在高并发反代冲击中,如何优化ssl_session_cache以平衡性能与内存使用?
- 内容介绍
- 文章标签
- 相关推荐
本文共计768个文字,预计阅读时间需要4分钟。
在高度并发反向代理场景下,让 `ssl_session_cache` 既有效存储TLS握手压力,又不浪费内存,关键不在于模板套用,而是按实际流量、分层使用、预留量来计算。
按实际新会话速率精准计算共享内存大小
缓存太小,会话刚存进去就被淘汰;太大,又白占内存。必须用这个公式估算:
- cache_size (MB) ≈ 新建会话数/秒 × 超时秒数 × 0.5KB ÷ 1024
- 新建会话数/秒 ≠ QPS,要通过日志统计
$ssl_session_reused字段:值为0才算一次全新握手 - 超时建议设为
4h(14400 秒),比默认 5 分钟更利于复用;过短会导致复用率断崖下跌 - 举例:实测峰值 1200 次新握手/秒 → 1200 × 14400 × 0.5 / 1024 ≈ 8.4 MB → 直接配
shared:SSL:10m起步,高负载可上20m
Linux 与 Windows 必须区分配置方式
系统能力决定你能不能用“共享”缓存:
-
Linux 生产环境:必须用
shared:SSL:10m(或按上式计算值),配合ssl_session_timeout 4h和ssl_session_tickets on -
Windows 环境:官方二进制版不支持
shared,只能用builtin:1024,且必须设worker_processes 1,避免多进程间缓存隔离 - 别在 Windows 配置里写
shared:SSL:10m,Nginx 启动直接报错:[emerg] invalid value "shared:SSL:10m"
启用 session tickets 作为无状态兜底
仅靠 shared 缓存还不够——它依赖客户端支持 session ID 复用,而现代客户端(Chrome、Firefox、iOS)更倾向用 session ticket:
- 开启
ssl_session_tickets on,必须配套ssl_session_ticket_key /etc/nginx/ssl/ticket.key - ticket.key 是二进制密钥文件(至少 32 字节),建议每月轮换一次,防止长期泄露导致会话被重放
- session ticket 是无状态的:服务器不存会话数据,客户端自己加密携带,大幅降低服务端存储压力
- 即使 shared 缓存因容量溢出失效,ticket 仍能维持大部分复用,形成双保险
验证是否真正生效,别只看配置有没有加载
光确认配置语法正确没用,得看握手是不是真复用了:
- 用 OpenSSL 命令压测:
openssl s_client -connect example.com:443 -reconnect -servername example.com 2>/dev/null | grep "Session-ID\|Reused" - 若多次连接输出中
Session-ID不变,且出现Reused, SSL handshake succeeded,说明命中成功 - 同时检查 Nginx 日志中
$ssl_session_reused字段:大量r(reused)表示效果良好;全是0就得回头查配置或客户端兼容性
本文共计768个文字,预计阅读时间需要4分钟。
在高度并发反向代理场景下,让 `ssl_session_cache` 既有效存储TLS握手压力,又不浪费内存,关键不在于模板套用,而是按实际流量、分层使用、预留量来计算。
按实际新会话速率精准计算共享内存大小
缓存太小,会话刚存进去就被淘汰;太大,又白占内存。必须用这个公式估算:
- cache_size (MB) ≈ 新建会话数/秒 × 超时秒数 × 0.5KB ÷ 1024
- 新建会话数/秒 ≠ QPS,要通过日志统计
$ssl_session_reused字段:值为0才算一次全新握手 - 超时建议设为
4h(14400 秒),比默认 5 分钟更利于复用;过短会导致复用率断崖下跌 - 举例:实测峰值 1200 次新握手/秒 → 1200 × 14400 × 0.5 / 1024 ≈ 8.4 MB → 直接配
shared:SSL:10m起步,高负载可上20m
Linux 与 Windows 必须区分配置方式
系统能力决定你能不能用“共享”缓存:
-
Linux 生产环境:必须用
shared:SSL:10m(或按上式计算值),配合ssl_session_timeout 4h和ssl_session_tickets on -
Windows 环境:官方二进制版不支持
shared,只能用builtin:1024,且必须设worker_processes 1,避免多进程间缓存隔离 - 别在 Windows 配置里写
shared:SSL:10m,Nginx 启动直接报错:[emerg] invalid value "shared:SSL:10m"
启用 session tickets 作为无状态兜底
仅靠 shared 缓存还不够——它依赖客户端支持 session ID 复用,而现代客户端(Chrome、Firefox、iOS)更倾向用 session ticket:
- 开启
ssl_session_tickets on,必须配套ssl_session_ticket_key /etc/nginx/ssl/ticket.key - ticket.key 是二进制密钥文件(至少 32 字节),建议每月轮换一次,防止长期泄露导致会话被重放
- session ticket 是无状态的:服务器不存会话数据,客户端自己加密携带,大幅降低服务端存储压力
- 即使 shared 缓存因容量溢出失效,ticket 仍能维持大部分复用,形成双保险
验证是否真正生效,别只看配置有没有加载
光确认配置语法正确没用,得看握手是不是真复用了:
- 用 OpenSSL 命令压测:
openssl s_client -connect example.com:443 -reconnect -servername example.com 2>/dev/null | grep "Session-ID\|Reused" - 若多次连接输出中
Session-ID不变,且出现Reused, SSL handshake succeeded,说明命中成功 - 同时检查 Nginx 日志中
$ssl_session_reused字段:大量r(reused)表示效果良好;全是0就得回头查配置或客户端兼容性