывать про другие современные технологии и примочки типа tickets cache
AN
Тогда замена серта без релоада бы работала. Проверь на летсенкрипт с одним доменом
Нету под руками нужной версии. Но проверю на досуге.
AN
Хотя сейчас попробую сговнякать локально.
AG
Надо в код смотреть. Есть сомнения, что это так работает.
У вас всего 4к сессий надо если поставить 2 сервера рядом то для нждинкса хватит 8 ядер, а на втором чем больше потоков тем лучше и просто открыть 4к сессий с таймером. Будет вам результат продакшен поведения