Tcpdump抓包验证zookeeper的心跳机制

最新推荐文章于 2025-06-08 13:22:47 发布
最新推荐文章于 2025-06-08 13:22:47 发布
阅读量1.3k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 项目笔记 文章标签: java-zookeeper zookeeper tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mrqiuwen/article/details/129238952
文章详细探讨了Zookeeper在分布式系统中的作用,作为服务注册中心,它使用ping消息而非基于ticktime的心跳机制来监测服务提供者的在线状态。通过tcpdump抓包分析,揭示了Zookeeper客户端每10秒发送一次ping消息到服务器,这一间隔是会话超时时间30秒的1/3。此外,文章指出ticktime实际上是用于服务器判断客户端连接是否死亡的间隔,而并非心跳间隔。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、背景

在分布式系统中,zookeeper可以作为服务注册中心,所有提供服务的节点都可以在zookeeper上面注册,并作为一个node被组织起来,如下图:
在这里插入图片描述
在RPC框架中,这些服务提供者就是RPC服务的提供者。zookeeper注册中心为每个服务都维持了会话session。为了监测这些服务是否在线,还使用了心跳机制。
对于zookeeper来说,这些RPC服务的提供者就是zookeeper客户端。
网上很多人说zookeeper的配置文件里的第一个参数ticktime就是指的心跳间隔,如下图,ticktime = 2000,即2000毫秒。但实际上,通过tcpdump抓包分析和源码阅读,可以看到其实并不是这样的。
在这里插入图片描述

二、抓包

zk的服务端和客户端之间是用ping消息来作为心跳消息的。ping是应用层协议,下层直接就是网络层协议ICMP,(ICMP利用的是IP协议传输消息,很有趣,网络层依赖网络层),没有使用TCP或UDP,也就是说,ZK客户端和服务器即使在TCP三次握手或挥手过程出现了问题,也不影响心跳消息的收发

在RPC项目中,RPC服务提供者就是zk的客户端,所以我们首先运行RPC服务提供者程序。
然后ifconfig查看网络配置,因为都在本地运行,所以ip地址为回环地址127.0.0.1,网卡名为lo。
然后使用linux提供的抓包工具tcpdump,运行sudo tcpdump -i lo port 2181
(-i后接参数,lo是本地网卡名;port后的2181是zk服务器的端口号)

抓包结果如下:

在这里插入图片描述
可以看到,ping消息的时间是14:31:19、14:31:29、14:31:39、14:31:49、14:31:59、
也就是间隔10秒发送一次ping消息。
而我们在zookeeper客户端程序初始化zookeeper句柄时,调用函数zookeeper_init()传入的会话超时时间参数是30000,即30秒(这个也是zk默认的会话超时时间),也就是说,zk发送心跳消息的默认时间间隔是默认会话超时时间的1/3,即10000ms
其实查看zk的客户端发送ping请求的源码class SendThread也能找到发送ping的时间间隔,部分代码如下:

class SendThread extends ZooKeeperThread{
......
public void run(){
	......
	final int MAX_SEND_PING_INTERVAL = 10000;
	......
	}
}

对于前面说的配置文件里的ticktime,是这样解释的:
Client端的ping心跳检测间隔时间是轮询隔一段时间后向Server端发送ping请求,而Server端的tickTime间隔时间作用是每隔一段时间就判断在Server端的Client连接对象是否已经死亡,如果已经过期死亡则将连接对象进行清除关闭。所以ping心跳检测的意义是Client端告诉服务器我还活着,tickTime意义是定期清除没有告诉Server端还存活的连接。

本文参考以下博客:

zookeeper心跳机制源码分析

zookeeper简介

ZooKeeper TCP连接被防火墙阻断排查过程
丰年留客的专栏
11-21 1506
结合TCP/IP协议应用+Wireshark使用,查找问题的原因。
封装zookeeper的客户端类和在项目上的实践
m0_62689947的博客
08-10 550
本文封装了zookeeper的客户端代码,zookeeper如何应用到mprpc项目中,tcpdump抓包验证心跳机制
自动动手写zookeeper选举算法与心跳同步
02-05
详细可以参见reademe.txt和博客
Zookeeper源码走读】第四章 心跳检测机制
IT布道
05-15 1855
为了保持会话的活跃,客户端需要周期性地发送ping报文,我们又可称之为心跳,今天就来研究这一块代码是如何实现的。
基于Zookeeper实现调度任务选主及心跳检测
weixin_42408865的博客
06-08 29
Follower1->>ZK: 尝试创建新/master_leader节点。Follower2->>ZK: 监听新的/master_leader节点。Follower1->>ZK: 监听/master_leader节点。Follower2->>ZK: 监听/master_leader节点。Master->>ZK: 创建/master_leader临时节点。ZK->>Follower1: 触发NodeDeleted事件。ZK-->>Follower1: 创建成功,成为新Master。
心跳检测机制
weixin_30572613的博客
01-07 374
概念 发送方按照一定规则(周期性发送、空闲发送等等)向接收方发送固定格式的消息,接受方收到消息后回复一个固定格式的消息,如果长时间没有收到,比如心跳周期的3倍,则认为当前连接失效,将其断开。 注:发送方可以是客户端或者服务端,根据实际情况而定,常见是客户端作为发送方。 应用场景 判断长连接是否存活:当长连接没有流量时,无法判断是通信异常引起还是通信正常没有业务流量引起,通过发送心跳包进行判断。 ...
zookeeper
xinyi_java的博客
08-19 1984
https://archive.apache.org/dist/zookeeper/ 概述 zookeeper是一个开源的分布式的,伪分布式应用提供协调服务的Apache项目。它是一种集中式服务,用于维护配置信息,,命名,提供分布式同步和提供服务。所有这些类型的服务都以分布式应用程序的某种形式使用。每次实施他们都需要做很多工作来修复不可避免的错误和竞争条件。由于难以实现这些类型的服务,应用程序最初通常会吝啬他们,这是得他们在变化的情况下变得脆弱并且难以管理。即使正确完成,这些服务的不同实现也会在部署..
Kafka集群多用户访问权限分治和消息共享配置指导
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-24 3275
这明显在生产环境,这种认证方式时不符合实际业务场景的。allow.everyone.if.no.acl.found=true #false的话就只能超级用户才能访问资源,true的话其他也可以,如果用户读写一个 Topic,但是没有配置 ACL 权限,客户端会报认证失败错误。现场业务由于多厂商集成,共享数据需要,需对接当前kafka集群,为做到类似租户隔离的功能,需要开启kafka的权限控制和动态用户管理功能,实现不同厂商访问被授权的合法资源,消费者账号只能消费数据,生产者账号只能生产数据。
kafka-console-consumer 参数 --zookeeper 不可用 与 The coordinator is not available的问题
u013547195的专栏
02-24 4512
事情起因是这样的。我们环境需要用到kafka,现在都是使用容器化的不是,大佬就找了个github星最多docker-kafka连接给我,建议我用这个来搭建。我们开发环境已经有了zk,所以就让我用kafka连上面的zk。kafka搭起来了,生产者可以生产。但是消费者始终是消费不到消息。使用tcpdump抓包也可以确认,消息已经发送到kafka。但是消费者始终无法消费。猜想是不是那个步骤执行错了。所以...
基于HBASE的数据包捕获、存储、回溯工具
zippo
04-15 1462
概述 抓包、存储、回溯无论是在网络排障还是审计等都是可以用到的。由于工作关系,所在公司的网络比较复杂,抓包机的部署位置也比较分散,同时流量又很大,比较老套的方式就是一台机器抓包直接存放在本地硬盘,查找的时候用tcpdump过滤,但是现在都是大数据时代了,所以就尝试用hbase做了一个所谓的分布式捕获数据包回溯的小工具,用于捕获存储数据包并且可以快速回溯。 代码结构: 小工具git文件结构
springboot netty4 及时通讯(带心跳检测,zookeeper
02-02
netty 底层,实现心跳检测,下线重连,发送消息.服务端注册到zookeeper,客户端连接服务端
Dubbo&Redis&Zookeeper&Nacos&Eureka心跳机制介绍
hefaji的博客
06-04 1165
在分布式系统中,心跳检测是一种常规用于监控远程节点是否正常运行的机制。针对Dubbo、Redis、Zookeeper、Nacos、Eureka等组件心跳机制介绍
zookeeper心跳
weixin_30915951的博客
06-10 4980
假定:主机 A, B 通过 tcp 连接发送数据,如果拔掉 A 主机的网线,B 是无法感知到的。但是如果 A 定时给 B 发送心跳,则能根据心跳的回复来判断连接的状态。 以 zookeeper 为例:zk client 会记录上一次发送数据的时间(lastSend)和上一次接收数据的时间(lastHeard),zk client 给 server 发送心跳(ping),这些心跳和其他命令一起发送...
Zookeeper服务注册及心跳机制详解
dxh9231028的博客
08-14 1250
ZooKeeper提供了一种类似于文件目录的结构来保存key值,其提供了四种key类型,分别是持久节点,临时节点,持久有序节点,临时有序节点。其中临时节点的特性是当创建此节点的会话断开时,节点也会被删除。这一特性非常适合服务注册,可以通过维护一个长期的会话保证临时节点存活,当服务下线时,会话也会关闭,此时节点也会被删除。了解更多Zookeeper的相关知识可以看下面这篇文章,可以让你快速掌握Zookeeper常用知识。Zookeeper使用快速入门:基础命令,wacth监控,权限控制。
基于netty、zookeeper手写RPC框架之五——心跳机制优化及添加负载均衡
(づ ̄ 3 ̄)づxl
11-24 982
本系列的第二篇,加入netty心跳机制,只是简单地描述了如何监听不活跃的服务端,即自定义一个标记服务是否活跃的规则及空闲链接的监听器,在标记为不活跃后,客户端应该怎么处理,服务端再次活跃了,客户端又如何处理,先看下这个图 monitor负责监控server们的是否活跃,如果不活跃,修改zk上对应节点的值,client则监听zk上的事件,当发生变动的节点的值为不活跃,则加进不活跃的优先队列,这...
抓取服务注册中心的tcp协议心跳
臭臭猫
05-29 1363
抓取服务注册的tcp协议心跳
dubbo服务端,dubbo客户端,注册中心(zk)之间的心跳
工匠解码
03-08 4740
dubbo客户端和dubbo服务端之间存在心跳,由dubbo客户端主动发起,可参见dubbo源码 HeartbeatTask。 dubbo服务端和注册中心(zk)存在心跳,由dubbo服务端发起,这是基于zk集群和zk客户端之间的心跳机制。...
zk心跳检测及误区.
fei33423的专栏
12-19 6376
心跳检测:    ping属于主动心跳,其他操作也属于心跳. ping流程:    1. 新加入的follower在没有同步之前,Leader就可以发送ping信息. 属于数据交互    2. 异步发送    3. 异步获取ping数据.通过LearnHandler.synced()判断,最终通过 tickOfNextAckDeadline = leader.self.tic
信息 {"server_id":"NCT7H4CXNXNBR6PNVB7WQTG7Q2JD6TKCT6PWZ4LUHBJ7A7BKJD3SY43L","server_name":"NCT7H4CX NXNBR6PNVB7 WQTG7Q2JD6 TKCT6PWZ4LU HBJ7A7BKJD3 SY43L","version":"2.6.1","proto":1,"git_commit":"c91f0fe","go":"go1.16.8","host":"0.0.0.0","port":4223,"headers":true,"auth_required":true,"max_payload":6291456,"client_id":965,"client_ip":"192.168.58.215"} -ERR '身份验证超时'
最新发布
06-25
<think>我们正在处理一个关于NATS服务器身份验证超时错误的故障排除问题。根据用户描述,错误发生在尝试连接服务器时,可能与身份验证机制或网络连接有关。我们需要参考提供的引用内容,但注意这些引用似乎来自不同的上下文(如ZooKeeper配置、测试工具等),可能与NATS不直接相关。因此,我们主要依赖NATS相关的知识。步骤:1.理解错误:身份验证超时通常意味着客户端无法在指定的时间内完成与服务器的身份验证过程。2.可能的原因:a.网络问题:客户端和服务器之间的网络延迟或丢包。b.服务器负载过高:服务器繁忙,无法及时处理身份验证请求。c.身份验证服务响应慢:如果使用外部身份验证服务(如Token、JWT、TLS证书等),该服务的响应时间过长。d.客户端配置问题:例如,客户端使用的身份验证凭据不正确或超时设置过短。e.防火墙或安全组设置:阻止了身份验证所需的端口或协议。3.解决方案:a.检查网络连接:使用ping、traceroute等工具检查网络连通性和延迟。b.检查服务器状态:确认NATS服务器正在运行并且没有过载。可以使用NATS提供的监控工具或日志。c.检查身份验证配置:确保客户端和服务器端的身份验证配置匹配(例如,相同的凭据、令牌或TLS证书)。同时,检查身份验证服务的性能(如使用外部认证服务)。d.调整超时设置:在客户端,可以尝试增加连接超时时间(如果客户端库支持)。e.检查防火墙:确保客户端可以访问服务器的端口(默认为4222)。4.查看日志:NATS服务器日志和客户端日志可能会提供更详细的错误信息。5.测试连接:使用简单的客户端程序(如使用NATS提供的示例)进行连接测试,以确定是特定客户端的问题还是普遍问题。根据引用[1]中提到的一个检查服务器状态的方法(虽然引用是关于ZooKeeper的,但思路类似),我们可以检查NATS服务器的状态。NATS通常提供一个健康检查的HTTP端点(例如:http://localhost:8222/varz)来查看服务器状态。另外,引用[2]提到了SSL配置,如果NATS服务器配置了TLS/SSL,那么身份验证超时可能与TLS握手有关。需要检查TLS配置是否正确,包括证书、密钥和信任库的位置和密码。由于引用[3]提到分布式跟踪,如果系统中有跟踪工具,可以查看跟踪日志来定位问题。引用[4]和[5]提到测试工具和运行测试的方法,我们可以建议用户编写一个简单的测试用例来复现问题,或者使用已有的测试工具(如JMeter)进行压力测试以查看身份验证超时是否在负载高时出现。因此,我们可以为用户提供以下步骤:1.验证服务器状态:通过访问监控端点(如/varz)或使用`nats-server-v`查看日志,确保服务器正常运行。2.检查网络:使用工具(如telnet或nc)测试到服务器端口的连通性。3.检查身份验证配置:确认客户端和服务器使用相同的身份验证方法(例如,令牌、用户名/密码、TLS证书等)。特别是TLS配置,需要确保客户端和服务器都信任对方的证书。4.增加超时:在客户端代码中,尝试增加连接超时时间(例如,将连接超时从几秒增加到10秒或更多)。5.查看日志:在服务器和客户端启用详细日志,查看是否有更具体的错误信息。6.简化测试:使用一个最简单的客户端(例如,使用官方的NATS客户端示例)进行连接,以排除应用程序特定问题。7.检查防火墙:确保客户端和服务器之间的端口(默认为4222)是开放的,并且没有中间防火墙阻止通信。如果问题仍然存在,可能需要进一步分析网络数据包(使用tcpdump或Wireshark)来查看身份验证过程中的数据包交换情况。相关问题:1.如何配置NATS服务器的身份验证?2.如何为NATS服务器启用TLS加密?3.NATS服务器常见的性能瓶颈有哪些?4.如何监控NATS服务器的状态?注意:在回答中,我们应使用中文,并按照要求使用LaTeX格式(虽然这个问题可能涉及较少数学公式,但如果有公式则按要求使用)。由于用户的问题是关于故障排除,我们将以步骤形式回答。</think>### NATS 服务器身份验证超时错误排查指南 身份验证超时错误通常发生在客户端无法在规定时间内完成与服务器的身份验证握手。以下是系统级排查步骤: #### 1. **验证服务器状态** - 检查服务器是否正常运行: ```bash telnet <服务器IP> 4222 # 测试基础连通性 ``` 若服务器正常,会返回`INFO`消息头;无响应则说明网络问题或服务未启动[^1]。 - 查看服务器日志: ```bash journalctl -u nats-server.service # systemd系统 ``` 关注`Authentication Timeout`相关日志条目。 #### 2. **检查身份验证配置** - **服务器端配置**(`nats-server.conf`): ```text authorization { user: "admin" password: "secret" # 明文密码或bcrypt哈希 timeout: 5 # 默认超时秒数(可调整) } ``` 确保`timeout`值 ≥ 客户端实际认证耗时[^2]。 - **客户端连接代码**示例: ```go nc, err := nats.Connect("nats://admin:secret@localhost:4222", nats.Timeout(10 * time.Second)) // 增加客户端超时阈值 ``` #### 3. **网络层诊断** - 使用`tcpdump`抓包分析: ```bash tcpdump -i any port 4222 -w auth_capture.pcap ``` 重点检查`TLS Handshake`或`AUTH`消息的往返延迟。 - 检测网络延迟: ```bash mtr -r <服务器IP> # 持续追踪路由延迟 ``` #### 4. **TLS/SSL 相关排查** 若启用了TLS: - 验证证书链有效性: ```bash openssl verify -CAfile ca.crt server.crt ``` - 检查服务器配置: ```text tls { cert_file: "./server.crt" key_file: "./server.key" ca_file: "./ca.crt" timeout: 3 # TLS握手超时独立设置 } ``` 证书不匹配会导致TLS握手失败,触发认证超时[^2]。 #### 5. **性能调优** - 增加服务器资源: ```bash nats-server -m 8192 # 提升内存限制(默认8GB) ``` - 调整超时参数(服务器端): ```text authorization { timeout: 10 # 适当延长超时阈值 } ``` #### 6. **外部认证服务检查** 若使用JWT/NKey等外部认证: - 测试认证服务响应时间: ```bash curl -s -o /dev/null -w "%{time_total}s" http://auth_service/validate ``` 响应时间应 ≤ 认证超时值的50%。 > **关键结论**:超时通常源于网络延迟、服务器负载过高、TLS配置错误或认证服务响应延迟。建议优先抓包确认握手阶段阻塞点[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值