不要盲目增加ip_conntrack_max-理解Linux内核内存

2024-05-12 12:18

本文主要是介绍不要盲目增加ip_conntrack_max-理解Linux内核内存,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

http://blog.csdn.net/dog250/article/details/7107537

1.由ip_conntrack引出的Linux内存映射
有很多文章在讨论关于ip_conntrack表爆满之后丢弃数据包的问题,对此研究深入一些的知道Linux有个内核参数ip_conntrack_max,在拥有较大内存的机器中默认65536,于是疯狂的增加这个参数,比如设置成10000…00,只要不报设置方面的错误,就一定要设置成最大值。这种方式实在是将软件看成大神了,殊不知软件的技术含量还不如锅炉呢!
如果考虑的再全面一些,比如经验丰富的程序员或者网管,可能会想到内存的问题,他们知道所有的连接跟踪信息都是保存于内存中的,因此会考虑单纯放大这个ip_conntrack_max参数会占据多少内存,会权衡内存的占用,如果系统没有太大的内存,就不会将此值设置的太高。
但是如果你的系统有很大的内存呢?比如有8G的内存,分个1G给连接跟踪也不算什么啊,这是合理的,然而在传统的32位架构Linux中是做不到,为什么?因为你可能根本不懂Linux内核的内存管理方式。
内存越来越便宜的今天,linux的内存映射方式确实有点过时了。然而事实就摆在那里,ip_conntrack处于内核空间,它所需的内存必须映射到内核空间,而传统的32位Linux内存映射方式只有1G属于内核,这1G的地址空间中,前896M是和物理内存一一线性映射的,后面的若干空洞之后,有若干vmalloc的空间,这些vmalloc空间和一一映射空间相比,很小很小,算上4G封顶下面的很小的映射空间,一共可以让内核使用的地址空间不超过1G。对于ip_conntrack来讲,由于其使用slab分配器,因此它还必须使用一一映射的地址空间,这就是说,它最多只能使用不到896M的内存!
为何Linux使用如此“落后”的内存映射机制这么多年还不改进?其实这种对内核空间内存十分苛刻的设计在64位架构下有了很大的改观,然而问题依然存在,即使64位架构,内核也无法做到透明访问所有的物理内存,它同样需要把物理内存映射到内核地址空间后才能访问,对于一一映射,这种映射是事先确定的,对于大小有限(实际上很小)非一一映射空间,需要动态创建页表,页目录等。另外还有一个解释,那就是“内核本来就不该做ip_conntrack这种事”,那是协议栈的事,而不巧的是,Liunx的协议栈完全在内核中实现,可能在skb接收软中断中处理的ip_conntrack不能睡眠,因此也就不能将此任务交给进程,也就不能利用进程地址空间(进程地址空间[用户态+内核态]可以访问所有的物理内存)。
Linux之所以对内核内存要求如此苛刻,目的就是不想让你随意使用,因为它宝贵,你才更要珍惜它们。
2.在32位架构Linux系统上的实验
以下是为了证明以上的事实所作的实验,可能实验中使用的一些手段仍然不符合常识,然而我觉得成一家之言即可,毕竟这种方案永远不会也不可能出现在公司的标准文档上,那样会让人学会投机取巧或者称偷懒,但是为了备忘,还得有个地方留着,那就写成博客吧。
还有一个参数会影响查找连接跟踪的时间复杂度和空间复杂度,那就是ip_conntrack_buckets。该值描述了哈希桶的数量,理论上,这个值越大,哈希碰撞就会越小,查找时间就会越快,但是需要为每一个桶预分配一块不是很大的内存,如果桶数量很大,就会占用很大的内存,并且这些内存还都是宝贵的“仅有1G空间内的内核内存”,和ip_conntrack结构体的分配策略不同,这个哈希桶可以分配在vmalloc空间而不一定非要在一一线性映射空间。
2.1.快速压满ip_conntrack的方法
使用loadrunner绝对是一种方式,然而术业有专攻,工作之余我又很讨厌windows上的一切,因此需要采用其它方式,下班在家,只身一人,也不想使用netcat之类的“瑞士军刀”,我怕端口占满,又怕我的macbook狂热,因此需要再想办法。由于目的只是想测试ip_conntrack最多能占用多少内存,其实这个我早就知道了,只是想证实一下子,那么办法也就有了,那就是增加ip_conntrack结构体的大小,而这很容易,只需要在结构体后面增加一个很大的字段即可。下面的修改基于Red Hat Enterprise 5的2.6.18内核
2.2.测试前对ip_conntrack内核模块的修改
编辑$build/include/linux/netfilter_ipv4/ip_conntrack.h文件,在结构体ip_conntrack的最后加上下面一句:
char aaa[102400]; //这个102400是通过二分法得到的,如果设置成2xxxxx则在加载的时候就会使内核crash,因为这个数组是直接分配(类似栈上分配)的而不是动态分配的,它载入的时候很可能会冲掉内核的关键数据,因此还是选取一个可行的数值,然后慢慢加连接吧,毕竟扩大了起码100000倍呢~~
进入$src/net/ipv4/netfilter,执行:
make –C /lib/modules/2.6.18-92.e15/build SUBDIRS=`pwd` modules
如此一来加载ip_conntrack.ko之后,内核日志将打印出:
ip_conntrack version 2.4 (8192 buckets, 65536 max) - 102628 bytes per conntrack
由此看出ip_conntrack结构体已经增大了,这样撑满整个可用内存所需的网络连接压力就大大减小了,也就不用什么loadrunner之类的东西了。为了尽快撑满可以使用的内存,还要将关于ip_conntrack的所有timeout设置的比较长,相当长:
sysctl -w net.ipv4.netfilter.ip_conntrack_generic_timeout=600000
sysctl -w net.ipv4.netfilter.ip_conntrack_icmp_timeout=300000
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_close=1000000
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120000
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack=300000
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60000
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120000
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=432000
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=600000
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent=120000
这样既有的一个流就会“永久保持”了,一直占着ip_conntrack结构体不放,直到可用的内存溢出。
在加载了ip_conntrack模块之后,所有过往的数据包就会自动被追踪,下面编写以下脚本:
for (( i=1; i<255; i++));
do
for (( j=1; j<255; j++));
do
ping 192.168.$i.$j -c 1 -W 1
curl --connect-timeout 1 http://138.$i.$j.80/
curl --connect-timeout 1 http://38.$i.$j.80/
curl --connect-timeout 1 http://$i.1.$j.80/
curl --connect-timeout 1 http://$j.$i.9.8/
done
done
2.3.测试过程
本机配置:
内存:3032M,free命令识别3003M
执行上述脚本,抽根烟,拉一脬(pao),得到下列的数据:
封顶连接数:6149个
使用内存:886M
此时在本机ping 127.0.0.1也不通了,说明ip_conntrack已经达到了极限,同时由于在alloc ip_conntrack的地方插入了打印语句(肯定是一堆#号),内核打印了内存分配失败的信息。一共3G的内存,仅仅使用了886M(而且我不断使用sysctl –w vm.drop_caches=3清楚cache),剩余的都无法给ip_conntrack使用。为了使结果更有说服力,我在ip_conntrack模块的初始化函数中插入了下列代码:
for (j=0; I < 400; j++)
__get_free_pages(GFP_KERNEL, 8);
意思是我先占去内核空间的400M内存,看看最终总的连接跟踪数量是否也会减少相应的,得到数据如下:
封顶连接数:3421个
使用内存:879M
可见,内核内存被额外占据了,能分给ip_conntrack的就少了。更进一步,保持上述的__get_free_pages不变,再增加下列的代码:
for (j=0; I < 400; j++)
__get_free_pages(GFP_HIGHUSER, 8);
最终的结果如下:
封顶连接数:3394个
使用内存:1203M
可见,HIGHUSER内存并不会怎么影响内核内存,要知道用户进程的内存几乎都是使用这个HIGHUSER标识分配的。如果去掉GFP_KERNEL的分配,仅仅保留GFP_HIGHUSER的分配,得到下列结果:
封顶连接数:6449个
使用内存:1312M
可见,HIGHUSER内存的分配尽力在高端进行,不会怎么影响内核的一一映射空间。
2.4.测试结果
综上所述,32位架构上Linux的ip_conntrack使用的内存只能在内核地址空间的一一映射区,换句话说,它只能使用物理内存的前896M,除掉ip_conntrack结构体的添加的char aaa[],也是这个结果,只不过要想压满所有的可用内存,不是很容易,需要动用几台机器以及loadrunner之类的压力工具。
3.在64位架构Linux系统上做的实验
MD!由于我大动了内核数据结构,加载模块没有成功,至今仍在调试,排错,已几个时辰有余…
4.结论
最后,需要说明的是,ip_conntrack_max的初始值是内核根据你机器的内存计算出来的,包括ip_conntrack_buckets也是这样算出来的,内核之所以设置这样的初始值,那是经过精心测试的经验值,因此除了非要改不可,不要去提高这个值。如果你的机器面临大量连接,你提高了ip_conntrack_max的值,那么代价就是占用了大量可贵的内核内存,可能会引起其它的内核内存分配失败,并且,一旦内核内存使用超过了内核内存空间映射的阀值,那么系统会默默的丢弃你的数据包,而不会报出:
table full, dropping packet error and solution
之类的错误,这是可悲的一件事。
操作系统内核影响协议栈行为带来了一种错觉:我有这么多内存,为何不让我使用?!事实上,不是你要使用,而是内核要使用,你可以控制的只是进程,对于内核,程序员是没法控制的。当然你可以重新编译,甚至修改内核,甚至修改ip_conntrack的内存分配方式,不再使用伙伴系统的slab内存,而是重定向一个userspace,然则,然则这个开发需要成本,一个人日几百块,没有几个公司愿意花这笔钱。因此,最终的结论:不要盲目增加ip_conntrack_max。呼应了题目。
附:
1.关于GFP_XXX
GFP_ATOMIC:设置这个标识,在内核映射区域的紧急池分配,不成功则简单返回NULL,不释放其它内存,也就不kill进程,分配路径不睡眠。ip_conntrack结构体就是使用这个标识分配的(它大多数处于软中断路径)
GFP_KERNEL:设置这个标识,在内核映射区域分配,不成功则尝试释放可以释放的内存,尝试调用oom_killer,可以睡眠
GFP_HIGHUSER:设置这个标识,可以分配到所有的物理内存(排除很小一部分固定内存以及用于总线IO的内存,这个在x86上很明显,具体参见/proc/iomem获得详细物理内存映射信息)。一般而言,用户态进程所需的内存都使用这个标识来分配,尽量使用内核“很难”使用的高端内存(1G以后的物理内存,内核还要动态映射,这要操作页表),从而将前896M(32位架构)尽量留给内核使用
2.关于ip_conntrack的哈希
Linux的ip_conntrack使用了 jhash函数来进行哈希计算,关于该函数的实现可以参考下面这个网址:
http://burtleburtle.net/bob/hash/doobs.html
作者的解释很清晰

这篇关于不要盲目增加ip_conntrack_max-理解Linux内核内存的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/982609

相关文章

Go语言开发实现查询IP信息的MCP服务器

《Go语言开发实现查询IP信息的MCP服务器》随着MCP的快速普及和广泛应用,MCP服务器也层出不穷,本文将详细介绍如何在Go语言中使用go-mcp库来开发一个查询IP信息的MCP... 目录前言mcp-ip-geo 服务器目录结构说明查询 IP 信息功能实现工具实现工具管理查询单个 IP 信息工具的实现服

Linux命令之firewalld的用法

《Linux命令之firewalld的用法》:本文主要介绍Linux命令之firewalld的用法,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux命令之firewalld1、程序包2、启动firewalld3、配置文件4、firewalld规则定义的九大

Linux之计划任务和调度命令at/cron详解

《Linux之计划任务和调度命令at/cron详解》:本文主要介绍Linux之计划任务和调度命令at/cron的使用,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux计划任务和调度命令at/cron一、计划任务二、命令{at}介绍三、命令语法及功能 :at

Linux下如何使用C++获取硬件信息

《Linux下如何使用C++获取硬件信息》这篇文章主要为大家详细介绍了如何使用C++实现获取CPU,主板,磁盘,BIOS信息等硬件信息,文中的示例代码讲解详细,感兴趣的小伙伴可以了解下... 目录方法获取CPU信息:读取"/proc/cpuinfo"文件获取磁盘信息:读取"/proc/diskstats"文

Linux内核参数配置与验证详细指南

《Linux内核参数配置与验证详细指南》在Linux系统运维和性能优化中,内核参数(sysctl)的配置至关重要,本文主要来聊聊如何配置与验证这些Linux内核参数,希望对大家有一定的帮助... 目录1. 引言2. 内核参数的作用3. 如何设置内核参数3.1 临时设置(重启失效)3.2 永久设置(重启仍生效

在Spring Boot中浅尝内存泄漏的实战记录

《在SpringBoot中浅尝内存泄漏的实战记录》本文给大家分享在SpringBoot中浅尝内存泄漏的实战记录,结合实例代码给大家介绍的非常详细,感兴趣的朋友一起看看吧... 目录使用静态集合持有对象引用,阻止GC回收关键点:可执行代码:验证:1,运行程序(启动时添加JVM参数限制堆大小):2,访问 htt

kali linux 无法登录root的问题及解决方法

《kalilinux无法登录root的问题及解决方法》:本文主要介绍kalilinux无法登录root的问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,... 目录kali linux 无法登录root1、问题描述1.1、本地登录root1.2、ssh远程登录root2、

深入理解Apache Kafka(分布式流处理平台)

《深入理解ApacheKafka(分布式流处理平台)》ApacheKafka作为现代分布式系统中的核心中间件,为构建高吞吐量、低延迟的数据管道提供了强大支持,本文将深入探讨Kafka的核心概念、架构... 目录引言一、Apache Kafka概述1.1 什么是Kafka?1.2 Kafka的核心概念二、Ka

Python中使用正则表达式精准匹配IP地址的案例

《Python中使用正则表达式精准匹配IP地址的案例》Python的正则表达式(re模块)是完成这个任务的利器,但你知道怎么写才能准确匹配各种合法的IP地址吗,今天我们就来详细探讨这个问题,感兴趣的朋... 目录为什么需要IP正则表达式?IP地址的基本结构基础正则表达式写法精确匹配0-255的数字验证IP地

Linux ls命令操作详解

《Linuxls命令操作详解》通过ls命令,我们可以查看指定目录下的文件和子目录,并结合不同的选项获取详细的文件信息,如权限、大小、修改时间等,:本文主要介绍Linuxls命令详解,需要的朋友可... 目录1. 命令简介2. 命令的基本语法和用法2.1 语法格式2.2 使用示例2.2.1 列出当前目录下的文