接入层
是指普通用户与核心业务逻辑中间的过程。现在常见的服务接入层,像nginx、lvs、php这些都可以算是。
观点
一种观点认为:接入的量不应该影响系统的正常运行,也就是不能接入不能处理的用户请求,类似上图中前图。
另一种观点认为:接入层应该尽量接入所有用户,类似上图中后图。
做法
nginx:
nginx如果用做proxy,后端挂其他服务的话,是一个纯粹的NIO server。对用户来说,nginx是长连接(http 1.1),对后端服务来说,nginx是短连接(http 1.0)。
default: proxy_connect_timeout 60s; 向后端服务创建连接的超时时间
default: proxy_read_timeout 60s; 后端返回请求响应超时时间
default: proxy_send_timeout 60s; 大请求发到后端超时时间
nginx通过上面的三个设置,当后端有响应不过来的时候,进行超时处理(记录日志),当发现超时很多了,就需要提升后端的处理能力了。
那么,nginx自身的处理能力是否有上限呢?当然有!
worker_processes 1;
worker_connections 1024;
max_clients = worker_processes * worker_connections
当超过max_clients的用户扑上来的时候,如果幸运后端没有能力问题,那就会看到nginx在日志中要求你增加worker的提示。
php-fpm:
pm = dynamic/static; dynamic时有最大进程最小进程之说
Continue reading →
Posted in linux, 架构研究
|
Tagged 接入
|
经过上周一周朋友们帮忙测试和bug fix,nginx_http_hashdos_module已经达到可以线上使用的水平,下面是使用记录。
下载
#wget --no-check-certificate https://github.com/54chen/nginx-http-hashdos-module/zipball/master
#mv master nginx_hashdos.zip
#unzip nginx_hashdos.zip
编译安装
#tar zxvf nginx-1.0.xx.tar.gz
#cd nginx-1.0.xx/
#./configure --prefix=/opt/soft/nginx --with-pcre --user=www --group=www --with-http_stub_status_module --with-http_ssl_module --add-module=../54chen-nginx-http-hashdos-module-f84d909
#make && make install
配置注意事项
在http段,增加如下:
hashdos on;
body_max_count 1000;
在各自的location段,要按照业务情况来加:
client_body_buffer_size 2m;
client_max_body_size 2m;
*上述两个值一定要相等。
如果是普通的discuz,上传上限是1m的,可以修改为1m。
如果是没有上传功能的普通网站,建议修改为512k。
Continue reading →
Posted in linux, 架构研究
|
Tagged hashdos, nginx
|
2012.1.7 更新
编译的时候推荐使用nginx-1.0以上版本,不要加--with-debug参数编译,(感谢agentzh指出)。
hashdos这个事,严格意义上不是各种语言的错了(不过perl的确处理得很好),但是用nginx来擦屁股要干净些。
借鉴tomcat的作法,实现了下面这个nginx-http-hashdos-module,通过设置hashdos(默认on)的开关和body_max_count(默认值1000),对nginx后面的服务进行安全防护,相比对php或者java进行patch,这或许是最好的办法了。
nginx-http-hashdos-module项目地址
https://github.com/54chen/nginx-http-hashdos-module
如何使用
1.下载zip后保存到一个目录,如~/nginx-http-hashdos-module。
2.cd nginx-1.0.9/
3.重新编译和安装nginx
./configure --prefix=/opt/soft/nginx --with-pcre --user=www --group=www --with-http_stub_status_module --with-http_ssl_module --add-module=/path_to/nginx-http-hashdos-module/ && make && make install
4.配置打开:
hashdos on;
body_max_count
Continue reading →
Posted in WEB相关, 架构研究
|
Tagged hashdos, nginx
|
第一件:拖裤带爆,横尸遍野
辛卯年年间,宦官弄权,规食名以制。侠客XXX出国前夕,顺手翻出多年前收藏。
CSDN、天涯、京东 三家官方确定被拖,其他家默。
出来混,手里没几个库,已经没办法交流了。
多年前天涯一帖子,疑是五毛所作所顶,憾无证据。今有密码反查,一网打尽。
此次事件,中招数量以千万计。
在遥远的西邦,早些时候也有中招,http://svn.php.net/viewvc/php/php-src/trunk/ext/standard/credits.c?r1=305420&r2=306409&pathrev=306409,见其中Wolegequ Gelivable。
第二件:亚马逊宕机,云计算阴影
4月份,亚马逊ec2服务宕机,连续40小时,号称永不宕机的云,宕机了。
威胁在于,世界第一大的云都挂了,别的还用说吗。
纽约时报:亚马逊事件或致云计算产业蒙上阴影。
官方回应:事故原因是大量的硬盘坏了。
第三件:小米手机,一枝独秀
首批纯会员预订,两天30万台。开放购买1小时10万台。
红海里开辟的蓝海,自然有各种势力出来攻击。大漠风烟间,一场天地变色的正邪之战,正在展开。
说多了就像广告了,明年总结的时候再来看这条。
第四件:乔爷辞世,全网默哀
牛B的演讲技能,商业奇才,还能用什么来形容?
奥巴马:乔布斯改变了我们看世界的方式。
他在车库里建立了这个星球上最成功的公司之一,充分体现了美国人的创造力。通过使电脑个人化,将互联网装进我们的口袋里,他不但让人们可以享受到信息革命的成果,而且使这种革命变得直观和有趣。
他的天赋和才华成为家喻户晓的故事,他为数以
Continue reading →
Posted in 生活备份
|
Tagged fish
|
起因:
Wed, 28 Dec 2011 22:28:16 GMT apache tomcat公布了一个安全漏洞。
http://mail-archives.apache.org/mod_mbox/www-announce/201112.mbox/%3C4EFB9800.5010106@apache.org%3E
漏洞原理:
依靠相应语言的hashtable/hashmap实现过程(request多为此结构),当不同的key存入时如果hash值相等则以链表方式连接在前面。此漏洞利用碰撞相同的hash值得到一个长链表,重新get时,map的计算过程会将时间复杂度巨增,原来一个简单的过程将变成一个很费cpu的过程。
影响到的:
最快时间tomcat公布了解决办法。
php进行了升级。
ms也发了公告http://technet.microsoft.com/en-us/security/bulletin/ms11-100。
解决办法:
tomcat
临时办法:
默认大小2097152,当maxPostSize=0时,不限制;maxPostSize=20971520时,为20M,改为一个小于10k的值,所有版本可用,会影响用户。
持久办法:
用新的版本,maxParameterCount默认值1000。
nginx
临时办法:
默认的最大请求body大小为8m,修改设置client_max_body_size=10k;此招为各种情况下万金油,会影响用户。
持久办法:
暂无,应该很快会有max_request_count的参数。
php
持久办法:
php升级到5.3.9,5.2需要打
Continue reading →
Posted in java, linux, php
|
Tagged hashdos
|
