🥇Kad Linux conntrack vairs nav jūsu draugs

Savienojuma izsekošana (“conntrack”) ir Linux kodola tīkla steka galvenā funkcija. Tas ļauj kodolam izsekot visiem loģiskajiem tīkla savienojumiem vai plūsmām un tādējādi identificēt visas paketes, kas veido katru plūsmu, lai tās varētu secīgi apstrādāt kopā.

Conntrack ir svarīga kodola funkcija, kas tiek izmantota dažos pamata gadījumos:

NAT paļaujas uz informāciju no conntrack, lai tas varētu vienādi apstrādāt visas paketes no vienas straumes. Piemēram, kad pods piekļūst Kubernetes pakalpojumam, kube starpniekservera slodzes līdzsvarotājs izmanto NAT, lai novirzītu trafiku uz noteiktu kopu klasterī. Conntrack reģistrē, ka konkrētajam savienojumam visas IP pakalpojuma paketes ir jānosūta uz vienu un to pašu pod un ka aizmugursistēmas podziņa atgrieztās paketes ir jānosūta atpakaļ podā, no kura tika saņemts pieprasījums.
Stacionārie ugunsmūri, piemēram, Calico, paļaujas uz informāciju no savienojuma celiņa uz baltā saraksta “atbildes” trafiku. Tādējādi varat uzrakstīt tīkla politiku, kas saka “atļaut manam podam izveidot savienojumu ar jebkuru attālo IP adresi”, nerakstot politiku, lai skaidri atļautu atbildes trafiku. (Bez tā jums būtu jāpievieno daudz mazāk drošais noteikums "atļaut paketes manam podam no jebkura IP".)

Turklāt conntrack parasti uzlabo sistēmas veiktspēju (samazinot CPU patēriņu un pakešu latentumu), jo tikai pirmā pakete straumē
ir jāiet cauri visai tīkla stekam, lai noteiktu, ko ar to darīt. Skatīt ziņu "Kube starpniekservera režīmu salīdzinājums", lai redzētu piemēru, kā tas darbojas.

Tomēr conntrack ir savi ierobežojumi...

Tātad, kur tas viss nogāja greizi?

Conntrack tabulai ir konfigurējams maksimālais izmērs, un, ja tā kļūst pilna, savienojumi parasti tiek noraidīti vai pārtraukti. Tabulā ir pietiekami daudz brīvas vietas, lai apstrādātu vairuma lietojumprogrammu trafiku, un tas nekad nekļūs par problēmu. Tomēr ir daži scenāriji, kuros jūs varētu vēlēties izmantot conntrack tabulu:

Acīmredzamākais gadījums ir tad, ja jūsu serveris apstrādā ārkārtīgi lielu skaitu vienlaikus aktīvu savienojumu. Piemēram, ja jūsu conntrack tabula ir konfigurēta 128 128 ierakstiem, bet jums ir > XNUMX XNUMX vienlaicīgu savienojumu, jūs noteikti saskarsities ar problēmu!
Nedaudz mazāk acīmredzams gadījums: ja jūsu serveris apstrādā ļoti lielu savienojumu skaitu sekundē. Pat ja savienojumi ir īslaicīgi, Linux tos turpina uzraudzīt kādu laiku (pēc noklusējuma 120 s). Piemēram, ja jūsu conntrack tabula ir konfigurēta 128k ierakstiem un jūs mēģināt apstrādāt 1100 savienojumus sekundē, tie pārsniegs conntrack tabulas lielumu, pat ja savienojumi ir ļoti īslaicīgi (128k/120s = 1092 savienojumi/ s).

Ir vairāki nišas lietotņu veidi, kas ietilpst šajās kategorijās. Turklāt, ja jums ir daudz slikto dalībnieku, servera conntrack tabulas aizpildīšana ar daudziem daļēji atvērtiem savienojumiem var tikt izmantota pakalpojuma atteikuma (DOS) uzbrukumā. Abos gadījumos conntrack var kļūt par ierobežojošu sašaurinājumu jūsu sistēmā. Dažos gadījumos var pietikt ar conntrack tabulas parametru pielāgošanu, lai apmierinātu savas vajadzības - palielinot izmēru vai samazinot conntrack taimautus (bet, ja to darīsit nepareizi, jūs saskarsities ar daudzām problēmām). Citos gadījumos būs nepieciešams apiet conntrack agresīvas satiksmes dēļ.

Reāls piemērs

Sniegsim konkrētu piemēru: vienam lielam SaaS pakalpojumu sniedzējam, ar kuru mēs sadarbojāmies, resursdatoros (nevis virtuālajās mašīnās) bija vairāki atmiņai saglabāti serveri, no kuriem katrs apstrādāja 50 XNUMX+ īstermiņa savienojumu sekundē.

Viņi eksperimentēja ar conntrack konfigurāciju, palielinot tabulu izmērus un samazinot izsekošanas laiku, taču konfigurācija nebija uzticama, ievērojami palielinājās RAM patēriņš, kas bija problēma (GBaitos!), un savienojumi bija tik īsi, ka conntrack nedarbojās. izveidot savu parasto veiktspējas ieguvumu (samazināts CPU patēriņš vai pakešu latentums).

Viņi vērsās pie Calico kā alternatīvas. Calico tīkla politikas ļauj neizmantot conntrack noteiktiem trafika veidiem (izmantojot politikas opciju doNotTrack). Tas nodrošināja viņiem nepieciešamo veiktspējas līmeni, kā arī papildu drošības līmeni, ko nodrošināja Calico.

Cik ilgi jums būs jāiet, lai apietu conntrack?

Neizsekošanas tīkla politikām parasti jābūt simetriskām. SaaS nodrošinātāja gadījumā: viņu lietojumprogrammas darbojās aizsargātajā zonā, tāpēc, izmantojot tīkla politiku, tās varēja baltajā sarakstā iekļaut datplūsmu no citām specifiskām lietojumprogrammām, kurām bija atļauta piekļuve memcached.
Neizsekošanas politika neņem vērā savienojuma virzienu. Tādējādi, ja kešatmiņā saglabātais serveris ir uzlauzts, teorētiski varat mēģināt izveidot savienojumu ar jebkuru no atmiņā saglabātajiem klientiem, ja vien tas izmanto pareizo avota portu. Tomēr, ja esat pareizi definējis tīkla politiku saviem atmiņā saglabātajiem klientiem, šie savienojuma mēģinājumi joprojām tiks noraidīti klienta pusē.
Neizsekošanas politika tiek piemērota katrai paketei, atšķirībā no parastajām politikām, kas tiek piemērotas tikai pirmajai plūsmas paketei. Tas var palielināt CPU patēriņu uz vienu paketi, jo politika ir jāpiemēro katrai paketei. Bet īslaicīgiem savienojumiem šie izdevumi tiek līdzsvaroti ar resursu patēriņa samazinājumu conntrack apstrādei. Piemēram, SaaS nodrošinātāja gadījumā pakešu skaits katram savienojumam bija ļoti mazs, tāpēc papildu CPU patēriņš, piemērojot politikas katrai paketei, bija pamatots.

Sāksim testēšanu

Mēs veicām testu vienā podā ar kešatmiņā saglabātu serveri un vairākiem atmiņu kešatmiņā saglabātiem klientu podiem, kas darbojas attālos mezglos, lai mēs varētu palaist ļoti lielu savienojumu skaitu sekundē. Serverim ar kešatmiņā saglabāto servera podziņu conntrack tabulā (standarta konfigurētās tabulas izmērs resursdatoram) bija 8 kodoli un 512 XNUMX ieraksti.
Mēs izmērījām veiktspējas atšķirību starp: nav tīkla politikas; ar regulāru Calico politiku; un Calico neizsekošanas politika.

Pirmajā testā mēs iestatījām savienojumu skaitu uz 4.000 sekundē, lai mēs varētu koncentrēties uz CPU patēriņa atšķirību. Nebija būtisku atšķirību starp politiku bez politikas un parasto politiku, taču neizsekojiet palielināto CPU patēriņu par aptuveni 20%.

Otrajā testā mēs izveidojām tik daudz savienojumu, cik mūsu klienti varēja ģenerēt, un izmērījām maksimālo savienojumu skaitu sekundē, ko varēja apstrādāt mūsu kešatmiņā saglabātais serveris. Kā gaidīts, “bez politikas” un “regulāras politikas” gadījumi sasniedza vairāk nekā 4,000 savienojumu sekundē (512 k / 120 s = 4,369 60,000 savienojumi/s). Izmantojot neizsekošanas politiku, mūsu klienti bez problēmām nosūtīja XNUMX XNUMX savienojumu sekundē. Mēs esam pārliecināti, ka mēs varētu palielināt šo skaitu, pievienojot vairāk klientu, taču mēs uzskatām, ka šie skaitļi jau ir pietiekami, lai ilustrētu šī raksta būtību!

Secinājums

Conntrack ir svarīga kodola funkcija. Savu darbu viņš dara perfekti. To bieži izmanto galvenie sistēmas komponenti. Tomēr dažos konkrētos scenārijos sastrēgumi, kas radušies kontrakta dēļ, pārsniedz parastos ieguvumus, ko tas sniedz. Šajā scenārijā Calico tīkla politikas var izmantot, lai selektīvi atspējotu conntrack izmantošanu, vienlaikus palielinot tīkla drošību. Visai pārējai satiksmei conntrack joprojām ir jūsu draugs!

Lasiet arī citus rakstus mūsu emuārā:

Avots: www.habr.com

Kad Linux conntrack vairs nav jūsu draugs