Re: haproxy (was Re: несколько сертификатов в одном блоке server)
[...] >> Пардон, что угоняю тред, но всегда интересовало: но ведь haproxy не >> умеет нормально smp -- оно по сути однопроцессное (см. ворнинг для >> nbproc) и однотредовое. > > ну там в общем-то только сказанно что отладка сложна и уныла. > но это и с nginx так же (проходил, да). > > собственно запрета-то там не было, кажется просто переставали работать > всякие агрегатные лимиты (могу путать, поскольку см.ниже). > Дело далеко не в отладке. Дело в том, что никакие стейты не шарятся между процессами. Из-за этого довольно много интересных нюансов появляется, начиная с балансировки. >> Как вы с этим справляетесь? Запускаете пачку haproxy, каждый со >> своим конфигом? > > ну пока там, где haproxy -- мне и одного треда хватает. Ясно, спасибо. > ну а в версии 1.7 поддержка улучшилась (will make it easier to > aggregate statistics over multiple processes). Не уверен, но похоже это про передачу статистики каждого куда-то наружу, во внешнюю систему. -- Maxim Konovalov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: haproxy (was Re: несколько сертификатов в одном блоке server)
On Mon, May 15, 2017 at 01:08:01PM -0700, Maxim Konovalov wrote: > On 11/05/2017 07:32, Slawa Olhovchenkov wrote: > > On Thu, May 11, 2017 at 07:22:34PM +0500, Илья Шипицин wrote: > > > >> так, стоп. > >> > >> вы говорите, что так умеет haproxy. > >> способ, которым это можно сделать в nginx, для вас неудобен. > >> > >> может, вам правильнее на haproxy перейти > > > > haproxy удобен для проксирования, но не для [нужной мне] раздачи > > статики, для которой удобен nginx. > > > > haproxy у меня тоже используется, там где он более удобен. > > > Пардон, что угоняю тред, но всегда интересовало: но ведь haproxy не > умеет нормально smp -- оно по сути однопроцессное (см. ворнинг для > nbproc) и однотредовое. ну там в общем-то только сказанно что отладка сложна и уныла. но это и с nginx так же (проходил, да). собственно запрета-то там не было, кажется просто переставали работать всякие агрегатные лимиты (могу путать, поскольку см.ниже). > Как вы с этим справляетесь? Запускаете пачку haproxy, каждый со > своим конфигом? ну пока там, где haproxy -- мне и одного треда хватает. ну а в версии 1.7 поддержка улучшилась (will make it easier to aggregate statistics over multiple processes). ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: mp4 + ssl
On 15/05/2017 13:08, Slawa Olhovchenkov wrote: > On Mon, May 15, 2017 at 01:04:29PM -0700, Maxim Konovalov wrote: > >> On 15/05/2017 11:52, Slawa Olhovchenkov wrote: >>> On Mon, May 15, 2017 at 09:40:26PM +0300, Андрей Василишин wrote: >>> Привет всем! В связи с поголовной sslзацией Интернета пришла очередь и до mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика. Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже: >>> >>> по моим наблюдениям sslизация режет производительность эдак на >>> треть/пополам (смотря от какого сценария мерять) и с этим ничего >>> сделать нельзя, если только у тебя нет парочки ядерных программистов >>> на год, что бы повторить работу scott и glebius (и тогда будет резать >>> только процентов 20%, емнип). >>> >> Скорее rss: >> >> https://people.freebsd.org/~rrs/asiabsd_2015_tls.pdf > > ну может трое. > а может первые два из статьи -- типа руководители. > sendfile занимался glebius, а по поводу используемых библиотек я > переписывался со scott. tls занимался rss. -- Maxim Konovalov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: mp4 + ssl
On Mon, May 15, 2017 at 01:04:29PM -0700, Maxim Konovalov wrote: > On 15/05/2017 11:52, Slawa Olhovchenkov wrote: > > On Mon, May 15, 2017 at 09:40:26PM +0300, Андрей Василишин wrote: > > > >> Привет всем! > >> В связи с поголовной sslзацией Интернета пришла очередь и до > >> mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже > >> начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика. > >> Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц > >> гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже: > > > > по моим наблюдениям sslизация режет производительность эдак на > > треть/пополам (смотря от какого сценария мерять) и с этим ничего > > сделать нельзя, если только у тебя нет парочки ядерных программистов > > на год, что бы повторить работу scott и glebius (и тогда будет резать > > только процентов 20%, емнип). > > > Скорее rss: > > https://people.freebsd.org/~rrs/asiabsd_2015_tls.pdf ну может трое. а может первые два из статьи -- типа руководители. sendfile занимался glebius, а по поводу используемых библиотек я переписывался со scott. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
haproxy (was Re: несколько сертификатов в одном блоке server)
On 11/05/2017 07:32, Slawa Olhovchenkov wrote: > On Thu, May 11, 2017 at 07:22:34PM +0500, Илья Шипицин wrote: > >> так, стоп. >> >> вы говорите, что так умеет haproxy. >> способ, которым это можно сделать в nginx, для вас неудобен. >> >> может, вам правильнее на haproxy перейти > > haproxy удобен для проксирования, но не для [нужной мне] раздачи > статики, для которой удобен nginx. > > haproxy у меня тоже используется, там где он более удобен. > Пардон, что угоняю тред, но всегда интересовало: но ведь haproxy не умеет нормально smp -- оно по сути однопроцессное (см. ворнинг для nbproc) и однотредовое. Как вы с этим справляетесь? Запускаете пачку haproxy, каждый со своим конфигом? -- Maxim Konovalov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: mp4 + ssl
On 15.05.2017 21:40, Андрей Василишин wrote: Может что-то где-то надо подтюнить в конфиге? https://habrahabr.ru/post/325230/ OpenSSL, ssl_ciphers и nginx: прокачиваем на 100% [...] С таким конфигом мы получаем ровно такой результат как у Google на начало 2017 года. При этом мы точно знаем что у всех клиентов сайт открывается настолько быстро, насколько это возможно без использования слабых шифров: все современные браузеры используют ECDHE. -- Best regards, Gena ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: mp4 + ssl
On 15/05/2017 11:52, Slawa Olhovchenkov wrote: > On Mon, May 15, 2017 at 09:40:26PM +0300, Андрей Василишин wrote: > >> Привет всем! >> В связи с поголовной sslзацией Интернета пришла очередь и до >> mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже >> начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика. >> Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц >> гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже: > > по моим наблюдениям sslизация режет производительность эдак на > треть/пополам (смотря от какого сценария мерять) и с этим ничего > сделать нельзя, если только у тебя нет парочки ядерных программистов > на год, что бы повторить работу scott и glebius (и тогда будет резать > только процентов 20%, емнип). > Скорее rss: https://people.freebsd.org/~rrs/asiabsd_2015_tls.pdf -- Maxim Konovalov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: mp4 + ssl
> > > Поставить в качестве предпочитаемых шифров null и rc4, все равно это > шифрование для галочки > > Естественно только для раздачи mp4 и т.п. ассетов > а тест www.ssllabs.com проходится в таком случае? ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: mp4 + ssl
15.05.2017, 21:54, "Konstantin Tokarev": > 15.05.2017, 21:40, "Андрей Василишин" : >> Привет всем! >> В связи с поголовной sslзацией Интернета пришла очередь и до >> mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже >> начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика. >> Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц >> гуляет. Может нчто-то где-то надо подтюнить в конфиге? > > Поставить в качестве предпочитаемых шифров null и rc4, все равно это > шифрование для галочки Естественно только для раздачи mp4 и т.п. ассетов > >> Конфиг ssl ниже: >> >> listen 443 ssl; >> add_header Strict-Transport-Security "max-age=0;"; >> # add_header Strict-Transport-Security "max-age=31536000; >> includeSubDomains" always; >> # ssl on; >> ssl_certificate /etc/nginx/ssl/site.com.crt; >> ssl_certificate_key /etc/nginx/ssl/privatekey.key; >> ssl_trusted_certificate /etc/nginx/ssl/site.com.crt; >> # должен содержать 80 или 48 48 or 80 bytes >> # openssl rand 48 > /etc/nginx/ssl/current.key >> ssl_session_ticket_key /etc/nginx/ssl/current.key; >> ssl_session_ticket_key /etc/nginx/ssl/prev.key; >> ssl_session_ticket_key /etc/nginx/ssl/prevprev.key; >> >> # Use 2048 bit Diffie-Hellman RSA key parameters >> # (otherwise Nginx defaults to 1024 bit, lowering the strength >> of encryption # when using PFS) >> # Generated by OpenSSL with the following command: >> # openssl dhparam -outform pem -out >> /etc/nginx/ssl/dhparam2048.pem 2048 >> ssl_dhparam /etc/nginx/ssl/dhparam2048.pem; >> >> # make the server choose the best cipher instead of the browser >> # Perfect Forward Secrecy(PFS) is frequently compromised without >> this >> ssl_prefer_server_ciphers on; >> >> # support only believed secure ciphersuites using the following >> priority: >> # 1.) prefer PFS enabled ciphers >> # 2.) prefer AES128 over AES256 for speed (AES128 has completely >> adequate security for now) >> # 3.) Support DES3 for IE8 support >> >> # disable the following ciphersuites completely >> # 1.) null ciphers >> # 2.) ciphers with low security >> # 3.) fixed ECDH cipher (does not allow for PFS) >> # 4.) known vulnerable cypers (MD5, RC4, etc) >> # 5.) little-used ciphers (Camellia, Seed) >> ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 >> kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA >> !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED'; >> >> ## OCSP Stapling >> ssl_stapling on; >> ssl_stapling_verify on; >> ssl_protocols TLSv1.2 TLSv1.1 TLSv1; >> >> # Cache SSL Sessions for up to 10 minutes >> # This improves performance by avoiding the costly session >> negotiation process where possible >> ssl_session_cache builtin:1 shared:SSL:100m; >> # ssl_session_timeout 5m; # this is a default, but can be changed >> ssl_session_timeout 1h; >> ___ >> nginx-ru mailing list >> nginx-ru@nginx.org >> http://mailman.nginx.org/mailman/listinfo/nginx-ru > > -- > Regards, > Konstantin > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Regards, Konstantin ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: mp4 + ssl
15.05.2017, 21:40, "Андрей Василишин": > Привет всем! > В связи с поголовной sslзацией Интернета пришла очередь и до > mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже > начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика. > Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц > гуляет. Может нчто-то где-то надо подтюнить в конфиге? Поставить в качестве предпочитаемых шифров null и rc4, все равно это шифрование для галочки > Конфиг ssl ниже: > > listen 443 ssl; > add_header Strict-Transport-Security "max-age=0;"; > # add_header Strict-Transport-Security "max-age=31536000; > includeSubDomains" always; > # ssl on; > ssl_certificate /etc/nginx/ssl/site.com.crt; > ssl_certificate_key /etc/nginx/ssl/privatekey.key; > ssl_trusted_certificate /etc/nginx/ssl/site.com.crt; > # должен содержать 80 или 48 48 or 80 bytes > # openssl rand 48 > /etc/nginx/ssl/current.key > ssl_session_ticket_key /etc/nginx/ssl/current.key; > ssl_session_ticket_key /etc/nginx/ssl/prev.key; > ssl_session_ticket_key /etc/nginx/ssl/prevprev.key; > > # Use 2048 bit Diffie-Hellman RSA key parameters > # (otherwise Nginx defaults to 1024 bit, lowering the strength > of encryption # when using PFS) > # Generated by OpenSSL with the following command: > # openssl dhparam -outform pem -out > /etc/nginx/ssl/dhparam2048.pem 2048 > ssl_dhparam /etc/nginx/ssl/dhparam2048.pem; > > # make the server choose the best cipher instead of the browser > # Perfect Forward Secrecy(PFS) is frequently compromised without > this > ssl_prefer_server_ciphers on; > > # support only believed secure ciphersuites using the following > priority: > # 1.) prefer PFS enabled ciphers > # 2.) prefer AES128 over AES256 for speed (AES128 has completely > adequate security for now) > # 3.) Support DES3 for IE8 support > > # disable the following ciphersuites completely > # 1.) null ciphers > # 2.) ciphers with low security > # 3.) fixed ECDH cipher (does not allow for PFS) > # 4.) known vulnerable cypers (MD5, RC4, etc) > # 5.) little-used ciphers (Camellia, Seed) > ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 > kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA > !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED'; > > ## OCSP Stapling > ssl_stapling on; > ssl_stapling_verify on; > ssl_protocols TLSv1.2 TLSv1.1 TLSv1; > > # Cache SSL Sessions for up to 10 minutes > # This improves performance by avoiding the costly session > negotiation process where possible > ssl_session_cache builtin:1 shared:SSL:100m; > # ssl_session_timeout 5m; # this is a default, but can be changed > ssl_session_timeout 1h; > ___ > nginx-ru mailing list > nginx-ru@nginx.org > http://mailman.nginx.org/mailman/listinfo/nginx-ru -- Regards, Konstantin ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: mp4 + ssl
On Mon, May 15, 2017 at 09:40:26PM +0300, Андрей Василишин wrote: > Привет всем! > В связи с поголовной sslзацией Интернета пришла очередь и до > mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже > начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика. > Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц > гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже: по моим наблюдениям sslизация режет производительность эдак на треть/пополам (смотря от какого сценария мерять) и с этим ничего сделать нельзя, если только у тебя нет парочки ядерных программистов на год, что бы повторить работу scott и glebius (и тогда будет резать только процентов 20%, емнип). ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
mp4 + ssl
Привет всем! В связи с поголовной sslзацией Интернета пришла очередь и до mp4-стримминга. И вот Вчерашний тест показал, при 15к коннектах уже начало потихоньку упираться в проц и в пике было 32 Гбит/с трафика. Сегодня без ssl при тех же 15к коннектах 40 Гбит/с трафика и проц гуляет. Может нчто-то где-то надо подтюнить в конфиге? Конфиг ssl ниже: listen 443 ssl; add_header Strict-Transport-Security "max-age=0;"; #add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always; #ssl on; ssl_certificate /etc/nginx/ssl/site.com.crt; ssl_certificate_key /etc/nginx/ssl/privatekey.key; ssl_trusted_certificate /etc/nginx/ssl/site.com.crt; # должен содержать 80 или 48 48 or 80 bytes # openssl rand 48 > /etc/nginx/ssl/current.key ssl_session_ticket_key /etc/nginx/ssl/current.key; ssl_session_ticket_key /etc/nginx/ssl/prev.key; ssl_session_ticket_key /etc/nginx/ssl/prevprev.key; # Use 2048 bit Diffie-Hellman RSA key parameters # (otherwise Nginx defaults to 1024 bit, lowering the strength of encryption # when using PFS) # Generated by OpenSSL with the following command: # openssl dhparam -outform pem -out /etc/nginx/ssl/dhparam2048.pem 2048 ssl_dhparam /etc/nginx/ssl/dhparam2048.pem; # make the server choose the best cipher instead of the browser # Perfect Forward Secrecy(PFS) is frequently compromised without this ssl_prefer_server_ciphers on; # support only believed secure ciphersuites using the following priority: # 1.) prefer PFS enabled ciphers # 2.) prefer AES128 over AES256 for speed (AES128 has completely adequate security for now) # 3.) Support DES3 for IE8 support # disable the following ciphersuites completely # 1.) null ciphers # 2.) ciphers with low security # 3.) fixed ECDH cipher (does not allow for PFS) # 4.) known vulnerable cypers (MD5, RC4, etc) # 5.) little-used ciphers (Camellia, Seed) ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 DES-CBC3-SHA +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED'; ## OCSP Stapling ssl_stapling on; ssl_stapling_verify on; ssl_protocols TLSv1.2 TLSv1.1 TLSv1; # Cache SSL Sessions for up to 10 minutes # This improves performance by avoiding the costly session negotiation process where possible ssl_session_cache builtin:1 shared:SSL:100m; # ssl_session_timeout 5m; # this is a default, but can be changed ssl_session_timeout 1h; ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: nginx-1.12.0
Hello! On Sun, May 14, 2017 at 10:38:13PM +0300, Vladimir Getmanshchuk wrote: > Добрый вечер! > > После обновления на 1.12 в конфиге: > map $http_variable_name $variable_name { > ... > } > > ругается: > nginx: [emerg] the duplicate "variable_name" variable Судя по сообщению, вы пытаетесь переопределить встроенную переменную. В nginx'е нет переменной с именем $variable_name, так что если данное имя переменной настоящее - то посмотрите на список используемых сторонних модулей, возможно проблема там. Или же нужен полный (минимальный) конфиг, на котором воспроизводится проблема. -- Maxim Dounin http://nginx.org/ ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Как заблокировать доступ к ЧПУ URL?
Привет! Есть сервер на nginx и сайт на Wordpress. Появилась задача - к определенному странице Wordpress дать доступ только с определенного IP, а к остальным - запретить (не директории, а именно к определенной странице, то есть это не php-файл) Привет: http://somesite.com/my-private-page/ До этого работал только с Apache + htaccess, поэтому решение на nginx вызвало затруднение. Пробовал гуглить этот вопрос и описать в конфиг файле моего сайта решение, через location, что-то вроде: location ~* ^/my-private-page/ { allow 1.1.1.1; deny all; } В таком случае пишет 404 ошибку с разрешенного IP (как будто ищет файл по такому location, а не пробует открыть ЧПУ URL). Видимо, мне не хватает понимания конфигурирования nginx, помогите, пожалуйста. Posted at Nginx Forum: https://forum.nginx.org/read.php?21,274211,274211#msg-274211 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru