在现代Linux系统中，连接跟踪（ConnectionTracking）功能已经集成到nf_conntrack模块中，不再需要单独加载ip_conntrack模块。相应的nf_conntrack模块负责处理IPv4的连接跟踪功能，而IPv6的连接跟踪功能由nf_conntrack_ipv6模块处理。如果你需要加载与连接跟踪相关的模块，可以使用

这是专栏第8篇，介绍一下node-exporter的conntrack插件。这个插件大家平时关注可能较少，但是在一些场景下，比如防火墙、NAT网关等，需要监控conntrack表的使用情况。我就遇到过一次生产事故，就是因为conntract表满了，导致新连接无法建立，所以这个插件还是很有用的。conntrack

这是专栏第8篇，介绍一下node-exporter的conntrack插件。这个插件大家平时关注可能较少，但是在一些场景下，比如防火墙、NAT网关等，需要监控conntrack表的使用情况。我就遇到过一次生产事故，就是因为conntract表满了，导致新连接无法建立，所以这个插件还是很有用的。connt

4.系统资源调优与内核参数配置4.系统资源调优与内核参数配置ulimit查看ulimit-a其中maxuserprocesses项由系统自动定义，用户设定值超出系统定义值则不生效/etc/security/limits.conf/etc/security/limits.d/90-nproc.conf内核参数调优常见案例kernel:ip_conntrack:t

tp的默认端口是21，但如果启用ftp且开放21端口，经常会受到各种工具尝试破解ftp密码，且说你的ftp密码非常的强大，几乎不能暴力破解，但是工具暴力破解ftp密码时需要消耗系统资源，所以我们干脆更改下ftp的端口，这样就可以防止了各种暴力破解工具的侵扰。下面www.centos.bz把21端口更改为2121

网络丢包的定义与现象​网络丢包是指部分包正常，部分包被丢弃。从现象上看就不是网络一直不通，而是:偶尔不通。速度慢(丢包导致重传)。排查思路​TODO可能原因​高并发NAT导致conntrack插入冲突​如果高并发并且做了NAT，比如使用了ip-masq-agent，对集群外的网段或公

IPVS是专门为LB设计的。它用hashtable管理service，对service的增删查找都是O(1)的时间复杂度。不过IPVS内核模块没有SNAT功能，因此借用了iptables的SNAT功能。IPVS针对报文做DNAT后，将连接信息保存在nf_conntrack中，iptables据此接力做SNAT。该模式是目前Kubernetes网络性能最好的选

现象虚拟机各种奇怪丢包(TCP的连接)然后看到虚拟机所在CVK的dmesg里，有如下:dmesgkern-lerr,warn-T(/var/log/messages里也有)提示:nf_conntrack:nf_conntrack:tablefull,droppingpacket从日志看意思是:内核netfilter模块conntrack相关参数配置不合理，导致新

前言我们的程序，在实际的网络部署时，一般比较复杂，会经过很多的网络设备，防火墙就是其中的一种。做开发的同事，一般对这块了解不多，也很可能被防火墙坑到。比如，应用一般需要访问数据库，为了避免频繁建立连接，一般是会提前建立一个连接池，每次来一个请求，就从连接池取一个连接来用，用完再归还

 记录前因：K8S部署的集群，最近遇到域名解析失败情况，查看coredns日志，没有明显问题。解析报错：connectiontimedout;noserverscouldbereached 重启集群服务，解析没有问题，基本确认跟某个业务服务有关联解决过程： 查看跟踪连接数：sysctlnet.netfilter.nf_conntrack_coun

参考：linux路由跟踪表满错误nf_conntrack:tablefull,droppingpacket原理解决方法说明ping，dmesg或者/var/log/messages日志中这个报错，说明服务器网络方面遇到了瓶颈。此时查看cat/proc/sys/net/netfilter/nf_conntrack_max和cat/proc/sys/net/netfilter/nf_conntra

conntrack_max推荐默认值CONNTRACK_MAX=RAMSIZE(inbytes)/16384/(ARCH/32)4是hash表里的链表最大长度,推荐4或者8HASHSIZE=CONNTRACK_MAX/432位系统虚拟内存1G,能用的有896M64位系统256T,能用一半ARCH:为CPU架构,32或64。32位256M内存:CONN

问题在系统日志中（/var/log/messages），有时会看到大面积的下面的报错：nf_conntrack:tablefull,droppingpacket这说明系统接到了大量的连接请求，但是系统的连接跟踪表已经满了，无法再记录新的连接了。这时候，系统会丢弃新的连接请求。在CentOS下，默认的连接跟踪表大小是65536，可

packagemainimport("fmt""time""github.com/florianl/go-conntrack")funcmain(){//创建conntrack客户端client,err:=conntrack.Dial(nil)iferr!=nil{panic(err)}deferclient

参考链接：https://developer.aliyun.com/ask/336089当开启只有不在tcp窗口内的rst包被标志为无效，当关闭（默认）所有不在tcp窗口中的包都被标志为无效.0：关闭1：开启 

NAT技术能够重写IP数据包的源IP或目的IP，所以普遍用来解决公网IP地址短缺的问题。它可以让网络中的多台主机，通过共享同一个公网IP地址，来访问外网资源。（比如云主机

如上图，有这样一种场景，我们经常遇到，局域网内有两台服务器，Server1和Server2,Server1可以通通网，Server2只能通内网，无法直接访问公网现在想Server2能访问到公网，怎么做？

官网地址https://kubesphere.io/zh/docs/v3.3/quick-start/all-in-one-on-linux/第一步：安装依赖socat、conntrackyuminstall-ysocatyuminstall-yconntrack第

1.修改iptables为ipvs模式 ipvs采用的hash表，iptables采用一条条的规则列表。集群数量越多iptables规则就越多，而iptables规则是从上到下匹配，所以效率就越是低下

性能分析一直是性能实施项目中的一个难点。对于只做性能测试不做性能分析的团队来说，总是不能把问题非常显性地展示出来，不能给其他团队非常明确的引导。对于这种类型的测试实

离线安装说明      通常生产环境由于安全原因都无法访问互联网.此时就需要进行离线安装,主要有两种方式：源码编译、rpm包安装。源码编译耗费时间长且缺乏编译环