Re: haproxy (was Re: несколько сертификатов в одном блоке server)

2017-05-15 Пенетрантность Maxim Konovalov 
[...]
>> Пардон, что угоняю тред, но всегда интересовало: но ведь haproxy не
>> умеет нормально smp -- оно по сути однопроцессное (см. ворнинг для
>> nbproc) и однотредовое.
> 
> ну там в общем-то только сказанно что отладка сложна и уныла.
> но это и с nginx так же (проходил, да).
> 
> собственно запрета-то там не было, кажется просто переставали работать
> всякие агрегатные лимиты (могу путать, поскольку см.ниже).
> 
Дело далеко не в отладке. Дело в том, что никакие стейты не шарятся
между процессами.  Из-за этого довольно много интересных нюансов
появляется, начиная с балансировки.

>> Как вы с этим справляетесь? Запускаете пачку haproxy, каждый со
>> своим конфигом?
> 
> ну пока там, где haproxy -- мне и одного треда хватает.

Ясно, спасибо.

> ну а в версии 1.7 поддержка улучшилась (will make it easier to
> aggregate statistics over multiple processes).

Не уверен, но похоже это про передачу статистики каждого куда-то
наружу, во внешнюю систему.

-- 
Maxim Konovalov
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: haproxy (was Re: несколько сертификатов в одном блоке server)

2017-05-15 Пенетрантность Slawa Olhovchenkov 
On Mon, May 15, 2017 at 01:08:01PM -0700, Maxim Konovalov wrote:

> On 11/05/2017 07:32, Slawa Olhovchenkov wrote:
> > On Thu, May 11, 2017 at 07:22:34PM +0500, Илья Шипицин wrote:
> > 
> >> так, стоп.
> >>
> >> вы говорите, что так умеет haproxy.
> >> способ, которым это можно сделать в nginx, для вас неудобен.
> >>
> >> может, вам правильнее на haproxy перейти
> > 
> > haproxy удобен для проксирования, но не для [нужной мне] раздачи
> > статики, для которой удобен nginx.
> > 
> > haproxy у меня тоже используется, там где он более удобен.
> > 
> Пардон, что угоняю тред, но всегда интересовало: но ведь haproxy не
> умеет нормально smp -- оно по сути однопроцессное (см. ворнинг для
> nbproc) и однотредовое.

ну там в общем-то только сказанно что отладка сложна и уныла.
но это и с nginx так же (проходил, да).

собственно запрета-то там не было, кажется просто переставали работать
всякие агрегатные лимиты (могу путать, поскольку см.ниже).

> Как вы с этим справляетесь? Запускаете пачку haproxy, каждый со
> своим конфигом?

ну пока там, где haproxy -- мне и одного треда хватает.
ну а в версии 1.7 поддержка улучшилась (will make it easier to
aggregate statistics over multiple processes).
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: mp4 + ssl

2017-05-15 Пенетрантность Maxim Konovalov 
On 15/05/2017 13:08, Slawa Olhovchenkov wrote:
> On Mon, May 15, 2017 at 01:04:29PM -0700, Maxim Konovalov wrote:
> 
>> On 15/05/2017 11:52, Slawa Olhovchenkov wrote:
>>> On Mon, May 15, 2017 at 09:40:26PM +0300, Андрей Василишин wrote:
>>>
 Привет всем!
 В связи с поголовной sslзацией Интернета пришла очередь и до
 mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже
 начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика.
 Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц
 гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже:
>>>
>>> по моим наблюдениям sslизация режет производительность эдак на
>>> треть/пополам (смотря от какого сценария мерять) и с этим ничего
>>> сделать нельзя, если только у тебя нет парочки ядерных программистов
>>> на год, что бы повторить работу scott и glebius (и тогда будет резать
>>> только процентов 20%, емнип). 
>>>
>> Скорее rss:
>>
>> https://people.freebsd.org/~rrs/asiabsd_2015_tls.pdf
> 
> ну может трое.
> а может первые два из статьи -- типа руководители.
> sendfile занимался glebius, а по поводу используемых библиотек я
> переписывался со scott.

tls занимался rss.

-- 
Maxim Konovalov
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: mp4 + ssl

2017-05-15 Пенетрантность Slawa Olhovchenkov 
On Mon, May 15, 2017 at 01:04:29PM -0700, Maxim Konovalov wrote:

> On 15/05/2017 11:52, Slawa Olhovchenkov wrote:
> > On Mon, May 15, 2017 at 09:40:26PM +0300, Андрей Василишин wrote:
> > 
> >> Привет всем!
> >> В связи с поголовной sslзацией Интернета пришла очередь и до
> >> mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже
> >> начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика.
> >> Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц
> >> гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже:
> > 
> > по моим наблюдениям sslизация режет производительность эдак на
> > треть/пополам (смотря от какого сценария мерять) и с этим ничего
> > сделать нельзя, если только у тебя нет парочки ядерных программистов
> > на год, что бы повторить работу scott и glebius (и тогда будет резать
> > только процентов 20%, емнип). 
> > 
> Скорее rss:
> 
> https://people.freebsd.org/~rrs/asiabsd_2015_tls.pdf

ну может трое.
а может первые два из статьи -- типа руководители.
sendfile занимался glebius, а по поводу используемых библиотек я
переписывался со scott.
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

haproxy (was Re: несколько сертификатов в одном блоке server)

2017-05-15 Пенетрантность Maxim Konovalov 
On 11/05/2017 07:32, Slawa Olhovchenkov wrote:
> On Thu, May 11, 2017 at 07:22:34PM +0500, Илья Шипицин wrote:
> 
>> так, стоп.
>>
>> вы говорите, что так умеет haproxy.
>> способ, которым это можно сделать в nginx, для вас неудобен.
>>
>> может, вам правильнее на haproxy перейти
> 
> haproxy удобен для проксирования, но не для [нужной мне] раздачи
> статики, для которой удобен nginx.
> 
> haproxy у меня тоже используется, там где он более удобен.
> 
Пардон, что угоняю тред, но всегда интересовало: но ведь haproxy не
умеет нормально smp -- оно по сути однопроцессное (см. ворнинг для
nbproc) и однотредовое.

Как вы с этим справляетесь? Запускаете пачку haproxy, каждый со
своим конфигом?

-- 
Maxim Konovalov
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: mp4 + ssl

2017-05-15 Пенетрантность Gena Makhomed 

On 15.05.2017 21:40, Андрей Василишин wrote:


Может что-то где-то надо подтюнить в конфиге?


https://habrahabr.ru/post/325230/
OpenSSL, ssl_ciphers и nginx: прокачиваем на 100%

[...]

С таким конфигом мы получаем ровно такой результат как у Google на 
начало 2017 года.


При этом мы точно знаем что у всех клиентов сайт открывается настолько 
быстро, насколько это возможно без использования слабых шифров: все 
современные браузеры используют ECDHE.


--
Best regards,
 Gena

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: mp4 + ssl

2017-05-15 Пенетрантность Maxim Konovalov 
On 15/05/2017 11:52, Slawa Olhovchenkov wrote:
> On Mon, May 15, 2017 at 09:40:26PM +0300, Андрей Василишин wrote:
> 
>> Привет всем!
>> В связи с поголовной sslзацией Интернета пришла очередь и до
>> mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже
>> начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика.
>> Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц
>> гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже:
> 
> по моим наблюдениям sslизация режет производительность эдак на
> треть/пополам (смотря от какого сценария мерять) и с этим ничего
> сделать нельзя, если только у тебя нет парочки ядерных программистов
> на год, что бы повторить работу scott и glebius (и тогда будет резать
> только процентов 20%, емнип). 
> 
Скорее rss:

https://people.freebsd.org/~rrs/asiabsd_2015_tls.pdf

-- 
Maxim Konovalov
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: mp4 + ssl

2017-05-15 Пенетрантность Vasiliy P. Melnik 
>
> > Поставить в качестве предпочитаемых шифров null и rc4, все равно это
> шифрование для галочки
>

> Естественно только для раздачи mp4 и т.п. ассетов
>

а тест www.ssllabs.com проходится в таком случае?
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: mp4 + ssl

2017-05-15 Пенетрантность Konstantin Tokarev 


15.05.2017, 21:54, "Konstantin Tokarev" :
> 15.05.2017, 21:40, "Андрей Василишин" :
>>  Привет всем!
>>  В связи с поголовной sslзацией Интернета пришла очередь и до
>>  mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже
>>  начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика.
>>  Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц
>>  гуляет. Может нчто-то где-то надо подтюнить в конфиге?
>
> Поставить в качестве предпочитаемых шифров null и rc4, все равно это 
> шифрование для галочки

Естественно только для раздачи mp4 и т.п. ассетов

>
>>  Конфиг ssl ниже:
>>
>>  listen 443 ssl;
>>  add_header Strict-Transport-Security "max-age=0;";
>>  # add_header Strict-Transport-Security "max-age=31536000;
>>  includeSubDomains" always;
>>  # ssl on;
>>  ssl_certificate /etc/nginx/ssl/site.com.crt;
>>  ssl_certificate_key /etc/nginx/ssl/privatekey.key;
>>  ssl_trusted_certificate /etc/nginx/ssl/site.com.crt;
>>  # должен содержать 80 или 48 48 or 80 bytes
>>  # openssl rand 48 > /etc/nginx/ssl/current.key
>>  ssl_session_ticket_key /etc/nginx/ssl/current.key;
>>  ssl_session_ticket_key /etc/nginx/ssl/prev.key;
>>  ssl_session_ticket_key /etc/nginx/ssl/prevprev.key;
>>
>>  # Use 2048 bit Diffie-Hellman RSA key parameters
>>  # (otherwise Nginx defaults to 1024 bit, lowering the strength
>>  of encryption # when using PFS)
>>  # Generated by OpenSSL with the following command:
>>  # openssl dhparam -outform pem -out
>>  /etc/nginx/ssl/dhparam2048.pem 2048
>>  ssl_dhparam /etc/nginx/ssl/dhparam2048.pem;
>>
>>  # make the server choose the best cipher instead of the browser
>>  # Perfect Forward Secrecy(PFS) is frequently compromised without
>>  this
>>  ssl_prefer_server_ciphers on;
>>
>>  # support only believed secure ciphersuites using the following
>>  priority:
>>  # 1.) prefer PFS enabled ciphers
>>  # 2.) prefer AES128 over AES256 for speed (AES128 has completely
>>  adequate security for now)
>>  # 3.) Support DES3 for IE8 support
>>
>>  # disable the following ciphersuites completely
>>  # 1.) null ciphers
>>  # 2.) ciphers with low security
>>  # 3.) fixed ECDH cipher (does not allow for PFS)
>>  # 4.) known vulnerable cypers (MD5, RC4, etc)
>>  # 5.) little-used ciphers (Camellia, Seed)
>>  ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256
>>  kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA
>>  !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED';
>>
>>  ## OCSP Stapling
>>  ssl_stapling on;
>>  ssl_stapling_verify on;
>>  ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
>>
>>  # Cache SSL Sessions for up to 10 minutes
>>  # This improves performance by avoiding the costly session
>>  negotiation process where possible
>>  ssl_session_cache builtin:1 shared:SSL:100m;
>>  # ssl_session_timeout 5m; # this is a default, but can be changed
>>  ssl_session_timeout 1h;
>>  ___
>>  nginx-ru mailing list
>>  nginx-ru@nginx.org
>>  http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
> --
> Regards,
> Konstantin
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

-- 
Regards,
Konstantin
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: mp4 + ssl

2017-05-15 Пенетрантность Konstantin Tokarev 


15.05.2017, 21:40, "Андрей Василишин" :
> Привет всем!
> В связи с поголовной sslзацией Интернета пришла очередь и до
> mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже
> начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика.
> Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц
> гуляет. Может нчто-то где-то надо подтюнить в конфиге?

Поставить в качестве предпочитаемых шифров null и rc4, все равно это шифрование 
для галочки

> Конфиг ssl ниже:
>
> listen 443 ssl;
> add_header Strict-Transport-Security "max-age=0;";
> # add_header Strict-Transport-Security "max-age=31536000;
> includeSubDomains" always;
> # ssl on;
> ssl_certificate /etc/nginx/ssl/site.com.crt;
> ssl_certificate_key /etc/nginx/ssl/privatekey.key;
> ssl_trusted_certificate /etc/nginx/ssl/site.com.crt;
> # должен содержать 80 или 48 48 or 80 bytes
> # openssl rand 48 > /etc/nginx/ssl/current.key
> ssl_session_ticket_key /etc/nginx/ssl/current.key;
> ssl_session_ticket_key /etc/nginx/ssl/prev.key;
> ssl_session_ticket_key /etc/nginx/ssl/prevprev.key;
>
> # Use 2048 bit Diffie-Hellman RSA key parameters
> # (otherwise Nginx defaults to 1024 bit, lowering the strength
> of encryption # when using PFS)
> # Generated by OpenSSL with the following command:
> # openssl dhparam -outform pem -out
> /etc/nginx/ssl/dhparam2048.pem 2048
> ssl_dhparam /etc/nginx/ssl/dhparam2048.pem;
>
> # make the server choose the best cipher instead of the browser
> # Perfect Forward Secrecy(PFS) is frequently compromised without
> this
> ssl_prefer_server_ciphers on;
>
> # support only believed secure ciphersuites using the following
> priority:
> # 1.) prefer PFS enabled ciphers
> # 2.) prefer AES128 over AES256 for speed (AES128 has completely
> adequate security for now)
> # 3.) Support DES3 for IE8 support
>
> # disable the following ciphersuites completely
> # 1.) null ciphers
> # 2.) ciphers with low security
> # 3.) fixed ECDH cipher (does not allow for PFS)
> # 4.) known vulnerable cypers (MD5, RC4, etc)
> # 5.) little-used ciphers (Camellia, Seed)
> ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256
> kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA
> !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED';
>
> ## OCSP Stapling
> ssl_stapling on;
> ssl_stapling_verify on;
> ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
>
> # Cache SSL Sessions for up to 10 minutes
> # This improves performance by avoiding the costly session
> negotiation process where possible
> ssl_session_cache builtin:1 shared:SSL:100m;
> # ssl_session_timeout 5m; # this is a default, but can be changed
> ssl_session_timeout 1h;
> ___
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

-- 
Regards,
Konstantin
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: mp4 + ssl

2017-05-15 Пенетрантность Slawa Olhovchenkov 
On Mon, May 15, 2017 at 09:40:26PM +0300, Андрей Василишин wrote:

> Привет всем!
> В связи с поголовной sslзацией Интернета пришла очередь и до
> mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже
> начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика.
> Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц
> гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже:

по моим наблюдениям sslизация режет производительность эдак на
треть/пополам (смотря от какого сценария мерять) и с этим ничего
сделать нельзя, если только у тебя нет парочки ядерных программистов
на год, что бы повторить работу scott и glebius (и тогда будет резать
только процентов 20%, емнип). 

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

mp4 + ssl

2017-05-15 Пенетрантность Андрей Василишин 
Привет всем!
В связи с поголовной sslзацией Интернета пришла очередь и до
mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже
начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика.
Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц
гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже:

listen  443 ssl;
add_header  Strict-Transport-Security "max-age=0;";
#add_header Strict-Transport-Security "max-age=31536000;
includeSubDomains" always;
#ssl on;
ssl_certificate /etc/nginx/ssl/site.com.crt;
ssl_certificate_key /etc/nginx/ssl/privatekey.key;
ssl_trusted_certificate /etc/nginx/ssl/site.com.crt;
# должен содержать 80 или 48 48 or 80 bytes
# openssl rand 48 > /etc/nginx/ssl/current.key
ssl_session_ticket_key /etc/nginx/ssl/current.key;
ssl_session_ticket_key /etc/nginx/ssl/prev.key;
ssl_session_ticket_key /etc/nginx/ssl/prevprev.key;

# Use 2048 bit Diffie-Hellman RSA key parameters
# (otherwise Nginx defaults to 1024 bit, lowering the strength
of encryption # when using PFS)
# Generated by OpenSSL with the following command:
# openssl dhparam -outform pem -out
/etc/nginx/ssl/dhparam2048.pem 2048
ssl_dhparam /etc/nginx/ssl/dhparam2048.pem;

# make the server choose the best cipher instead of the browser
# Perfect Forward Secrecy(PFS) is frequently compromised without
this
ssl_prefer_server_ciphers on;

# support only believed secure ciphersuites using the following
priority:
# 1.) prefer PFS enabled ciphers
# 2.) prefer AES128 over AES256 for speed (AES128 has completely
adequate security for now)
# 3.) Support DES3 for IE8 support

# disable the following ciphersuites completely
# 1.) null ciphers
# 2.) ciphers with low security
# 3.) fixed ECDH cipher (does not allow for PFS)
# 4.) known vulnerable cypers (MD5, RC4, etc)
# 5.) little-used ciphers (Camellia, Seed)
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256
kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA
!aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED';

## OCSP Stapling
ssl_stapling on;
ssl_stapling_verify on;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

# Cache SSL Sessions for up to 10 minutes
# This improves performance by avoiding the costly session
negotiation process where possible
ssl_session_cache builtin:1 shared:SSL:100m;
# ssl_session_timeout 5m; # this is a default, but can be changed
ssl_session_timeout 1h;
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: nginx-1.12.0

2017-05-15 Пенетрантность Maxim Dounin 
Hello!

On Sun, May 14, 2017 at 10:38:13PM +0300, Vladimir Getmanshchuk wrote:

> Добрый вечер!
> 
> После обновления на 1.12 в конфиге:
> map $http_variable_name $variable_name {
> ...
> }
> 
> ругается:
> nginx: [emerg] the duplicate "variable_name" variable

Судя по сообщению, вы пытаетесь переопределить встроенную 
переменную.

В nginx'е нет переменной с именем $variable_name, так что если 
данное имя переменной настоящее - то посмотрите на список 
используемых сторонних модулей, возможно проблема там.

Или же нужен полный (минимальный) конфиг, на котором 
воспроизводится проблема.

-- 
Maxim Dounin
http://nginx.org/
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Как заблокировать доступ к ЧПУ URL?

2017-05-15 Пенетрантность ohmykot 
Привет!
Есть сервер на nginx и сайт на Wordpress.
Появилась задача - к определенному странице Wordpress дать доступ только с
определенного IP, а к остальным - запретить (не директории, а именно к
определенной странице, то есть это не php-файл) 
Привет: http://somesite.com/my-private-page/

До этого работал только с Apache + htaccess, поэтому решение на nginx
вызвало затруднение.

Пробовал гуглить этот вопрос и описать в конфиг файле моего сайта решение,
через location, что-то вроде:
location ~* ^/my-private-page/ {
allow 1.1.1.1;
deny all;
}
В таком случае пишет 404 ошибку с разрешенного IP (как будто ищет файл по
такому location, а не пробует открыть ЧПУ URL). 
Видимо, мне не хватает понимания конфигурирования nginx, помогите,
пожалуйста.

Posted at Nginx Forum: 
https://forum.nginx.org/read.php?21,274211,274211#msg-274211

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru