После обновления до 2.7.0 squid медленно работает
-
Добрый день.
Имеется HA cluster на pfSense CE 2.6.0 с настроенным squid и kerberos аутентификацией. Все работает великолепно. Начал тестировать обновление 2.7.0 на бэкап ноде.
Удалил пакет squid с сохранением настроек, выполнил обновление, установил squid, сделал активным членом кластера.
Скорость упала сильно, время открытия страниц увеличилось в 5-10 раз, некоторые сайты перестали открываться вообще.
В логах нашел много сообщений вида Listen queue overflow на порту squida, добавил системную переменную kern.ipc.somaxconn со значением 4096 - сообщения в журнале пропали, но на работу прокси это никак не повлияло.
Пробовал по рекомендациям так же добавлять kern.ipc.nmbclusters со значением 32768 - результат аналогичный.
При включении дебаг лога никакой особой информации не видно.
Может кто подскажет, хоть в какую сторону смотреть?
ACL пробовал отключать, не помогло.
Конфиг# This file is automatically generated by pfSense # Do not edit manually ! http_port 172.20.16.69:8080 http_port 127.0.0.1:8080 http_port [::1]:8080 tcp_outgoing_address 172.20.16.67 icp_port 0 digest_generation off dns_v4_first on pid_filename /var/run/squid/squid.pid cache_effective_user squid cache_effective_group proxy error_default_language ru icon_directory /usr/local/etc/squid/icons visible_hostname proxy.domain.local cache_mgr admins@domain.net access_log /var/squid/logs/access.log cache_log /var/squid/logs/cache.log cache_store_log none netdb_filename /var/squid/logs/netdb.state pinger_enable on pinger_program /usr/local/libexec/squid/pinger logfile_rotate 7 debug_options rotate=7 shutdown_lifetime 3 seconds # Allow local network(s) on interface(s) acl localnet src 172.20.16.0/21 127.0.0.0/8 ::1/128 forwarded_for on uri_whitespace strip dns_nameservers 172.20.0.2 172.20.16.7 172.20.0.21 acl dynamic urlpath_regex cgi-bin \? cache deny dynamic cache_mem 64 MB maximum_object_size_in_memory 256 KB memory_replacement_policy heap GDSF cache_replacement_policy lru minimum_object_size 0 KB maximum_object_size 4 MB cache_dir ufs /var/squid/cache 100 16 256 offline_mode off cache_swap_low 90 cache_swap_high 95 cache deny all # Add any of your own refresh_pattern entries above these. refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 #Remote proxies # Setup some default acls # ACLs all, manager, localhost, and to_localhost are predefined. acl allsrc src all acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 8080 3129 1025-65535 acl sslports port 443 563 63103 1500 22700 8531 8443 9443 acl purge method PURGE acl connect method CONNECT # Define protocols used for redirects acl HTTP proto HTTP acl HTTPS proto HTTPS http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections http_access allow localhost quick_abort_min 0 KB quick_abort_max 0 KB request_body_max_size 0 KB delay_pools 1 delay_class 1 2 delay_parameters 1 512000/512000 512000/512000 delay_initial_bucket_level 100 delay_access 1 allow allsrc # Reverse Proxy settings # Custom options before auth auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -k /usr/local/etc/squid/proxy.keytab -t none auth_param negotiate children 50 auth_param negotiate keep_alive on acl auth proxy_auth REQUIRED acl allowtodomain dstdomain "/usr/local/etc/squid/access_to_domain.txt" #acl allowfromip src "/usr/local/etc/squid/access_from_ip.txt" acl denytodomain dstdomain "/usr/local/etc/squid/denied_to_domain.txt" acl denytoip dst "/usr/local/etc/squid/denied_to_ip.txt" acl denyfromip src "/usr/local/etc/squid/denied_from_ip.txt" http_access deny denytodomain http_access deny denytoip http_access deny denyfromip http_access allow allowtodomain #http_access allow allowfromip http_access deny !auth http_access allow auth # Set YouTube safesearch restriction acl youtubedst dstdomain -n www.youtube.com m.youtube.com youtubei.googleapis.com youtube.googleapis.com www.youtube-nocookie.com request_header_access YouTube-Restrict deny all request_header_add YouTube-Restrict none youtubedst # Setup allowed ACLs # Allow local network(s) on interface(s) http_access allow localnet # Default block all to be sure http_access deny allsrc -
Добрый
@ao_kalachev
В баг-репорт смотрели ? Может там чего есть на эту тему.
