172 похожих чатов

Господа, доброго вечера Есть LEMP проект средней нагруженности, около 1.2 млн

запросов за 5 минут.

Основная архитектура у него 4 app сервера + 1 db (балансеры, waf и все такое не важно).
Узким местом является php-fpm. Как только начинается более менее умная ddos атака, с тонной разных ip адресов, пулы забиваются под ноль, с учетом того, что max_children установлено 4500. В рабочем состоянии php-fpm выжирает около 3200к процессов.

Пока все действия по смягчению атаки пройдут, это минут 5-10. То есть N пользователей страдает от 5ХХ ошибок.

В связи с этим есть вопрос, вообще такое количество max_children - это нормальная практика? Я ничего похожего в гуглах не нашел. Есть ли какие то советы, кроме как сменить тип пула с динамики на статику и автоскейлинг настроить?

14 ответов

29 просмотров

И зачем 3200к процессов? Сколько у тебя ядер проц?

а кто сказал что "php-fpm узкое место" ? узкое место тут код на php.

автоскейлинг - отличный деньгожор вам нормальный WAF видимо нужен

Alexander- Автор вопроса
Artiom
И зачем 3200к процессов? Сколько у тебя ядер проц?

К сожалению я тоже только вчера увидел эти цифры. Со вчерашнего дня 32 ядра, модель процессора не помню. Aws 6x что то там, чуть позже точный тариф могу сказать

Alexander- Автор вопроса
Elenhil
автоскейлинг - отличный деньгожор вам нормальный W...

С этим проблема. Он как бы есть, но из за некоторых причин временно недоступен. Подключён awa shield advanced

Alexander- Автор вопроса
Elenhil
Значит надо искать аналоги

Он будет, просто чуть позже, когда инфраструктура будет готова

Alexander
Он будет, просто чуть позже, когда инфраструктура ...

max_children = (average PHP script execution time) * (PHP requests per second)

Alexander- Автор вопроса

Это факт, но на данный момент я хочу разобраться с php fpm

Alexander- Автор вопроса

Изучу, спасибо

Alexander- Автор вопроса

Прочитайте всю ветку, я на все эти вопросы ответил с избытком

Alexander
Прочитайте всю ветку, я на все эти вопросы ответил...

Прочитал. Бороться с атакой на исчерпание ресурсов ресурсами - это интересная идея, но практически бесполезная. Вам нужен waf, а не тюнинг пхп. Как разница, сколько вы набьете потоков пхп, если у атакующего масса ресурсов и ему их дешево выбивать? Трафик вообще не должен до вас доходить. Увеличение очереди и числа потоков - ведет к увеличению латенси и отвалу юзеров по нему. Это не говоря о последствиях, ну разошьете вы пхп, ок - база упадет. Или коннекты кончатся. Или сокеты.

Alexander- Автор вопроса
Mentat
Прочитал. Бороться с атакой на исчерпание ресурсов...

Вы все верно подметили, но все же я хочу изначально разобраться, что происходит с php fpm, почему такое дикое количество дочерних процессов и почему без них он не работает. Исходя из реальных формул, выставлять нужно max_children * memory_limit исходя из RAM сервера. К сожалению я никак не могу сейчас повлиять на WAF. Вообще. Совсем. Так что пытаюсь начать фиксить то, с чем можно работать.

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта