alina_kocheva Mar 17 2020 at 13:45

Когда Linux conntrack вам больше не товарищ

5 min

31K

Nixys corporate blogConfiguring Linux*System administration*Server optimization*Server Administration*

Translation

+10

Comments 9

amarao Mar 17 2020 at 13:48

Да. Контрек дорого. Особенно, в ядре. Потому у нас и есть conntrackd. Но state — всё равно дорого и никуда вы от этого не денетесь.

Tangeman Mar 17 2020 at 15:49

conntrackd тут ничем не помогает — его единственная функция — репликация состояний в кластере файрволлов, он не может больше чем может сам netfilter в ядре. Ещё умеет делать flush и статистику — всё.

amarao Mar 17 2020 at 16:29

Он лучше в том смысле, что просмотр статистики не фризит трафик (как в случае попытки посмотреть в ядерные proc-файлы для conntrack).

А стейт — дорого. У всех. Даже у топовых srx'ов есть вполне себе лимиты на число wing (половинка flow).

rzerda Mar 17 2020 at 13:58

Несмотря на слово «соединение», это всё касается и UDP тоже: привет приложениям, которые любят спрашивать «где myapp.tld» 500 раз в секунду или отправлять логи через GELF over UDP каждый раз с нового порта.

amarao Mar 17 2020 at 16:28

icmp тоже касается. Отключение контрека для высоконагруженных udp/icmp — это первое дело.

hogstaberg Dec 27 2021 at 17:49

Не просто касается, а именно udp как раз и есть основная масса соединений, живущих до истечения таймаута. Соединения stateful протоколов грохаются сразу при обнаружении корректного закрытия соединения участниками, так что тот же tcp остаётся висеть только если никто не соизволил хотя бы FIN отправить. Что, само собой, вообще неправильно.
Поэтому странно читать про многогигабайтный conntrack, который никак не удавалось побороть. Ну перешли бы на tcp, благо memcached умеет.

Also постоянное упоминание Calico создаёт впечатление того, что это прямо его уникальная фича. На мой взгляд, можно было хотя бы вскользь упомянуть, что iptables/nftables тоже умеют conntrack для указанного трафика не задействовать.

alina_kocheva Dec 27 2021 at 17:51

Автор оригинала - сотрудник Tigera (создатели Calico), так что вполне резонно с их стороны держать в фокусе именно их CNI.

CentALT Mar 18 2020 at 06:40

Вроде nftables лет 5 как актуален, а статьи о iptables продолжают клепать с завидным постоянством.

Чего там в nftables с conntrack и как с ним работать? Ж) Ну и с nfset до кучи

RaveNoX Mar 18 2020 at 11:01

Там то же механизм ядра для него используется