🥇როცა Linux conntrack აღარ არის შენი მეგობარი

კავშირის თვალყურის დევნება ("conntrack") არის Linux ბირთვის ქსელის სტეკის ძირითადი ფუნქცია. ის საშუალებას აძლევს ბირთვს თვალყური ადევნოს ქსელის ყველა ლოგიკურ კავშირს ან ნაკადს და ამით დაადგინოს ყველა პაკეტი, რომელიც ქმნის თითოეულ ნაკადს, რათა მოხდეს მათი დამუშავება თანმიმდევრულად.

Conntrack არის ბირთვის მნიშვნელოვანი ფუნქცია, რომელიც გამოიყენება ზოგიერთ ძირითად შემთხვევაში:

NAT ეყრდნობა ინფორმაციას conntrack-იდან, ასე რომ მას შეუძლია თანაბრად განიხილოს ერთი და იგივე ნაკადის ყველა პაკეტი. მაგალითად, როდესაც pod წვდება Kubernetes სერვისს, kube-proxy load balancer იყენებს NAT-ს, რათა მიმართოს ტრაფიკს კლასტერში არსებულ კონკრეტულ პოდზე. Conntrack აღნიშნავს, რომ მოცემული კავშირისთვის, IP სერვისის ყველა პაკეტი უნდა გაიგზავნოს იმავე პოდში და რომ backend-ის მიერ დაბრუნებული პაკეტები უნდა დაბრუნდეს NAT-ში, საიდანაც მოვიდა მოთხოვნა.
სახელმწიფოებრივ ფეიერვოლებს, როგორიცაა Calico, ეყრდნობა ინფორმაციას connecttrack-დან Whitelist-ის „პასუხის“ ტრაფიკამდე. ეს საშუალებას გაძლევთ დაწეროთ ქსელის პოლიტიკა, რომელიც ამბობს: „დაუშვა ჩემს პოდს დაუკავშირდეს ნებისმიერ დისტანციურ IP მისამართს“ პოლიტიკის დაწერის გარეშე, რათა მკაფიოდ დაუშვას საპასუხო ტრაფიკი. (ამის გარეშე, თქვენ მოგიწევთ დაამატოთ ნაკლებად უსაფრთხო წესი "პაკეტების დაშვება ჩემს პოდში ნებისმიერი IP-დან".)

გარდა ამისა, conntrack, როგორც წესი, აუმჯობესებს სისტემის მუშაობას (CPU-ს მოხმარების და პაკეტის შეფერხების შემცირებით), რადგან მხოლოდ პირველი პაკეტია ნაკადში.
უნდა გაიაროს მთელი ქსელის დასტა, რათა დადგინდეს რა უნდა გააკეთოს მასთან. იხილეთ პოსტი"kube-proxy რეჟიმების შედარება" რომ ნახოთ მაგალითი იმისა, თუ როგორ მუშაობს.

თუმცა კონტრაკს აქვს თავისი შეზღუდვები...

ასე რომ, სად წავიდა ეს ყველაფერი არასწორი?

საკონტრაქტო ცხრილს აქვს კონფიგურირებადი მაქსიმალური ზომა და თუ ის სავსეა, კავშირების ჩვეულებრივ უარყოფა ან გაუქმება იწყება. ცხრილში არის საკმარისი თავისუფალი ადგილი აპლიკაციების უმეტესობის ტრაფიკისთვის და ეს არასოდეს გახდება პრობლემა. თუმცა, არსებობს რამდენიმე სცენარი, რომლებშიც შეიძლება განიხილოთ კონტრაქტის ცხრილის გამოყენება:

ყველაზე აშკარა შემთხვევაა, თუ თქვენი სერვერი ამუშავებს ერთდროულად აქტიური კავშირების უკიდურესად დიდ რაოდენობას. მაგალითად, თუ თქვენი საკონტრაქტო ცხრილი კონფიგურირებულია 128 ათასი ჩანაწერისთვის, მაგრამ გაქვთ >128 ათასი ერთდროული კავშირები, აუცილებლად შეგექმნებათ პრობლემა!
ოდნავ ნაკლებად აშკარა შემთხვევა: თუ თქვენი სერვერი ამუშავებს კავშირების ძალიან დიდ რაოდენობას წამში. მაშინაც კი, თუ კავშირები ხანმოკლეა, ისინი განაგრძობენ Linux-ის მონიტორინგს გარკვეული პერიოდის განმავლობაში (ნაგულისხმევად 120 წ.). მაგალითად, თუ თქვენი საკონტრაქტო ცხრილი კონფიგურირებულია 128 ათასი ჩანაწერისთვის და თქვენ ცდილობთ აწარმოოთ 1100 კავშირი წამში, ისინი გადააჭარბებენ კონტრაქტის ცხრილის ზომას, მაშინაც კი, თუ კავშირები ძალიან ხანმოკლეა (128k/120s = 1092 კავშირი/ ს).

არსებობს აპლიკაციების რამდენიმე ნიშა, რომლებიც ამ კატეგორიებს მიეკუთვნება. გარდა ამისა, თუ ბევრი ცუდი მოქმედი პირი გყავთ, თქვენი სერვერის საკონტრაქტო ცხრილის შევსება უამრავი ნახევრად ღია კავშირებით შეიძლება გამოყენებულ იქნას როგორც სერვისის უარყოფის (DOS) შეტევის ნაწილი. ორივე შემთხვევაში, conntrack შეიძლება გახდეს თქვენი სისტემის შემზღუდველი ბლოკი. ზოგიერთ შემთხვევაში, კონტრაქტის ცხრილის პარამეტრების კორექტირება შეიძლება საკმარისი იყოს თქვენი მოთხოვნილებების დასაკმაყოფილებლად - ზომის გაზრდით ან შეყვანის ვადების შემცირებით (მაგრამ თუ ამას არასწორად გააკეთებთ, ბევრ პრობლემას წააწყდებით). სხვა შემთხვევებისთვის საჭირო იქნება აგრესიული ტრაფიკისთვის საკონტროლო ტრასების გვერდის ავლით.

რეალური მაგალითი

მოდით მოვიყვანოთ კონკრეტული მაგალითი: ერთ დიდ SaaS პროვაიდერს, რომელთანაც ჩვენ ვმუშაობდით, ჰქონდა რამდენიმე მემქეშირებული სერვერი ჰოსტებზე (არა ვირტუალური მანქანები), რომელთაგან თითოეული ამუშავებდა 50K+ მოკლევადიან კავშირს წამში.

მათ ჩაატარეს კონფიგურაციის კონფიგურაცია, გაზარდეს ცხრილის ზომები და შეამცირეს თვალთვალის დრო, მაგრამ კონფიგურაცია არასანდო იყო, RAM-ის მოხმარება მნიშვნელოვნად გაიზარდა, რაც პრობლემას წარმოადგენდა (GBytes-ის შეკვეთით!) და კავშირები იმდენად მოკლე იყო, რომ კონფიგურაცია არ იყო. შექმენით მისი ჩვეული შესრულების უპირატესობა (შემცირებული მოხმარება CPU ან პაკეტის შეყოვნება).

ალტერნატივად კალიკოს მიმართეს. Calico-ს ქსელის პოლიტიკა საშუალებას გაძლევთ არ გამოიყენოთ conntrack გარკვეული ტიპის ტრაფიკისთვის (doNotTrack პოლიტიკის ვარიანტის გამოყენებით). ამან მათ მისცა შესრულების დონე, რაც მათ სჭირდებოდათ, პლუს უსაფრთხოების დამატებითი დონე, რომელიც უზრუნველყოფილია Calico-ს მიერ.

რა სიგრძის გავლა მოგიწევთ კონტრაქტის გვერდის ავლით?

ქსელის პოლიტიკის „არ თვალყურის დევნება“ ჩვეულებრივ უნდა იყოს სიმეტრიული. SaaS პროვაიდერის შემთხვევაში: მათი აპლიკაციები გაშვებული იყო დაცულ ზონაში და, შესაბამისად, ქსელის პოლიტიკის გამოყენებით, მათ შეეძლოთ ტრაფიკის სიაში სხვა კონკრეტული აპლიკაციებიდან, რომლებსაც ჰქონდათ წვდომა memcached-ზე.
„არ თვალყურის დევნება“ პოლიტიკა არ ითვალისწინებს კავშირის მიმართულებას. ამრიგად, თუ მემქეშირებული სერვერი გატეხილია, თეორიულად შეგიძლიათ სცადოთ დაკავშირება რომელიმე მემქეშირებულ კლიენტთან, თუ ის იყენებს წყაროს სწორ პორტს. თუმცა, თუ თქვენ სწორად განსაზღვრეთ ქსელის პოლიტიკა თქვენი memcached კლიენტებისთვის, მაშინ ეს კავშირის მცდელობები კვლავ უარყოფილი იქნება კლიენტის მხრიდან.
Do-not-track პოლიტიკა გამოიყენება ყველა პაკეტზე, ჩვეულებრივი პოლიტიკისგან განსხვავებით, რომელიც გამოიყენება ნაკადის მხოლოდ პირველ პაკეტზე. ამან შეიძლება გაზარდოს CPU-ს მოხმარება თითო პაკეტზე, რადგან პოლიტიკა უნდა იქნას გამოყენებული თითოეულ პაკეტზე. მაგრამ ხანმოკლე კავშირებისთვის, ეს ხარჯი დაბალანსებულია საკონტრაქტო დამუშავებისთვის რესურსების მოხმარების შემცირებით. მაგალითად, SaaS პროვაიდერის შემთხვევაში, თითოეული კავშირისთვის პაკეტების რაოდენობა ძალიან მცირე იყო, ამიტომ CPU-ის დამატებითი მოხმარება თითოეულ პაკეტზე პოლიტიკის გამოყენებისას გამართლებული იყო.

დავიწყოთ ტესტირება

ჩვენ ჩავატარეთ ტესტი ერთ პოდზე, მემქეშირებული სერვერით და მრავალი მემქეშირებული კლიენტის პოდებით, რომლებიც მუშაობენ დისტანციურ კვანძებზე, რათა შეგვეძლო წამში ძალიან დიდი რაოდენობის კავშირების გაშვება. სერვერს memcached სერვერის პოდ ჰქონდა 8 ბირთვი და 512 ათასი ჩანაწერი conntrack ცხრილში (სტანდარტული კონფიგურირებული ცხრილის ზომა ჰოსტისთვის).
ჩვენ გავზომეთ შესრულების განსხვავება შორის: ქსელის პოლიტიკა არ არის; რეგულარული Calico პოლიტიკით; და Calico-ს პოლიტიკას არ ადევნო თვალი.

პირველი ტესტისთვის ჩვენ დავაყენეთ კავშირების რაოდენობა წამში 4.000-მდე, ასე რომ ჩვენ შეგვიძლია ფოკუსირება მოახდინოთ CPU-ს მოხმარების განსხვავებაზე. არ იყო მნიშვნელოვანი განსხვავებები პოლიტიკის გარეშე და რეგულარულ პოლიტიკას შორის, მაგრამ CPU-ს მოხმარება 20%-ით გაიზარდა CPU-ს მოხმარებაზე „არ თვალის დევნება“:

მეორე ტესტში ჩვენ გავუშვით იმდენი კავშირი, რამდენსაც ჩვენს კლიენტებს შეეძლოთ გენერირება და გავზომეთ კავშირების მაქსიმალური რაოდენობა წამში, რომელსაც ჩვენი memcached სერვერი შეეძლო. როგორც მოსალოდნელი იყო, „არაპოლიტიკის“ და „ჩვეულებრივი პოლიტიკის“ შემთხვევებმა მიაღწიეს 4,000-ზე მეტი კავშირის ლიმიტს წამში (512k / 120s = 4,369 კავშირი/წმ). „არ თვალყურის დევნების“ პოლიტიკით, ჩვენმა კლიენტებმა უპრობლემოდ გაგზავნეს 60,000 კავშირი წამში. ჩვენ დარწმუნებულები ვართ, რომ შეგვიძლია გავზარდოთ ეს რიცხვი მეტი კლიენტის დამატებით, მაგრამ ვგრძნობთ, რომ ეს რიცხვები უკვე საკმარისია ამ სტატიის აზრის საილუსტრაციოდ!

დასკვნა

Conntrack არის ბირთვის მნიშვნელოვანი ფუნქცია. თავის საქმეს მშვენივრად აკეთებს. მას ხშირად იყენებენ სისტემის ძირითადი კომპონენტები. თუმცა, ზოგიერთ კონკრეტულ სცენარში, კონტრაქტის გამო შეშუპება აღემატება მის მიერ მოწოდებულ ნორმალურ სარგებელს. ამ სცენარში, Calico-ს ქსელის პოლიტიკა შეიძლება გამოყენებულ იქნას კონტრაქტის გამოყენების შერჩევით გამორთვისთვის, ხოლო ქსელის უსაფრთხოების გაზრდისას. ყველა სხვა ტრაფიკისთვის, conntrack აგრძელებს თქვენი მეგობარი!

ასევე წაიკითხეთ სხვა სტატიები ჩვენს ბლოგზე:

წყარო: www.habr.com

როცა Linux conntrack აღარ არის შენი მეგობარი