iptables性能测试之--iptables规则数量对主机性能的影响:

最新推荐文章于 2025-05-16 08:33:21 发布
最新推荐文章于 2025-05-16 08:33:21 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: 操作系统 文章标签: Ubuntu J# Linux 虚拟机 C
这篇博客通过在XEN服务器的虚拟机上进行iptables性能测试,探讨了iptables规则数量对主机系统资源的影响。测试中,作者创建了不同数量的规则,并通过压力测试观察宿主机的CPU资源使用情况,尤其是softirq的占比。结果显示,规则数量从34380减少到252时,softirq的CPU占用率从20.6%降至19%,但并未显著影响整体性能。文章提出了两个后续验证问题,涉及不同规则接收请求的情况以及softirq CPU占用的归属。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[img]http://dl.iteye.com/upload/attachment/165958/eaafaa4f-cf28-31ed-a482-ecd4ff76890b.png[/img]


宿主机指XEN服务器,VM1和VM2都是XEN上的两个虚拟机,我们这次的性能测试要压VM1.
iptables的规则是在vm1的网桥上的,
通过对XEN服务器上的iptables的vm1链定义过滤规则,来测试不同规则数量对XEN服务器系统资源的影响.

场景一:

下图是压力源,选择的是Telnet的场景,从三台压力机对xm list中的vm1进行压力测试,每个链接都是长链接,共204个链接.


[img]http://dl.iteye.com/upload/attachment/165960/4b6c4383-ed74-3364-b2e1-95bc0d899a9e.png[/img]


VM1上规则如下:
# iptables-save |head -n100
# Generated by iptables-save v1.3.5 on Mon Nov 9 16:17:38 2009
*nat
:PREROUTING ACCEPT [11544456:847083593]
:POSTROUTING ACCEPT [1787885:91787925]
:OUTPUT ACCEPT [2030:122721]
COMMIT
# Completed on Mon Nov 9 16:17:38 2009
# Generated by iptables-save v1.3.5 on Mon Nov 9 16:17:38 2009
*filter
:INPUT ACCEPT [26255:1538953]
:FORWARD ACCEPT [86828026:3584385134]
:OUTPUT ACCEPT [24707:11914350]
:vm1 - [0:0]
-A FORWARD -m physdev --physdev-in pe
最低0.47元/天 解锁文章

200万优质内容无限畅学
iptables 规则性能影响
frankwangzy1103的专栏
07-20 8828
最近测试了下,iptables有很多的filter input规则的情况下,会对mysql本身的性能影响. 数据准备: 创建iptable filter 规则 iptables -t filter -N RULEADMIN iptables -t filter -I RULEADMIN -s 10.250.14.0/24  -j ACCEPT iptables -t f
比较kube-proxy模式:iptables还是IPVS?
didiplus
05-23 1684
kube-proxy是任何Kubernetes部署中的关键组件。它的作用是将流向服务(通过集群 IP 和节点端口)的流量负载均衡到正确的后端pod。kube-proxyuserspaceiptables或IPVS。userspace模式非常旧且慢,绝对不推荐!但是,应该如何权衡选择iptables还是IPVS模式呢?在本文中,我们将比较这两种模式,在实际的微服务环境中衡量它们的性能,并解释在何种情况下你可能会选择其中一种。首先,我们将简要介绍这两种模式的背景,然后深入测试和结果……
iptables 性能 测试
运维小站
08-31 4681
iptables 性能测试
最近部署项目时iptables出现的一些问题。
weixin_56404155的博客
05-06 607
最近部署项目时iptables出现的一些问题以及解决方案
iptables性能前端优化-无压力配置1w+条规则
热门推荐
TCP/IP
08-27 3万+
产生本文的故事这显然是个周末,这是一个下雨的周末,这是一个台风登陆的周末…  上周,有一个很猛的台风“天鸽”,当天红警晚发了两个小时,当发布红警时,几乎所有人都到了公司,当然,除了那些怕西装和皮鞋被雨淋湿的经理。我本来是想特别感谢一下这个台风的,然而它已经造成了重大的人员伤亡,无论如何,我都不能再对它多说一句褒义的话,我是一个喜欢风雨的人,仅诠释我个人。  在台风“天鸽”将至的那晚,我把一个在暴热和
分析k8s service生成的iptables规则数量
Ivan_Wz的博客
12-30 1328
分析k8s service生成的iptables规则数量前言一、分析过程1.集群内调用service2.cluster ip工作原理3. 从output链开始看实验过程的截图,可参照此流程做链路规则分析pod与service数量1-2pod与service数量2-2总结 前言 本文通过实际查看规则表确认Pod数量、Service数量、节点数量iptables规则数量的对应计算关系 提示:以下是本篇文章正文内容,以下计算方式可供参考 一、分析过程 1.集群内调用service 集群内POD调用serv
【博客522】kube-proxy的iptables与ipvs模式性能对比与分析
qq_43684922的博客
10-16 1317
iptables 是一个 Linux 内核功能,旨在成为一种高效的防火墙,具有足够的灵活性来处理各种常见的数据包操作和过滤需求。它允许将灵活的规则序列附加到内核数据包处理管道中的各种钩子上。在 iptables 模式下,kube-proxy 将规则附加到“NAT 预路由”钩子以实现其 NAT 和负载平衡功能。
Linux-iptables
gongwanzhang的博客
05-16 887
Linux iptables是一个强大而灵活的工具,用于配置Linux操作系统上的网络防火墙。它使得系统管理员可以控制数据包的进出,设定规则来决定哪些数据包可以被接受、拒绝或转发。
shell之iptables 防火墙
Ggggggggggu的博客
07-12 607
在 Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢? Linux 系统中的防火墙——netfilter 和 iptables,包括防火墙的结构和匹配流程,以及如何编写防火墙规则Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具
性能优化】:iptables规则管理在Docker性能提升中的关键作用
![【性能优化】:iptables规则管理在Docker性能提升中的关键作用]...首先,介绍了iptables规则管理的基本概念和Docker网络模式对iptables影响。随后,详细分析了iptables规则集对系统性能
限制PING速度的iptables命令笔记
d9394952的博客
06-12 495
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT --match limit --limit 30/minute iptables -A INPUT -p icmpv --icmp-type echo-request -j ACCEPT --match limit --limit 30/minute
性能测试-1
tuzibuku的博客
11-10 237
性能1
[笔记] 运维管理 - 压力测试 和 DDOS 防攻击
山云的专栏
05-15 1202
常用的压力测试工具和指令: 1 ab 命令模拟一次并发 ab -n 1000 -c  Requests per second: 每秒多少请求,这是非常重要的参数书数,表示,服务器吞吐量。 2 benchmarking 3 loadrunner 4 jmeter 5 apachebench
iptables常见套路
weixin_33955681的博客
10-13 78
iptables常见套路【iptablesfilter表常见套路】(注:以下的"[INPUT|FORWARD]"表示INPUT或者FORWARD)#(1)提高防火墙效率:已有连接直接放过(强制要求要有,而且必须放在最前面)iptables-A[INPUT|FORWARD]-ptcp-mstate--stateESTABLISHED,RELATED-jACCEPT#(2)防**...
iptables详解及应用(史上最全)
putixiao的博客
10-20 1万+
1.1 iptables概念 从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:在硬件级别实现部分防火墙...
压测iptables规则条数的限制
柳清风的专栏
05-18 4884
ab -c 100 -n 10000 10.52.136.35:30088/say This is ApacheBench, Version 2.3 <Revision:1430300Revision:1430300Revision: 1430300 > Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeust...
iptables里的三个表分别为_压测iptables规则条数的限制
weixin_39537298的博客
11-27 362
前言今天在使用k8s的时候,由于运用到了calico这个cni插件和k8s自带的NetworkPolicy的功能,就需要考虑到一个性能方面的问题,怎么解释了,由于calico底层使用了iptables来做网络规则的限制,所以每当我们向k8s增加了一个NetworkPolicy的对象的时候,我们就是通过PolicyController往calico的etcd存储里增加记录,然后每个node节点上的c...
linux ksoftirqd进程,ksoftirqd进程导致cpu消耗殆尽
weixin_34526937的博客
05-11 1万+
今天晚上发现某台linux软路由负载突然升高,8核CPU飙升至8的负载应该算是很高了,排查CPU使用非常厉害,8核中有6核均为0%。通过top命令显示CPU使用最高的四个进程均是ksoftirqd(分别是ksoftirqd/0,ksoftirqd/1,ksoftirqd/2,ksoftirqd/3),检查流量并没有升高,跟平时水平差不多,非常匪夷所思。由于消耗太多通过平衡CPU中断的方法已经没有办...
linux中 ping -n -c以及其他选项详解
最新发布
07-16
- **性能影响**:频繁使用 `ping` 可能增加网络负载,建议在测试中合理设置 `-c` 和间隔(通过 `-i` 参数)。 通过以上解释,您应该能熟练使用 `-n` 和 `-c` 参数进行网络测试。如果需要更深入的信息,可查阅Linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值