From: Vitaly Lipatov <lav@altlinux.ru> To: <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] Ограничение количества клиентов на хост для Apache ITK Date: Fri, 30 Oct 2015 11:37:49 +0300 Message-ID: <5895453bc51d32b06cc13937d483f457@office.etersoft.ru> (raw) In-Reply-To: <20151029230914.GA11034@lks.home> Konstantin Lepikhov писал 2015-10-30 2:09: ... >> Но MaxClients задаёт ограничение на количество процессов, общее для >> всех пользователей и хостов. >> >> Есть параметр MaxClientsVhost, который можно указывать в конфиге >> сайта. >> Но между ними большое отличие в поведении: >> При превышении MaxClients Apache просто не реагирует на коннекты к >> нему, таким образом накапливается очередь подключений, >> и пользователи при перегрузке испытывают замедление реакции сайта. > А цель какая? Ограничить кол-во подключений или кол-во процессов? > Если > подключения, то да, limit_req в nginx для каждого vhost'а, если > процессы, > то крутить cgroups. Цель — ограничить количество одновременных процессов, обрабатывающих запросы к конкретному сайту. limit_req даёт возможность ограничить количество обращений в секунду, и таким образом может защитить от внешнего врага. Мне же нужно защититься от врага внутреннего. Если сайт вместо 200мс начнёт отвечать за 10с (не важно по каким причинам), всё не должно рухнуть от количества процессов апача и не должны пострадать соседи по апачу (другие сайты). А cgroups будет давать ошибку при форке? И помешает другим процессам под этим же UID. >> А ограничение по MaxClientsVhost сразу возвращает 503 при достижении >> предела подключений. Что вовсе не желательно, потому >> что для клиента выглядит как то, что сайт работает быстро, но иногда >> вместо страницы — ошибка. >> >> Может быть есть всем известное решение, которое я не знаю? >> >> Другой вариант — это научить nginx ошибку 503 не передавать клиенту, >> а >> ждать и пытаться получить от бэкенда более корректный ответ. > в этом случае nginx должен что-то ответить клиенту вместо 503 > (поскольку > "ждать" он не умеет), что тоже не есть гуд. Ну умеет же nginx proxy_next_upstream, и ждать он может, если ему не отвечать (при достижении ограничения через MaxClients). Я для себя пока сделал вывод, что либо MaxClientsVHost должен уметь переводить запрос в очередь, как это делается при достижении MaxClients, либо nginx должен уметь ждать и делать повторы. Он умеет это при нескольких upstream (там есть и timeout и количество попыток и код ошибки 503 понимает). Видимо, это либо платная функциональность (в nginx Plus есть слово queue), либо достижима через расширение. -- С уважением, Виталий Липатов, Etersoft
next prev parent reply other threads:[~2015-10-30 8:37 UTC|newest] Thread overview: 11+ messages / expand[flat|nested] mbox.gz Atom feed top 2015-10-29 20:46 Vitaly Lipatov 2015-10-29 20:44 ` Anton Gorlov 2015-10-29 23:09 ` Konstantin Lepikhov 2015-10-30 8:37 ` Vitaly Lipatov [this message] 2015-10-30 11:54 ` Konstantin Lepikhov 2015-10-31 8:20 ` Anton Gorlov 2015-11-02 17:41 ` Konstantin Lepikhov 2015-11-02 14:15 ` Sergey Alembekov 2015-11-02 14:12 ` Anton Gorlov 2015-11-02 14:44 ` Michael Shigorin 2015-11-02 14:49 ` Anton Gorlov
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=5895453bc51d32b06cc13937d483f457@office.etersoft.ru \ --to=lav@altlinux.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git