Выкинул nginx, перешел на Angie

Ну хз, я в докере Caddy поднял с пол-пинка, но мне-то всего-то надо было статику раздавать, да списки файлов генерить - как ушол на traefik, так этот вопрос сразу встал, ибо он такого не умеет в отличие от nginx/apache.

Вот честно, прям какой-то поток сознания, но никакой конкретики.

Понял. Спасибо за подробное описание.

а ты хочешь, чтобы я тебе тут бесплатно на ЛОРе начала читать лекции по устройству и проблемам протокола DNS или что? нет, этого не будет. я не занимаюсь просветительством, из меня плохой преподаватель и моё время, особенно на всякий трёп, тоже ограничено. я не могу магическим образом передать кому-то свои знания, не потратив на это слишкком дофига времени. никто мне за это не платит, да и желания такого нет. поэтому я и не веду никакие публичные бложеки, соцсеточки и прочие самопиарные шняги. просто не нужно.

ты просто не понимаешь, что мне не хочется перед тобой или кем-то ещё выслуживаться. я и пальцем не пошевелю, чтобы что-то кому-то доказывать с пеной у рта. я изложила свой мнение и дальше пусть люди сами что хотят, то и думают. мне фиолетово.

не знаю, что там насчёт go, но например, perl на FastCGI обычно работает очень даже бодренько. и даже пых на нём как-то шевелится. я пробовала прикрутить к FastGCI сишку и там вообще всё летало. сам-то протокол FastCGI не так уж и плох. дальше всё зависит от реализации обработки запросов, я полагаю.

а nginx - не предел. есть h2o или даже rwasa, которые намного шустрее него. nginx просто популярен в массах, поэтому про него много всего написано. но есть «более лучшие» реализации. несомненно, есть и куда более худшие. наверное, самое худшее - это Tomcat. сколько я его видела, это было что-то совершенно кошмарное и запредельно неэффективное.

Чего это неэффективное? Томкат очень быстро работает. Java одна из самых быстрых языков в мире.

Java одна из самых быстрых языков в мире.

пролетарии всех стран, объединяйтесь! (С)

лозунги, лозунги. реальность, однако, несколько иная. эта хрень жрёт чудовищое количество ресурсов и ужасно тормозит даже на смехоторных по функционалу недо-сайтах.

зачем далеко ходить? наверняка каждый более-менее опытный айтишник видел жиру. и вот она - прямо апофеоз неэффективности и тормозов. если вы хоть раз админили сервер с этой жутью, вы меня поймёте.

да. обычно это делают по графику когда-нибудь в часы наименьшей загрузки.

Нет, обычно так вообще не делают, а делают так:
Выкинул nginx, перешел на Angie (комментарий)
Выкинул nginx, перешел на Angie (комментарий)

Моя реальность в том, что старенький сервер на древней винде обслуживает целую страну как раз тем самым томкатом. Ресурсы жрут те, у кого руки из одного места. У жавы с томкатом есть какой-то минимум накладных расходов, грубо говоря 200 MB, и GC требует примерно в 2 раза больше памяти, чем потребовал бы код, например, на C. Это все ресурсы, которые она жрёт.

А у жиры проблемы не в жаве. Лор, на которым мы пишем, вполне себе шустро работает, будучи достаточно именитым сайтом. На том самом томкате.

Вы написали многа букав про то, насколько у вас мало времени… Красиво.

Java одна из самых быстрых по отжору ресурсов языков в мире.

Поправил.

что не так? или тебе лишь бы вставить свои пять копеек?

да, когда по графику обновили сертификаты, сервисы НАДО рестартовать. и делают это, как правило, в ночное время, чтобы нанести наименьший гемор юзерам, которые могут сидеть на сервере.

я не знаю, что там за «обслуживание». может, там полтора килобайта раз в день качают, я хз. тогда томкат норм. в других же случаях он даже в бэкграунде, когда никто ничего не делает на сайте, жрёт немерянные ресурсы, как не в себя. а если там, не дай Ктулху, «целая страна» придёт заглянуть на сервер - то всё, каюк. всё просто застрянет намертво.

сервисы НАДО рестартовать.

Редкая программа не умеет перезагружать сертификаты либо по сигналу, либо вообще по inode. Если такие неумелые есть, то вопросов нет, перезагружайте, но nginx к ним не относится.

Заморачиваться в чем? Настроить бинд в простом варианте?

Зачем что-то делать если это можно не делать?

Мыжкотыканье в вэб интерфейсах управления зонами хостеров требуют больше усилий.

более того, там разработаны уникальные методы пожирания ресурсов даже в idle состоянии, когда сервер ничего полезного не делает.

на red os есть пакеты

прямым текстом написано что так делать не надо. Это хоть и работает, но приводит к потере производительности.

Поэтому видимо angie в это умеет, но не теряет производительности. И поэтому в nginx решили запилить подобное решение.

более того, там разработаны уникальные методы пожирания ресурсов даже в idle состоянии, когда сервер ничего полезного не делает.

У него в это в время GC работает :)

да, но зажранную память-то он при этом не отдаёт!

а этот «препроцессор конфигов» в сам сервер нельзя присунуть, для преобразования тех же самых конфигов в «статический конфиг» при перечитывании конфигурации, например. какие-то странные проблемы. тем более, что любой софт жрёт переменные окружения и ничуть не страдает от «потери производительности» при этом.

Но работает же :)

В ингрессах вообще не должно быть сервер блоков для раздачи чего либо, ибо дурной тон :р

Держи в курсе. В certbot видимо забанили

Теряет. Иди читай мануалы.

Опять этот certbot, почему эту гадость кто-то использует?

Засунуть процепроцессор и автоисправлять неудачны конфиг это разные вещь. Переменные препроцессора, которые разово заданы на старте, и обычные переменные nginx должны синтаксически отличаться.

Потеря не от наличия переменных, а от того что он занимается вычислением констант каждый раз вместо того чтобы просто их взять готовые.

ну, в nginx же есть переменные. он как-то их обрабатывает. я думаю, что там работа с сетью и криптографией куда дольше, чем вычисление переменных.

хотя меня на долю секунды захватила странная мысль о гибриде http-сервера и компилятора, но я её быстро отбросила от себя :)

Потому что этот стандарт acme сертификации, еще потому что запустить его это дело трех секунд, вместе с запихиванием autorenew в cron. Плюс у него достаточно много бекендов поддерживается для http01 челеньджа. Cloudflare там и иже с ними. Короче если уметь готовить, и у тебя нет требования по EV от секурников - штука весьма сносная. Даже удобная. MITM не обсуждаем :D. ТСу судя по уровню знаний оно и надо.

Нет, операторы постоянно долбят запросами. Ничего сверхъестественного, конечно, по сути вся работа в базе происходит, тут просто шлём запрос в базу, рисуем ответ. Да как в 99% веб-приложений по сути. Никаких немеряных ресурсов он не жрёт. Я уже точно не помню, но вроде на сервере было 4 GB RAM. Java вообще одна из самых экономных из современных технологий, ибо делалась во время, когда память ценили. С каким-нибудь питоном или нодой вообще не сравнить, вот где кромешный ужас.

Устанавливать certbot с плагином nginx, а он

* certbot настраивать
* устанавливать для нового домена сертификат
* продлять сертификат
* криво конфиги переписывает в nginx

А тут все из коробки, любой новый домен автоматом подхватывается и выписывается сертификат, вообще ничего делать не нужно. Ни продлять, ни устанавливать, ВООБЩЕ НИЧЕГО.

Не, ну если у тебя 1 домен 1 сервер 1 сайтик то... можно по сути не запариваться, а так за всем этим барахлом следить постоянно

Вот же ты сказочник, макос у тебя безопасная и приватная ОС, джава почти самый быстрый язык...

С каким-нибудь питоном или нодой вообще не сравнить,

Ты бы ещё с баш-программированием сравнил которым zte занимается. Джава это хоть и тормозной, но язык программирования, а питоны и жс это скриптота.

Повторю в который раз, не надо ставить certbot. Поставь нормальный клиент, например acme-tiny.

устанавливать для нового домена сертификат

Не «устанавливать сертификат», а когда ты пишешь конфиг нового домена - там же пишешь и две строчки с путями к сертификату и ключу, рядом со строкой listen 443 ssl.

продлять сертификат

Это должен делать скрипт в кроне, а затем если сертификат обновился - отправлять сигнал nginx-у. И следить ничего там не нужно.

Я использую dns для обновления/получения сертификатов, и не понимаю «проблем» с nginx & corebot & letsencrypt.

пишешь и две строчки

+1 гвоздь в гроб nginx

должен делать скрипт в кроне

+1 гвоздь в гроб nginx

а затем отправлять сигнал nginx

+1 гвоздь в гроб nginx

Сколько сайтов\серверов у тебя?

Нет, макос это не самая безопасная и приватная ОС. Самая безопасная и приватная ОС это айос.

Ещё добавлю для пущего подрыва пуканов - ватсап - самый безопасный мессенджер из популярных.

Чуть больше 30 на разных серверах/контейнерах.

Понятно, но это тупо привычка + барахло понятно дело неохота обновлять, переходить, если сильно оброс. Я просто на серваке железо менял, пришлось все сносить и заново ставить, вот и поменял заодно. Всяко лучше, чем иметь ненужное барахло cerbot, крон и т. д.

время требует не печать текста. я печатаю очень быстро и печать не отнимает времени. время отнимает соображение, что написать, если это что-то сложное и техническое. поэтому я не занимаюсь слишком развесистой технической клюквой на публичных ресурсах. это затратно для мозга.

да даже баш намного шустрее всякого макакопистона и ноды. и для баша нифига не нужно на машине, никакой жирной погреботины, нарушающей FHS, как во всей этой хипстерской скриптофигне. баш - это один-единственный бинарь. и он не тащит на машину всякие левые скрипты с троянами с каких-то помоек в сети. баш - это ещё старая надёжная технология. простой, как валенок, но вполне пригодный для написания 99% утилитарных админских, сборочных или тестовых скриптов.

кстати, есть реализации ACME на баше. я даже юзала такую довольно долгое время. ничего сложного ACME из себя не представляет, а на баше такой скрипт занимает всего ничего и не требует установку кучи какой-то левой фигни на сервер. баш - очень хорошее средство для мелких админских скриптов.

ничего сложного ACME из себя не представляет

Там надо парсить json и вообще какая-то вебная дичь внутри.

дичь, да. но регекспы же никто не отменял. там не так уж много полезных для работы скрипта данных.

json, конечно, коряв, но есть более страшные вещи. например, yaml. после него json ещё покажется «нормальным».

json, конечно, коряв, но есть более страшные вещи

ничего корявого там нет, спецификация страницы на 4.

Если писать для парсинга говнокод с регекспами, то корявым покажется вообще что угодно.

ну, если мозг маленький и слабый, и не может понять регекспы, то да. я тут немало таких персонажей наблюдаю: то им сишечка «корявой» кажется, то ещё что-то. а на самом деле - просто неосиляторы, самые обыкновенные.

у меня нет проблем с регекспами. я постоянно ими пользуюсь, когда ищу что-то в файлах, и использую перл для этих целей. регекспы в их полном объёме - это очень мощное средство. но нужны мозги.

кстати, есть реализации ACME на баше. я даже юзала такую довольно долгое время. ничего сложного ACME из себя не представляет, а на баше такой скрипт занимает всего ничего и не требует установку кучи какой-то левой фигни на сервер.

Сферично да, но вот только помню случай когда LE что-то поменяли и даже их родной, но старый certbot перестал работать. Каждый раз выяснять, что именно поменяли и переписывать свои портянки имхо так себе идея.

Убейся об стену как томми (машина управляемая программой на java). Томкат кучу интересных фичь по балансировке имеет, но практика показывает лучше не думать его использовать.