Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx user

To: nginx-ru@xxxxxxxxx
Subject: Re: nginx user
From: Gena Makhomed <gmm@xxxxxxxxx>
Date: Sat, 15 May 2010 20:12:19 +0300
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1273943540; bh=7u5s6X/j/1o/p9vP4x4+D3W0L+mVlkLgLOYOUxJWCm0=; h=Message-ID:Date:From:User-Agent:MIME-Version:To:Subject: References:In-Reply-To:Content-Type:Content-Transfer-Encoding; b=a iI95fRJU+Az+to0HTe4sa15lXYenn6e3qe4LkwfX2zisbdzhaCwBeW/olL/fckZ8mrm afgh+pdS0CZNWJaJ+C5OQ2iVJyzv6lonRsO7GHIfCblWmfP5OFi8C+G4iOVZp1ZzYQJ zUsQF2m4O1yIFXb/MgubZm8GiitiWcsGm4Hk=
In-reply-to: <4BEEB021.6040802@xxxxxxxxx>
References: <73631e3f4a6472cd5c383d027727ad07.NginxMailingListRussian@xxxxxxxxxxxxxxx> <AANLkTinifxOOPjTsoBSDX6w5h9l5nbIVbVhNwORiFeNp@xxxxxxxxxxxxxx> <20100515090223.GB40999@xxxxxxxxxxxxx> <4BEE8032.2040802@xxxxxxxxx> <AANLkTik4jxl96lHQPuwMoCLRIFWvbcAAty-kAD1uU2Xf@xxxxxxxxxxxxxx> <4BEE9464.2090903@xxxxxxxxx> <AANLkTimgwTvMrUeMFIT0ntxg6E4egwNunjIHLkVOrtNr@xxxxxxxxxxxxxx> <4BEE9DF6.9090802@xxxxxxxxx> <AANLkTil6tM63NXxEXw0X3aQrGhdWbI6GzCBARu9WR9X-@xxxxxxxxxxxxxx> <4BEEA6F3.9070209@xxxxxxxxx> <AANLkTik-4aJzqxUDy_W2VzyUFMPghhLEYqo8_5ohIszu@xxxxxxxxxxxxxx> <4BEEB021.6040802@xxxxxxxxx>

On 15.05.2010 17:30, Anton Bessonov wrote:

master-процесс порождает worker-процессы с помощью fork, так что
лишнего использования памяти в больших количествах тут тоже не будет.

А как это относится к дискуссии? (Или Вы на моей стороне? :D)


это ответ на "Я всего лишь хочу избежать множество мастеров..."

более экономное использование ресурсов машины - это есть основная
причина использования в качестве веб-сервера nginx, а не apache.

если у вас 100 пользователей и вы каждому дадите свой собственный nginx
- то оверхед администрирования будет == 0 : они будут делать все сами.

Если им выдать возможность редактировать конфиг, что в свою очередь
нужно будет проверять автоматически, чего у меня на руках нет. В
дополнение - возможность HUP'а для каждой инстанции.


если каждый из пользователей будет запускать nginx под своим uid`ом -
он самостоятельно сможет отправить "своему" "nginx-master" сигнал HUP.

а вот что будет в случае реализации вашего предложения:

если например, есть 100 пользователей, каждому из них выделить worker
который работает под его UID и есть только один master-процесс,
то если послать сигнал HUP этому единственному мастер-процессу,
он при этом будет релоадить все воркеры для всех пользователей.
(потому что с помощью сигнала передается только 1 бит информации)

а при релоаде nginx - worker не завершает свою работу до тех пор,
пока не обслужит запросы всех клиентов. в результате - появляется
возможность достаточно легко устроить DoS-атаку на такой сервер,
создав большое количество "очень долго висящих" worker-процессов,
которые остаются после каждого reload`а и продолжают отдавать ответ.

зная nginx reload rate, размер worker`а и количество свободной памяти -
несложно прикинуть через какое количество времени закончится вся память.

при использовании двухуровневой схемы (то что возможно уже сейчас):

http client <=> frontend (root) nginx <=> backend (user) nginx

даже при частых reload`ах пользовательских nginx`ов -
отсутствует возможность устроить DoS-атаку на сервер
с помощью очень медленных http клиентов.

--
Best regards,
 Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

References:
- nginx user
  - From: acer
- Re: nginx user
  - From: Никита Кардашин
- Re: nginx user
  - From: Igor Sysoev
- Re: nginx user
  - From: Anton Bessonov
- Re: nginx user
  - From: Daniel Podolsky
- Re: nginx user
  - From: Anton Bessonov
- Re: nginx user
  - From: Boris Dolgov
- Re: nginx user
  - From: Anton Bessonov
- Re: nginx user
  - From: Daniel Podolsky
- Re: nginx user
  - From: Anton Bessonov
- Re: nginx user
  - From: Daniel Podolsky
- Re: nginx user
  - From: Anton Bessonov

Prev by Date: Re: nginx user
Next by Date: nginx & apache lockf
Previous by thread: Re: nginx user
Next by thread: Re: nginx user
Index(es):
- Date
- Thread