Calcular la máxima cantidad de clientes en Apache2 /prefork

En general la forma de calcular cuanta gente puede acceder de manera concurrente a mi servidor web ( MaxClients ) es sencilla pero bastante manual. Encontré un script en la web de referencia que me puede ayudar a hacerlo de manera más práctica así que lo comparto.

Hace algunos años desarrollando un sistema de regalos corporativos fue la primera vez que me encontré con este problema, si está mal definida la cantidad máxima de usuarios que pueden acceder al apache este consume mucha memoria y en el caso de que tengas el servidor MySQL en el mismo lugar este puede caerse sin ningún aviso.

La idea es que podamos definir bien la cantidad de usuario que puede manejar apache.

Este es el procedimiento que seguiremos.

  1. Definir cantidad de usuarios que pueden acceder concurrentemente al sistema.
  2. Modificar apache para que pueda soportar esta nueva cantidad de usuarios.

Definiendo cantidad de usuarios que pueden acceder

Antes que todo debemos saber cuanta Memoria Ram ( no Swap ! ) tiene nuestro sistema. Eso lo podemos lograr con el comando «free -m«.

ubuntu@ip-10-10-10-69:~$ free -m
             total       used       free     shared    buffers     cached
Mem:          7983       6620       1363         63        183       5584
-/+ buffers/cache:        852       7131
Swap:            0          0          0

En mi caso mi servidor tiene 8Gigas de memoria. Ahora debemos revisar cuanto ocupa Apache ( Ojo, pestaña y ceja, la idea es que apache ocupe la menor cantidad de recursos posibles, para ello puedes optimizar tu sitio con herramientas para el cache).

Para definir la cantidad de memoria que ocupa Apache usaremos un script que nos dice la cantidad de memoria utilizada por proceso llamado ps_mem.py.

Antes de ejecutar esta herramienta simularemos tráfico con BlazeMeter ( ¡La versión gratuita deberá ser suficiente por ahora !), que para mi es la forma más sencilla de simular el  tráfico.

Una vez simulado el tráfico, o durante el utilizamos el script.

ubuntu@ip-10-10-10-69:~$ sudo python ps_mem.py 
 Private  +   Shared  =  RAM used    Program

172.0 KiB +  28.5 KiB = 200.5 KiB    acpid
188.0 KiB +  17.5 KiB = 205.5 KiB    sh
188.0 KiB +  27.5 KiB = 215.5 KiB    atd
256.0 KiB +  54.0 KiB = 310.0 KiB    upstart-file-bridge
256.0 KiB +  54.5 KiB = 310.5 KiB    upstart-socket-bridge
288.0 KiB +  54.0 KiB = 342.0 KiB    cron
288.0 KiB +  79.5 KiB = 367.5 KiB    upstart-udev-bridge
484.0 KiB + 180.0 KiB = 664.0 KiB    su
560.0 KiB + 127.5 KiB = 687.5 KiB    systemd-logind
760.0 KiB +  48.5 KiB = 808.5 KiB    dbus-daemon
788.0 KiB +  67.5 KiB = 855.5 KiB    systemd-udevd
  1.1 MiB + 264.0 KiB =   1.3 MiB    getty (7)
  1.5 MiB +  58.5 KiB =   1.6 MiB    rsyslogd
  1.0 MiB + 659.0 KiB =   1.6 MiB    sudo (2)
  1.6 MiB + 106.5 KiB =   1.7 MiB    init
  1.7 MiB +  49.0 KiB =   1.8 MiB    screen
  2.1 MiB + 128.0 KiB =   2.2 MiB    sendmail-mta
  2.6 MiB +  17.0 KiB =   2.6 MiB    dhclient
  1.3 MiB +   2.1 MiB =   3.4 MiB    sshd (3)
  9.0 MiB +   1.2 MiB =  10.1 MiB    bash (6)
 23.8 MiB +  93.5 KiB =  23.9 MiB    miniserv.pl
102.7 MiB +   1.6 MiB = 104.3 MiB    ajenti-panel
129.6 MiB + 242.5 KiB = 129.8 MiB    mysqld
  1.6 GiB +  59.7 MiB =   1.7 GiB    apache2 (61)
---------------------------------
                          2.0 GiB
=================================

En este caso tenemos que el sistema está usando 2G en total de memoria en donde apache lidera el consumo con 1.7G y 61 usuarios concurrentes.

Para calcular la memoria de apache2 tomaremos las siguientes consideraciones.

  1. Cuanta memoria reservaremos para el sistema.
  2. Cuanta memoria usaremos para mysql.
  3. Cuanta memoria usa en promedio un cliente conectado.
  4. La diferencia entre la memoria disponible y la usada por los otros servicios es la que usaremos para apache.

Por ahora asumiré que ningún otro proceso correrá en el servidor, por lo que 256 megas será suficiente para el sistema.

Mysql usa menos del 10% de apache para 61 usuarios. Es razonable asumir que no pasaremos del uso de 1GB, por lo que usaremos esa cantidad.

Con 61 usuarios conectados el sistema usa 1.7GB de ram, lo que es aproximadamente 28 Megas por cliente conectado. ( En el peor caso. )

La memoria aproximada disponible son los 8Gigas menos 1GB de Mysql menos 256 megas en ram menos 256 megas en ram para tener un margen de error considerable. Esto nos da 6.5GB de ram aproximados disponibles.

6.5*1024/28 = 237

Lo anterior nos da 237 usuarios concurrentes. En mi caso lo dejaré en 250 debido a que la ram ocupada por usuario en general sera menor que los 28 megas y estoy usando un buen sistema de cache para mi sitio.

Configurando el servidor con los nuevos datos.

En general puedes encontrar el archivo de configuración en /etc/apache2/apache2.conf o /etc/httpd/httpd.conf. En mi caso usando Ubuntu Server 14.04 la dirección para configurar el prefork aparece en la carpeta de configuraciones /etc/apache2/mods-enabled/mpm_prefork.conf .

# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# MaxRequestWorkers: maximum number of server processes allowed to start
# MaxConnectionsPerChild: maximum number of requests a server process serves


<IfModule mpm_prefork_module>
StartServers       15
MinSpareServers    15
MaxSpareServers    20
ServerLimit       250
MaxClients        250
MaxRequestsPerChild  4000
</IfModule>

Ok, ahora tenemos un servidor configurado para alojar 250 usuarios de manera concurrente. ¡Al mejorar el rendimiento de apache en el consumo de memoria pueden ser mucho más !

Origen: Fuscata Consulting :: Knowledge Base :: How To Set MaxClients in Apache/prefork

Usando Linux y el portal de MiPyme del Sistema de Impuestos Internos.

GUÍA PARA INSTALAR EL CERTIFICADO DIGITAL LINUX UBUNTU

Uno de los problemas que había tenido para no migrar todos los computadores de Windows a Ubuntu era el no poder usar este último para poder generar las facturas electrónicas con el portal de MiPyme del Sistema de Impuestos Internos. Había estado ocupando Virtual Box para hacer esto personalmente ya que Windoes dejó hace muchos años de ser mi Sistema Operativo principal.

Hoy ingresé al portal del Sistema de Impuestos internos y «descubrí»  un mensaje que anteriormente no había hecho. «Para firmar el documento desde sus sistema operativo debe de subir la llave al servidor» o algo similar …

Esto despertó un poco mi curiosidad y empecé a revisar un poco sobre este tema, usando Google pude encontrar la página del Sistema de Impuestos internos que describía el procedimiento para la instalación de la firma en Linux. La firma ya la tenía instalada así que simplemente la subí al servidor como decía el manual.

A grandes rasgos el procedimiento que te da el manual es el siguiente :

  1.  Instalar el certificado digital.
  2. Subir el certificado al servidor del servicio de impuestos internos.
  3. Inscribirte en el portal de MiPyme del SII
  4. Y finalmente generar la documentación.

En mi caso tengo un certificado digital simple que obtuve de la Cámara de Comercio de Santiago a través del portal de e-certchile y ya lo tenía instalado en mi navegador ( Firefox ). Puedes encontrar una lista de proveedores de certificados digitales en el siguiente link : https://palena.sii.cl/dte/mn_Prov_CD.html

También ya era usuario del portal de MiPyme por lo que simplemente me faltaba subir el certificado al servidor del SII y firmar un documento ( DTE ) de pruebas. En mi caso una factura electrónica.

Subí el certificado digital en la siguiente dirección : https://www4.sii.cl/uploadCertDigitalInternet/ y luego procedí con generar un DTE en el portal para probar. La felicidad me invadió al poder proceder sin problemas y poder generar la factura con la llave que subí al servidor. Simplemente me pidió la clave de la firma para proceder y todo funcionó de maravilla.

Debo de admitir que inicié muy feliz esta semana con esta noticia.  Les recomiendo leer el artículo del SII para la instalación de las llaves.

Origen: GUÍA PARA INSTALAR EL CERTIFICADO DIGITAL LINUX UBUNTU

MysqlPasswordReset – Cambiar la clave root de Mysql

Acabo de crear un servidor WordPress con on click deployment de Google y tuve el problema que la clave que me dieron de mysql para root no correspondía a la real.

El error que obtenía era el siguiente :

ERROR 1045: Access denied for user: 'root@localhost' (Using 
password: YES)

Estos son simples pasos para cambiar la clave root de Mysql bajo un servidor linux si es que posees el error anteriormente mencionado.

¿ Que es lo que haremos ? :

  1. Detendremos el Servidor MySql.
  2. Lo iniciaremos sin que cargue los privilegios de los usuarios.
  3. Cambiamos la clave

Si tienes algún error un poco más complejo, o tu error corresponde a que necesitas agregar permisos para acceder fuera de localhost te recomiendo que veas el artículo que aparece al final.

Detenemos el servidor MySql

sudo /etc/init.d/mysql stop

Iniciamos el Servidor MySql sin los privilegios de usuarios. En este caso además por seguridad se impide las conexiones por red.

sudo /usr/sbin/mysqld --skip-grant-tables --skip-networking &

Ingresamos al servidor con el usuario root.

 mysql -u root

Con el siguiente comando seremos capaces de cambiar cualquier clave.

FLUSH PRIVILEGES;

Cambiamos la clave para el usuario root. Por si no lo habías notado puedes cambiar «password» por la clave que quieras… sin las comillas!

SET PASSWORD FOR root@'localhost' = PASSWORD('password');

Una vez que recibimos el mensaje de éxito, nuevamente limpiamos los privilegios.

FLUSH PRIVILEGES;

Detenemos el servidor MySql y lo iniciamos de manera normal nuevamente

sudo /etc/init.d/mysql stop
sudo /etc/init.d/mysql start

En este punto ya deberíamos ser capaces de ingresar a neustro servidor mysql sin problemas.

Origen: MysqlPasswordReset – Community Help Wiki

Oracle Java (JDK) 7 / 8 / 9 PPA en Ubuntu

Hace ya un tiempo que en Ubuntu no aparece en repositorios la versión de Oracle para Java. Hay algunas aplicaciones que no funcionan con la versión del OpenJDK por lo que agrego la forma como lo he estado haciendo últimamente para mis proyectos.

Si bien la instalación la puedo hacer a través del instalador que aparece en la web, este proceso es mucho más sencillo y veloz.

Antes que todo, cuales son las diferencias de la versión libre y la versión de oracle. Del Blog de Oracle tenemos los siguiente :

Q: What is the difference between the source code found in the OpenJDK repository, and the code you use to build the Oracle JDK?

A: It is very close – our build process for Oracle JDK releases builds on OpenJDK 7 by adding just a couple of pieces, like the deployment code, which includes Oracle’s implementation of the Java Plugin and Java WebStart, as well as some closed source third party components like a graphics rasterizer, some open source third party components, like Rhino, and a few bits and pieces here and there, like additional documentation or third party fonts. Moving forward, our intent is to open source all pieces of the Oracle JDK except those that we consider commercial features such as JRockit Mission Control (not yet available in Oracle JDK), and replace encumbered third party components with open source alternatives to achieve closer parity between the code bases.

Estoy corriendo unas aplicaciones que fueron desarrolladas por unos Framework MVC para Java que al parecer solo funcionan con la versión privativa, pero bueno, ejecutemos lo siguiente ;

sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo apt-get install oracle-java8-installer

Con esto agregamos el repositorio, actualizamos e instalamos la versión de Java que necesitamos. Si ya teníamos una versión anterior de java instalada, lo más probable es que le debamos decir al sistema cual debe de utilizar, para eso «Actualizamos las Alternativas».

sudo update-alternatives --config java

Ahora está todo listo, Java instalado y además la versión que necesitemos seleccionada para funcionar !

Origen: Oracle Java (JDK) 7 / 8 / 9 Installer PPA : “WebUpd8” team

Firewall usando UFW en un servidor Ubuntu /  Debian

Aprende como configurar un firewall usando UFW ( Uncomplicated Firewall ) en un servidor Ubuntu / Debian.

Soy de las personas que siempre a usado IPTables para configurar el firewall de un servidor, pero la verdad es que no lo se de memoria y siempre debo recordarlo al momento de realizarlo. Esto es debido a que no lo hago muy seguido y no es muy amigable.

UFW es una herramienta o frontend que agrega estas reglas al firewall de iptables de una manera sencillo y casi humana de entender, por lo que para mi ha sido genial debido a que puedo tener la fortaleza de iptables pero de una manera que es muy práctica y difícil de olvidar.

Hace poco menos de un año que comencé a usar UFW para gestionar las reglas de IPTables, y se lo recomendé a muchas personas debido a su simplicidad.  Este jueves fui  a casa de un amigo y me encontré que estaba configurando un servidor debian usando UFW y empecé a ver el proceso y ayudarlo un poco ( ¡ Pero solo de curioso ! No creo que haya necesitado ayuda en verdad ).  Me di cuenta que recordaba todos los comandos de como usarlo y no mucha gente lo conoce, por lo que la recomendación ahora se extiende con un mini tutorial de como usarlo a todo aquel quién le sirva.

En este caso el tutorial lo haré con un ejemplo de un sitio wordpress que corre en un servidor Ubuntu 14.04 que debo configurar.

Ya teniendo el sitio andando, lo primero que quiero hacer es bloquear todas las conexiones por defecto excepto al puerto 80 ( http ) y al 22 ( ssh )

Si no tienes ufw simplemente lo instalamos :

sudo apt-get install ufw

Podemos ver el estado de las reglas actuales ejecutando

sudo ufw status

Si estás partiendo de cero igual que yo, lo más probable que el resultado sea  : «Status: inactive»

Para activarlo simplemente ejecutamos :

sudo ufw enable

Antes de hacer cualquier cosa, agreguemos la regla de ssh para las conexiones permitidas en caso de que bloquemos todo por error.

# sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

A esta altura tenemos el servidor de firewall activo, y tenemos dos reglas para acceso ssh por IPV4 y IPV6.

Lo siguiente que me gusta hacer es que por defecto de bloqueen todas las conexiones entrantes, es aquí donde alguien puede diferir conmigo, pero para mi lógica es mejor bloquear todo y luego aceptar que aceptar y luego bloquear.  Esto lo hacemos de la siguiente manera :

sudo ufw default deny incoming

Si trabajas con webservices y no coneces los puertos por los que tu servidor se conectará a futuro a ellos, lo más sencillo es dejar que la política de conexiones salientes sea para permitirlas todas. Esto sería bueno cambiarlo a futuro cuando tengas certeza a que servidores te vas a conectar y sus puertos.

sudo ufw default allow outgoing

A esta altura tenemos el servicio andando, aceptando conexiones ssh, pero no podemos acceder a nuestra página web. Para hacerlo lo podemos hacer de dos maneras, especificando el servicio o el puerto. Adjunto las dos formas :

sudo ufw allow http
sudo ufw allow 80/tcp

Si bien, esto es todo lo que quiero incluir en este tutorial, hay otra cosa que se debería hacer que recomiendo. Me gusta cambiar el puerto del ssh a un puerto obviamente que vayas a recordar.

Imaginemos que este puerto es el 2228, lo que haremos es agregar esta regla al firewall y luego lo cambiaremos en la configuración del ssh.

sudo ufw allow 2228

Editamos el archivo de configuración del server ssh :

sudo vim /etc/ssh/sshd_config

Y editamos la línea que dice Port por el puerto que nosotros queramos ocupar y reiniciamos el servicio ssh.

sudo service ssh restart

En estos momento ya necesito el nuevo puerto para acceder, pero tenemos reglas que nos sobran. Ahora podemos eliminar nuestra regla de ssh que creamos en un comienzo debido a que ya no la vamos a utilizar.

sudo ufw delete allow ssh

Ya, ahora tenemos un server PSEUDOSEGURO, o al menos mucho mejor de lo que viene por defecto. Ojala les sirva !

Origen: How To Setup a Firewall with UFW on an Ubuntu and Debian Cloud Server | DigitalOcean