вт, 26 июл. 2022 г. в 19:33, Gena Makhomed <gmm@csdoc.com>:

> On 26.07.2022 16:59, Maxim Dounin wrote:
>
> >>>> >> 2022/07/23 16:26:33 [alert] 849481#849481: *8078448 could not
> allocate
> >>>> >> new session in SSL session shared cache "le_nginx_SSL" while SSL
> >>>> >> handshaking, client: 175.156.80.121, server: 0.0.0.0:443
>
> [...]
>
> >> Если не будет в логах ошибок - каким образом тогда пользователь
> >> сможет понять, что размер кэша для сессий SSL слишком маленький?
>
> > Точно так же, как и сейчас - по статистике повторного
> > использования сессий, других способов нет. Обсуждаемое сообщение
> > об ошибке возникает тогда и только тогда, когда не удаётся
> > выделить память после удаления одной из старых сессий. Такое
> > может происходить, например, если удалённая сессия заметно
> > отличается по размеру от создаваемой, и попадает в другой диапазон
> > выделений slab-аллокатора.
>
> А каким образом эту статистику повторного использования сессий
> можно получить? Для этого надо писать в лог значение переменной
> $ssl_session_reused потом скриптом вычислять процент запросов,
>

и да, и нет. действительно, сессию можно логировать, но это не значит, что
сессия была использована.
сессии это устаревший механизм, сейчас 100% современных браузеров
используют tls tickets

SSL session tickets vs session ids - Stack Overflow
https://stackoverflow.com/questions/19939247/ssl-session-tickets-vs-session-ids

это примерно как сессии, но хранятся на клиенте.



> у которых $ssl_session_reused возвращает значение "r" ? И в том случае,
> если этот процент стал меньше обычно наблюдаемого значения -
>

вопрос хороший, но, не уверен, что актуальный.

из того, с чем реально сталкивались - ротация тикетов и сессий. есть два
пограничных подхода

а) никогда не делать релоад. (сессии вечные, безопасники несчастны)
б) иногда делать релоад. сессии ротируются, но по вам со всей дури
прилетает cpu storm на полных хендшейках

как-то управляемо ротировать сессии, без привязки к релоаду, было бы
идеально


> это будет означать, что размер кэша для сессий SSL
> возможно стал слишком мал и его желательно увеличить?
>
> --
> Best regards,
> Gena
> _______________________________________________
> nginx-ru mailing list -- nginx-ru@nginx.org
> To unsubscribe send an email to nginx-ru-leave@nginx.org
>
_______________________________________________
nginx-ru mailing list -- nginx-ru@nginx.org
To unsubscribe send an email to nginx-ru-leave@nginx.org