@gengchun

设想的是 go 可以做个 fcgiclient 充当 nginx 的角色连接 php-fpm ，做整体的限流控制，无论大流量还是小流量都可以灵活控制。而且还可以开协程每毫秒每秒去刷 fpmstatus 获取当前的 worker 数量。

动态 fpmworker 是因为 php-fpm 配置本身是 pm=dynamic 。秒杀不是无时不刻二十四小时都在秒杀，隔三岔五有一次。争抢型实例平常一两百个 worker 足够了，有秒杀它自己扩到五六百。因此它是动态的。

想实现，不让用户等待，当前在流量高（没有空闲的 worker ）就直接返回友好提示。不浪费一个 worker 也不多收一个请求。

@gengchun

我没说过 [nginx 实现 [不] 了] 而是在寻找 nginx 怎么做的方案。

lua 当然可以读 redis 。但是现在问题是想实现 nginx 接收并处理的请求数和 fpm 的 worker 数量能保持同步，即有几个 fpm workernginx 就只能接收并处理几个请求。而新的问题是，fpm 的 worker 是动态的，要在 lua 中 ps aux|grep fpm|wc -l 吗？

```
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "resolvectl status" to see details about the actual nameservers.
```

> # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN

更换证书时不更换私钥。就不影响。

在申请证书时候的 CSR 是包含了你私钥对应的 PublicKey 的。pin 的也是这个。

但是如果一旦更换了私钥，就是证书续期的时候重新生成了个私钥，那就有影响了。

@lazyfighter 可以动态获取 fpm 当前 worker 吗

@yc8332 是不再接收新请求

@gengchun

200 只是其中之一要求，更重要的是和 fpm 相同数量个的限流器

羡慕需要喊话沟通的房子...

@xylophone21
看了。

想要的是：

限流 N 对应 X 个 FPM 进程数。当当前连接数 Y 大于等于 正在处理的 FPM 请求时，返回 200 响应自定义内容。

收到请求，不做动作。
请求发给 fpm ，等待结果时，限流器+1
fpm 返回结果，限流器-1

这个效果怎么实现的。

求 css

@bais

历史包袱..emmmmmm 一时半会儿重写不了... hhhh

@vantis #62

首先回的是哪一楼啊

HTTPS 的证书是公开的，没错，在 TLS 握手阶段会发送给浏览器也没错。

然后呢？我 HTTPS 的基础之上，不使用 [签名] ，而使用 basic auth 就不能证明自己了吗？

@levon 就是环境统一，降低运维成本，CI/CD 也好做了。PHP 类的项目还好，有个 git 钩子就自动上线了。java/go 之类的，你不要编译嘛，你编译环境呢，容器化就全给你搞定了。生产和开发环境共享一个基础镜像，多人开发环境和各种依赖包也统一的。多爽。

@levon
管理和运维成本鸭 你要就一台服务器那自己折腾玩嘛。

上百台服务器上千个服务镜像 跨机房 你再试试咧。

就跟没有人一开始就上小型机一样的嘛。

生产环境 自建 registry ( https://hub.docker.com/_/registry)

registry 更新通知到 mq ，所有机器或者集群平滑更新新镜像。还能随时回滚。

为啥要同步一个大几百兆的文件。。

@dorothyREN #53 那签名怎么知道 secretkey 没泄漏呢

@datoujiejie221

不。我说的是 [客户端证书] 。必须是指定 CA 签发（私有）的证书，并且能被正确解析的从证书中解析出 COMMONNAME 当作 UID 使用的。

不是用于 HTTPS 连接的权威 CA 证书。

rsasign 指的是使用私有 RSA Private Key 对指定字符串生成的 sign 如（ php: openssl_sign （$data, $private_key, $sign ))

@datoujiejie221

我有个疑问。用 hmac/md*/sha*(rsa 除外啊)我不是也可以无限尝试嘛? 因为你采用的哈希算法和排列方式是公开的呀。

无非是

https://xx?key=$RANDOM 无限

和

https://xx?{hmac(key1value1,key2value2,$RANDOM_SALT} 的问题吗？



如果是 rsasign ，那是不是一样可以客户端证书呢？