Linux 性能优化实战
倪朋飞
资深 Linux 专家,Kubernetes 项目维护者
85429 人已学习
新⼈⾸单¥68
登录后,你可以任选4讲全文学习
课程目录
已完结/共 65 讲
结束语 (1讲)
Linux 性能优化实战
15
15
1.0x
00:00/00:00
登录|注册

48 | 案例篇:服务器总是时不时丢包,我该怎么办?(下)

你好,我是倪朋飞。
上一节,我们一起学习了如何分析网络丢包的问题,特别是从链路层、网络层以及传输层等主要的协议栈中进行分析。
不过,通过前面这几层的分析,我们还是没有找出最终的性能瓶颈。看来,还是要继续深挖才可以。今天,我们就来继续分析这个未果的案例。
在开始下面的内容前,你可以先回忆一下上节课的内容,并且自己动脑想一想,除了我们提到的链路层、网络层以及传输层之外,还有哪些潜在问题可能会导致丢包呢?

iptables

首先我们要知道,除了网络层和传输层的各种协议,iptables 和内核的连接跟踪机制也可能会导致丢包。所以,这也是发生丢包问题时,我们必须要排查的一个因素。
我们先来看看连接跟踪,我已经在 如何优化 NAT 性能 文章中,给你讲过连接跟踪的优化思路。要确认是不是连接跟踪导致的问题,其实只需要对比当前的连接跟踪数和最大连接跟踪数即可。
不过,由于连接跟踪在 Linux 内核中是全局的(不属于网络命名空间),我们需要退出容器终端,回到主机中来查看。
你可以在容器终端中,执行 exit ;然后执行下面的命令,查看连接跟踪数:
# 容器终端中执行exit
root@nginx:/# exit
exit
# 主机终端中查询内核配置
$ sysctl net.netfilter.nf_conntrack_max
net.netfilter.nf_conntrack_max = 262144
$ sysctl net.netfilter.nf_conntrack_count
net.netfilter.nf_conntrack_count = 182
从这儿你可以看到,连接跟踪数只有 182,而最大连接跟踪数则是 262144。显然,这里的丢包,不可能是连接跟踪导致的。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《Linux 性能优化实战》
新⼈⾸单¥68
立即购买
登录 后留言

全部留言(23)

  • 最新
  • 精选
  • 怀特
    有一个问题不明白:IP包不是可以根据网络自动组合和拆分的吗?为什么会直接丢弃呢?

    作者回复: 也可以设置不允许拆包

    19
  • 我在用k8s中过netfilter的招。通过service cluster访问pod,发现包到了pod。被丢弃了,tcp超时。抓包发现目的地址没有修改为pod ip.安装脚本没有配置centos开机加载netfilter驱动

    作者回复: 👍谢谢分享

    3
    15
  • 大坏狐狸
    学到这,突然有种这个订阅是我职业生涯中做的一件很正确的事情了的感觉。

    作者回复: 😊

    12
  • kissingers
    还有传输设备引入的丢包,比如接口模式不匹配,物理接口或线缆,广播风暴大流量等。另外案例这里如果get 包允许分片那就不会丢包吧?只是传输效率低。那么既然允许分片可以规避中间链路mtu 过小引起的问题,为什么很多应用默认就是不允许分片呢?谢谢

    作者回复: 分片带来的成本还是蛮高的

    2
    12
  • 挺直腰板
    老师,跟踪到内核函数,但不清楚任何函数是做什么的,怎么查?

    作者回复: 查内核源码

    3
  • Huayra
    针对这问题,tcpdump效率太低了,倒不如使用系统动态追踪或者pcap技术来实现这么一个专门的工具

    作者回复: 嗯嗯,好主意

    3
  • 王聪 Claire
    1. 不应该是0.2向0.30发送请求吗?为什么wireshark的图SYN是0.30发给0.2的?2. MTU过小,是因为要进行大量的数据分片分包,所以导致服务器端接收不到curl http get请求吗?谢谢。

    作者回复: 1. 谢谢指出,wireshark的图片标错了 2. 不是的,是因为容器的eth0实际上只是veth pair,不会分包

    2
  • 我来也
    [D48打卡] 之前理应想到 iptables .这个相当于是个防火墙. 还是这个工具接触的少了. 这个iptables的问题没解决前,用 tcpdump 能看出啥来不. 我用tcpdump看时只显示出那些连接成功了的包信息,好像没看到丢失的信息.😁 连接跟踪数要做宿主机上查看. 学习了. 除此之外,还需要配合`netstat -i`查看网卡底层的信息.

    作者回复: 👍

    1
  • Huayra
    请问有没有专门检测网络包大小异常的工具呢?

    作者回复: 最简单的就是tcpdump抓包

    1
  • fran712
    曾经被跟踪表坑过,索性就 # cat /etc/modprobe.d/conntrack.conf install nf_conntrack /bin/false

    作者回复: 嗯,这是直接禁止掉了

收起评论
显示
设置
留言
23
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部