Dimka, если nat не задействован, непонятно откуда взялся модуль. Ну значит попробуйте тогда по одному выгрузить последовательно модули, от которых зависит conntrack : получается, nf_nat, iptable_nat, а уже потом nf_conntrack_ipv4.
И убрать их из того места где они загружались.
Dimka, это не все правила. Лучше сразу смотреть вывод iptables-save, потому что есть еще nat и тд.
Dimka, ну а какие именно правила iptables у вас требуют conntrack ? может пересмотреть их необходимость и убрать ? тогда модуль выгрузится
lamma, это не лики - это переменные и буферы.
Хостерам, конечно, никогда mod_perl не был интересен и они его боятся.
А полный аналог и не нужен.
mod_perl закрывает нишу производительных веб-приложений на perl. Причем, намного лучше php-fpm. Там инициализация приложения выполняется отдельно от обработки запросов.
php вытеснил perl, потому что php был лучше для небольших сайтов на shared. А большие вынуждены тянуть, то что использовали раньше.
Dimka, точно есть . Я бы попробовал выгрузить модуль, но вероятно у вас все же есть правила, от которых conntrack зависит.
Например, ограничение на число соединений с одного IP.
Ну тогда ключ может называться net.nf_conntrack_max и придется его увеличивать. По-умолчанию он как раз 64k, так что все сходится.
Там тоже своих таймаутов куча и он как бы сам по себе, потому что призван отслеживать чужие транзитные соединения на линукс-роутерах.
Но я бы пока не пытался эти параметры испортить, если можно просто лимит поднять.
Потому что он не падает в том смысле как это привыкли понимать программисты.
Перечитайте внимательно
Из контекста вырвано. Речь об исходящих соединениях.
Ну или какой-то старой системе.
Да, вот это и еще нестандартный плагин tcp-states, на который ссылку я раньше давал. Все эти показатели полезно знать.
то есть 600 секунд в конфиге nginx ? там же по-умолчанию то 75.
Нужно совсем немного - 10 даже хватит. Зависит от специфики,но обычно суть этого keep-alive в том, чтобы последовательная загрузка элементов одной странички шла быстро .Держать соединение и ждать следующей странички в современном интернете , пожалуй, лишнее.
на мой взгляд - да. но если вы завысили keep-alive, зачем усугублять?
По-моему, вы с неправильного вывода начали и всех запутали.
Этот лимит вам вообще мешать не должен. Чистому серверу http ведь эти порты вообще не нужны. Все входящие имеют значение локального порта = 80.
Это может оказывать влияние только если у вас еще и apache или еще какие-то необычные штуки требующие на каждое подключение исходящих подключений куда-то.
Может подробнее опишете ? Покажете этот самый netstat ss -s ?
Хотя все советы остаются в силе. В любом случае в такой нагруженной машине надо уменьшать число соединений как-нибудь, а worker_connections увеличивать.
И надо бы проверить не включен ли conntrack в iptables. Не нужен он, а лимит подключений создает равный net.ipv4.netfilter.ip_conntrack_max создает.
jano, ну так выводы можно почти сразу же сделать и выключать.
Запросов много? Они простые ?
От такого лога включенного постоянно будет еще больше тормозить
