运维问题.Docker.kernel: nf_conntrack: table full,drop?

最新推荐文章于 2024-04-14 22:53:24 发布
最新推荐文章于 2024-04-14 22:53:24 发布
阅读量492 收藏
点赞数
文章标签: 运维
原文链接:https://my.oschina.net/pydevops/blog/699173
版权

事故前提

1.线上docker的data文件未做重定向,导致根目录撑爆,无奈重启释放内存中数据

2.线上docker容器alc服务器需要维持10万个会话连接

3.nf_conntrack表爆满,随即切换至host,关闭服务器防火期,关闭net.ipv4.ip_forward=0

问题原因

1./var/log/messages中一直打印kernel: nf_conntrack: table full, dropping packet,导致入口,出口严重丢包

Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:11 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:16 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:16 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:16 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:16 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:16 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:16 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet
Jun 21 20:33:16 vm10-254-136-6 kernel: nf_conntrack: table full, dropping packet

排查思路

1.重新检查服务器防火墙/DOCKER网络模式/net.ipv4.ip_forward=0设置,发现了问题(ip_forward)

cat /proc/sys/net/ipv4/ip_forward
1
service docker status
Redirecting to /bin/systemctl status  docker.service
● docker.service - Docker Application Container Engine
   Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled)
   Active: active (running) since Wed 2016-06-22 09:40:58 CST; 2h 29min ago
     Docs: https://docs.docker.com
 Main PID: 748 (docker)
   Memory: 95.6M
   CGroup: /system.slice/docker.service
           ├─ 748 /usr/bin/docker daemon -H fd://
           ├─1845 docker-containerd -l /var/run/docker/libcontainerd/docker-containerd.sock --runtime docker-runc --start-timeout 2m
           ├─2042 docker-containerd-shim 6ee6ae880f800d3b9cb0caa42d75ed6c7711ceea037a322be3af7a4f0adffa45 /var/run/docker/libcontainerd/6ee...
           ├─2070 docker-containerd-shim dca4a84bdf21720ead39cf60eea3833401dd4788049ac74fe98bff4083bd0d37 /var/run/docker/libcontainerd/dca...
           ├─2110 docker-containerd-shim 928b687adb9f993e19526b245e8e416c60d06de7da5cde44dc173fb57761e01f /var/run/docker/libcontainerd/928...
           ├─2251 docker-containerd-shim 24619ec28fd7cd50893043201a10e9702cc1053e50384c50ddfd0d428516c751 /var/run/docker/libcontainerd/246...
           ├─2285 docker-containerd-shim ff1f6a34eb3b252bedf02896a4a9b258549d4adef20f611d891579366e91426e /var/run/docker/libcontainerd/ff1...
           ├─3169 docker-containerd-shim 7c0010dc518ddc74259dc72d74af8f25a04db9a1c8a4255873c1db40d8335f77 /var/run/docker/libcontainerd/7c0...
           ├─3611 docker-containerd-shim 6b844bb2f3b8f96b054e7f1b8b99f92dd8a08975b8f2022bc915a73b066c0f56 /var/run/docker/libcontainerd/6b8...
           ├─3750 docker-containerd-shim 6b844bb2f3b8f96b054e7f1b8b99f92dd8a08975b8f2022bc915a73b066c0f56 /var/run/docker/libcontainerd/6b8...
           ├─3779 docker-containerd-shim 6b844bb2f3b8f96b054e7f1b8b99f92dd8a08975b8f2022bc915a73b066c0f56 /var/run/docker/libcontainerd/6b8...
           ├─3807 docker-containerd-shim 6b844bb2f3b8f96b054e7f1b8b99f92dd8a08975b8f2022bc915a73b066c0f56 /var/run/docker/libcontainerd/6b8...
           └─3832 docker-containerd-shim 6b844bb2f3b8f96b054e7f1b8b99f92dd8a08975b8f2022bc915a73b066c0f56 /var/run/docker/libcontainerd/6b8...

Jun 22 11:18:57 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:18:57.803889188+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:18:58 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:18:58.252585878+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:19:08 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:19:08.797803102+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:19:09 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:19:09.174213090+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:19:19 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:19:19.675408402+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:19:20 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:19:20.202181622+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:19:30 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:19:30.450311518+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:19:30 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:19:30.910231364+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:19:41 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:19:41.147869043+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Jun 22 11:19:41 vm10-254-136-6.ksc.com docker[748]: time="2016-06-22T11:19:41.486591196+08:00" level=error msg="Handler for GET /v1.2...56e1a"
Warning: docker.service changed on disk. Run 'systemctl daemon-reload' to reload units.
Hint: Some lines were ellipsized, use -l to show in full.

说明:/usr/bin/docker daemon -H fd://发现Docker使用了默认配置--ip-forward=true,导致重启服务器后,守护重启docker.service时自动重写了net.ipv4.ip_forward的值,所以会出现contrack爆满持续丢包的情况

解决办法

1.如上可以看到启动文件位于/usr/lib/systemd/system/docker.service,最简单的方式是在ExecStart启动程序后面添加--ip-forward=false选项,有些Docker平台可能有些许区别,可以编辑/etc/sysconfig/docker-network添加此选项,具体情况具体而定

[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
After=network.target docker.socket
Requires=docker.socket

[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues still
# exists and systemd currently does not support the cgroup feature set required
# for containers run by docker
ExecStart=/usr/bin/docker daemon -H fd:// --ip-forward=false
MountFlags=slave
LimitNOFILE=1048576
LimitNPROC=1048576
LimitCORE=infinity
TimeoutStartSec=0
# set delegate yes so that systemd does not reset the cgroups of docker containers
Delegate=yes

[Install]
WantedBy=multi-user.target

2.如果依然出现如上问题可以尝试对ip_conntrack内核参数进行设置,将最大值更改为系统open_files的最大句柄数,线上服务器有的开的100万,有的200万

net.ipv4.netfilter.ip_conntrack_max = 2000000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 1200

失败后

net.netfilter.nf_conntrack_max = 2000000
net.netfilter.nf_conntrack_tcp_timeout_established = 1200

说明:如果sysctl -p时出现unknow key错误时,标识内核版本太高,可以如上的参数来对nf_conntrack设置

 

转载于:https://my.oschina.net/pydevops/blog/699173

chunnidong6528
关注
Docker】常见容器问题解决#OCI runtime create failed: container_linux.go:349: starting container process
liu_chen_yang的博客
02-20 3728
ERROR: for nginx Cannot start service nginx: OCI runtime create failed: container_linux.go:349: starting container process caused "process_linux.go:449: container init caused \"rootfs_linux.go:58: mounting \\\"/data/docker-compose/n
Docker】read tcp 172.16.11.202:42874->104.18.125.25:443: read: connection reset by peer
liu_chen_yang的博客
11-17 1万+
因为最近要打镜像,首先需要看一下该机器是否可以拉取到镜像,我就开始试拉取镜像,结果报错一层有一层;拉了一天都没有拉取到想要的镜像,就很气愤;最后找了很多文章以及报错的解决方式终于找到一个成功的了; 我就拿其一来举例,其中有一个报错是这样的;
Docker底层的内核知识——cgroups
hty46565的博客
05-08 1211
概述 我的上一篇博客Docker底层的内核知识——namespace讲解了内核中支持Docker作资源隔离的机制namespace。本篇文章主要讲述Docker背后内核的另一机制——cgourps。cgroups不仅可以用来限制被namespace隔离的资源,还可以为资源设置权重、计算使用量、操控任务启停等。 从Linux系统中看cgroups 我们依然先从操作系统中直观的看一下cgro...
nf_conntrack : table full, dropping packet
scliu的博客
10-13 131
停了docker 重启服务器 nf_conntrack 就消失了 systemctl stop docker systemctl disable docker lsmod | grep conntrack
docker 中 Mysql 1114 The table is full
阿東啊、
01-13 736
1114 The table is full in docker
kubernetes的master节点由于nat表、nf_conntrack 问题造成dockers启动不了处理
rendongxingzhe的博客
12-24 2440
dockers启动Perhaps iptables or your kernel needs to be upgraded
CentOS7: kernel:nf_conntrack:expactation table full 引发的问题
chenyulancn的专栏
08-01 644
CentOS7 kernel:nf_conntrack:expactation table full
docker拉取镜像时报错:docker: Error response from daemon: Get “https://registry-1.docker.io/v2/“: dial tcp:
一切因为是码农
02-17 3万+
错误信息:docker: Error response from daemon: Get "https://registry-1.docker.io/v2/": dial tcp: lookup registry-1.docker.io on 192.168.100.2:53: server misbehaving.
docker】拉取镜像环境报错解决#ERROR: Get https://registry-1.docker.io/v2/
liu_chen_yang的博客
02-20 8159
因为我们下载的镜像是外网的镜像资源,所以下载的速度会非常的慢,甚至大概率下载时会报错,所以需要我们配置一个国内的服务器镜像地址,国内服务器镜像地址有很多,这里咱们就说一下阿里镜像加速器的配置方法。
docker Cannot connect to the Docker daemon at unix: docker.sock. Is the docker daemon runnning 解决方案
热门推荐
herosunly的博客
10-21 4万+
本文主要介绍了docker Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running的解决方案,希望对新手有所帮助。 文章目录 1. 问题描述 2. 解决方案
出现nf_conntrack: expectation table full提示问题
wgl307293845的博客
11-09 2582
问题描述 修改了FullCone Nat之后,出现nf_conntrack: expectation table full 解决方案 echo 512 > /proc/sys/net/netfilter/nf_conntrack_expect_max 注意: nf_conntrack_expect_max这个值根据系统内存大小设置,内存足够大可以设置相对较大一些,内存太小可以选择128或者256 ...
Docker编译linux kernel(十八)
Android系统攻城狮
05-23 610
1.方式一: # export PATH=$PATH:prebuilts/gcc/aarch64-linux-gnu/bin # make ARCH=arm64 CROSS_COMPILE=aarch64-linux-gnu- debug_defconfig # make -j12 2.方式二: # export PATH=$PATH:prebuilts/gcc/aarch64-linux-gnu/bin # emacs Makefile ARCH ?= arm64 CROSS.
Docker安装前升级内核3.10
weixin_33796177的博客
09-14 394
Docker安装前_升级内核至3.10 首先,大家如果看到有什么不懂的地方,欢迎吐槽!!! 我会在当天或者第二天及时回复,并且改进~~ 对于一些使用Centos 6.x的朋友,想换7可是公司架构比较稳定,而且不是说换就换的。那么,这篇文章主要是讲解如何在centos 6.x下面升级内核到3.10.5 在看下面内容之前,有一个...
linux messages日志出现kernel: nf_conntrack: table full, dropping packet
dbi8241的博客
06-01 439
上述结果会让业务访问很慢!各种网络服务耗时大幅上升,各种timeout,各种丢包,完全无法正常提供服务,大并发业务场景下,开防火墙很容易出现这种问题. 解决方法1:关闭分防火墙服务 解决方法2:修改内核参数/etc/sysctl.conf net.nf_conntrack_max= 25000000 net.netfilter.nf_conntrack_max= 2500000...
iptables 报错 kernel: nf_conntrack: table full, dropping packet.
my_bai的博客
05-09 533
如果日志报错 nf_conntrack: table full, dropping packet 1.不使用 nf_conntrack 模块 首先要移除 state 模块,因为使用该模块需要加载 nf_conntrack。确保 iptables 规则中没有出现类似 state 模块的规则,如果有的话将其移除: -A INPUT -m state –state RELATE
linux 网络错误 nf_conntrack: table full, dropping packet. 路由跟踪表满
whatday的专栏
02-18 998
“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一、关闭防火墙。 简单粗暴,直接有效 chkconfig iptables off chkconfig ip6tab...
iptables failed: iptables --wait -t nat -N DOCKER: iptables v1.8.4 (nf_tables): CHAIN_ADD failed (
最新发布
lu6603547的博客
04-14 475
解决wsl centos8中docker报错 iptables failed: iptables --wait -t nat -N DOCKER: iptables v1.8.4 (nf_tables): CHAIN_ADD failed (No such file or directory): chain PREROUTING (exit status 4)
kernel: nf_conntrack: table full, dropping packet解决办法
记录,总结,成长
04-04 2694
http://blog.sina.com.cn/s/blog_541a3cf10101b3bj.html 昨天上线cache后,防火墙高峰报道2W5有些不对劲,检查系统日志发现 Sep  6 18:05:07 localhost kernel: nf_conntrack:table full, dropping packet. Sep  6 18:19:13 localh
linux 路由跟踪表满错误 nf_conntrack: table full, dropping packet 原理解决方法
whatday的专栏
04-01 6449
netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参数应该“足够好”,其实不是。默认参数面向“通用”服务器,不适用于连接数和访问量比较多...
oci: initializing source oci:docker_sweyntooth.tar.gz:: open docker_sweyntooth.tar.gz/index.json: not a directory是什么意思
04-25
这个错误信息意味着在尝试使用 Docker 部署某个应用程序时,打开 Docker image 的 index.json 文件时出现了问题。更具体地说,这个错误表示 Docker 无法识别该文件或文件夹,因此无法初始化源。建议您检查 Docker ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值