Проблемы с Apache

0

2

Есть Apache2 из состава Debian Squeeze, установленный внутри OpenVZ-контейнера. Иногда по непонятной причине он внезапно перестает отвечать на соединения, спасает только рестарт Апача.

Бага проявляется непериодично - например, до сегодняшнего утра несколько дней все работало нормально, после рестарта Апач проработал несколько минут, потом снова повис, сейчас пока работает нормально.

Нагрузка перед зависанием практически никакая. Пробовал нагружать железку через Apache Benhcmark - спокойно обрабатывает несколько сотен запросов в секунду (и до нескольких тысяч - на статике), пока не упирается в количество сетевых соединений.

Пример netstat в момент зависания: http://paste.org/pastebin/view/36474 - соединений, даже висящих, не так уж много.

Ресурсов (в частности памяти) хосту хватает.

Прочие данные: используется prefork-вариант; apache2ctl status во время висения тоже не работает; в логах вроде ругани нет; память целая.

В общем, что это может быть, куда еще смотреть и что крутить?

Ссылка

←	Как удаленно вылючить компьютер

CentOs VS Calculate

→

а что в /proc/user_beancounters?

Skolotovich ★★★
(25.07.11 15:49:18 MSK)

Ответ на: комментарий от Skolotovich 25.07.11 15:49:18 MSK

fail'ов нет, если ты про это

YAR ★★★★★
(25.07.11 15:54:45 MSK) автор топика

Ссылка

strace трави на апачи.

Обычно глюки связаны с кривыми похапе-сайтами.

true_admin ★★★★★
(25.07.11 20:23:57 MSK)

Ответ на: комментарий от true_admin 25.07.11 20:23:57 MSK

> strace трави на апачи.

Я себе представляю, сколько гигабайт логов наплодит strace, с учетом того, что ждать, может быть, придется неделями.

Обычно глюки связаны с кривыми похапе-сайтами.

PHP тут через mod_fcgid и непонятно, как обработка скрипта внешним процессом полностью вешает Апач, не давая ему отдавать в том числе и статику.

YAR ★★★★★
(25.07.11 20:33:27 MSK) автор топика

Ответ на: комментарий от YAR 25.07.11 20:33:27 MSK

Я себе представляю, сколько гигабайт логов наплодит strace, с учетом того, что ждать, может быть, придется неделями.

strace надо запускать после возникновения проблемы а не заранее. Например strace -p -f -s128 <pid процесса>

PHP тут через mod_fcgid и непонятно, как обработка скрипта внешним процессом полностью вешает Апач, не давая ему отдавать в том числе и статику.

как раз всё понятно, у него все дочерние процессы ждут ответа от fcgi, поэтому всё и виснет. Апач defective by design.

true_admin ★★★★★
(25.07.11 21:17:42 MSK)

Битая память, как вариант? Если уж оно рандомно и наглухо виснет.

Anoxemian ★★★★★
(25.07.11 21:30:47 MSK)

Ответ на: комментарий от true_admin 25.07.11 21:17:42 MSK

> strace надо запускать после возникновения проблемы а не заранее.

Ага, я его в таком виде не использовал, буду знать.

поэтому всё и виснет.

Плохо, что это сказывается на все виртуальные хосты

YAR ★★★★★
(26.07.11 15:41:57 MSK) автор топика

Ответ на: комментарий от Anoxemian 25.07.11 21:30:47 MSK

Не вариат, уже указал в топике. Память проверялась, кроме того, на этом железе еще десяток контейнеров работает, проблема только с Апачем.

YAR ★★★★★
(26.07.11 15:43:00 MSK) автор топика

Ссылка

Ответ на: комментарий от YAR 26.07.11 15:41:57 MSK

я запускал отдельные апачи для разных сайтов. Это помогает разграничивать ресурсы и права.

true_admin ★★★★★
(26.07.11 20:38:10 MSK)

Ответ на: комментарий от true_admin 26.07.11 20:38:10 MSK

Руками или через apache2-mpm-itk?

YAR ★★★★★
(26.07.11 20:42:11 MSK) автор топика

Ответ на: комментарий от YAR 26.07.11 20:42:11 MSK

самопальными скриптами на фряхе. itk имеет дурную репутацию, я даже пробовать не стал.

true_admin ★★★★★
(26.07.11 22:01:00 MSK)

Ответ на: комментарий от true_admin 26.07.11 22:01:00 MSK

> самопальными скриптами на фряхе.

Ясно. Нет, у меня mod_fcgid + suexec, так что для php каждый домен тоже под своим пользователем и группой, а Апач входит в группу каждого домена (кстати, это чем-то плохо? Просто странно, что в хостинг-панели, которую использую, так дефолтно не сделали, переделывал сам), соответственно, на файлы можно ставить права 440 (или 400 для php-скриптов)

itk имеет дурную репутацию

Можно линков немного? Просто в целом меня такой вариант интересовал, но отрицательных отзывов вроде не видел.

YAR ★★★★★
(26.07.11 22:09:36 MSK) автор топика

Ответ на: комментарий от YAR 26.07.11 22:09:36 MSK

кстати, это чем-то плохо?

ну у фри ограничение на 16 групп было... А так это не то чтобы плохо, это просто ничего не меняет, если я правильно понял твою конфигурацию. В любом случае один сайт может залезть в папку с другим сайтом, поэтому общий апач зло.

Можно линков немного?

погугли «itk тормоз» и «itk глюкодром» :)

true_admin ★★★★★
(26.07.11 23:08:55 MSK)

Ответ на: комментарий от true_admin 26.07.11 23:08:55 MSK

> ну у фри ограничение на 16 групп было

Ага, про это как-то не задумался. Погуглил - кое-где пишут про те же 16 групп, кое-где - про 64K. Запустил скрипт, создающий группы и добавляющий пользователя в него, пока работает, 4000 групп уже создал. Даже если так - мне с головой хватит.

А так это не то чтобы плохо, это просто ничего не меняет, если я правильно понял твою конфигурацию.

Апач работает как и раньше, под www-data. Кроме того, он входит в группу каждого пользователя, под которым находится домен. Т.е., имеем пользователя user1000 в группе user1000, каталог с данными с правами 750 и user1000:user1000. Апач добавлен в группу user1000. Соответственно, для доступа к html и картинкам используется это включение в группу (сам по себе Апач ничего писать и выполнять не может, так что права для записи не нужны), а php-скрипты отдаются fcgid+suexec, который уже работает от нужного пользователя

В любом случае один сайт может залезть в папку с другим сайтом

Каким образом? HTML-странички сами по себе никуда лезть не будут, да и группы и пользователи у разных сайтов разные. PHP-скрипты лезть никуда не смогут, ибо тоже разные пользователи и разные группы, а доступа «для всех» нет. Разве что если будет какая-то бага в Апаче, когда он при работе с какой-то страничкой/картинкой внезапно даст шелл юзеру с правами www-data - тогда да, проблема.

YAR ★★★★★
(26.07.11 23:34:05 MSK) автор топика

Ответ на: комментарий от YAR 26.07.11 23:34:05 MSK

Ага, есть такое дело:

rain@mws64:~$ sudo su -l test
Каталог отсутствует или недоступен, вход в систему выполняется с HOME=/
test@mws64:/$ groups | wc -w
65536
test@mws64:/$

При

rain@mws64:~$ grep -c somegroup /etc/group
132010

Anyway, мне хватит.

YAR ★★★★★
(26.07.11 23:59:24 MSK) автор топика

Ссылка

Ответ на: комментарий от YAR 26.07.11 23:34:05 MSK

Каким образом?

A, туплю, годная защита. Только не все сайты(по крайней мере раньше) работали с (f)cgi, я потому и не использовал это.

true_admin ★★★★★
(27.07.11 00:34:32 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как удаленно вылючить компьютер

Admin

CentOs VS Calculate

→

Похожие темы