<-
Apache > Serveur HTTP > Documentation > Version 2.4

Guide de la mise en cache

Langues Disponibles:  en  |  fr  |  tr 

Ce document compl�te la documentation de r�f�rence des modules mod_cache, mod_cache_disk, mod_file_cache et du programme htcacheclean. Il d�crit l'utilisation des fonctionnalit�s de mise en cache du serveur HTTP Apache pour acc�l�rer les services web et proxy, tout en �vitant les probl�mes courants et les erreurs de configuration.

top

Introduction

Le serveur HTTP Apache offre tout un ensemble de fonctionnalit�s de mise en cache qui ont �t� con�ues pour am�liorer les performances du serveur de diff�rentes mani�res.

Mise en cache HTTP � trois �tats RFC2616
mod_cache et son module de fournisseur mod_cache_disk proposent une mise en cache intelligente de niveau HTTP. Le contenu proprement dit est stock� dans le cache, et mod_cache vise � respecter tous les en-t�tes HTTP, ainsi que les options qui contr�lent la mise en cache du contenu comme d�crit dans la Section 13 de la RFC2616. mod_cache peut g�rer des configurations de mise en cache simples, mais aussi complexes comme dans les cas o� vous avez � faire � des contenus mandat�s, � des contenus locaux dynamiques, ou lorsque vous avez besoin d'acc�l�rer l'acc�s aux fichiers locaux situ�s sur disque suppos� lent.
Mise en cache d'objets partag�s de forme cl�/valeur � deux �tats
L'API du cache d'objets partag�s (socache) et ses modules de fournisseurs proposent une mise en cache d'objets partag�s � base de couples cl�/valeur de niveau serveur. Ces modules sont con�us pour la mise en cache de donn�es de bas niveau comme les sessions SSL et les donn�es d'authentification. les serveurs d'arri�re-plan permettent le stockage des donn�es au niveau serveur en m�moire partag�e, ou au niveau datacenter dans un cache comme memcache ou distcache.
Mise en cache de fichiers sp�cialis�e
mod_file_cache offre la possibilit� de pr�charger des fichiers en m�moire au d�marrage du serveur, et peut am�liorer les temps d'acc�s et sauvegarder les gestionnaires de fichiers pour les fichiers qui font l'objet d'acc�s fr�quents, �vitant ainsi d'avoir � acc�der au disque � chaque requ�te.

Pour tirer parti efficacement de ce document, les bases de HTTP doivent vous �tre famili�res, et vous devez avoir lu les sections Mise en correspondance des URLs avec le syst�me de fichiers et N�gociation sur le contenu du guide de l'utilisateur.

top

Mise en cache HTTP � trois �tats RFC2616

Le module mod_cache permet de tirer avantage du m�canisme de mise en cache en ligne faisant partie int�grante du protocole HTTP, et d�crit dans la section 13 de la RFC2616.

A la diff�rence d'un cache simple cl�/valeur � deux �tats o� le contenu est supprim� lorsqu'il est p�rim�, un cache HTTP comporte un m�canisme permettant de conserver temporairement un contenu p�rim�, de demander au serveur original si ce contenu p�rim� a �t� modifi�, et dans le cas contraire de le rendre � nouveau valide.

Une entr�e d'un cache HTTP peut se pr�senter sous un de ces trois �tats :

Frais
Si un contenu est suffisamment r�cent (plus jeune que sa dur�e de fra�cheur), il est consid�r� comme frais. Un cache HTTP peut servir un contenu frais sans avoir � demander quoi que ce soit au serveur d'origine.
P�rim�

Si le contenu est trop ancien (plus vieux que sa dur�e de fra�cheur), il est consid�r� comme p�rim�. Un cache HTTP doit contacter le serveur original pour v�rifier si le contenu, m�me s'il est p�rim�, est encore � jour avant de le servir au client. Soit le serveur original va r�pondre en envoyant un contenu de remplacement si le contenu p�rim� n'est plus � jour, soit dans le cas id�al il renverra un code pour signaler au cache que le contenu est encore � jour, et qu'il est inutile de le g�n�rer ou de l'envoyer � nouveau. Le contenu repasse � l'�tat "frais" et le cycle continue.

Le protocole HTTP permet au cache de servir des donn�es p�rim�es dans certaines circonstances, comme lorsqu'une tentative de rafra�chir une entr�e depuis un serveur original se solde par un �chec avec un code d'erreur 5xx, ou lorsqu'une autre requ�te est d�j� en train d'essayer de rafra�chir la m�me entr�e. Dans ces cas, un en-t�te Warning est ajout� � la r�ponse.

Non Existent
Si le cache est plein, il se r�serve la possibilit� de supprimer des entr�es pour faire de la place. Une entr�e peut �tre supprim�e � tout moment, qu'elle soit fra�che ou p�rim�e. L'outil htcacheclean peut �tre utilis� � la demande, ou lanc� en tant que d�mon afin de conserver la taille du cache ou le nombre d'inodes en de�� de valeurs sp�cifi�es. Cet outil essaie cependant de supprimer les entr�es p�rim�es avant les entr�es fra�ches.

Le fonctionnement d�taill� d'un cache HTTP est d�crit dans la Section 13 de la RFC2616.

Interaction avec le serveur

Le module mod_cache interagit avec le serveur � deux niveaux possibles en fonction de la directive CacheQuickHandler :

Phase du gestionnaire rapide

Cette phase se d�roule tr�s t�t au cours du traitement de la requ�te, juste apr�s l'interpr�tation de cette derni�re. Si le contenu se trouve dans le cache, il est servi imm�diatement et pratiquement tout le reste du traitement de la requ�te est court-circuit�.

Dans ce sc�nario, le cache se comporte comme s'il avait �t� "boulonn�" � l'entr�e du serveur.

Ce mode poss�de les meilleures performances car la majorit� des traitements au niveau du serveur sont court-circuit�s. Cependant, il court-circuite aussi les phases d'authentification et d'autorisation du traitement au niveau du serveur, et il doit donc �tre utilis� avec prudence lorsque que ces phases sont importantes.

Phase du gestionnaire normal

Cette phase se d�roule tr�s tard au cours du traitement de la requ�te, en fait apr�s toutes les phases de ce traitement.

Dans ce sc�nario, le cache se comporte comme s'il avait �t� "boulonn�" � la sortie du serveur.

Ce mode offre la plus grande souplesse, car il permet de faire intervenir la mise en cache en un point pr�cis�ment sp�cifi� de la cha�ne de filtrage, et le contenu issu du cache peut �tre filtr� ou personnalis� avant d'�tre servi au client.

Si l'URL ne se trouve pas dans le cache, mod_cache ajoutera un filtre � la cha�ne de filtrage afin d'enregistrer la r�ponse dans le cache, puis passera la main pour permettre le d�roulement normal de la suite du traitement de la requ�te. Si la mise en cache du contenu est autoris�e, il sera enregistr� dans le cache pour pouvoir �tre servi � nouveau ; dans le cas contraire, le contenu sera ignor�.

Si le contenu trouv� dans le cache est p�rim�, le module mod_cache convertit la requ�te en requ�te conditionnelle. Si le serveur original renvoie une r�ponse normale, elle est enregistr�e dans le cache en lieu et place du contenu p�rim�. Si le serveur original renvoie une r�ponse "304 Not Modified", le contenu repasse � l'�tat "frais" et est servi par le filtre au lieu d'�tre sauvegard�.

Am�lioration du taux de pr�sence dans le cache

Lorsqu'un serveur virtuel est connu sous la forme d'un des nombreux alias du serveur, la d�finition de la directive UseCanonicalName � On peut augmenter de mani�re significative le nombre de correspondances positives dans le cache. Ceci est du au fait que la cl� du cache contient le nom d'h�te du serveur virtuel. Avec UseCanonicalName positionn�e � On, les h�tes virtuels poss�dant plusieurs noms de serveur ou alias ne g�n�reront pas d'entit�s de cache diff�rentes, et le contenu sera mis en cache en faisant r�f�rence au nom d'h�te canonique.

Dur�e de fra�cheur

Un contenu bien form� destin� � �tre mis en cache doit d�clarer explicitement une dur�e de fra�cheur via les champs max-age ou s-maxage de l'en-t�te Cache-Control, ou en incluant un en-t�te Expires.

De plus, un client peut passer outre la dur�e de fra�cheur d�finie pour le serveur original en ajoutant son propre en-t�te Cache-Control � la requ�te. Dans ce cas, c'est la dur�e de fra�cheur la plus basse entre la requ�te et la r�ponse qui l'emporte.

Lorsque cette dur�e de fra�cheur est absente de la requ�te ou de la r�ponse, une dur�e de fra�cheur par d�faut s'applique. La dur�e de fra�cheur par d�faut des entr�es du cache est d'une heure ; elle peut cependant �tre facilement modifi�e � l'aide de la directive CacheDefaultExpire.

Si une r�ponse ne contient pas d'en-t�te Expires mais inclut un en-t�te Last-Modified, mod_cache peut d�duire une dur�e de fra�cheur en se basant sur une heuristique, qui peut �tre contr�l�e via la directive CacheLastModifiedFactor.

Pour les contenus locaux, ou les contenus distants qui ne sp�cifient pas leur propre en-t�te Expires, mod_expires permet de r�gler finement la dur�e de fra�cheur via les param�tres max-age et Expires.

On peut aussi contr�ler la dur�e de fra�cheur maximale en utilisant la directive CacheMaxExpire.

Guide succinct des requ�tes conditionnelles

Lorsqu'un contenu du cache est p�rim�, httpd modifie la requ�te pour en faire une requ�te conditionnelle

Lorsque la r�ponse originale du cache contient un en-t�te ETag, mod_cache ajoute un en-t�te If-None-Match � la requ�te envoy�e au serveur d'origine. Lorsque la r�ponse originale du cache contient un en-t�te Last-Modified, mod_cache ajoute un en-t�te If-Modified-Since � la requ�te envoy�e au serveur d'origine. Dans ces deux cas, la requ�te devient une requ�te conditionnelle.

Lorsqu'un serveur d'origine re�oit une requ�te conditionnelle, il v�rifie si le param�tre Etag ou Last-Modified a �t� modifi� en fonction des param�tres de la requ�te. Si ce n'est pas le cas, il r�pondra avec le message lapidaire "304 Not Modified". Ceci informe le cache que le contenu est p�rim� mais encore � jour, et peut �tre utilis� tel quel pour les prochaines requ�tes jusqu'� ce qu'il atteigne � nouveau sa date de p�remption.

Si le contenu a �t� modifi�, il est servi comme s'il s'agissait d'une requ�te normale et non conditionnelle.

Les requ�tes conditionnelles offrent deux avantages. D'une part, il est facile de d�terminer si le contenu du serveur d'origine correspond � celui situ� dans le cache, et ainsi d'�conomiser la consommation de ressources n�cessaire au transfert du contenu dans son ensemble.

D'autre part, un serveur d'origine bien con�u sera configur� de telle mani�re que les requ�tes conditionnelles n�cessitent pour leur production bien moins de ressources qu'une r�ponse compl�te. Dans le cas des fichiers statiques, il suffit en g�n�ral d'un appel syst�me de type stat() ou similaire pour d�terminer si la taille ou la date de modification du fichier a �t� modifi�e. Ainsi, m�me un contenu local pourra �tre servi plus rapidement depuis le cache s'il n'a pas �t� modifi�.

Il serait souhaitable que tous les serveurs d'origine supportent les requ�tes conditionnelles, car dans le cas contraire, ils r�pondent comme s'il s'agissait d'une requ�te normale, et le cache r�pond comme si le contenu avait �t� modifi� et enregistre ce dernier. Le cache se comporte alors comme un simple cache � deux �tat, o� le contenu est servi s'il est � jour, ou supprim� dans le cas contraire.

Que peut-on mettre en cache ?

La liste compl�te des conditions n�cessaires pour qu'une r�ponse puisse �tre enregistr�e dans un cache HTTP est fournie dans la section 13.4 Response Cacheability de la RFC2616, et peut se r�sumer ainsi :

  1. La mise en cache doit �tre activ�e pour cette URL. Voir les directives CacheEnable et CacheDisable.
  2. La reponse doit avoir un code de statut HTTP de 200, 203, 300, 301 ou 410.
  3. La requ�te doit �tre de type HTTP GET.
  4. Si la r�ponse contient un en-t�te "Authorization:", elle doit aussi contenir une option "s-maxage", "must-revalidate" ou "public" dans l'en-t�te "Cache-Control:".
  5. Si l'URL contient une cha�ne de requ�te (provenant par exemple d'une m�thode GET de formulaire HTML), elle ne sera pas mise en cache, � moins que la r�ponse ne sp�cifie explicitement un d�lai d'expiration via un en-t�te "Expires:" ou une directive max-age ou s-maxage de l'en-t�te "Cache-Control:" comme indiqu� dans les sections 13.2.1. et 13.9 de la RFC2616.
  6. Si la r�ponse a un statut de 200 (OK), elle doit aussi contenir au moins un des en-t�tes "Etag", "Last-Modified" ou "Expires", ou une directive max-age ou s-maxage de l'en-t�te "Cache-Control:", � moins que la directive CacheIgnoreNoLastMod ne pr�cise d'autres contraintes.
  7. Si la r�ponse contient l'option "private" dans un en-t�te "Cache-Control:", elle ne sera pas mise en cache � moins que la directive CacheStorePrivate ne pr�cise d'autres contraintes.
  8. De m�me, si la r�ponse contient l'option "no-store" dans un en-t�te "Cache-Control:", elle ne sera pas mise en cache � moins que la directive CacheStoreNoStore n'ait �t� utilis�e.
  9. Une r�ponse ne sera pas mise en cache si elle comporte un en-t�te "Vary:" contenant le caract�re "*" qui correspond � toute cha�ne de caract�res.

Qu'est ce qui ne doit pas �tre mis en cache ?

Le client qui cr�e la requ�te ou le serveur d'origine qui g�n�re la r�ponse doit �tre � m�me de d�terminer si le contenu doit pouvoir �tre mis en cache ou non en d�finissant correctement l'en-t�te Cache-Control, et mod_cache sera alors en mesure de satisfaire les souhaits du client ou du serveur de mani�re appropri�e.

Les contenus qui varient au cours du temps, ou en fonction de particularit�s de la requ�te non prises en compte par la n�gociation HTTP ne doivent pas �tre mis en cache. Ce type de contenu doit se d�clarer lui-m�me "� ne pas mettre en cache" via l'en-t�te Cache-Control.

Si le contenu change souvent, suite par exemple � une dur�e de fra�cheur de l'ordre de la minute ou de la seconde, il peut tout de m�me �tre mis en cache, mais il est alors fortement souhaitable que le serveur d'origine supporte correctement les requ�tes conditionnelles afin que des r�ponses compl�tes ne soient pas syst�matiquement g�n�r�es.

Un contenu qui varie en fonction d'en-t�tes de requ�te fournis par le client peut �tre mis en cache, sous r�serve d'une utilisation appropri�e de l'en-t�te de r�ponse Vary.

Contenu variable et/ou n�goci�

Lorsque le serveur d'origine est configur� pour servir des contenus diff�rents en fonction de la valeur de certains en-t�tes de la requ�te, par exemple pour servir une ressource en plusieurs langages � partir d'une seule URL, le m�canisme de mise en cache d'HTTP permet de mettre en cache plusieurs variantes de la m�me page � partir d'une seule URL.

Pour y parvenir, le serveur d'origine ajoute un en-t�te Vary pour indiquer quels en-t�tes doivent �tre pris en compte par un cache pour d�terminer si deux variantes sont diff�rentes l'une de l'autre.

Si par exemple, une r�ponse est re�ue avec l'en-t�te Vary suivant,

Vary: negotiate,accept-language,accept-charset

mod_cache ne servira aux demandeurs que le contenu mis en cache qui correspond au contenu des en-t�tes accept-language et accept-charset de la requ�te originale.

Plusieurs variantes d'un contenu peuvent �tre mises en cache simultan�ment ; mod_cache utilise l'en-t�te Vary et les valeurs correspondantes des en-t�tes de la requ�te sp�cifi�s dans ce dernier pour d�terminer quelle variante doit �tre servie au client.

Mise en cache sur disque

Le module mod_cache s'appuie sur des impl�mentations de stockage en arri�re-plan sp�cifiques pour g�rer le cache ; � ce titre, mod_cache_disk fournit le support de la mise en cache sur disque.

En g�n�ral, le module se configure comme suit :

CacheRoot   "/var/cache/apache/"
CacheEnable disk /
CacheDirLevels 2
CacheDirLength 1
    

Il est important de savoir que, les fichiers mis en cache �tant stock�s localement, la mise en cache par l'interm�diaire du syst�me d'exploitation sera en g�n�ral aussi appliqu�e � leurs acc�s. Si bien que m�me si les fichiers sont stock�s sur disque, s'il font l'objet d'acc�s fr�quents, il est probable que le syst�me d'exploitation s'appliquera � ce qu'ils soient servis � partir de la m�moire.

Comprendre le stockage dans le cache

Pour stocker des entit�s dans le cache, le module mod_cache_disk cr�e une empreinte (hash) de 22 caract�res de l'URL qui a fait l'objet d'une requ�te. Cette empreinte comprend le nom d'h�te, le protocole, le port, le chemin et tout argument de type CGI associ� � l'URL, ainsi que les �l�ments sp�cifi�s dans l'en-t�te Vary afin d'�tre sur que plusieurs URLs n'interf�rent pas entre elles.

Chaque position de l'empreinte peut contenir un caract�re choisi parmi 64 caract�res diff�rents, il y a donc 64^22 possibilit�s pour une empreinte. Par exemple, une URL peut poss�der l'empreinte xyTGxSMO2b68mBCykqkp1w. Cette empreinte est utilis�e pour pr�fixer les noms de fichiers sp�cifiques � cette URL � l'int�rieur du cache; cependant, elle est tout d'abord plac�e dans les r�pertoires du cache selon les directives CacheDirLevels et CacheDirLength.

La directive CacheDirLevels d�finit le nombre de niveaux de sous-r�pertoires, et CacheDirLength le nombre de caract�res composant le nom des sous-r�pertoires. Dans l'exemple donn� plus haut, l'empreinte se trouvera � : /var/cache/apache/x/y/TGxSMO2b68mBCykqkp1w.

Cette technique a pour but principal de r�duire le nombre de sous-r�pertoires ou de fichiers contenus dans un r�pertoire particulier, car le fonctionnement de la plupart des syst�mes de fichiers est ralenti quand ce nombre augmente. Avec la valeur "1" pour la directive CacheDirLength, il peut y avoir au plus 64 sous-r�pertoires � un niveau quelconque. Avec la valeur "2", il peut y en avoir 64 * 64, etc... A moins d'avoir une bonne raison pour ne pas le faire, l'utilisation de la valeur "1" pour la directive CacheDirLength est recommand�e.

Le param�trage de la directive CacheDirLevels d�pend du nombre de fichiers que vous pensez stocker dans le cache. Avec une valeur de "2" comme dans l'exemple donn� plus haut, 4096 sous-r�pertoires peuvent �tre cr��s au total. Avec 1 million de fichiers dans le cache, cela �quivaut � environ 245 URLs mises en cache dans chaque r�pertoire.

Chaque URL n�cessite au moins deux fichiers dans le cache. Ce sont en g�n�ral un fichier ".header", qui contient des meta-informations � propos de l'URL, comme la date de son arriv�e � expiration, et un fichier ".data" qui est la copie exacte du contenu � servir.

Dans le cas d'un contenu n�goci� via l'en-t�te "Vary", un r�pertoire ".vary" sera cr�� pour l'URL en question. Ce r�pertoire contiendra de multiples fichiers ".data" correspondant aux diff�rents contenus n�goci�s.

Maintenance du cache sur disque

Le module mod_cache_disk n'effectue aucune r�gulation de l'espace disque utilis� par le cache, mais s'il s'arr�te en douceur en cas d'erreur disque et se comporte alors comme si le cache n'avait jamais exist�.

Par contre l'utilitaire htcacheclean fourni avec httpd vous permet de nettoyer le cache p�riodiquement. D�terminer la fr�quence � laquelle lancer htcacheclean et la taille souhait�e pour le cache est une t�che relativement complexe et il vous faudra de nombreux essais et erreurs pour arriver � s�lectionner des valeurs optimales.

htcacheclean op�re selon deux modes. Il peut s'ex�cuter comme d�mon r�sident, ou �tre lanc� p�riodiquement par cron. htcacheclean peut mettre une heure ou plus pour traiter de tr�s grands caches (plusieurs dizaines de Gigaoctets) et si vous l'ex�cutez � partir de cron, il vous est conseill� de d�terminer la dur�e typique d'un traitement, afin d'�viter d'ex�cuter plusieurs instances � la fois.

Il est aussi conseill� d'attribuer un niveau de priorit� "nice" appropri� � htcacheclean de fa�on � ce qu'il n'effectue pas trop d'acc�s disque pendant le fonctionnement du serveur.


Figure 1: Croissance typique du cache / s�quence de nettoyage.

Comme mod_cache_disk ne tient pas compte de l'espace utilis� dans le cache, vous devez vous assurer que htcacheclean est configur� de fa�on � laisser suffisamment d'"espace de croissance" � la suite d'un nettoyage.

top

Mise en cache d'objets partag�s � deux �tats de forme cl�/valeur

Le serveur HTTP Apache fournit un cache d'objets partag�s de bas niveau pour la mise en cache d'informations comme les sessions SSL ou les donn�es d'authentification dans l'interface socache.

Pour chaque impl�mentation un module suppl�mentaire est fourni qui offre les services d'arri�re-plan suivants :

mod_socache_dbm
Cache d'objets partag�s bas� sur DBM.
mod_socache_dc
Cache d'objets partag�s bas� sur Distcache.
mod_socache_memcache
Cache d'objets partag�s bas� sur Memcache.
mod_socache_shmcb
Cache d'objets partag�s bas� sur la m�moire partag�e.

Mise en cache des donn�es d'authentification

Le module mod_authn_socache permet la mise en cache des donn�es issues d'une authentification, diminuant ainsi la charge des serveurs d'authentification en arri�re-plan.

Mise en cache des sessions SSL

Le module mod_ssl utilise l'interface socache pour fournir un cache de session et un cache de base.

top

Mise en cache � base de fichiers sp�cialis�s

Sur les plateformes o� le syst�me de fichiers peut �tre lent, ou lorsque les descripteurs de fichiers sont gourmands en ressources, il est possible de pr�charger des fichiers en m�moire au d�marrage du serveur.

Sur les syst�mes o� l'ouverture des fichiers est lente, il est possible d'ouvrir le fichier au d�marrage du serveur et de mettre en cache le descripteur de fichier. Ces options peuvent vous aider sur les syst�mes o� l'acc�s aux fichiers statiques est lent.

Mise en cache des descripteurs de fichier

Le processus d'ouverture d'un fichier peut �tre en soi une source de ralentissement, en particulier sur les syst�mes de fichiers sur le r�seau. httpd permet d'�viter ce ralentissement en maintenant un cache des descripteurs de fichiers ouverts pour les fichiers souvent servis. Actuellement, httpd fournit une seule impl�mentation de mise en cache des descripteurs de fichiers.

CacheFile

La forme la plus basique de mise en cache que propose httpd est la mise en cache des descripteurs de fichiers fournie par le module mod_file_cache. Plut�t que de mettre en cache le contenu des fichiers, ce cache maintient une table des descripteurs de fichiers ouverts. Les fichiers devant faire l'objet d'une mise en cache de ce type sont sp�cifi�s dans le fichier de configuration via la directive CacheFile.

La directive CacheFile informe httpd qu'il doit ouvrir le fichier lors de son d�marrage et qu'il doit r�utiliser le descripteur de fichier mis en cache pour tous les acc�s futurs � ce fichier.

        CacheFile /usr/local/apache2/htdocs/index.html
        

Si vous d�sirez mettre en cache un grand nombre de fichiers de cette mani�re, vous devez vous assurer que le nombre maximal de fichiers ouverts pour votre syst�me d'exploitation est d�fini � une valeur suffisante.

Bien que l'utilisation de la directive CacheFile n'entra�ne pas de mise en cache du contenu du fichier proprement dit, elle implique que si le fichier est modifi� pendant l'ex�cution du serveur, ces modifications ne seront pas prises en compte. Le fichier sera toujours servi dans l'�tat o� il se trouvait au moment du d�marrage du serveur.

Si le fichier est supprim� pendant l'ex�cution du serveur, ce dernier conservera le descripteur de fichier ouvert associ� et servira le fichier dans l'�tat o� il se trouvait au moment du d�marrage du serveur. Cela signifie aussi que m�me si le fichier a �t� supprim�, et n'appara�t donc plus dans le syst�me de fichiers, l'espace disque lib�r� ne sera disponible qu'une fois le serveur httpd arr�t� et donc le descripteur de fichier ferm�.

In-Memory Caching

Servir un contenu directement depuis la m�moire syst�me est universellement reconnu comme la m�thode la plus rapide. Lire des fichiers depuis un contr�leur de disque ou pire, depuis un r�seau distant est plus lent de plusieurs ordres de grandeur. Les contr�leurs de disque r�alisent en g�n�ral des op�rations m�caniques, et l'acc�s au r�seau est limit� par la bande passante dont vous disposez. Par contre, les temps d'acc�s � la m�moire sont de l'ordre de la nano-seconde.

Cependant la m�moire syst�me n'est pas bon march�; � capacit� �gale, c'est de loin le type de stockage le plus co�teux et il est important de s'assurer qu'elle est utilis�e efficacement. Le fait de mettre en cache des fichiers en m�moire diminue d'autant la quantit� de m�moire syst�me disponible. Comme nous le verrons plus loin, ce n'est pas un probl�me en soi dans le cas de la mise en cache par l'interm�diaire du syst�me d'exploitation, mais si l'on utilise la mise en cache en m�moire propre � httpd, il faut prendre garde � ne pas allouer trop de m�moire au cache. Sinon le syst�me sera contraint d'utiliser le swap, ce qui d�gradera sensiblement les performances.

Mise en cache par l'interm�diaire du syst�me d'exploitation

Dans la plupart des syst�mes d'exploitation modernes, c'est le noyau qui g�re directement la mise en cache en m�moire des donn�es relatives aux fichiers. C'est une fonctionnalit� puissante, et les syst�mes d'exploitation s'en acquittent fort bien pour la plus grande partie. Consid�rons par exemple, dans le cas de Linux, la diff�rence entre le temps n�cessaire � la premi�re lecture d'un fichier et le temps n�cessaire � sa deuxi�me lecture;

colm@coroebus:~$ time cat testfile > /dev/null
real    0m0.065s
user    0m0.000s
sys     0m0.001s
colm@coroebus:~$ time cat testfile > /dev/null
real    0m0.003s
user    0m0.003s
sys     0m0.000s

M�me pour ce petit fichier, il y a une grande diff�rence entre les temps n�cessaires pour lire le fichier. Ceci est du au fait que le noyau a mis en cache le contenu du fichier en m�moire.

Du fait de toujours pouvoir disposer de m�moire syst�me, vous pouvez �tre assur� qu'il y aura de plus en plus de contenus de fichiers stock�s dans ce cache. Ceci peut s'av�rer une m�thode de mise en cache en m�moire tr�s efficace, et ne n�cessite aucune configuration suppl�mentaire de httpd.

De plus, comme le syst�me d'exploitation sait si des fichiers ont �t� supprim�s ou modifi�s, il peut effacer automatiquement des contenus de fichiers du cache lorsque cela s'av�re n�cessaire. Ceci constitue un gros avantage par rapport � la mise en cache en m�moire de httpd qui n'a aucune possibilit� de savoir si un fichier a �t� modifi�.

En d�pit des performances et des avantages de la mise en cache automatique par le syst�me d'exploitation, la mise en cache en m�moire peut �tre effectu�e plus efficacement par httpd dans certaines circonstances.

Mise en cache � l'aide de la directive MMapFile

La directive MMapFile fournie par le module mod_file_cache vous permet de demander � httpd de charger un contenu de fichier statique en m�moire lors de son d�marrage (� l'aide de l'appel syst�me mmap). httpd utilisera le contenu charg� en m�moire pour satisfaire ult�rieurement toutes les demandes d'acc�s � ce fichier.

        MMapFile /usr/local/apache2/htdocs/index.html
        

Comme dans le cas de la directive CacheFile, toute modification du fichier ne sera plus prise en compte par httpd une fois ce dernier d�marr�.

La directive MMapFile ne gardant pas la trace de la quantit� de m�moire qu'elle alloue, vous devez prendre garde de ne pas en abuser. Chaque processus enfant de httpd utilisant sa propre r�plique de la m�moire allou�e, il est donc d'une importance critique de s'assurer que les fichiers charg�s ne sont pas d'une taille trop importante afin d'�pargner au syst�me l'utilisation du swap.

top

Consid�rations sur la s�curit�

Autorisation et contr�le d'acc�s

Utiliser mod_cache revient sensiblement � la m�me chose qu'avoir un mandataire inverse int�gr� (reverse-proxy). Les requ�tes seront servies par le module de mise en cache sauf si ce dernier d�termine qu'un processus d'arri�re-plan doit �tre appel�. La mise en cache de ressources locales modifie consid�rablement le mod�le de s�curit� de httpd.

Comme le parcours de la hi�rarchie d'un syst�me de fichiers pour examiner le contenu d'�ventuels fichiers .htaccess serait une op�ration tr�s co�teuse en ressources, annulant partiellement de ce fait l'int�r�t de la mise en cache (acc�l�rer le traitement des requ�tes), mod_cache ne se pr�occupe pas de savoir s'il a l'autorisation de servir une entit� mise en cache. En d'autres termes, si mod_cache a mis en cache un certain contenu, ce dernier sera servi � partir du cache tant qu'il ne sera pas arriv� � expiration.

Si par exemple, votre configuration autorise l'acc�s � une ressource en fonction de l'adresse IP, vous devez vous assurer que ce contenu n'est pas mis en cache. Ceci est possible en utilisant la directive CacheDisable, ou le module mod_expires. Livr� � lui-m�me, mod_cache - pratiquement comme un mandataire inverse - mettrait en cache le contenu lors de son service, et le servirait ensuite � tout client, vers n'importe quelle adresse IP.

Lorsque la directive CacheQuickHandler est d�finie � Off, toutes les phases du traitement de la requ�te sont ex�cut�es et le mod�le de s�curit� reste le m�me.

Piratages locaux

Etant donn� que les requ�tes des utilisateurs finaux peuvent �tre servies depuis le cache, ce dernier est une cible potentielle pour ceux qui veulent d�figurer un contenu ou interf�rer avec lui. Il est important de garder � l'esprit que l'utilisateur sous lequel tourne httpd doit toujours avoir l'acc�s en �criture dans le cache. Ceci est en contraste total avec la recommandation usuelle d'interdire � l'utilisateur sous lequel tourne Apache l'acc�s en �criture � tout contenu.

Si l'utilisateur sous lequel tourne Apache est compromis, par exemple � cause d'une faille de s�curit� dans un processus CGI, il est possible que le cache fasse l'objet d'une attaque. Il est relativement ais� d'ins�rer ou de modifier une entit� dans le cache en utilisant le module mod_cache_disk.

Cela repr�sente un risque relativement �l�v� par rapport aux autres types d'attaques qu'il est possible de mener sous l'utilisateur apache. Si vous utilisez mod_cache_disk, vous devez garder ceci � l'esprit : effectuez toujours les mises � jour de httpdquand des correctifs de s�curit� sont annonc�s et ex�cutez les processus CGI sous un utilisateur autre qu'apache en utilisant suEXEC dans la mesure du possible.

Empoisonnement du cache (Cache Poisoning)

Si vous utilisez httpd comme serveur mandataire avec mise en cache, vous vous exposez aussi � un �ventuel "Empoisonnement du cache" (Cache poisoning). L'empoisonnement du cache est un terme g�n�ral pour d�signer les attaques au cours desquelles l'attaquant fait en sorte que le serveur mandataire renvoie � un contenu incorrect (et souvent ind�sirable) suite � en provenance du serveur d'arri�re-plan.

Par exemple, si les serveur DNS qu'utilise votre syst�me o� tourne httpd sont vuln�rables � l'empoisonnement du cache des DNS, un attaquant pourra contr�ler vers o� httpd se connecte lorsqu'il demande un contenu depuis le serveur d'origine. Un autre exemple est constitu� par les attaques ainsi nomm�es "Dissimulation de requ�tes HTTP" (HTTP request-smuggling).

Ce document n'est pas le bon endroit pour une discussion approfondie � propos de la Dissimulation de requ�tes HTTP (utilisez plut�t votre moteur de recherche favori); il est cependant important de savoir qu'il est possible d'�laborer une s�rie de requ�tes, et d'exploiter une vuln�rabilit� d'un serveur web d'origine de telle fa�on que l'attaquant puisse contr�ler enti�rement le contenu renvoy� par le mandataire.

D�ni de Service / Cachebusting

Le m�canisme utilis� via l'en-t�te Vary permet de mettre en cache simultan�ment plusieurs variantes d'une ressource avec la m�me URL. Le cache s�lectionne la variante correcte � envoyer au client en fonction des valeurs d'en-t�te fournies par ce dernier. Ce m�canisme peut devenir un probl�me lorsqu'on tente d'appliquer le m�canisme des variantes � un en-t�te connu pour pouvoir poss�der un grand nombre de valeurs possibles en utilisation normal, comme par exemple l'en-t�te User-Agent. En fonction de la popularit� du site web, des milliers ou m�me des millions d'entr�es de cache dupliqu�es peuvent �tre cr��es pour la m�me URL, submergeant les autres entr�es du cache.

Dans d'autres cas, il peut �tre n�cessaire de modifier l'URL d'une ressource particuli�re � chaque requ�te, en g�n�ral en lui ajoutant une cha�ne "cachebuster". Si ce contenu est d�clar� comme pouvant �tre mis en cache par un serveur avec une dur�e de fra�cheur significative, ces entr�es peuvent submerger les entr�es l�gitimes du cache. Alors que mod_cache fournit une directive CacheIgnoreURLSessionIdentifiers, cette derni�re doit �tre utilis�e avec prudence pour s'assurer que les caches du navigateur ou du mandataire le plus proche (downstream proxy) ne sont pas victimes du m�me probl�me de D�ni de service.

Langues Disponibles:  en  |  fr  |  tr 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.