- 2024-07-20加载 iptables 相关模块
在现代Linux系统中,连接跟踪(ConnectionTracking)功能已经集成到nf_conntrack模块中,不再需要单独加载ip_conntrack模块。相应的nf_conntrack模块负责处理IPv4的连接跟踪功能,而IPv6的连接跟踪功能由nf_conntrack_ipv6模块处理。如果你需要加载与连接跟踪相关的模块,可以使用
- 2024-06-13Conntrack 监控,别等故障了再回来加监控
这是专栏第8篇,介绍一下node-exporter的conntrack插件。这个插件大家平时关注可能较少,但是在一些场景下,比如防火墙、NAT网关等,需要监控conntrack表的使用情况。我就遇到过一次生产事故,就是因为conntract表满了,导致新连接无法建立,所以这个插件还是很有用的。conntrack
- 2024-06-12Conntrack 监控,别等故障了再回来加监控
这是专栏第8篇,介绍一下node-exporter的conntrack插件。这个插件大家平时关注可能较少,但是在一些场景下,比如防火墙、NAT网关等,需要监控conntrack表的使用情况。我就遇到过一次生产事故,就是因为conntract表满了,导致新连接无法建立,所以这个插件还是很有用的。connt
- 2024-05-114-系统资源调优与内核参数配置
4.系统资源调优与内核参数配置4.系统资源调优与内核参数配置ulimit查看ulimit-a其中maxuserprocesses项由系统自动定义,用户设定值超出系统定义值则不生效/etc/security/limits.conf/etc/security/limits.d/90-nproc.conf内核参数调优常见案例kernel:ip_conntrack:t
- 2024-02-28更改pureftpd vsftpd与proftpd的默认端口(转载)
tp的默认端口是21,但如果启用ftp且开放21端口,经常会受到各种工具尝试破解ftp密码,且说你的ftp密码非常的强大,几乎不能暴力破解,但是工具暴力破解ftp密码时需要消耗系统资源,所以我们干脆更改下ftp的端口,这样就可以防止了各种暴力破解工具的侵扰。下面www.centos.bz把21端口更改为2121
- 2024-02-21k8s排查网络丢包
网络丢包的定义与现象网络丢包是指部分包正常,部分包被丢弃。从现象上看就不是网络一直不通,而是:偶尔不通。速度慢(丢包导致重传)。排查思路TODO可能原因高并发NAT导致conntrack插入冲突如果高并发并且做了NAT,比如使用了ip-masq-agent,对集群外的网段或公
- 2023-10-16Kube-proxy代理方案
IPVS是专门为LB设计的。它用hashtable管理service,对service的增删查找都是O(1)的时间复杂度。不过IPVS内核模块没有SNAT功能,因此借用了iptables的SNAT功能。IPVS针对报文做DNAT后,将连接信息保存在nf_conntrack中,iptables据此接力做SNAT。该模式是目前Kubernetes网络性能最好的选
- 2023-10-04服务器nf_conntrack(CT)表满导致虚拟机丢包
现象虚拟机各种奇怪丢包(TCP的连接)然后看到虚拟机所在CVK的dmesg里,有如下:dmesgkern-lerr,warn-T(/var/log/messages里也有)提示:nf_conntrack:nf_conntrack:tablefull,droppingpacket从日志看意思是:内核netfilter模块conntrack相关参数配置不合理,导致新
- 2023-09-26数据库连接池长时间不用,乍一用还用不了,结果是防火墙的锅
前言我们的程序,在实际的网络部署时,一般比较复杂,会经过很多的网络设备,防火墙就是其中的一种。做开发的同事,一般对这块了解不多,也很可能被防火墙坑到。比如,应用一般需要访问数据库,为了避免频繁建立连接,一般是会提前建立一个连接池,每次来一个请求,就从连接池取一个连接来用,用完再归还
- 2023-07-26linux netfilter 引发网络不稳定
记录前因:K8S部署的集群,最近遇到域名解析失败情况,查看coredns日志,没有明显问题。解析报错:connectiontimedout;noserverscouldbereached 重启集群服务,解析没有问题,基本确认跟某个业务服务有关联解决过程: 查看跟踪连接数:sysctlnet.netfilter.nf_conntrack_coun
- 2023-07-11nf_conntrack: table full, dropping packet
参考:linux路由跟踪表满错误nf_conntrack:tablefull,droppingpacket原理解决方法说明ping,dmesg或者/var/log/messages日志中这个报错,说明服务器网络方面遇到了瓶颈。此时查看cat/proc/sys/net/netfilter/nf_conntrack_max和cat/proc/sys/net/netfilter/nf_conntra
- 2023-06-28nf_conntrack_buckets
conntrack_max推荐默认值CONNTRACK_MAX=RAMSIZE(inbytes)/16384/(ARCH/32)4是hash表里的链表最大长度,推荐4或者8HASHSIZE=CONNTRACK_MAX/432位系统虚拟内存1G,能用的有896M64位系统256T,能用一半ARCH:为CPU架构,32或64。32位256M内存:CONN
- 2023-06-12如何解决系统报错:nf_conntrack: table full, dropping packets
问题在系统日志中(/var/log/messages),有时会看到大面积的下面的报错:nf_conntrack:tablefull,droppingpacket这说明系统接到了大量的连接请求,但是系统的连接跟踪表已经满了,无法再记录新的连接了。这时候,系统会丢弃新的连接请求。在CentOS下,默认的连接跟踪表大小是65536,可
- 2023-04-21使用 go-conntrack 包来实现 conntrack 会话的创建和删除
packagemainimport("fmt""time""github.com/florianl/go-conntrack")funcmain(){//创建conntrack客户端client,err:=conntrack.Dial(nil)iferr!=nil{panic(err)}deferclient
- 2023-03-23net.netfilter.nf_conntrack_tcp_be_liberal
参考链接:https://developer.aliyun.com/ask/336089当开启只有不在tcp窗口内的rst包被标志为无效,当关闭(默认)所有不在tcp窗口中的包都被标志为无效.0:关闭1:开启
- 2023-02-20系统性能之网络篇(三)
NAT技术能够重写IP数据包的源IP或目的IP,所以普遍用来解决公网IP地址短缺的问题。它可以让网络中的多台主机,通过共享同一个公网IP地址,来访问外网资源。(比如云主机
- 2023-01-28vxlan结合iptables-snat实现内网服务器公网访问
如上图,有这样一种场景,我们经常遇到,局域网内有两台服务器,Server1和Server2,Server1可以通通网,Server2只能通内网,无法直接访问公网现在想Server2能访问到公网,怎么做?
- 2022-12-26在centos上以 All-in-One 模式安装 KubeSphere
官网地址https://kubesphere.io/zh/docs/v3.3/quick-start/all-in-one-on-linux/第一步:安装依赖socat、conntrackyuminstall-ysocatyuminstall-yconntrack第
- 2022-11-10k8s iptables 改造ipvs
1.修改iptables为ipvs模式 ipvs采用的hash表,iptables采用一条条的规则列表。集群数量越多iptables规则就越多,而iptables规则是从上到下匹配,所以效率就越是低下
- 2022-10-04云架构系统如何做性能分析?| 实战干货
性能分析一直是性能实施项目中的一个难点。对于只做性能测试不做性能分析的团队来说,总是不能把问题非常显性地展示出来,不能给其他团队非常明确的引导。对于这种类型的测试实
- 2022-08-21yum离线安装rpm和依赖包
离线安装说明 通常生产环境由于安全原因都无法访问互联网.此时就需要进行离线安装,主要有两种方式:源码编译、rpm包安装。源码编译耗费时间长且缺乏编译环