打开tcp_tw_recycle引起的一次投诉分析

最新推荐文章于 2024-07-23 20:12:34 发布
转载 最新推荐文章于 2024-07-23 20:12:34 发布 · 486 阅读 · 0

本文分析了一次因TCP_TW_RECYCLE配置不当导致的20%连接失败率的问题,详细解释了该机制在负载均衡场景下的潜在风险,并提供了关闭此设置后的解决方案。

转自https://www.cnblogs.com/jdonson/p/4760166.html

打开tcp_tw_recycle引起的一次投诉分析

背景:

我们有个基于oauth2.0协议给第三方授权以及信息的业务,年前对接入层、业务层做了次迁移。业务架构简单介绍下:

lvs接入---> nginx ---> tomcat

 

问题:

迁移完第1天,接到好几个合作商的投诉,其中有家说在他们业务集群中,有20%左右的失败率,日志显示连接被拒绝。

 

定位:

和开发商调试,telnet我方端口正常。curl发测试请求也正常。没办法,请开发商的运维同学tcpdump抓了几分钟的数据,
发过来分析。如下图

打开一看全是灰色...怪吓人的。从抓包看被server端rst的数据包也不少,这个就是为啥有20%左右连接被拒绝了。看这些
请求基本就是发出syn后server没回包。看到这个就有点怀疑server端是不是开启了tcp_tw_recycle和tcp_timestamps,马
上登录RS nginx机器查看,果然是打开的。把tcp_tw_recycle关闭,再联系开发商观察日志。ok了!

原因:
在TCPIP的标准RFC 1323里有这样的定义:
  An additional mechanism could be added to the TCP, a per-host
  cache of the last timestamp received from any connection.
  This value could then be used in the PAWS mechanism to reject
  old duplicate segments from earlier incarnations of the
  connection, if the timestamp clock can be guaranteed to have
  ticked at least once since the old connection was open.  This
  would require that the TIME-WAIT delay plus the RTT together
  must be at least one tick of the sender's timestamp clock.
  Such an extension is not part of the proposal of this RFC.
大概的中文意思就是:TCP协议中有一种机制,缓存了每个主机(即ip)过来的连接最新的timestamp值。这个缓存的值
可以用于PAWS(Protect Against Wrapped Sequence numbers,是一个简单的防止重复报文的机制)中,来丢弃当前连
接中可能的旧的重复报文。而Linux实现这个机制的方法就是同时启用net.ipv4.tcp_timestamps和net.ipv4.tcp_tw_recycle 
这两个选项。

这种机制在 客户端-服务器 一对一的时候,没有任何问题,但是当服务器在负载均衡器后面时,由于负载均衡器不会修改
包内部的timestamp值,而互联网上的机器又不可能保持时间的一致性,再加上负载均衡是会重复多次使用同一个tcp端口
向内部服务器发起连接的,就会导致什么情况呢:

负载均衡通过某个端口向内部的某台服务器发起连接,源地址为负载均衡的内部地址——同一ip
假如恰巧先后两次连接源端口相同,这台服务器先后收到两个包,第一个包的timestamp被服务器保存着,第二个包又来了,
一对比,发现第二个包的timestamp比第一个还老——客户端时间不一致。服务器基于PAWS,判断第二个包是重复报文,
丢弃之
反映出来的情况就是在服务器上抓包,发现有SYN包,但服务器就是不回ACK包,因为SYN包已经被丢弃了。为了验证这
一结果,可以执行netstat -s | grep timestamp 命令,看输出里面passive connections rejected by timestamp 一项的数字变化。


参考:
1. http://saview.wordpress.com/2011/09/27/tcp_tw_recycle%E5%92%8Cnat%E9%80%A0%E6%88%90syn_ack%E9%97%AE%E9%A2%98/

Linux 网络调优指南:废弃的 tcp_tw_recycle 与安全替代方案
数字人生
07-20 452
摘要:Linux 4.12+内核已移除tcp_tw_recycle参数,Debian10默认使用4.19内核因此报错。该参数原用于加速回收TIME-WAIT连接,但在NAT环境下会导致时间戳冲突引发连接失败。推荐替代方案是启用tcp_tw_reuse=1配合tcp_timestamps=1,既能解决端口耗尽问题,又兼容NAT网络。优化步骤包括:删除废弃参数配置、启用安全替代方案、调整端口范围等参数,并通过ss/netstat监控TIME-WAIT状态。建议结合应用层优化(连接池、Keep-Alive)实现最
深入TCP协议——tcp_tw_reuse和tcp_tw_recycle
qq_25046827的博客
07-20 7147
我们已经知道TCP四次挥手中,主动方在收到被动方的FIN数据包之后会进入TIME_WAIT状态等待2MSL的时间后才进入CLOSED。在 Linux 操作系统下,TIME_WAIT 状态的持续时间是 60 秒,这意味着这 60 秒内,客户端一直会占用着这个端口,这是有一定的开销的。如果如果主动关闭连接方的 TIME_WAIT 状态过多,占满了所有端口资源,则会导致无法创建新连接。
不要在linux上启用net.ipv4.tcp_tw_recycle参数
weixin_34358092的博客
03-20 2322
不要在linux上启用net.ipv4.tcp_tw_recycle参数发布于 2015/07/27莿鸟栖草堂本文为翻译英文BLOG《Coping with the TCP TIME-WAIT state on busy Linux servers》,但并非完整的翻译,译者CFC4N对原文理解后,进行了调整,增加了相关论点论据,跟原文稍有不同。翻译的目的,是为了...
TCP网络常见调优参数之一:tcp_tw_recycle
Jian Sun_的博客
07-23 1219
判断第二个包是重复报文,丢弃之反映出来的情况就是在云存储上抓包,发现有SYN包,但就是不回ACK包,因为SYN包已经被丢弃了。在一些高并发的 TCP Server上,为了能够快速回收time_wait的状态socket,打开tcp_tw_reccycle ,内核就会检查tcp包时间戳,但无法保证客户端是否NAT后面过来的请求,发来的包的时间戳是可能乱跳的,所以服务器端就把带了“倒退”的时间戳的包当作是“recycletw连接的重传数据,不是新的请求”,于是丢掉不回包,造成大量丢包。
打开tcp_tw_recycle引起的一个问题
weixin_30595035的博客
08-26 150
今天普空说了一个问题就是如果设置了tcp_tw_recycle ,那么如果客户端是NAT出来的,那么就可能会出现连接被直接rst的情况。然后我google了下,在内核列表也有人说了这个问题 https://lkml.org/lkml/2008/11/15/67 The big problem is that both are incompatible with NAT. So if you ...
踩坑内核参数tcp_tw_recycle
Ivan_Wz的博客
01-06 1万+
文章目录踩坑内核参数tcp_tw_recycle一、问题背景二、优化分析1.参数解释2.原理分析及优化建议(1)什么是TCP TIME-WAIT状态:(2)TIME-WAIT存在的作用及原因:(3)开启tcp_tw_recycle后为什么会造成网络问题:现象一:延迟的出现现象二:没有ACK回包(4) tcp_tw_recycle参数的移除三、操作步骤 踩坑内核参数tcp_tw_recycle 一、问题背景 近期我们发现客户生产环境出现了偶发性的502报错,表现为点击浏览器或APP页面时会出现502错误,复现
tcp_tw_recycle慎用,记一次故障引发的教训(lesson)
纵歌的博客
05-21 1320
tcp_tw_recycle慎用,记一次故障引发的教训
tcp_tw_reuse、tcp_tw_recycletcp_timestamps
u010533742的博客
02-22 2591
为了解决TIME_WAIT问题的参数优化 提到TIME_WAIT就不得不提MSL:即Maximum Segment Lifetime,最大报文生存时间,和TTL相似,TTL是IP头中的,是一个设置的初始值,每过一个网络节点-1,0的时候数据报被丢弃。2MSL是为了解决发起连接关闭方回复最后一个fin 的ack,为避免对方ack 收不到、重发的或还在中间路由上的fin 把新连接给干掉了 tw_reuse,tw_recycle 必须在客户端和服务端timestamps 开启时才管用(默认打开tw_reus
一次tcp_tw_recycle误设置为1导致服务器无法正常建立TCP连接的问题排查
MacwinWin的博客
08-30 1394
背景 为某SaaS平台的数据推送服务写的接口无法及时响应数据推送请求,导致频繁出现请求超时。接口部署在公司的阿里云上。 2021-08-25 而放在公司以外的服务器上时就一切正常了。 2021-08-26
tcp短连接TIME_WAIT问题解决方法大全(3)——tcp_tw_recycle
华仔-技术博客
11-04 2万+
tcp_tw_recycletcp_timestamps】 参考官方文档(http://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt),tcp_tw_recycle解释如下: tcp_tw_recycle选项作用为:Enable fast recycling TIME-WAIT sockets. Default valu
tcp_tw_recycle
weixin_34247299的博客
12-02 809
问题背景 服务通过F5使用lb的方式对外提供服务,client连接某LB VIP的时候,发现client发送了syn,server直接回了rst断了连接。上网查询相关信息,发现很多的情况是因为打开tcp_tw_recycle导致的(特别是在NAT的情况下),那么tw_recycletw_reuse有什么联系和关联,又是如何触发问题的呢...
linux TIME_WAIT 相关参数
痴迷无限好
05-07 431
http://www.cnblogs.com/lulu/p/4149312.html net.ipv4.tcp_tw_reuse = 0 表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭 net.ipv4.tcp_tw_recycle = 0 表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭 net....
net.ipv4.tcp_tw_recycle、net.ipv4.tcp_tw_reuse回收tcp连接总结
bob_tthp的博客
10-01 2651
对于tcp连接 TIME_WAIT使用建议使用以下优化方式: 1.修改net.ipv4.ip_local_port_range参数,增加客户端端口可用范围。 2.或服务器IP,让服务器能容纳足够多的TIME-WAIT状态连接。在我们常见的互联网架构中(NGINX反代跟NGINX,NGINX跟FPM,FPM跟redis、mysql、memcache等),减少TIME-WAIT状态的TCP连接,最有效...
tcp_tw_recycle 参数导致的K8S网络问题
甄能忽悠的博客
02-08 1580
开启这个功能是有很大风险的,服务器端会根据同一个 IP 发送过来的包的时间戳来判断是否丢包,而时间戳是根据发包的客户端的系统时间得来的,如果服务端收到的包是同一出口 IP 而系统时间不一样的两个客户端的包,就有可能会丢包,可能出现的情况就是一个局域网内有的客户端能连接服务端,有的不能。具体原因是客户端处于NAT模式下,出口ip可能是同一个ip,不同客户端的发送的时间戳可能乱序,服务器会检查相同ip地址发送来过的包的时间戳是不是小于缓存的时间戳,如果不是,直接丢掉。参数,以前看别人遇到过类似问题。
tcp_tw_recycle 参数引发的tcp连接时而中断问题
anwei9164的博客
07-24 677
对该参数的理解 简单来说,当开启了tcp_tw_recycle时,kernel会记录每个peer的最后一个报文的时戳,如果记录的该时戳仍然有效(距离当前时间小于TCP_PAWS_MSL),并且新收到的syn报文的时戳,比kernel记录的该peer的时戳还要小(换句话说,时光倒流了),那么就认为新收到的syn报文是有问题的(比如是某个在网络上兜兜转转了很久才到目的地址的syn),从而d...
【经验总结】tcp_tw_recycle参数引发的故障
热门推荐
【 无线技术运营 】 (本专栏是http://wireless.qzone.qq.com的镜像)
05-09 4万+
<br /><br />tcp_tw_recycle参数引发的故障<br />By Eric <br />故障描述:<br />    2010年9月7日,新上线的手机游戏论坛有部分地区用户反应登陆游戏时出现不能登陆或登陆超时等情况,观察用户同时在线数量开始下降情况。<br /><br />排错过程:<br />    一、初步检查是否有变更导致的故障:  <br />        1、联系同事检查网络是否有问题或有对该机房网络是否有进行过调整,反回结果是没有变更操作。<br />        2、检查
linux内核网络参数tcp_tw_recycletcp_tw_reuse 你搞清楚了吗?
云原生实验室
07-05 5851
Docker 技术鼻祖系列原文链接:https://blog.youkuaiyun.com/u010278923/article/details/102663535今天在生产环境遇到了一个奇怪的网络...
TCP网络常见调优参数之一:tcp_tw_recycle_tcp tw recycle
最新发布
07-16
### tcp_tw_recycle 的作用 `tcp_tw_recycle` 是 Linux 系统中用于优化 TCP 连接管理的参数之一。该参数控制是否启用快速回收处于 `TIME_WAIT` 状态的连接。在 TCP 协议中,当一个连接关闭后,两端会进入 `TIME_WAIT` 状态,通常持续时间为 2 倍的最大报文生存时间(MSL),默认为 60 秒,总计 120 秒。这种机制是为了确保网络中所有旧的重复数据包都被丢弃,从而避免它们干扰新的连接。 启用 `tcp_tw_recycle` 后,系统会利用 TCP 时间戳选项(`tcp_timestamps`)来判断某个 `TIME_WAIT` 连接是否可以被提前释放[^2]。具体来说,系统会记录最近一次从某个 IP 地址收到的时间戳值,并与当前连接的时间戳进行比较。如果当前的时间戳更小,则说明这是一个旧的数据包,可以直接丢弃,而无需等待完整的 `TIME_WAIT` 时间结束。这样可以在一定程度上减少系统中处于 `TIME_WAIT` 状态的连接数量,提升资源利用率。 需要注意的是,`tcp_tw_recycle` 不适用于存在 NAT(网络地址转换)的环境。因为多个客户端可能共享同一个公网 IP 地址,这会导致时间戳冲突,进而引发连接异常[^1]。 --- ### 使用场景 - **内部服务调用**:当服务器仅作为客户端频繁请求其他 IP 地址时,例如微服务架构中的服务间通信。 - **可控性强的环境**:对上下游应用有较强的控制能力,可以协调调整参数以适配当前服务器配置。 - **无对外服务需求**:服务器不作为服务端接收外部连接,仅作为客户端主动发起请求[^1]。 --- ### 配置方法 可以通过修改 `/proc/sys/net/ipv4/tcp_tw_recycle` 文件来临时开启或关闭此功能: ```bash # 开启 tcp_tw_recycle sudo bash -c 'echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle' # 关闭 tcp_tw_recycle sudo bash -c 'echo 0 > /proc/sys/net/ipv4/tcp_tw_recycle' ``` 若希望永久生效,可将以下内容添加到 `/etc/sysctl.conf` 文件中: ```conf net.ipv4.tcp_tw_recycle = 1 ``` 然后执行命令使其立即生效: ```bash sudo sysctl -p ``` --- ### 注意事项 - 必须同时启用 `tcp_timestamps` 才能使用 `tcp_tw_recycle` 功能[^2]。 - 在 NAT 环境下启用此参数可能导致连接失败,建议谨慎使用。 - 如果系统中存在大量短连接且客户端频繁重连,可考虑使用 `tcp_tw_reuse` 来复用处于 `TIME_WAIT` 的连接[^5]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值