Как понять на чем тормозит nginx?

1

6

Ситуация такая. Докер, из него торчит порт, нжиникс заворачивает запросы на этот порт. Так вот прямой запрос в докер работает на 400 мс быстрее чем запрос через нжиникс.

Попытка крутить ручики (в любые стороны), которые описаны в манах по оптимизациям нжиникса (число обработчиков, использование epoll и т.д.) никак на этой задержке не отражается. Что вполне логично ибо ни проц, ни ио, ни сеть не загружены.

Как понять что является причиной тормозов?

Апдейт. Тормозит ссл, поглядел число пакетов на хендшейке и длину пинга, помножил одно на другое - как раз время задержки.

Ссылка

←	Radius + NPS + MAB = dynamic vlan tagged

При аутентификации windows XP на файловом сервере Samba, не запоминает пароль к шарам

→

Это какие то особые запросы или обычный WEB?

~~PeKar~~
(12.12.17 18:18:48 MSK)

Ссылка

Для начала запиши трафик между nginx-ом и бакендом внутри докера tcpdump -s0 -w dump.pcap -i any port $YOUR_PORT.

Затем посмотри на тайминги пакетов в wireshark. Очень похоже на самопальную реализацию HTTP, где присутствует несколько write-ов, в результате при keep-alive между nginx и демоном включается алгоритм Нейгла и появляется задержка (правда ее значение порядка 200 мс).

kawaii_neko ★★★★
(12.12.17 18:19:13 MSK)

Запрос крупный?

http://nginx.org/en/docs/http/ngx_http_core_module.html#client_body_buffer_size

router ★★★★★
(12.12.17 19:18:21 MSK)

Ответ на: комментарий от router 12.12.17 19:18:21 MSK

Мелочь, запрос 37 ответ 224 байта.

ya-betmen ★★★★★
(12.12.17 19:45:27 MSK) автор топика

Ссылка

Ответ на: комментарий от kawaii_neko 12.12.17 18:19:13 MSK

Очень похоже на самопальную реализацию HTTP

Там томкат сидит

Но попробую поглядеть

ya-betmen ★★★★★
(12.12.17 19:54:14 MSK) автор топика

Ссылка

Проксирование идёт на https ?

router ★★★★★
(12.12.17 19:58:43 MSK)

Ответ на: комментарий от router 12.12.17 19:58:43 MSK

Спасиба!

Итак оказалось что накладные расходы дает ссл. Я это конечно предполагал что ссл вносит задержку, но не думал что ТАКУЮ.

Вопрос теперь что мне с этим делать? Как-то неуютно когда ответ формируется за 15 мс а клиент получает 200 + 200 = 400 мс сверху только на крипте.

ya-betmen ★★★★★
(12.12.17 21:36:59 MSK) автор топика

Ответ на: комментарий от ya-betmen 12.12.17 21:36:59 MSK

Классика жанра. Если сеть твоя и доверенная, между прокси и веб-сервером голый http или ajp

Если сеть не доверенная...

Пусть nginx держит коннекты к upstream'у

И ещё гугли в сторону dh_param. Обычно реверс-прокси кэширует информацию о том, какие протоколы он _уже_ согласовал с клиентом, чтобы в следующий раз установить соединение быстрее. Скорее всего, это должно работать и в обратную сторону - твой веб-сервре в контейнере должен кэшировать информацию о tls. Возможно, на установку соединения будет тратиться меньше времени

router ★★★★★
(12.12.17 22:43:47 MSK)

Ответ на: комментарий от router 12.12.17 22:43:47 MSK

http://nginx.org/en/docs/http/ngx_http_upstream_module.html#keepalive

router ★★★★★
(12.12.17 22:48:05 MSK)

Ссылка

Ответ на: комментарий от router 12.12.17 22:43:47 MSK

В том то и дело что за нжиниксом доверенная сеть и хттп, а нжиникс накрывает всё хттпс. Как я понимаю кеширование сессий будет работать только если клиент это поддерживает (например браузер) и только для последующих запросов.

Я только не понимаю чего оно такое медленное, пытаюсь понять работает ли аппаратная поддержка.

ya-betmen ★★★★★
(12.12.17 23:07:09 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Radius + NPS + MAB = dynamic vlan tagged

Admin

При аутентификации windows XP на файловом сервере Samba, не запоминает пароль к шарам

→

Похожие темы