<div dir="ltr">Hi Alex,<div><br></div><div>Thanks for all the details. I will build a new squid image off master/v6 to check for the memory leak with test traffic.</div><div>Regarding the TLS session cache, I will try setting it to 100MB. Are there any stats exposed from the tls session cache that can be monitored to study the session cache usage with our traffic patterns? Would those be accessible via the <span style="font-family:"Helvetica Neue";font-size:13px">squid-internal-mgr endpoint?</span><br></div><div><span style="font-family:"Helvetica Neue";font-size:13px">Thanks</span></div>





<div>Praveen <br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Nov 22, 2022 at 7:58 PM Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com">rousskov@measurement-factory.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 11/22/22 21:06, Praveen Ponakanti wrote:<br>
<br>
> Do we have a recent squid ver 6 snapshot build available for testing? <br>
<br>
Sorry, I do not know the exact answer to your question. One can <br>
certainly build master/v6 from git sources, of course.<br>
<br>
<br>
> The following config knobs were tried and did not make much of a <br>
> difference with respect to concurrent outbound TLS sessions across the <br>
> workers.<br>
<br>
I can only speculate that there is a Squid bug that prevents workers <br>
from using (or sharing) the TLS session cache OR your traffic patterns <br>
do not allow (much) sharing OR your TLS session cache is too small for <br>
those traffic patterns. Lot's of possibilities here!<br>
<br>
<br>
> The docs say the default sslproxy_session_cache_size is 2 MB, <br>
> how high can we go?<br>
<br>
I have not tested this, but, bugs notwithstanding, I would expect you to <br>
be able to go as high as the maximum shared memory segment size in your <br>
environment (e.g., see sysctl kernel.shmax). The entire cache must fit <br>
into a single shared memory segment IIRC. It certainly does not hurt to <br>
try 100 MB if you already tried 10 MB. Squid should complain if it <br>
cannot allocate a segment of the specified size.<br>
<br>
<br>
> Are there any other knobs we can try to improve <br>
> session reuse for HTTPS reqs ? (without enabling squid cache)<br>
<br>
FWIW, I would try to understand _why_ sessions are not shared (enough) <br>
in the first place, especially if increasing sslproxy_session_cache_size <br>
value does not result in session cache hit ratio increase while there <br>
are still many false cache misses. I do not know whether anybody is <br>
paying a lot of attention to that cache in production, but the <br>
corresponding Squid code is not tested by the Squid Project CI (yet?).<br>
<br>
Also, there are different kinds of TLS session reuse. It is possible <br>
that the sessions you want to reuse are not supported by the Squid <br>
session cache. Unfortunately, I do not remember enough details to tell <br>
you more, but one can set up a controlled test and see what is actually <br>
going on.<br>
<br>
<br>
HTH,<br>
<br>
Alex.<br>
<br>
<br>
> sslproxy_session_cache_size 10 MB<br>
> tls_outgoing_options options=NO_TICKET<br>
> <br>
> <br>
>     > Agree, it might not make sense to increase the complexity with sharing<br>
>     > socket among the workers. Was thinking more on the lines of a hashmap<br>
>     > that the coordinator could use to pick workers that already have a TCP<br>
>     > connection to the destination being requested, instead of having the<br>
>     > workers themselves share connection details.<br>
> <br>
> <br>
>     Coordinator does not receive/see regular HTTP traffic. If we start<br>
>     routing HTTP transactions through that process, it may become the<br>
>     bottleneck itself _and_ will introduce additional overheads for passing<br>
>     descriptors to workers. From performance point of view, the model with<br>
>     one "routing" task doling work to workers works best (and is commonly<br>
>     used) in threaded applications, but Squid is not threaded at that level.<br>
> <br>
> <br>
>      > Most of the TCP connections are for HTTPS reqs, w/o TLS<br>
>     termination at<br>
>      > the squid. Does squid currently support a TLS session cache ?<br>
> <br>
>     Yes, there is some support for worker-specific TLS session caching,<br>
>     with<br>
>     directives like sslproxy_session_cache_size, tls_outgoing_options<br>
>     options=NO_TICKET (for outgoing sessions IIRC) and https_port<br>
>     sslflags=NO_SESSION_REUSE and https_port sslcontext (for incoming<br>
>     sessions).<br>
> <br>
> <br>
>     HTH,<br>
> <br>
>     Alex.<br>
> <br>
> <br>
>      >     If you are dealing with TLS sessions as well, then we should<br>
>     add a<br>
>      >     shared memory TLS session cache that all workers can tap into.<br>
>      ><br>
>      ><br>
>      >     Cheers,<br>
>      ><br>
>      >     Alex.<br>
>      ><br>
>      >      > On Tue, Jun 21, 2022 at 2:11 PM Alex Rousskov wrote:<br>
>      >      ><br>
>      >      >     On 6/19/22 12:48, Praveen Ponakanti wrote:<br>
>      >      ><br>
>      >      >      > What is the process to have this code patch<br>
>     upstreamed for<br>
>      >     future<br>
>      >      >     squid<br>
>      >      >      > versions?<br>
>      >      ><br>
>      >      >     In short, just post a quality pull request on GitHub<br>
>     (or find<br>
>      >     somebody<br>
>      >      >     who can guide your code towards official acceptance<br>
>     for you). For<br>
>      >      >     details, please see<br>
>      > <a href="https://wiki.squid-cache.org/MergeProcedure" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/MergeProcedure</a><br>
>     <<a href="https://wiki.squid-cache.org/MergeProcedure" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/MergeProcedure</a>><br>
>      >     <<a href="https://wiki.squid-cache.org/MergeProcedure" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/MergeProcedure</a><br>
>     <<a href="https://wiki.squid-cache.org/MergeProcedure" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/MergeProcedure</a>>><br>
>      >      >     <<a href="https://wiki.squid-cache.org/MergeProcedure" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/MergeProcedure</a><br>
>     <<a href="https://wiki.squid-cache.org/MergeProcedure" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/MergeProcedure</a>><br>
>      >     <<a href="https://wiki.squid-cache.org/MergeProcedure" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/MergeProcedure</a><br>
>     <<a href="https://wiki.squid-cache.org/MergeProcedure" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/MergeProcedure</a>>>><br>
>      >      ><br>
>      >      ><br>
>      >      >     Thank you,<br>
>      >      ><br>
>      >      >     Alex.<br>
>      >      ><br>
>      >      ><br>
>      >      >      > On Fri, May 20, 2022 at 9:31 PM Amos Jeffries<br>
>      >      >     <<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a> <mailto:<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>><br>
>     <mailto:<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a> <mailto:<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>>><br>
>      >     <mailto:<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a> <mailto:<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>><br>
>     <mailto:<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a> <mailto:<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>>>><br>
>      >      >      > wrote:<br>
>      >      >      ><br>
>      >      >      >     On 20/05/22 19:44, Praveen Ponakanti wrote:<br>
>      >      >      >      > Hi Alex,<br>
>      >      >      >      ><br>
>      >      >      >      > Thanks for going through several steps to<br>
>     help mitigate<br>
>      >      >     src port<br>
>      >      >      >      > exhaustion. We are looking to achieve<br>
>     400-500% more<br>
>      >      >      >      > concurrent connections if we could :) as<br>
>     there is a<br>
>      >      >      >     significant buffer<br>
>      >      >      >      > on the available CPU.<br>
>      >      >      ><br>
>      >      >      >     Then you require at least 4, maybe 5, IP<br>
>     addresses to<br>
>      >     handle<br>
>      >      >     that many<br>
>      >      >      >     concurrent connections with Squid.<br>
>      >      >      ><br>
>      >      >      ><br>
>      >      >      > We would like to investigate going beyond the<br>
>     ephemeral port<br>
>      >      >     range for<br>
>      >      >      > some specific destination IP:PORT addresses. For<br>
>     that it<br>
>      >     appears<br>
>      >      >     squid<br>
>      >      >      > does not round-robin requests if we use multiple<br>
>      >      >     tcp_outgoing_addresses.<br>
>      >      >      > We could use ACL’s to pick a different outbound IP<br>
>     based<br>
>      >     on the<br>
>      >      >     clients<br>
>      >      >      > source IP, however that is not very ideal in our<br>
>      >     environment as our<br>
>      >      >      > clients aren’t always equally split by subnet.<br>
>     However, if<br>
>      >     we could<br>
>      >      >      > split by the client’s source port that might help<br>
>     achieve<br>
>      >     this. For<br>
>      >      >      > example something like:<br>
>      >      >      ><br>
>      >      >      ><br>
>      >      >      > acl pool1 clientport 0-32768<br>
>      >      >      ><br>
>      >      >      > acl pool2 clientport 32769-65536<br>
>      >      >      ><br>
>      >      >      ><br>
>      >      >      > tcp_outgoing_address 10.1.0.1 pool1<br>
>      >      >      ><br>
>      >      >      > tcp_outgoing_address 10.1.0.2 pool2<br>
>      >      >      ><br>
>      >      >      ><br>
>      >      >      > Squid's ACLs currently do not allow filtering by the<br>
>      >     client's source<br>
>      >      >      > port. We could look into a separate patch to add this<br>
>      >      >     functionality to<br>
>      >      >      > squid’s ACL code if that makes sense. Or is there a<br>
>     better<br>
>      >     way to<br>
>      >      >      > achieve this?<br>
>      >      >      ><br>
>      >      >      ><br>
>      >      >      > Thanks<br>
>      >      >      ><br>
>      >      >      > Praveen<br>
>      >      >      ><br>
>      >      >      ><br>
>      >      >      >      > The option to use multiple tcp_outoing_addresses<br>
>      >     appears to be<br>
>      >      >      >     promising<br>
>      >      >      >      > along with some tweaks to the TCP timeouts.<br>
>     I guess we<br>
>      >      >     could use<br>
>      >      >      >     ACLs to<br>
>      >      >      >      > pick a different outbound IP based on the<br>
>      >     requesting client's<br>
>      >      >      >     prefix. We<br>
>      >      >      >      > had not considered that option as the ephemeral<br>
>      >     ports were<br>
>      >      >     no longer<br>
>      >      >      >      > available to other applications when squid<br>
>     uses most of<br>
>      >      >     them with a<br>
>      >      >      >      > single outbound IP configured. We are also<br>
>     looking to<br>
>      >      >     modify the<br>
>      >      >      >     code to<br>
>      >      >      >      > use the IP_BIND_ADDRESS_NO_PORT sockopt as that<br>
>      >     could help<br>
>      >      >     delay<br>
>      >      >      >     port<br>
>      >      >      >      > assignment with the bind() call on the<br>
>     outbound TCP<br>
>      >      >     sessions (to<br>
>      >      >      >      > hopefully allow access to the 4-tuple on the<br>
>     socket).<br>
>      >      >      ><br>
>      >      >      >     Patches welcome.<br>
>      >      >      ><br>
>      >      >      >     However, please be aware that use of the 4-tuple is<br>
>      >     often no<br>
>      >      >     different<br>
>      >      >      >     from the 3-tuple since the dst-port is<br>
>     typically identical<br>
>      >      >     for all<br>
>      >      >      >     outgoing traffic to a given dst-IP.<br>
>      >      >      ><br>
>      >      >      ><br>
>      >      >      >     Cheers<br>
>      >      >      >     Amos<br>
> <br>
<br>
</blockquote></div>