Estou executando uma instância nginx que atua como um ponto de terminação SSL e um balanceador de carga básico em um servidor virtual EC2, e obtendo um desempenho muito ruim para as páginas SSL atendidas pela fonte upstream.
A instância EC2 é um c1.medium e deve ser capaz de sustentar uma taxa de transferência razoável, mas não posso obtê-la acima de 60 transações por segundo.
Servindo a página de status do nginx diretamente do servidor, gerencio mais de dez vezes a taxa de transferência, por isso não é apenas uma sobrecarga SSL, mas se eu reconfigurar para servir o mesmo conteúdo sem SSL, também farei muito melhor. também não sobrecarga de upstream. A CPU é maximizada enquanto atende as 60 transações por segundo.
Estou usando ab para testá-lo, com parâmetros "-n 1000 -c 50 -k" - 1000 hits, concorrência de 50, keepalives ativados para que o cache de sessão SSL funcione.
Aqui está uma configuração abreviada:
user www-data;
worker_processes 4;
pid /var/run/nginx.pid;
events {
worker_connections 4096;
}
http {
sendfile off;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/json;
log_format standard '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent "$http_referer" "$http_user_agent"';
access_log /var/log/nginx/access.log standard;
error_log /var/log/nginx/error.log;
gzip on;
gzip_types text/plain application/json;
gzip_comp_level 1;
upstream test {
server 10.226.31.66;
}
server {
listen 443;
ssl on;
ssl_certificate /etc/nginx/certs/both.crt;
ssl_certificate_key /etc/nginx/certs/https.key;
ssl_session_timeout 10m;
ssl_session_cache shared:SSL:10m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!kEDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
location /v1/system/nginx {
stub_status on;
allow all;
}
location /nginx_status {
stub_status on;
allow all;
}
location / {
proxy_pass http://test;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_buffering on;
proxy_connect_timeout 15;
proxy_intercept_errors on;
}
}
}
Eu encontrei o mesmo, com HTTP indo a 500 hits / seg (largura de banda limitada) e HTTPS mal gerenciando 10 (CPU limitada). Eu não tenho uma solução para isso como tal, mas como uma solução alternativa que poderia ter muitos benefícios e poucas desvantagens, você considerou encerrar o SSL usando balanceadores de carga elásticos da amazon? Eles parecem muito mais rápidos, com apenas alguns centavos de gasto extra, mais barato do que comprar mais instâncias devido à falta de CPU, pelo menos.
Tags ssl nginx amazon-ec2 reverse-proxy