Estou tentando conectar stunnel e haproxy para encaminhar conexões https por meio de alguns servidores de backend.
Eu tenho a configuração haproxy correta, e parece que tenho stunnel configurado corretamente. O problema é que quando eu bato a configuração com um teste de carga depois de um tempo eu começo a ver essas entradas de log (eu incluí as últimas entradas de conexões apropriadas antes de começar a obter o erro de conexão rejeitado):
2010.05.05 11:23:29 LOG7[3498:3086792368]: https accepted FD=510 from 10.195.158.225:42722
2010.05.05 11:23:29 LOG7[3498:3035233168]: https started
2010.05.05 11:23:29 LOG7[3498:3035233168]: FD 510 in non-blocking mode
2010.05.05 11:23:29 LOG7[3498:3035233168]: TCP_NODELAY option set on local socket
2010.05.05 11:23:29 LOG7[3498:3035233168]: Waiting for a libwrap process
2010.05.05 11:23:29 LOG7[3498:3086792368]: https accepted FD=511 from 10.195.158.225:42723
2010.05.05 11:23:29 LOG7[3498:3035167632]: https started
2010.05.05 11:23:29 LOG7[3498:3035167632]: FD 511 in non-blocking mode
2010.05.05 11:23:29 LOG7[3498:3035167632]: TCP_NODELAY option set on local socket
2010.05.05 11:23:29 LOG7[3498:3035167632]: Waiting for a libwrap process
2010.05.05 11:23:30 LOG7[3498:3086792368]: https accepted FD=512 from 10.195.158.225:42724
2010.05.05 11:23:30 LOG4[3498:3086792368]: Connection rejected: too many clients (>=500)
2010.05.05 11:23:30 LOG7[3498:3086792368]: https accepted FD=512 from 10.195.158.225:42725
2010.05.05 11:23:30 LOG4[3498:3086792368]: Connection rejected: too many clients (>=500)
Acho que atingi um limite em algum lugar, mas não sabia como consertar, não parece haver uma opção de arquivo de configuração para stunnel para mudar isso.
Alguém sabe como configurar stunnel para um número potencialmente grande de conexões?
Pelo que me lembro, stunnel simplesmente confia na configuração ulimit para encontrar seu limite em descritores de arquivos. Então você só tem que fazer "ulimit -n 65536" e você terá um limite de clientes em torno de 32000.
Tenha cuidado, pois cada contexto SSL pode usar muita memória. Além disso, se o seu stunnel funcionar no modo de thread, você não necessariamente desejará atingir números de thread tão altos.
Verifique seus limites aqui: cat /proc/$(pidof stunnel4)/limits
Em seguida, edite o arquivo /etc/default/stunnel4 :
Definir RLIMITS: RLIMITS="-n 65536"
Reinicie o stunnel: sudo /etc/init.d/stunnel4 restart
Confirme seus limites com cat /proc/$(pidof stunnel4)/limits novamente.