Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: nginx-0.8.39

To: nginx-ru@xxxxxxxxx
Subject: Re: nginx-0.8.39
From: Богун Дмитрий <vugluskr@xxxxxxxxxxxxxxx>
Date: Thu, 03 Jun 2010 10:54:47 +0300
In-reply-to: <20100602230557.GO76989@xxxxxxxxxx>
References: <20100531151209.GH47202@xxxxxxxxxxxxx> <4C05B783.6030507@xxxxxxxxx> <20100602174934.GL76989@xxxxxxxxxx> <4C06A1BF.7050005@xxxxxxxxxx> <20100602190450.GN76989@xxxxxxxxxx> <1275511832.29616.33.camel@xxxxxxxxxxxxxx> <20100602230557.GO76989@xxxxxxxxxx>

В Чтв, 03/06/2010 в 03:05 +0400, Maxim Dounin пишет:
> > > > >Есть ещё проблема при binary upgrade совмещённом с аналогичным
> > > > >изменением конфига.
> > > > Есть и ещё проблема с оставшимися от hard reboot сокетами
> > > 
> > > Отличить "оставшиеся от hard reboot" сокеты от сокетов открытых 
> > > другими процессами - не представляется возможным.  
> > А нужно ли их отличать?
> > Если кто-то настроил две разные программы слушать на одном сокете, это
> > его личные проблемы...
> > 
> > Т.е. мы имеем ситуацию, когда сокет в неизвестном состоянии принадлежит
> > нам(нашей программе - т.е. nginx'у). Из это следует, что если мы смогли
> > "завладеть" пид-файлом, то мы "должны" обеспечить работоспособность того
> > что прописано в конфиге. Для чего может потребоваться удалить предыдущий
> > unix-сокет с ФС.
> 
> В nginx'е нет никаго "завладевания" pid-файлом, он стартует если 
> смог прочитать конфиг и сделать bind() на listen-сокеты.  В рамках 
> tcp-сокетов это работает отлично - при старте (попытке старта) мы 
> не ломаем работающий сервис (если вдруг он есть), и замечательно 
> стартуем если никого нет.
Нет "завладевания" пид-файлом, но есть условие после которого он
гарантированно запускается, что по моему равнозначно.
> Unix-сокеты в этом смысле ушибленные на голову, всмысле - совсем 
> другие.  Чтобы сделать для них то же самое - нужно дополнительно 
> изобретать mandatory locking.  Которого в unix-системах по 
> большому счёту нет.
> 
> Кроме того, мне например совсем не нравится идея совершения 
> деструктивных действий при старте.  Если кто-то случайно написал в 
> конфиге listen unix:/etc/passwd; - это совсем не повод оный файл 
> стирать.  Сейчас, правда, то же самое будет для pid-файла, но это 
> не значит что количество подобных мест надо увеличивать.
Разве нельзя сделать на него lstat() и посмотреть что это такое? Это не
pid-файл, который как и /etc/passwd является обычным файлом, а сокет,
который довольно легко отличить. 

Правда от того, кто пишет такое в конфигах, никакой защиты не сделаешь.
Тогда прийдется делать защиту и от "rm -rf /", что есть неправильно.

> > Живость предыдущего инкарнации nginx'а(владельца существующего сокета) к
> > этому моменту не играет определяющей роли - существующие по нему
> > соедининия(если он был жив), будут обработаны. А потенциально новые
> > соединений уже обработаем Мы, после создания нового сокета.
> 
> Это - выварачивание наизнанку существующей модели поведения.  При 
> этом следует иметь ввиду что:
> 
> 1. C tcp-сокетами подобная модель просто невозможна, т.е. вообще.  
> Если жить так - придётся тщательно крепить крышу.
Вы сами сказали, что unix сокеты "иные" и модель tcp сокетов к ним не
применима, может быть имеет смысл использовать для них другую модель при
которой они будут нормально работать.
> 2. Мой опыт показывает что подобная модель чревата бОльшим 
> количеством проблем, чем существующая.  В частности - проблемы в 
> модели "не запускаться если тапки заняты" обычно возникают как 
> следствие осмысленных действий администратора (и он где-то рядом 
> чтобы всё исправить), в то время как в модели "стереть и 
> запуститься" - как следствие забывчивости и/или неосторожности (и 
> не факт что есть кому править, а если и есть - то не факт что он 
> сможет или вообще заметит проблему).
Но ведь оно так не работает. Если бы оно выругалось и отказалось
запускаться/перезапускаться, тогда никаких вопросов. А сейчас оно просто
запускается и невозможность забиндить unix сокет его нисколько не
смущает.
> 3. Существующая логика превращается в "стереть и запуститься" для 
> unix-сокетов дописыванием пары строчек в startup script.  Обратное 
> невозможно.
А это нарушает принцип "непрерывности" обслуживания. Причем перерыв в
обслуживании, в тяжелых случаях(сокет удалили, а новый нгинкс по
какой-либо причине отказался стартовать), может быть весьма
существенным.

Дело конечно ваше, но по моему невозможно сделать единую систему для TCP
и unix сокетов.


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: nginx-0.8.39
  - From: Maxim Dounin

References:
- nginx-0.8.39
  - From: Igor Sysoev
- Re: nginx-0.8.39
  - From: Konstantin Svist
- Re: nginx-0.8.39
  - From: Maxim Dounin
- Re: nginx-0.8.39
  - From: Alex Vorona
- Re: nginx-0.8.39
  - From: Maxim Dounin
- Re: nginx-0.8.39
  - From: Богун Дмитрий
- Re: nginx-0.8.39
  - From: Maxim Dounin

Prev by Date: Может, Юникод?
Next by Date: Re: Может, Юникод?
Previous by thread: Re: nginx-0.8.39
Next by thread: Re: nginx-0.8.39
Index(es):
- Date
- Thread