Welcome! Log In Create A New Profile

Advanced

Re: nginx SSL offload в highload проекте

Илья Шипицин
August 23, 2012 08:16AM
23 августа 2012 г., 17:50 пользователь Alexandre Snarskii
<snar@snar.spb.ru>написал:

> On Thu, Aug 23, 2012 at 05:26:47PM +0600, Илья Шипицин wrote:
> > >
> > > у меня все равно не выстраивается картина.
> > >
> > > вот смотрите, допустим по цепочке от пользователя до сервера НЕ
> > фильтруется
> > > icmp, в этом случае все будет хорошо и, если я на сервере скажу
> "icmp
> > dest
> > > unreah frag required", то пользователь это увидит.
> > >
> > > в противном случае, если в транзите режется icmp, то сколько я ни
> говори,
> > он не
> > > услышит.
> > >
> > > как в этом случае поможет "attempt to prevent this problem by
> inferring
> > that
> > > large payload packets have been dropped due to MTU" ? ну ок,
> я сказал, по
> > > дороге icmp потерялось, меня никто не услышал.
> > >
> > > или я что-то упускаю из вида ?
> >
> > Подразумевается, видимо, что-то типа того, что на сервере можно
> > "увидеть" tcp retransmit'ы. Если это ретрансмит первого же "полного"
> > пакета, можно предположить, что до пользователя есть проблема с mtu и
> > понизить mtu для данного адреса.
> >
> >
> >
> > сам по себе MTU не особо интересен. интереснее MSS. мы на OpenBSD
> столкнулись с
> > тем, что они живут каждый своей жизнью (на линуксе - mss вычисляется
> исходя
> > из mtu).
> >
> >
> >
> > Но ловить проблемы с PMTU таким образом - это все-таки жестоко,
> > начиная с того, что придется перехватывать (либо на уровне bpf,
> > либо рисовать ядрёный патч) весь траффик и вести tcp state machine.
> > jimho, не стоит овчинка выделки.
> >
> >
> > то есть, понижая MSS до "безопасного" уровня я по сути делаю то, что
> > подразумевается в "умных pmtu устройствах" ? или есть нюансы ?
>
> Что вы подразумеваете под "умным pmtu устройством" ? Если это
> устройство абонентского доступа (например, pppoe'шный/pptp'шный
> концентратор или клиентская короёбочка/роутер, цепляющаяся по
> pppoe/pptp) - то да, именно он (а не конечный сервер, то есть
> не вы) и должен заниматься переписыванием значения mss'а если
>

как вы понимаете, это рассылка про nginx. соответственно, речь идет про те
настройки, которые можно сделать именно на сервере.



> он в пакете уже есть, и результирующий "полноMSS'ный" пакет
> превысит MTU линка.
> Как показывает практика (~30k pppoe пользователей на одной из
> предыдущих работ) - mss fixup'ы на настроенном провайдерском
> оборудовании работают вполне корректно.
>
> То же, что делаете вы - скопом понижаете MSS для всего интернета
> в целом (в том числе для подавляющего большинства пользователей
> у которых нет проблем с MTU) - ну, ok, за счет некоторого overhead'а
> для всех пользователей вы добавляете возможность работы для некоторого
> (подозреваю, довольно малого) количества пользователей из "недонастроенных"
> сетей, то есть маскируете проблему. Как следствие - а) overhead таки
> есть и б) если так будут поступать все - проблему никогда и не починят,
> просто потому что не заметят ;)
>


проблему и не заметят.
не так много приложений, включающих флаг DF.
если у пользователя открывается ВКонтакт, но не открывается настроенный
мной SSL-ный сайт (на который он пришел с включенным DF, потому что Windows
так всегда делает), то крайним буду я.


>
> Считать ли это нюансом - на ваше усмотрение ;)
>

мы с этим довольно давно живем и вполне успешно.


>
> --
> In theory, there is no difference between theory and practice.
> But, in practice, there is.
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

nginx SSL offload в highload проекте

ShivaS August 21, 2012 04:04PM

Re: nginx SSL offload в highload проекте

VBart August 21, 2012 07:00PM

Re: nginx SSL offload в highload проекте

ShivaS August 21, 2012 11:26PM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 02:10AM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 03:05AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 03:28AM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 03:53AM

Re: nginx SSL offload в highload проекте

Igor Sysoev August 23, 2012 03:56AM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 04:23AM

Re: nginx SSL offload в highload проекте

Igor Sysoev August 23, 2012 04:32AM

Re: nginx SSL offload в highload проекте

Maxim Konovalov August 23, 2012 04:42AM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 04:45AM

Re: nginx SSL offload в highload проекте

ShivaS August 27, 2012 12:38AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 02:36AM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 03:32AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 03:44AM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 03:55AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 03:18AM

Re: nginx SSL offload в highload проекте

kav August 23, 2012 03:26AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 03:32AM

Re: nginx SSL offload в highload проекте

kav August 23, 2012 03:46AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 03:50AM

Re: nginx SSL offload в highload проекте

kav August 23, 2012 04:14AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 06:26AM

Re: nginx SSL offload в highload проекте

kav August 23, 2012 06:50AM

Re: nginx SSL offload в highload проекте

Alexandre Snarskii August 23, 2012 07:06AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 07:28AM

Re: nginx SSL offload в highload проекте

kav August 23, 2012 07:46AM

Re: nginx SSL offload в highload проекте

Alexandre Snarskii August 23, 2012 07:52AM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 08:16AM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 03:58AM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 12:16PM

Re: nginx SSL offload в highload проекте

Sergey Shepelev August 23, 2012 12:24PM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 12:25PM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 12:44PM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 01:37PM

Re: nginx SSL offload в highload проекте

Konstantin Gerasimenko August 23, 2012 12:24PM

Re: nginx SSL offload в highload проекте

ShivaS August 23, 2012 12:27PM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 12:46PM

Re: nginx SSL offload в highload проекте

Konstantin Gerasimenko August 23, 2012 12:56PM

Re: nginx SSL offload в highload проекте

sergey.kobzar August 23, 2012 01:02PM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 01:02PM

Re: nginx SSL offload в highload проекте

Илья Шипицин August 23, 2012 01:04PM

Re: nginx SSL offload в highload проекте

VBart August 23, 2012 01:12PM

Re: nginx SSL offload в highload проекте

VBart August 23, 2012 01:08PM

Re: nginx SSL offload в highload проекте

Konstantin Gerasimenko August 23, 2012 01:50PM

Re: nginx SSL offload в highload проекте

KRED August 24, 2012 07:24AM

Re: nginx SSL offload в highload проекте

ShivaS August 24, 2012 12:12PM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 137
Record Number of Users: 8 on April 13, 2023
Record Number of Guests: 500 on July 15, 2024
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready