Squid ultra lent !

pug45 11Messages postés 15 septembre 2008Date d'inscription - Dernière réponse le 22 sep 2008 à 10:08

Bonjour à tous !
Je suis nouveau sur le forum donc désolé d'avance si je fait pas tout comme il faut.
J'ai un "petit" problème de lenteur avec squid.
J'ai mis en place un proxy sous ubuntu 8.04 avec authentification AD, ça fonctionne parfaitement bien, par contre c'est super lent!
En ne passant pas par le proxy l'affichage des pages web est instantané, en passant par le proxy je dois attendre parfois jusqu'a plus d'une minute pour que la page soit completement chargé...
Je sais qu'il faut laissé le temps que le cache se fasse mais même en retournant sur un site sur lequel je suis déjà allé je rencontre parfois la même lenteur...
J'ai essayé de configurer quelques options dans squid.conf, j'ai augementé le cache_mem à 200 Mb, le maximum_objetc_size à 4096 kb mais sa ne change rien...
J'ai lu que les performance de squid peuve varier en fonction du matériel mais même si la configuration n'est pas exeptionel ça doit quand même largement sufire je pense. Ubuntu est installé sur un P4 2,6 Ghz 512 Mo de ram...
Peut-etre que des options permettent d'optimiser le chargement des pages pour les clients ou d'accélérer le processus de mise en cache de squid ?
Merci à vous de prendre du temps pour lire ce post en tout cas.
Pug.

Squid ultra lent »

Suggestions

Squid ultra lent !
Pc lent » Fiches pratiques
Ordinateur lent » Fiches pratiques
Mon pc est lent (Résolu) » Forum
Ultra surf » Télécharger
Téléchargement lent (Résolu) » Forum
Ultra vnc » Télécharger
Ordinateur très lent (Résolu) » Forum
Ultra iso » Télécharger
Firefox lent (Résolu) » Forum

Plus

Réponse

asevere 12740Messages postés 28 janvier 2002Date d'inscription ModérateurStatut 30 janvier 2012Dernière intervention 15 sep 2008 à 12:16

Bonsoir,

Peux tu nous poster ton fichier de configuration sans les commentaires ? (la commande grep -v ^# /etc/squid/squid.conf devrait faire ça très bien)

As-tu fais une configuration particulière autre que ce qu'énoncé dans ton premier message (ça peut être le cas, si tu recupère une ancienne configuration par exemple)

Ce genre de soucis peut venir de la configuration des directives delay_* qui servent à brider les connexions...

A plus

Ajouter un commentaire

pug45 - 15 sep 2008 à 14:05

Aucune configuration préalable. Ubuntu a été fraichement installé sur un poste ou il n'y avait rien du tout.
Tous les paramètres pour delay_pools,delay_access et delay_parameters sont commentés.
Merci pour la commande :)

Voilà mon squid.conf :

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-ok=MOMDOMAINE\\test_proxy

auth_param ntlm children 5

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MONDOMAINE\\test_proxy
auth_param basic children 5

auth_param basic realm Squid AD
auth_param basic credentialsttl 2 hours

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
acl ntlm proxy_auth REQUIRED

http_access allow manager localhost
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow ntlm
http_access deny all
http_reply_access allow all

icp_access allow all
http_port 8080
hierarchy_stoplist cgi-bin ?

cache_mem 200 MB
maximum_object_size_in_memory 500 KB
memory_replacement_policy lru

cache_replacement_policy lru
cache_dir ufs /var/spool/squid 500 16 256
max_open_disk_fds 0
maximum_object_size 4096 KB

access_log /var/log/squid/access.log
acl QUERY urlpath_regex cgi-bin \?

cache deny QUERY
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT

connect_timeout 30 minutes

hosts_file /etc/hosts
append_domain .mondomaine.fr
forwarded_for off
coredump_dir /var/spool/squid

Merci.
Pug.

Réponse

asevere 12740Messages postés 28 janvier 2002Date d'inscription ModérateurStatut 30 janvier 2012Dernière intervention 15 sep 2008 à 14:24

Bien, pas de message particulier dans /var/log/squid/access.log ? (s'il y a des chose qui ressemble a des temps de traitement je suis preneur...

Quel est l'état de la machine quand ça peine ? (processeur memoire) (commande top -n1)

Est-ce une lenteur permanente ou ça arrive que la durée soit normale ?

Dans la conf, je ne voit rien de choquant...

Ajouter un commentaire

Afficher les 12 commentaires

pug45 - 16 sep 2008 à 10:07

Après quelques recherche j'ai vu sur plusieurs sites que certains conseillait de rajouter ces lignes là dans squid.conf afin d'améliorer la vitesse de squid.

httpd_accel_with_proxy on
httpd_accel_uses_host_header on
httpd_accel_host virtual
httpd_accel_port 80

D'après ce que j'ai lu sur le sujet, cela permettrait de faire fonctionner squid en serveur http ce qui le transformerait en un espèce de "reverse proxy"...J'y crois moyen mais si des personnes ont déjà mis en place cette solution j'aimerais bien avoir leur avis.

J'ai pensé à quelque chose, et si la lenteur était tout simplement du au fait que squid ne met pas en cache...sa parrait bizare que même en retournant ce soit lent...
Qu'en pensez vous ? Comment peut-on vérifier que la fonction cache de squid est bien en route?

Merci.

asevere - 16 sep 2008 à 10:20

Salut pug,

Sur les forum ubuntu, tu dis que sans l'authnentification AD, ça marche bien, c'ets a dire ? ça marche à une vitesse normale ? (Dans ce cas, il faut regarder dans cette direction, mes dernière experiences avec datent, je vais essayer de trouver la conf Squid/AD, mais cela peut du coup venir aussi de ton/tes server ActiveDirectory)

Sinon, peux-tu nous mettre un extrait un peu plus long pour les logs, au cas ou... :)

++

pug45 - 16 sep 2008 à 11:49

Voilà un extrait un peu plus long.
J'ai remarqué qu'il y'a énormément de TCP_Denied/407, même quand j'accède au site web. J'utilise l'authentification ntlm, donc on ne devrais voir apparaître des TCP_Denied qu'au lancement de la première page internet, le temps que squid aille vérifier le login/mdp dans AD. Mais là j'en obtiens tout le temps...Finalement le site finit par s'afficher correctement et les TCP_deneid disparaisse.
C'est comme s'il y'avait une authentification à chaque accès à un site web...

Je vous laisse regarder :
Au passage, quelqu'un connaitrait-il la signification du TCP_MISS/200 ?
Merci asevere pour ton aide! :)

# Ouverture d'un page web : (google=page d'accueil)
#J'ai ouvert la page web d'un ordinateur hors-domaine, j'ai donc entré un login/mdp à l'apparition de la pop-up, ça #doit correspondre aux premiers TCP_DENIED/407

1221555283.813 0 x.x.x.170 TCP_DENIED/407 1810 GET http://www.google.fr/ - NONE/- text/html
1221555283.821 0 x.x.x.170 TCP_DENIED/407 2016 GET http://www.google.fr/ - NONE/- text/html
1221555283.824 3 x.x.x.170 TCP_DENIED/407 1810 GET http://www.google.fr/ - NONE/- text/html
1221555292.019 0 x.x.x.170 TCP_DENIED/407 1810 GET http://www.google.fr/ - NONE/- text/html
1221555292.028 0 x.x.x.170 TCP_DENIED/407 2016 GET http://www.google.fr/ - NONE/- text/html
1221555292.031 2 x.x.x.170 TCP_DENIED/407 1810 GET http://www.google.fr/ - NONE/- text/html
1221555302.783 0 x.x.x.170 TCP_DENIED/407 2016 GET http://www.google.fr/ - NONE/- text/html
1221555309.750 6968 x.x.x.170 TCP_MISS/200 3324 GET http://www.google.fr/ MONDOMAINE\utilisateur DIRECT/209.85.129.147 text/html
1221555310.195 445 x.x.x.170 TCP_MISS/204 322 GET http://clients1.google.com/gen_204 MONDOMAINE\utilisateur DIRECT/74.125.43.100 text/html

# Je fait une recherche sur bonjour

1221556441.735 0 x.x.x.170 TCP_DENIED/407 1876 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556441.764 0 x.x.x.170 TCP_DENIED/407 2082 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556441.767 2 x.x.x.170 TCP_DENIED/407 1876 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556456.305 0 x.x.x.170 TCP_DENIED/407 2082 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556456.623 318 x.x.x.170 TCP_DENIED/407 1876 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556462.304 0 x.x.x.170 TCP_DENIED/407 2082 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556468.560 0 x.x.x.170 TCP_DENIED/407 1876 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556468.563 1 x.x.x.170 TCP_DENIED/407 2082 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556468.873 0 x.x.x.170 TCP_DENIED/407 1876 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556468.876 1 x.x.x.170 TCP_DENIED/407 2082 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556469.031 0 x.x.x.170 TCP_DENIED/407 1876 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556469.034 0 x.x.x.170 TCP_DENIED/407 2082 GET http://clients1.google.com/complete/search? - NONE/- text/html
1221556469.449 7144 x.x.x.170 TCP_MISS/200 649 GET http://clients1.google.com/complete/search? MONDOMAINE\utilisateur DIRECT/74.125.43.113 text/javascript
1221556471.188 785 x.x.x.170 TCP_MISS/200 7489 GET http://www.google.fr/search? MONDOMAINE\utilisateur DIRECT/209.85.129.147 text/html
1221556476.134 0 x.x.x.170 TCP_DENIED/407 1822 GET http://www.google.fr/url? - NONE/- text/html
1221556476.137 0 x.x.x.170 TCP_DENIED/407 2028 GET http://www.google.fr/url? - NONE/- text/html

# Je clic sur un lien

1221556476.261 0 x.x.x.170 TCP_DENIED/407 1894 GET http://www.bonjourdefrance.com/index/indexjeu.htm - NONE/- text/html
1221556476.265 0 x.x.x.170 TCP_DENIED/407 2100 GET http://www.bonjourdefrance.com/index/indexjeu.htm - NONE/- text/html
1221556478.448 2310 x.x.x.170 TCP_MISS/204 347 GET http://www.google.fr/url? MONDOMAINE\utilisateur DIRECT/209.85.129.99 text/html
1221556480.849 4583 x.x.x.170 TCP_MISS/200 3305 GET http://www.bonjourdefrance.com/index/indexjeu.htm MONDOMAINE\utilisateur DIRECT/213.251.160.92 text/html
1221556480.914 0 x.x.x.170 TCP_DENIED/407 1810 CONNECT urs.microsoft.com:443 - NONE/- text/html
1221556480.917 0 x.x.x.170 TCP_DENIED/407 2016 CONNECT urs.microsoft.com:443 - NONE/- text/html
1221556480.924 74 x.x.x.170 TCP_MISS/200 9793 GET http://www.bonjourdefrance.com/style1.css MONDOMAINE\utilisateur DIRECT/213.251.160.92 text/css
1221556480.939 0 x.x.x.170 TCP_DENIED/407 1894 GET http://www.bonjourdefrance.com/images/slogan2.jpg - NONE/- text/html
1221556480.939 0 x.x.x.170 TCP_DENIED/407 1897 GET http://www.bonjourdefrance.com/images/etudiant.jpg - NONE/- text/html
1221556480.939 0 x.x.x.170 TCP_DENIED/407 1906 GET http://www.bonjourdefrance.com/images/menu_sep_gh.jpg - NONE/- text/html
1221556480.939 0 x.x.x.170 TCP_DENIED/407 1906 GET http://www.bonjourdefrance.com/images/menu_sep_dr.jpg - NONE/- text/html
1221556480.946 1 x.x.x.170 TCP_DENIED/407 1897 GET http://www.bonjourdefrance.com/images/ico_elem.gif - NONE/- text/html
1221556480.947 0 x.x.x.170 TCP_DENIED/407 2112 GET http://www.bonjourdefrance.com/images/menu_sep_gh.jpg - NONE/- text/html
1221556480.947 0 x.x.x.170 TCP_DENIED/407 1882 GET http://www.bonjourdefrance.com/images/pub.gif - NONE/- text/html
1221556480.947 0 x.x.x.170 TCP_DENIED/407 2112 GET http://www.bonjourdefrance.com/images/menu_sep_dr.jpg - NONE/- text/html
1221556480.952 0 x.x.x.170 TCP_DENIED/407 1900 GET http://www.bonjourdefrance.com/images/ico_inter.gif - NONE/- text/html
1221556480.952 0 x.x.x.170 TCP_DENIED/407 2088 GET http://www.bonjourdefrance.com/images/pub.gif - NONE/- text/html
1221556480.956 0 x.x.x.170 TCP_DENIED/407 1912 GET http://www.bonjourdefrance.com/images/photo_palmier.jpg - NONE/- text/html
1221556480.958 0 x.x.x.170 TCP_DENIED/407 1897 GET http://www.bonjourdefrance.com/images/logo_bas.jpg - NONE/- text/html
1221556480.963 1 x.x.x.170 TCP_DENIED/407 1909 GET http://www.bonjourdefrance.com/images/menu_sep_mid.jpg - NONE/- text/html
1221556480.965 0 x.x.x.170 TCP_DENIED/407 1909 GET http://www.bonjourdefrance.com/images/ico_debutant.gif - NONE/- text/html
1221556480.968 0 x.x.x.170 TCP_DENIED/407 1900 GET http://www.bonjourdefrance.com/images/fd_centre.jpg - NONE/- text/html
1221556480.970 0 x.x.x.170 TCP_DENIED/407 1894 GET http://www.bonjourdefrance.com/images/fd_top1.gif - NONE/- text/html
1221556480.974 1 x.x.x.170 TCP_DENIED/407 2103 GET

asevere - 16 sep 2008 à 11:51

Pour TCP_MISS/200 de memoire, c'est un element non présent de le cache (TCP_MISS) et trouvé/ajouté dans le cache (200)

Pour le reste, je regarde

pug45 - 16 sep 2008 à 12:04

J'ai virer l'authentification Ad et j'ai consulté les log pour comparer.
Je n'ai que des TCP_MISS et la navigation est ultra-fluide. Ce qui est logique tu me diras, mais sa confirme que ça vient très certainement d'un problème d'authentification.

J'ai vais rejeter un oeil dans mon squid.conf.

asevere › pug45 - 16 sep 2008 à 12:23

Pour les TCP_DENIED/407, c'est a priori normal, ça fait parti du process d'authentification NTLM
Logiquement, en appelant n'importe quel élément, tu devrait avoir 2 TCP_DENIED, puis un TCP_MISS, et c'est sensé recommencer a chaque nouvelle connection TCP... ou a expiration du TTL

Ce que je ne comprend pas c'est que le TTL est a 2 heures dans ta conf, donc ça ne devrait en toute logique pas poser de problème... c'est peut-être dans ces paramètres qu'il faut regarder (*TTL) ce n'est peut-être pas le bon.

asevere - 16 sep 2008 à 12:25

A tout hasard:
Ajout la directive suivante, et dis moi si ça change quelques chose niveau temps d'accès et logs ?

authenticate_ttl 1 hour

pug45 - 16 sep 2008 à 14:32

Ca ne change rien, ni au niveau des logs ni au niveau temps d'accès...:(

pug45 - 16 sep 2008 à 15:33

re...

J'ai quand même l'impression qu'il y'a un mieux. Quand je retourne une deuxième fois sur un site, l'affichage est presque instantanée...

Petite question, si l'utilisateur toto va sur le site A, et que 5 minutes plus tard l'utilisateur tata va sur le site A, l'affichage du site devrait être instantanée vu qu'il à déjà été mis en cache par squid nan ?

Actuellement si je fait ce qu eje viens de citer, au moment ou l'utilisateur tata va sur le site A c'est aussi long que la première fois que l'utilisateur toto à été sur le site A. Comme si squid mettait à nouveau le site en cache...

pug45 - 16 sep 2008 à 16:43

Je viens de modifier le paramètre maximum_object_size_in_memory.(500kb => 15Mb)
Je constate une net amélioration.

Peut-être que lors de l'affichage d'un page, les objets etait trop volumineux pour être mis en cache, et donc à chaque visite sur le site squid les rechargeait complétement...Cette théorie te parait-elle correcte ? ridicule ?lol

Par contre au redémarage de squid j'ai eu une alerte me prévenant que ce paramètres avait une valeur élevé et que cela risquait de nuir aux performances...Info ou Intox ?

Tu connaitrais un site repertoriant la signification de tout les message TCP (TCP_HIT, TCP_MEM_HIT, TCP_MEM/204...)?

Nous avons une connexions assez faible ici, c'est du 1 mega, le fait de rajouter un proxy doit peut-être un peu joué sur la vitesse de navigation...? Car là ça va mieux niveau temps d'accès mais c'est tout de même un peu plus lent que sans passer par le proxy...

Dis-mois j'ai une petite question, j'aimerais utiliser le cache manager statistics de webmin(v 1,430), le problème est que quand je le lance il me dit que le cachemgr.cgi ne fonctionne pas à l'emplacement /usr/lib/cgi-bin/...
Il n'y a pas de fichier à cette emplacement..ou est-ce que je pourrais le trouver ?

Merci beaucoup pour ton aide en tout cas.

pug45 - 22 sep 2008 à 10:08

Re.

Finalement le lendemain ça fonctionnait toujours aussi mal...
J'ai décidé de monter une machine virtuel sousou 2k3 serveur pour voir si çela pouvait venir du serveur de la boite et en passant pas mon serveur virtuel ça fonctionne à la perfection.

J'ai ecarté l'idée que le problème puisse venir du controleur de domaine un peu trop vite.

Asevere :
"Sur les forum ubuntu, tu dis que sans l'authnentification AD, ça marche bien, c'ets a dire ? ça marche à une vitesse normale ? (Dans ce cas, il faut regarder dans cette direction, mes dernière experiences avec datent, je vais essayer de trouver la conf Squid/AD, mais cela peut du coup venir aussi de ton/tes server ActiveDirectory)"

Je vais chercher du coté 2003 pour voir ce qui peut ralentir le proxy à ce point...Surement un service ou alors peut-être une stratégies de groupe touchant au paramètre d'IE je ne sais pas...Je te tient au courant

Merci encore.