您的位置:365bet体育备用网址器 > 应用 > 后来查到是追踪表的问题的导致的

后来查到是追踪表的问题的导致的

2019-12-26 18:32

追踪表满导致keepalived vip 不通!

365bet在线官网 1
问题:zabbix 突然报警,vip 不通了,

解决方法:将vip 所在的机器的keepalived 服务给关闭,vip 则会飘到另外一台机器上,vip立即恢复正常!

后来查到是追踪表的问题的导致的!从网上找到追踪表的相关资料如下:
追踪表最大数目的确定:

nf_365bet在线官网,conntrack模块:
在iptables不同的表中,都会用到nf_conntrack模块来进行连接跟踪,而对应nf_conntrack的数据库为/proc/net/nf_conntrack(rhel6/centos6)。

有个简单的计算方式:
conntrack_max=ramsize(bytes)/16384/(x/32)

其中的x为你的系统地址位数,若操作系统为32位则x为32,若是64位x就等于64。其默认值为32768。如果你的操作系统为64位,8G内存,则nf_conntrack_max的为8192×1024×1024/16384/(64/32)=262144

若使用中的连接跟踪数量超过了最大连接数量,超出的部分无法被防火墙所接受,也就无法去应用防火墙去使用了。如果超出了,在/var/log/messages文件中将会看到错误消息“nf_conntrack:table full,dropping packet”,所以如果你觉得数量不够了,就可以通过增加内存去扩大连接数量上限。

而这个链接跟踪其实是有最大连接数量限制的。而其默认值会根据实际内存的大小而改变。

ip_conntrack:table full, dropping packet

错误信息:
在启用了iptables 的服务器上,流量高的时候经常会出现下面的错误

ip_conntrack: table full, dropping packet

这个问题的原因是由于服务器收到了大量的连接,在启用了iptables的情况下,iptables会把所有的连接都做链接跟踪处理,这样iptables就会有一个链接跟踪表,当这个表满的时候,就会出现上面的错误。

iptables的链接跟踪表最大容量为 sysctl -a | grepnet.nf_conntrack_max,链接碰到各种状态的超时后就会从表中删除。

解決方法

1.增加 ip_conntrack_max 值
复制代码

vim/etc/sysctl.conf

#添加如下

net.nf_conntrack_max = 102400

sysctl -p

2.iptables的raw表是不做数据包的链接跟踪处理的,并且优先级最高,我们可以把那些连接量非常大的链接加入到iptables raw表。
复制代码

iptables -t raw -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j NOTRACK

iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT

查看追踪表当前的数目:

wc -l /proc/net/nf_conntrack

注意:在防火墙关闭的状态下,不要使用iptables -L -vnx来查看状态!因为这样会导致防火墙被启动,而且规则为空。虽然不会有任何拦截效果,但所有连接状态都会被记录,浪费资源且影响性能并可能导致防火墙主动丢包!

摘之阿里云:

现象:突然发现访问网站很慢,服务器的cpu、内存和磁盘使用率都正常

分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table fulldropping packet”。kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态,并保存到 table 里(这个 table 在内存里),如果网络状况繁忙,比如高连接,高并发连接等会导致逐步占用这个 table 可用空间,一般这个 table 很大不容易占满并且可以自己清理,table 的记录会一直呆在 table 里占用空间直到源 IP 发一个 RST 包,但是如果出现被攻击、错误的网络配置、有问题的路由/路由器、有问题的网卡等情况的时候,就会导致源 IP 发的这个 RST 包收不到,这样就积累在 table 里,越积累越多直到占满,满了以后 iptables 就会丢包,出现外部无法连接服务器的情况。

还遇到了问题:

vip 不通! 问题:zabbix 突然报警,vip 不通了, 解决方法:将vip 所在的机器的keepalived 服务给关闭,vip 则会飘到另外...

本文由365bet体育备用网址器发布于应用,转载请注明出处:后来查到是追踪表的问题的导致的

关键词: