Tunning Squid - Para alto tráfego
Publicado por Rafael Mendes em 15/06/2012
[ Hits: 28.623 ]
Blog: http://www.linkedin.com/pub/rafael-mendes/23/799/6a4
Tunning Squid - Para alto tráfego
Nesta dica pretendo ajudar todos os usuários de GNU/Linux que fazem uso do Squid como servidor proxy.
Não serão abordadas configurações de regras de Squid, apenas iremos tratar algumas configurações necessárias para dar maior agilidade ao Squid, para aquelas pessoas que, assim como eu, tiveram problemas ao ter muitos usuários conectados ao proxy e a Internet tornar-se lenta.
O mesmo está atendendo em horário de pico, em média de 1000 usuários simultaneamente, efetuando autenticações via winbind em um domínio NT (Active Directory) no Windows Server Enterprise 2008.
Para isso, vamos alterar o arquivo sysclt.conf:
# vim /etc/sysctl.conf
E no final do arquivo, adicionar as seguintes linhas:
Após adicionar as linhas e salvar o arquivo, é necessário executar o comando "sysclt -p" para que as alterações sejam importadas pelo kernel.
# ulimit -a.
No meu caso, apenas alterei o valor de 'open files', que no padrão era 1024 e passei para 16384.
Para fazer esta alteração, basta digitar o seguinte comando na console:
# ulimit -n 16384
Porém, ao reiniciar o servidor, os valores de 'limits' irão retornar para o padrão. Para que isso não aconteça, edite o arquivo limits.conf:
# vim /etc/security/limits.conf
No final do arquivo, inclua as seguintes linhas:
Agora vamos alterar o valor padrão de arquivos de descritores abertos pelo Squid. Para isso edite o arquivo /etc/default/squid.
Neste arquivo tem um valor padrão de 1024, altere para 4096.
Pronto, o seu kernel para uso do Squid está 'tunado'... Uma alteração a gosto, de quem quiser testar, também foi modificar os parâmetros de leitura de cache no "squid.conf".
Percebi uma melhora significativa na velocidade de acesso ao cache ao usar o método diskd no lugar de aufs.
Em algumas pesquisas na Internet, encontrei registros em que o diskd consegue fazer até 160 requisições por segundo ao cache no disco, sendo que o aufs, gira em torno de 40 requisições por segundo.
Entendido isso, foi alterado o cache para os seguintes parâmetros:
Se pesquisarem sobre este parâmetro, deverão encontrar muita coisa, então não irei abordar o por quê dos por quês...
Feito estas configurações, recomendo reiniciar o servidor e levantar o Squid para ver as melhoras de performance.
No meu caso, a navegação ficou visivelmente mais rápida.
Não serão abordadas configurações de regras de Squid, apenas iremos tratar algumas configurações necessárias para dar maior agilidade ao Squid, para aquelas pessoas que, assim como eu, tiveram problemas ao ter muitos usuários conectados ao proxy e a Internet tornar-se lenta.
Cenário
No cenário este "tunning" foi um servidor com 4GB de RAM, sendo 3 GB dedicados para o Squid. Dois discos SCSI de 10k com um processador Xeon 2.4 rodando Debian 6.O mesmo está atendendo em horário de pico, em média de 1000 usuários simultaneamente, efetuando autenticações via winbind em um domínio NT (Active Directory) no Windows Server Enterprise 2008.
Modificando algumas configurações do kernel
Primeiramente vamos alterar alguns valores do kernel padrão, reduzindo o tempo de limpeza da tabela ARP e aumentando o seu tamanho, bem como aumentando o número de conexões simultâneas que o servidor irá atender e reduzir o tempo de espera entre as conexões.Para isso, vamos alterar o arquivo sysclt.conf:
# vim /etc/sysctl.conf
E no final do arquivo, adicionar as seguintes linhas:
####### TUNNING PARA SQUID ########
# Reduzir o tempo de limpeza da tabela ARP
# Expandir o seu tamanho
net.ipv4.neigh.default.gc_interval = 15
net.ipv4.neigh.default.gc_thresh1 = 4096
net.ipv4.neigh.default.gc_thresh2 = 8192
net.ipv4.neigh.default.gc_thresh3 = 16384
# Aumento do numero de conexoes simultaneas
# Reducao do tempo de espera entre as conexoes
net.core.somaxconn = 20480
net.core.netdev_max_backlog = 2048
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_max_syn_backlog = 2048
# Reduzir o tempo de limpeza da tabela ARP
# Expandir o seu tamanho
net.ipv4.neigh.default.gc_interval = 15
net.ipv4.neigh.default.gc_thresh1 = 4096
net.ipv4.neigh.default.gc_thresh2 = 8192
net.ipv4.neigh.default.gc_thresh3 = 16384
# Aumento do numero de conexoes simultaneas
# Reducao do tempo de espera entre as conexoes
net.core.somaxconn = 20480
net.core.netdev_max_backlog = 2048
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_max_syn_backlog = 2048
Após adicionar as linhas e salvar o arquivo, é necessário executar o comando "sysclt -p" para que as alterações sejam importadas pelo kernel.
Modificando os limits de segurança
Uma outra boa prática adotada foi modificar os valores de limits do kernel. Para verificar os limits do seu kernel, basta digitar o comando:# ulimit -a.
No meu caso, apenas alterei o valor de 'open files', que no padrão era 1024 e passei para 16384.
Para fazer esta alteração, basta digitar o seguinte comando na console:
# ulimit -n 16384
Porém, ao reiniciar o servidor, os valores de 'limits' irão retornar para o padrão. Para que isso não aconteça, edite o arquivo limits.conf:
# vim /etc/security/limits.conf
No final do arquivo, inclua as seguintes linhas:
#### TUNNING DE LIMITS DE KERNEL #####
root soft nofile 16384
root hard nofile 32768
* soft nofile 16384
* hard nofile 32768
root soft nofile 16384
root hard nofile 32768
* soft nofile 16384
* hard nofile 32768
Considerações finais
Modificando configuração padrão do Squid.Agora vamos alterar o valor padrão de arquivos de descritores abertos pelo Squid. Para isso edite o arquivo /etc/default/squid.
Neste arquivo tem um valor padrão de 1024, altere para 4096.
Pronto, o seu kernel para uso do Squid está 'tunado'... Uma alteração a gosto, de quem quiser testar, também foi modificar os parâmetros de leitura de cache no "squid.conf".
Percebi uma melhora significativa na velocidade de acesso ao cache ao usar o método diskd no lugar de aufs.
Em algumas pesquisas na Internet, encontrei registros em que o diskd consegue fazer até 160 requisições por segundo ao cache no disco, sendo que o aufs, gira em torno de 40 requisições por segundo.
Entendido isso, foi alterado o cache para os seguintes parâmetros:
cache_dir diskd /var/spool/squid 20480 64 256 Q1=64 Q2=72
Se pesquisarem sobre este parâmetro, deverão encontrar muita coisa, então não irei abordar o por quê dos por quês...
Feito estas configurações, recomendo reiniciar o servidor e levantar o Squid para ver as melhoras de performance.
No meu caso, a navegação ficou visivelmente mais rápida.
Outras dicas deste autor
Problema: Dell OpenManage não faz login (refresh na tela) no CentOS 6.4 [Resolvido]
Compartilhamento NFS em Debian
Instalando repositório RPMforge no CentOS 6.2
Conexão SSH entre servidores Linux sem senha
Instalação do Dell OpenManage no CentOS 6.X
Leitura recomendada
Resolução de problemas com teclados em terminais LTSP
Como deixar o XFCE igual ao Gnome
Introdução à prática de informática
Comentários
[1] Comentário enviado por cromado em 16/04/2013 - 19:14h
Interessante. vou fazer alguns testes.
Tks
Interessante. vou fazer alguns testes.
Tks
[2] Comentário enviado por becktranck em 01/11/2016 - 10:03h
Bom dia!
Fiz conforme recomendando no tópico , mas estou me deparando com um erro de conexões winbind.
"winbindd: Exceeding 1000 client connections, no idle connection found"
Alguém já pegou esse erro ?
Tenho cerca de 700 usuários utilizando squid autenticando no AD , num hardware desktops I5 com 8GB de RAM e gostaria que suportasse até 1000 usuários conectados.
Agradeço a ajuda de todos.
Abs.
Bom dia!
Fiz conforme recomendando no tópico , mas estou me deparando com um erro de conexões winbind.
"winbindd: Exceeding 1000 client connections, no idle connection found"
Alguém já pegou esse erro ?
Tenho cerca de 700 usuários utilizando squid autenticando no AD , num hardware desktops I5 com 8GB de RAM e gostaria que suportasse até 1000 usuários conectados.
Agradeço a ajuda de todos.
Abs.
[3] Comentário enviado por rafael.mendes em 01/11/2016 - 16:33h
Olá @becktranck
Creio que o seu problema esteja no arquivo de configuração do smb.conf.
Dentro dele teves ter uma sessão onde esta definido a quantidade de sessões no cache do samba. Caso não a tenha defina conforme abaixo no seu smb.conf
idmap uid = 10000-30000
idmap gid = 10000-30000
winbind gid = 10000-30000
winbind enum users = yes
winbind enum groups = yes
No caso da config acima você estará liberando o samba para ler até 20.000 usuários do seu domínio. (pois estarão enumerados de 10.000 até 30.000)
Espero ter ajudado.
--
Att;
Rafael Mendes
Olá @becktranck
Creio que o seu problema esteja no arquivo de configuração do smb.conf.
Dentro dele teves ter uma sessão onde esta definido a quantidade de sessões no cache do samba. Caso não a tenha defina conforme abaixo no seu smb.conf
idmap uid = 10000-30000
idmap gid = 10000-30000
winbind gid = 10000-30000
winbind enum users = yes
winbind enum groups = yes
No caso da config acima você estará liberando o samba para ler até 20.000 usuários do seu domínio. (pois estarão enumerados de 10.000 até 30.000)
Espero ter ajudado.
--
Att;
Rafael Mendes
[4] Comentário enviado por becktranck em 09/11/2016 - 10:01h
Rafael , bom dia!
Tudo bem amigão?
Deixei meu smb.conf conforme abaixo :
#####################################
[global]
realm = XXX.XXXX.COM
workgroup = JAGUARE
security = ads
# If the system doesn't find the domain controller automatically, you may need the following line
# password server = 10.0.0.1
# note that workgroup is the 'short' domain name
# winbind separator = +
idmap uid = 10000-30000
idmap gid = 10000-30000
winbind gid = 10000-30000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2
Tenho notado que o consumo de memória vem crescendo gradativamente durante o dia e quando ocupa 90% do total a máquina trava, já fiz várias configurações de tunning , mas sem êxito ainda.
Vou analisar como vai se comportar o squid no meu ambiente e reporto posteriormente os resultados.
Abs e muito obrigado pela colaboração.
Rafael , bom dia!
Tudo bem amigão?
Deixei meu smb.conf conforme abaixo :
#####################################
[global]
realm = XXX.XXXX.COM
workgroup = JAGUARE
security = ads
# If the system doesn't find the domain controller automatically, you may need the following line
# password server = 10.0.0.1
# note that workgroup is the 'short' domain name
# winbind separator = +
idmap uid = 10000-30000
idmap gid = 10000-30000
winbind gid = 10000-30000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2
Tenho notado que o consumo de memória vem crescendo gradativamente durante o dia e quando ocupa 90% do total a máquina trava, já fiz várias configurações de tunning , mas sem êxito ainda.
Vou analisar como vai se comportar o squid no meu ambiente e reporto posteriormente os resultados.
Abs e muito obrigado pela colaboração.
[5] Comentário enviado por rafael.mendes em 09/11/2016 - 14:02h
Olá Cleber....
Como esta sua linha de cache_dir? Se ela estiver pouco distribuída e com muito arquivo ira consumir muita memória mesmo...
Tenho um ambiente hoje rodando em torno de 500 acessos simultâneos e rodo o squid em uma maquina virtual com 8GB de RAM também....
Aqui a linha cache_dir esta funcionando bem com a seguinte configuração:
cache_dir aufs /var/spool/squid3 2560 32 256
Quando adicionar essa linha você ira precisar recriar o cache do squid... para isso de um stop no squid, e depois execute o comando "squid -z" e inicie o squid novamente. Valide se o caminho do cache do seu squid também esta em /var/spool/squid3... caso contrário adapte para seu ambiente.
--
Att;
Rafael Mendes
rafael@rmitsolucoes.com.br
Analista de TI.
Joinville - Santa Catarina
RMIT Soluções | Soluções em Tecnologia da Informação.
Chamados: helpdesk.rmitsolucoes.com.br
Serviços: www.rmitsolucoes.com.br
Olá Cleber....
Como esta sua linha de cache_dir? Se ela estiver pouco distribuída e com muito arquivo ira consumir muita memória mesmo...
Tenho um ambiente hoje rodando em torno de 500 acessos simultâneos e rodo o squid em uma maquina virtual com 8GB de RAM também....
Aqui a linha cache_dir esta funcionando bem com a seguinte configuração:
cache_dir aufs /var/spool/squid3 2560 32 256
Quando adicionar essa linha você ira precisar recriar o cache do squid... para isso de um stop no squid, e depois execute o comando "squid -z" e inicie o squid novamente. Valide se o caminho do cache do seu squid também esta em /var/spool/squid3... caso contrário adapte para seu ambiente.
--
Att;
Rafael Mendes
rafael@rmitsolucoes.com.br
Analista de TI.
Joinville - Santa Catarina
RMIT Soluções | Soluções em Tecnologia da Informação.
Chamados: helpdesk.rmitsolucoes.com.br
Serviços: www.rmitsolucoes.com.br
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.926 pts -
Fábio Berbert de Paula
2° lugar - 51.272 pts -
Buckminster
3° lugar - 17.665 pts -
Mauricio Ferrari
4° lugar - 15.450 pts -
Alberto Federman Neto.
5° lugar - 14.086 pts -
Diego Mendes Rodrigues
6° lugar - 13.688 pts -
Daniel Lara Souza
7° lugar - 13.094 pts -
Andre (pinduvoz)
8° lugar - 10.449 pts -
edps
9° lugar - 10.658 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.561 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
