Linux conntrack သည် သင့်သူငယ်ချင်းမဟုတ်တော့ပါ။

ချိတ်ဆက်မှုခြေရာခံခြင်း (“conntrack”) သည် Linux kernel ကွန်ရက်ချိတ်ဆက်မှုအစုစု၏ အဓိကအင်္ဂါရပ်တစ်ခုဖြစ်သည်။ ၎င်းသည် kernel အား ယုတ္တိတန်သော ကွန်ရက်ချိတ်ဆက်မှုများ သို့မဟုတ် စီးဆင်းမှုများအားလုံးကို ခြေရာခံနိုင်စေပြီး ၎င်းတို့ကို စဉ်ဆက်မပြတ် အတူတကွ လုပ်ဆောင်နိုင်စေရန် စီစဥ်မှုတစ်ခုစီတွင် ပါဝင်သည့် ပက်ကတ်များအားလုံးကို ခွဲခြားသတ်မှတ်နိုင်သည်။

Conntrack သည် အချို့သော အခြေခံကိစ္စများတွင် အသုံးပြုသည့် အရေးကြီးသော kernel အင်္ဂါရပ်ဖြစ်သည်-

• NAT သည် conntrack မှ အချက်အလက်များအပေါ်တွင် မှီခိုနေသောကြောင့် ၎င်းသည် တူညီသောစီးကြောင်းမှ packet အားလုံးကို အညီအမျှ ဆက်ဆံနိုင်သည်။ ဥပမာအားဖြင့်၊ pod တစ်ခုသည် Kubernetes ဝန်ဆောင်မှုကို ဝင်ရောက်သည့်အခါ၊ kube-proxy load balancer သည် အစုအဝေးအတွင်းရှိ သီးခြား pod တစ်ခုသို့ လမ်းကြောင်းပြရန် NAT ကိုအသုံးပြုသည်။ ပေးထားသည့် ချိတ်ဆက်မှုအတွက်၊ IP ဝန်ဆောင်မှုသို့ packet အားလုံးကို တူညီသော pod သို့ ပေးပို့ရမည်ဖြစ်ပြီး၊ backend pod မှ ပြန်ပေးသော packets များကို တောင်းဆိုမှုမှလာသော pod သို့ NATed ပြန်ပေးရပါမည်။
• Calico ကဲ့သို့သော Stateful Firewall များသည် ချိတ်ဆက်လမ်းကြောင်းမှ "တုံ့ပြန်မှု" အသွားအလာကို ခွင့်ပြုစာရင်းမှ အချက်အလက်များအပေါ်တွင် အားကိုးသည်။ ၎င်းသည် သင့်အား တုံ့ပြန်မှုအသွားအလာကို ပြတ်သားစွာခွင့်ပြုရန် မူဝါဒကို ရေးသားရန်မလိုဘဲ "ကျွန်ုပ်၏ pod ကို အဝေးထိန်း IP လိပ်စာသို့ ချိတ်ဆက်ခွင့်ပြုပါ" ဟူသော ကွန်ရက်မူဝါဒကို ရေးသားနိုင်စေပါသည်။ (ဤအရာမရှိဘဲ၊ သင်သည်မည်သည့် IP စည်းမျဉ်းမှမဆို packets သို့ packets ကိုခွင့်ပြုရန် လုံခြုံမှုပိုနည်းသော လုံခြုံမှုကိုထည့်ရမည်ဖြစ်ပါသည်။)

ထို့အပြင်၊ conntrack သည် ပုံမှန်အားဖြင့် stream တစ်ခုရှိ ပထမဆုံး packet မှစပြီး (CPU သုံးစွဲမှုနှင့် ပက်ကေ့တင်နေချိန်ကို လျှော့ချခြင်းဖြင့်) စနစ်စွမ်းဆောင်ရည်ကို မြှင့်တင်ပေးပါသည်။
၎င်းနှင့်ဘာလုပ်ရမည်ကိုဆုံးဖြတ်ရန် network stack တစ်ခုလုံးကိုဖြတ်သန်းရပါမည်။ ပို့စ်ကိုကြည့်ပါ"kube-proxy မုဒ်များကို နှိုင်းယှဉ်ခြင်း။"ဘယ်လိုအလုပ်လုပ်သလဲဆိုတာကို ဥပမာအနေနဲ့ ကြည့်ရမှာပါ။

ဒါပေမယ့် Conntrack မှာ အကန့်အသတ်တွေရှိပါတယ်...

ဒါဆို အားလုံးမှားသွားပြီလား။

conntrack ဇယားတွင် ပုံဖော်နိုင်သော အမြင့်ဆုံးအရွယ်အစားရှိပြီး ၎င်းသည် ပြည့်သွားပါက၊ ချိတ်ဆက်မှုများကို အများအားဖြင့် ပယ်ချခြင်း သို့မဟုတ် ဖြုတ်ချခြင်းတို့ စတင်မည်ဖြစ်သည်။ အပလီကေးရှင်းအများစု၏ အသွားအလာကို ကိုင်တွယ်ရန် ဇယားထဲတွင် နေရာလွတ်အလုံအလောက်ရှိပြီး၊ ၎င်းသည် မည်သည့်အခါမျှ ပြဿနာဖြစ်လာမည်မဟုတ်ပါ။ သို့သော်၊ conntrack table ကိုအသုံးပြုရန် သင်စဉ်းစားလိုသည့် အခြေအနေအချို့ရှိပါသည်။

• အထင်ရှားဆုံးကိစ္စမှာ သင်၏ဆာဗာသည် အလွန်များပြားသော ချိတ်ဆက်မှုများအား တစ်ပြိုင်နက်တည်း လုပ်ဆောင်နေပါက ဖြစ်သည်။ ဥပမာအားဖြင့်၊ သင်၏ conntrack ဇယားကို 128k entries များအတွက် configure လုပ်ထားသော်လည်း သင့်တွင် > 128k concurrent connections ရှိပါက၊ သင်သည် သေချာပေါက် ပြဿနာတစ်ခုနှင့် ရင်ဆိုင်ရလိမ့်မည်။
• အနည်းငယ်သာ ထင်ရှားသော ကိစ္စ- သင့်ဆာဗာသည် တစ်စက္ကန့်လျှင် ချိတ်ဆက်မှု အများအပြားကို လုပ်ဆောင်နေပါက၊ ချိတ်ဆက်မှုများသည် တိုတောင်းသော်လည်း၊ ၎င်းတို့အား အချိန်အတိုင်းအတာတစ်ခုအထိ Linux မှ ဆက်လက်စောင့်ကြည့်နေပါသည် (ပုံမှန်အားဖြင့် 120s)။ ဥပမာအားဖြင့်၊ သင်၏ conntrack ဇယားသည် 128k entries များအတွက် configure လုပ်ထားပြီး တစ်စက္ကန့်လျှင် 1100 connections ကို ကိုင်တွယ်ရန် ကြိုးစားနေပါက၊ ချိတ်ဆက်မှုများသည် အလွန်တိုတောင်းသော်လည်း၊ ၎င်းတို့သည် conntrack table ၏အရွယ်အစားထက် ကျော်လွန်သွားလိမ့်မည် (128k/120s = 1092 connections/ ၎)

ဤအမျိုးအစားများတွင် အကျုံးဝင်သော သီးသန့်အက်ပ်အမျိုးအစားများစွာ ရှိပါသည်။ ထို့အပြင်၊ သင့်တွင် ဆိုးရွားသောသရုပ်ဆောင်များစွာရှိပါက၊ ဝက်ဖွင့်ချိတ်ဆက်မှုများများစွာဖြင့် သင့်ဆာဗာ၏ conntrack ဇယားကို ဖြည့်သွင်းခြင်းကို ဝန်ဆောင်မှုငြင်းပယ်ခြင်း (DOS) တိုက်ခိုက်မှု၏ တစ်စိတ်တစ်ပိုင်းအဖြစ် အသုံးပြုနိုင်သည်။ ကိစ္စနှစ်ခုစလုံးတွင်၊ conntrack သည် သင့်စနစ်တွင် ကန့်သတ်ပိတ်ဆို့မှုများဖြစ်လာနိုင်သည်။ အချို့ကိစ္စများတွင်၊ conntrack table parameters များကို ချိန်ညှိခြင်းသည် အရွယ်အစားကို တိုးမြှင့်ခြင်း သို့မဟုတ် conntrack timeouts များကို လျှော့ချခြင်းဖြင့် သင့်လိုအပ်ချက်များနှင့် လုံလောက်နိုင်သည် (သို့သော် ၎င်းကို မှားယွင်းစွာ ပြုလုပ်ပါက သင်သည် ပြဿနာများစွာနှင့် ရင်ဆိုင်ရလိမ့်မည်)။ အခြားကိစ္စရပ်များအတွက် ပြင်းထန်သော ယာဉ်ကြောပိတ်ဆို့မှုအတွက် လမ်းကြောင်းကို ကျော်ဖြတ်ရန် လိုအပ်မည်ဖြစ်ပါသည်။

တကယ့်ဥပမာ

တိကျသောဥပမာတစ်ခုပေးကြည့်ရအောင်- ကျွန်ုပ်တို့နှင့်အလုပ်လုပ်ခဲ့သော SaaS ဝန်ဆောင်မှုပေးသူကြီးတစ်ခုတွင် hosts ( virtual machine များမဟုတ်ပါ) တွင် memcached server အများအပြားရှိသည်

၎င်းတို့သည် conntrack configuration ကိုစမ်းသပ်ခဲ့ပြီး၊ ဇယားအရွယ်အစားများကိုတိုးမြှင့်ကာ ခြေရာခံချိန်ကိုလျှော့ချရန် စမ်းသပ်ခဲ့ကြသော်လည်း configuration သည် စိတ်မချရကြောင်း၊ RAM သုံးစွဲမှုသည် သိသိသာသာတိုးလာကာ ပြဿနာတစ်ခုဖြစ်သည် (GBytes ၏အစီအစဥ်အရ!) နှင့် ချိတ်ဆက်မှုများသည် အလွန်တိုတောင်းသောကြောင့် conntrack မလုပ်နိုင်ပေ။ ၎င်း၏ပုံမှန်စွမ်းဆောင်ရည်အကျိုးခံစားခွင့်ကိုဖန်တီးပါ (စားသုံးမှုလျှော့ချထားသော CPU သို့မဟုတ် ပက်ကက်တင်နေချိန်)။

သူတို့သည် Calico ကို အခြားရွေးချယ်စရာအဖြစ် ပြောင်းလဲခဲ့သည်။ Calico ကွန်ရက်ပေါ်လစီများသည် သင့်အား အချို့သောအသွားအလာအမျိုးအစားများအတွက် conntrack ကိုအသုံးမပြုနိုင်စေရန် (doNotTrack မူဝါဒရွေးချယ်မှုကို အသုံးပြုခြင်း)။ ၎င်းသည် ၎င်းတို့လိုအပ်သော စွမ်းဆောင်ရည်အဆင့်အပြင် Calico မှ ပံ့ပိုးပေးသည့် ထပ်လောင်းလုံခြုံရေးအဆင့်ကို ပေးသည်။

စည်းမျဥ်းကို ကျော်ဖြတ်ဖို့ ဘယ်အတိုင်းအတာအထိ သွားရမှာလဲ။

• Do-not-track ကွန်ရက်မူဝါဒများသည် ယေဘုယျအားဖြင့် အချိုးကျသင့်သည်။ SaaS ဝန်ဆောင်မှုပေးသည့်ကိစ္စတွင်၊ ၎င်းတို့၏ အပလီကေးရှင်းများသည် အကာအကွယ်ဇုန်အတွင်း လည်ပတ်နေသောကြောင့် ကွန်ရက်မူဝါဒကို အသုံးပြု၍ memcached သို့ဝင်ရောက်ခွင့်ပြုထားသည့် အခြားသော သီးခြားအက်ပ်လီကေးရှင်းများမှ လမ်းကြောင်းများကို အဖြူစာရင်းထဲသွင်းနိုင်သည်။
• do-not-track မူဝါဒသည် ချိတ်ဆက်မှု၏ ဦးတည်ချက်ကို ထည့်သွင်းစဉ်းစားမည်မဟုတ်ပါ။ ထို့ကြောင့်၊ memcached ဆာဗာသည် ဟက်ခ်ခံရပါက၊ ၎င်းသည် မှန်ကန်သောအရင်းအမြစ်ပို့တ်ကို အသုံးပြုနေသမျှကာလပတ်လုံး သင်သည် သီအိုရီအရ memcached client များနှင့် ချိတ်ဆက်ရန် ကြိုးစားနိုင်သည်။ သို့သော်၊ သင်၏ memcached clients များအတွက် ကွန်ရက်မူဝါဒကို မှန်ကန်စွာ သတ်မှတ်ခဲ့လျှင် ဤချိတ်ဆက်မှုကြိုးပမ်းချက်များကို client ဘက်မှ ပယ်ချခံရဆဲဖြစ်သည်။
• စီးဆင်းမှုတစ်ခုရှိ ပထမပက်ကတ်တွင်သာ အသုံးပြုသည့် ပုံမှန်မူဝါဒများနှင့် ဆန့်ကျင်သည့်အတိုင်း do-not-track မူဝါဒကို packetတိုင်းတွင် သက်ရောက်ပါသည်။ ပက်ကတ်တစ်ခုစီအတွက် မူဝါဒကို ကျင့်သုံးရမည်ဖြစ်သောကြောင့် ၎င်းသည် ပက်ကတ်တစ်ခုစီအတွက် CPU သုံးစွဲမှုကို တိုးမြှင့်နိုင်သည်။ သို့သော် ခဏတာချိတ်ဆက်မှုများအတွက်၊ conntrack processing အတွက် အရင်းအမြစ်သုံးစွဲမှုလျှော့ချခြင်းဖြင့် ဤကုန်ကျစရိတ်ကို မျှတစေသည်။ ဥပမာအားဖြင့်၊ SaaS ဝန်ဆောင်မှုပေးသူတစ်ဦး၏ကိစ္စတွင်၊ ချိတ်ဆက်မှုတစ်ခုစီအတွက် ပက်ကတ်အရေအတွက်သည် အလွန်နည်းပါးသောကြောင့် ပက်ကတ်တစ်ခုစီသို့ မူဝါဒများအသုံးပြုသည့်အခါ အပို CPU သုံးစွဲမှုသည် တရားမျှတပါသည်။

စတင်စမ်းသပ်လိုက်ရအောင်

ကျွန်ုပ်တို့သည် memcached server နှင့် memcached client pods အများအပြားဖြင့် pod တစ်ခုတည်းတွင် စမ်းသပ်မှုကို အဝေးမှ node များပေါ်တွင် လုပ်ဆောင်နေသောကြောင့် တစ်စက္ကန့်လျှင် ချိတ်ဆက်မှုများစွာကို လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။ memcached server pod ပါသည့် ဆာဗာတွင် conntrack table တွင် 8 cores နှင့် 512k entries များ (အိမ်ရှင်အတွက် စံသတ်မှတ်ထားသော ဇယားအရွယ်အစား)။
ကျွန်ုပ်တို့သည် စွမ်းဆောင်ရည်ကွာခြားချက်ကို တိုင်းတာသည်- ကွန်ရက်မူဝါဒမရှိ၊ ပုံမှန် Calico မူဝါဒဖြင့် နှင့် Calico do-not-track မူဝါဒ။

ပထမစမ်းသပ်မှုအတွက်၊ ကျွန်ုပ်တို့သည် ချိတ်ဆက်မှုအရေအတွက်ကို တစ်စက္ကန့်လျှင် 4.000 သို့သတ်မှတ်ထားသောကြောင့် CPU သုံးစွဲမှုကွာခြားချက်ကို ကျွန်ုပ်တို့အာရုံစိုက်နိုင်မည်ဖြစ်သည်။ မူဝါဒမရှိခြင်းနှင့် ပုံမှန်မူဝါဒကြားတွင် သိသာထင်ရှားသော ခြားနားချက်မရှိသော်လည်း CPU သုံးစွဲမှု 20% ခန့် တိုးလာသည်ကို ခြေရာခံခြင်းမပြုပါနှင့်။

ဒုတိယစမ်းသပ်မှုတွင်၊ ကျွန်ုပ်တို့၏ သုံးစွဲသူများသည် ကျွန်ုပ်တို့၏ memcached ဆာဗာကို ကိုင်တွယ်နိုင်သည့် တစ်စက္ကန့်လျှင် အများဆုံးချိတ်ဆက်မှုအရေအတွက်ကို တိုင်းတာနိုင်သလောက် ချိတ်ဆက်မှုများစွာကို ကျွန်ုပ်တို့ စတင်လုပ်ဆောင်ခဲ့သည်။ မျှော်လင့်ထားသည့်အတိုင်း၊ "မရှိသောမူဝါဒ" နှင့် "ပုံမှန်မူဝါဒ" ကိစ္စများသည် တစ်စက္ကန့်လျှင် ချိတ်ဆက်မှု 4,000 ကျော် (512k / 120s = 4,369 connections/s) ၏ conntrack limit သို့ ရောက်သွားသည်။ do-not-track ပေါ်လစီဖြင့်၊ ကျွန်ုပ်တို့၏ဖောက်သည်များသည် ပြဿနာမရှိဘဲ တစ်စက္ကန့်လျှင် ချိတ်ဆက်မှု 60,000 ပို့ပေးပါသည်။ ဖောက်သည်များကို များများထည့်ခြင်းဖြင့် ဤနံပါတ်ကို တိုးမြှင့်နိုင်မည်ဟု ကျွန်ုပ်တို့သေချာသော်လည်း ဤနံပါတ်များသည် ဤဆောင်းပါး၏အချက်ကို ဖော်ပြရန် လုံလောက်နေပြီဟု ကျွန်ုပ်တို့ခံစားရပါသည်။

ကောက်ချက်

Conntrack သည် အရေးကြီးသော kernel အင်္ဂါရပ်တစ်ခုဖြစ်သည်။ သူ့အလုပ်ကို ပြီးပြည့်စုံအောင် လုပ်တယ်။ ၎င်းကို အဓိကစနစ် အစိတ်အပိုင်းများဖြင့် အသုံးပြုလေ့ရှိသည်။ သို့သော်လည်း အချို့သောအခြေအနေများတွင်၊ conntrack ကြောင့် ပိတ်ဆို့မှုသည် ၎င်းကိုပေးဆောင်သည့် ပုံမှန်အကျိုးကျေးဇူးများထက် သာလွန်သည်။ ဤအခြေအနေတွင်၊ ကွန်ရက်လုံခြုံရေးကိုတိုးမြှင့်နေစဉ်တွင် conntrack အသုံးပြုမှုကို ရွေးချယ်ပိတ်ရန် Calico ကွန်ရက်မူဝါဒများကို အသုံးပြုနိုင်သည်။ အခြားအသွားအလာအားလုံးအတွက်၊ conntrack သည် သင့်မိတ်ဆွေအဖြစ် ဆက်လက်ရှိနေပါသည်။

ကျွန်ုပ်တို့၏ဘလော့ဂ်ရှိ အခြားဆောင်းပါးများကိုလည်း ဖတ်ပါ-

• Nginx အတွက် ပြောင်းလဲနေသော မော်ဂျူးများကို တည်ဆောက်ခြင်း။
• Hashicorp ကောင်စစ်ဝန်၏ Kubernetes ခွင့်ပြုချက်အား နိဒါန်း
• Kubernetes တွင် ဖော်ပြထားသည့် အရန်သိမ်းဆည်းမှုများ
• ကွဲပြားသော ဝဘ်ပရောဂျက်များစွာကို အရန်သိမ်းခြင်း။
• Redmine အတွက် Telegram bot ။ သင်ကိုယ်တိုင်ရော အခြားသူများအတွက်ပါ ဘဝကို ရိုးရှင်းအောင် ဘယ်လိုလုပ်မလဲ။

source: www.habr.com