阿里云服务器iptables的conntrack表满了导致访问网站很慢

时间:2015-06-29 16:05:27 来源:爱牛网络

阿里云服务器iptables的conntrack表满了导致访问网站很慢,爱牛营销型网站建设公司,咨询电话400-699-2656

现象:突然发现访问网站很慢,服务器的cpu、内存和磁盘使用率都正常
 
分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table full dropping packet”。kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态,并保存到 table 里(这个 table 在内存里),如果网络状况繁忙,比如高连接,高并发连接等会导致逐步占用这个 table 可用空间,一般这个 table 很大不容易占满并且可以自己清理,table 的记录会一直呆在 table 里占用空间直到源 IP 发一个 RST 包,但是如果出现被攻击、错误的网络配置、有问题的路由/路由器、有问题的网卡等情况的时候,就会导致源 IP 发的这个 RST 包收不到,这样就积累在 table 里,越积累越多直到占满,满了以后 iptables 就会丢包,出现外部无法连接服务器的情况。
 
解决方案:Iptables启动的是会在日志里提示当前的buckets和conntrack_max的值以及每条跟踪连接需要消耗多少内存:
 
 
也就是说304MB内存将支持1048576条跟踪连接记录,所以需要按照服务器的内存大小来配置合适的值。
永久修改ip_conntrack_max和hashsize
1) 增大 ip_conntrack_max(设置为 2^20,默认值是 2^16=65536)
# vi /etc/sysctl.conf
net.ipv4.ip_conntrack_max = 1048576
2) 增大 hashsize (在i386架构上,HASHSIZE = CONNTRACK_MAX / 8)
# vi /etc/modprobe.conf
options ip_conntrack hashsize=131072
然后重启 iptables 服务,在 messages中可以看到参数已生效:
# service iptables restart
 

北京爱牛营销型网站建设公司,专业的网络营销实施专家,为你打造以网站为平台的营销设计,提供企业网站建设,品牌网站建设,外贸网站建设,营销网站设计,网站推广,网络整合营销,我们为企业打造一体化网络营销服务,我们的优势,不在一个点,而是网住整个面。选择爱牛网络,挡不住的网络营销财富,让您的网络从此牛起来。 
爱牛品牌设计是我们的创造力,网络营销策划是企业的第二生命力。赢在起跑线,爱牛来实现!!! 
全国服务热线:400-699-2656 / 400-669-2656 / 010-63260836 / 010-63495805
本文作者:爱牛网络,转载请注明出处:爱牛营销型网站建设公司(www.cngin.com)。XML

热门文章

联络方式:

中国 · 北京 · 西城区茶马北街 1号院1号楼7层1单元0807室
电话:010-63495805  63260836  400-699-2656
传真:010-63260836-806
邮编:100055