Squid 3.5.8 на CentOS7 загрузка процессора 100%

Ответ на большинство вопросов, содержащих в себе «загрузка процессора 100%», может дать perf, в частности, команда perf top

Если в top видно, что именно конкретный процесс squid потребляет весь проц, то perf можно сразу натравливать на него по pid’у процесса

Можно пожалуйста поподробнее,я новичок в этой теме, squid пока кроме меня ковырять некому, а ковырять надо)

Вот что показывает perf top

Samples: 29K of event ‘cycles’, Event count (approx.): 19599632662 Overhead Shared Object Symbol 12,89% libc-2.17.so [.] _int_malloc 7,94% libc-2.17.so [.] _int_free 6,11% libc-2.17.so [.] malloc 5,14% libc-2.17.so [.] malloc_consolidate 4,89% libcrypto.so.1.0.2k [.] EVP_DecodeUpdate 4,30% libc-2.17.so [.] free 2,56% libcrypto.so.1.0.2k [.] EVP_DecodeBlock 1,96% libcrypto.so.1.0.2k [.] X509_NAME_cmp 1,76% libcrypto.so.1.0.2k [.] ASN1_STRING_free 1,73% libc-2.17.so [.] vfprintf 1,49% libc-2.17.so [.] msort_with_tmp.part.0 1,48% libcrypto.so.1.0.2k [.] ASN1_OBJECT_free 1,19% libcrypto.so.1.0.2k [.] ASN1_item_ex_i2d 1,18% libcrypto.so.1.0.2k [.] ASN1_primitive_free 1,08% libc-2.17.so [.] __memcpy_sse2 0,95% libc-2.17.so [.] __memcpy_ssse3_back 0,90% libcrypto.so.1.0.2k [.] PEM_read_bio 0,88% libcrypto.so.1.0.2k [.] CRYPTO_malloc 0,88% libcrypto.so.1.0.2k [.] X509_subject_name_cmp 0,82% libc-2.17.so [.] __memcmp_sse4_1 0,81% libc-2.17.so [.] _IO_fgets 0,66% libcrypto.so.1.0.2k [.] 0x000000000014c994 0,60% libcrypto.so.1.0.2k [.] ASN1_get_object 0,53% [kernel] [k] e1000_intr_msi 0,50% libcrypto.so.1.0.2k [.] asn1_ex_i2c 0,50% libcrypto.so.1.0.2k [.] sk_pop_free 0,50% libcrypto.so.1.0.2k [.] 0x0000000000145464 0,45% libc-2.17.so [.] realloc 0,44% libc-2.17.so [.] __memset_sse2 0,41% libc-2.17.so [.] _IO_default_xsputn 0,39% libcrypto.so.1.0.2k [.] X509_NAME_oneline 0,36% [kernel] [k] e1000_irq_enable 0,36% libcrypto.so.1.0.2k [.] UTF8_putc 0,36% libcrypto.so.1.0.2k [.] CRYPTO_free 0,35% squid [.] objToString 0,35% libcrypto.so.1.0.2k [.] asn1_ex_c2i 0,34% libcrypto.so.1.0.2k [.] asn1_get_field_ptr 0,32% libcrypto.so.1.0.2k [.] sk_value 0,31% libcrypto.so.1.0.2k [.] c2i_ASN1_OBJECT 0,29% libc-2.17.so [.] memchr 0,28% libc-2.17.so [.] _IO_str_init_static_internal 0,28% libcrypto.so.1.0.2k [.] ASN1_template_free 0,27% libcrypto.so.1.0.2k [.] asn1_do_adb 0,27% libcrypto.so.1.0.2k [.] sk_insert 0,26% libc-2.17.so [.] __strchrnul 0,26% libcrypto.so.1.0.2k [.] ASN1_object_size 0,25% [kernel] [k] copy_user_enhanced_fast_string 0,25% libcrypto.so.1.0.2k [.] BUF_MEM_free 0,23% libc-2.17.so [.] _IO_getline_info 0,22% libcrypto.so.1.0.2k [.] 0x0000000000147f5f 0,21% libcrypto.so.1.0.2k [.] 0x0000000000147b5a 0,21% libc-2.17.so [.] _vsnprintf_chk 0,20% libcrypto.so.1.0.2k [.] OBJ_bsearch_ex 0,20% libcrypto.so.1.0.2k [.] ASN1_primitive_new 0,20% libcrypto.so.1.0.2k [.] 0x0000000000145400 0,20% libcrypto.so.1.0.2k [.] CRYPTO_add_lock 0,19% libcrypto.so.1.0.2k [.] asn1_enc_free 0,19% libstdc++.so.6.0.19 [.] std::string::append 0,19% libcrypto.so.1.0.2k [.] 0x0000000000145490 0,17% [kernel] [k] igb_rd32

А обычный top что показывает?

Пока рабочая гипотеза - неправильная настройка SSL-сертификатов, приводящая к ошибкам в хендшейках и, как следствие, постоянным попыткам их повторения.

Это обычный, squid грузит проц на 100%

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND

26713 squid 20 0 1468684 1,316g 7008 R 100,0 17,3 489:32.51 squid

13 root 20 0 0 0 0 S 0,3 0,0 33:05.86 rcu_sched

17 root 20 0 0 0 0 S 0,3 0,0 14:37.72 rcuos/3

1798 named 20 0 389128 59200 3252 S 0,3 0,7 16:41.81 named

7783 root 20 0 595944 38064 20544 S 0,3 0,5 12:13.77 gnome-system-mo

1 root      20   0  189948   4724   2076 S   0,0  0,1   0:19.15 systemd

2 root      20   0       0      0      0 S   0,0  0,0   0:00.12 kthreadd

3 root      20   0       0      0      0 S   0,0  0,0   0:06.84 ksoftirqd/0

5 root       0 -20       0      0      0 S   0,0  0,0   0:00.00 kworker/0:0H

7 root      rt   0       0      0      0 S   0,0  0,0   0:00.53 migration/0

8 root      20   0       0      0      0 S   0,0  0,0   0:00.00 rcu_bh

Меня больше интересовала строчка в шапке, там где %Cpu(s): xxx us, yyy sy

%Cpu(s): 24,9 us, 0,4 sy, 0,0 ni, 74,5 id, 0,0 wa, 0,0 hi, 0,3 si, 0,0 st

KiB Mem : 7969540 total, 220260 free, 2388604 used, 5360676 buff/cache

KiB Swap: 0 total, 0 free, 0 used. 5250492 avail Mem

Пока гипотеза подтверждается.

Вот тема с похожей ошибкой: SQUID4 настройка HTTPS, еще одна есть внизу страницы.

Закомментировал в конфиге строчку

https_port 3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/ssl/squidCA.pem

нагрузка упала, но и видимо отвалились все ресурсы, работающие по https. А можно как-то посмотреть срок действия сертификата squidCA.pem?

А можно как-то посмотреть срок действия сертификата squidCA.pem?

Да, openssl x509 -text -in squidCA.pem

openssl x509 -text -in squidCA.pem unable to load certificate

140368177870752:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: TRUSTED CERTIFICATE

Что-то тут мало понятного)

grep '^-----.*CERTIFICATE' squidCA.pem

Ничего не происходит

Тогда открой в редакторе и посмотри, что там (нет, я не буду просить тебя выкладывать свои ключи в открытый доступ :)

Скорее всего, лучший выход - сгенерить новый сертификат, а про старый забыть.

Можно как-нибудь временно отрубить проверку сертификата в конфиге?

Не знаю, читай доки.

Хорошо. Спасибо тебе большое, стало всё намного понятнее.