除了iowait,软中断(softirq)CPU使用率升高也是最常见的一种性能问题
一、从取外卖看中断
1.1 中断的定义
中断是系统用来响应硬件设备请求的一种机制,它会打断进程的正常调度和执行,然后调用内核中的中断处理程序来响应设备的请求
1.2 中断的魅力
为什么要有中断呢?举个生活中的例子感受一下中断的魅力
比如订了一份外卖,但是不确定外卖什么时候送到,也没有别的方法了解外卖的进度,但是配送员送外卖是不等人的,到了你这儿没人取的话,就直接走人了。所以你只能苦苦等着,时不时去门口看看外卖送到没,而不能干其他事情
不过呢,如果在订外卖的时候就跟配送员约定好,让他送到后给你打个电话,那你就不用苦苦等待了,可以去忙别的事情,直到电话一响,接电话、取外卖就可以了
这里的"打电话"其实就是一个中断
没接到电话的时候,可以做其他的事情,只有接到了电话(也就是发生中断),才要进行另一个动作:取外卖
这个例子可以发现,中断其实是一种异步的事件处理机制,可以提高系统的并发处理能力
1.3 中断处理的时间
由于中断处理程序会打断其他进程的运行,所以,为了减少对正常进程运行调度的影响,中断处理程序就需要尽可能快地运行
如果中断本身要做的事情不多,那么处理起来也不会有太大问题,但如果中断要处理的事情很多,中断服务程序就有可能要运行很长时间
特别是,中断处理程序在响应中断时,还会临时关闭中断,这就会导致上一次中断处理完成之前,其他中断都不能响应,也就是说中断有可能会丢失
1.4 中断丢失
那么还是以取外卖为例
假如订了2份外卖,一份主食和一份饮料,并且是由2个不同的配送员来配送
这次你不用时时等待着,两份外卖都约定了电话取外卖的方式。但是,问题又来了
当第一份外卖送到时,配送员给你打了个长长的电话,商量发票的处理方式,与此同时,第二个配送员也到了,也想给你打电话
但是很明显,因为电话占线(也就是关闭了中断响应),第二个配送员的电话是打不通的,所以,第二个配送员很可能试几次后就走掉了(也就是丢失了一次中断)
二、软中断
如果弄清楚了"取外卖"的模式,那对系统的中断机制就很容易理解
2.1 中断处理阶段
事实上,为了解决中断处理程序执行过长和中断丢失的问题,Linux将中断处理过程分成了两个阶段,也就是上半部和下半部:
- 上半部
用来快速处理中断,它在中断禁止模式下运行,主要处理跟硬件紧密相关的或时间敏感的工作
- 下半部
用来延迟处理上半部未完成的工作,通常以内核线程的方式运行
2.2 取外卖例子
比如说前面取外卖的例子:
上半部就是接听电话,告诉配送员你已经知道了,其他事儿见面再说,然后电话就可以挂断了
下半部是取外卖的动作,以及见面后商量发票处理的动作
这样,第一个配送员不会占用你太多时间,当第二个配送员过来时,照样能正常打通你的电话
2.3 接收数据包例子
除了取外卖,再举个最常见的网卡接收数据包的例子,更好地理解软中断
网卡接收到数据包后,会通过硬件中断的方式,通知内核有新的数据到了
这时,内核就应该调用中断处理程序来响应它,想一下,这种情况下上半部和下半部分别负责什么工作呢?
- 上半部
对上半部来说,既然是快速处理,其实就是要把网卡的数据读到内存中,然后更新一下硬件寄存器的状态(表示数据已经读好),最后再发送一个软中断信号,通知下半部做进一步的处理
- 下半部
下半部被软中断信号唤醒后,需要从内存中找到网络数据,再按照网络协议栈,对数据进行逐层解析和处理,直到把它送给应用程序
2.4 上下部的理解
所以,这两个阶段也可以这样理解:
- 上半部
直接处理硬件请求,也就是我们常说的硬中断,特点是快速执行
- 下半部
由内核触发,也就是我们常说的软中断,特点是延迟执行
2.5 上下部的执行
实际上,上下部的处理:
- 上半部
打断CPU正在执行的任务,然后立即执行中断处理程序
- 下半部
以内核线程的方式执行,并且每个CPU都对应一个软中断内核线程,名字为"ksoftirqd/CPU编号"
比如:0 号CPU对应的软中断内核线程的名字就是ksoftirqd/0
注意:
软中断不只包括了刚刚所讲的硬件设备中断处理程序的下半部,一些内核自定义的事件也属于软中断,比如:
- 内核调度
- RCU锁(Read-Copy Update的缩写,RCU是Linux内核中最常用的锁之一)
2.5 软中断类型
软中断的类型包括:
- 网络收发
- 定时
- 调度
- RCU锁
三、查看软中断和内核线程
那要怎么知道系统里有哪些软中断呢?
3.1 proc文件
proc文件系统是一种内核空间和用户空间进行通信的机制,可以用来查看内核的数据结构,或者用来动态修改内核的配置,其中:
- /proc/softirqs
提供了软中断的运行情况
- /proc/interrupts
提供了硬中断的运行情况
3.2 /proc/softirqs文件
运行下面的命令,查看/proc/softirqs文件的内容,可以看到各种类型软中断在不同CPU上的累积运行次数:
$ cat /proc/softirqs
CPU0 CPU1
HI: 0 0
TIMER: 811613 1972736
NET_TX: 49 7
NET_RX: 1136736 1506885
BLOCK: 0 0
IRQ_POLL: 0 0
TASKLET: 304787 3691
SCHED: 689718 1897539
HRTIMER: 0 0
RCU: 1330771 1354737
在查看/proc/softirqs文件内容时,要特别注意以下这两点:
- 注意软中断的类型
就是这个界面中第一列的内容
从第一列可以看到,软中断包括了10个类别,分别对应不同的工作类型
比如:NET_RX表示网络接收中断,而NET_TX表示网络发送中断
- 注意同一种软中断在不同CPU上的分布情况
就是同一行的内容
正常情况下,同一种中断在不同CPU上的累积次数应该差不多
比如这个界面中,NET_RX在CPU0和CPU1上的中断次数基本是同一个数量级,相差不大
注意:
上面的数据中,TASKLET在不同CPU上的分布并不均匀
TASKLET是最常用的软中断实现机制,每个TASKLET只运行一次就会结束,并且只在调用它的函数所在的CPU上运行
因此,使用TASKLET特别简便,当然也会存在一些问题,比如说由于只在一个CPU上运行导致的调度不均衡,再比如因为不能在多个CPU上并行运行带来了性能限制
3.3 查看软中断内核线程
另外,刚刚提到过,软中断实际上是以内核线程的方式运行的,每个CPU都对应一个软中断内核线程,这个软中断内核线程就叫做ksoftirqd/CPU编号。那要怎么查看这些线程的运行状况呢?
其实用ps命令就可以做到,比如执行下面的指令:
$ ps aux | grep softirq
root 7 0.0 0.0 0 0 ? S Oct10 0:01 [ksoftirqd/0]
root 16 0.0 0.0 0 0 ? S Oct10 0:01 [ksoftirqd/1]
注意:
这些线程的名字外面都有中括号,这说明ps无法获取它们的命令行参数(cmline)
一般来说,ps的输出中,名字括在中括号里的,一般都是内核线程
四、软中断性能
在Linux中,每个CPU都对应一个软中断内核线程,名字是ksoftirqd/CPU编号
当软中断事件的频率过高时,内核线程也会因为CPU使用率过高而导致软中断处理不及时,进而引发网络收发延迟、调度缓慢等性能问题
软中断CPU使用率过高也是一种最常见的性能问题
五、案例
接下来使用最常见的反向代理服务器Nginx的案例,分析软中断CPU使用率过高的情况
5.1 分析工具
使用到三个新工具,sar、hping3和tcpdump,先简单介绍一下:
- sar
一个系统活动报告工具,既可以实时查看系统的当前活动,又可以配置保存和报告历史统计数据
- hping3
一个可以构造TCP/IP协议数据包的工具,可以对系统进行安全审计、防火墙测试等
- tcpdump
一个常用的网络抓包工具,常用来分析各种网络问题
5.2 背景介绍
一台虚拟机运行Nginx,用来模拟待分析的Web服务器
一台当作Web服务器的客户端,用来给Nginx增加压力请求
5.3 操作
安装完成后,在第一个终端执行下面的命令运行案例,启动一个基本的Nginx应用:
# 运行Nginx服务并对外开放80端口
$ docker run ‑itd ‑‑name=nginx ‑p 80:80 nginx
然后,在第二个终端使用curl访问Nginx监听的端口,确认Nginx正常启动
假设192.168.0.30是Nginx所在虚拟机的IP地址,运行curl命令后可以看到下面这个输出界面:
$ curl http://192.168.0.30/
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
...
接着,还是在第二个终端,运行hping3命令模拟Nginx的客户端请求:
# ‑S参数表示设置TCP协议的SYN(同步序列号),‑p表示目的端口为80
# ‑i u100表示每隔100微秒发送一个网络帧
# 注:如果你在实践过程中现象不明显,可以尝试把100调小,比如调成10甚至1
$ hping3 ‑S ‑p 80 ‑i u100 192.168.0.30
现在再回到第一个终端,发现系统响应明显变慢,即便只是在终端中敲几个回车,都得很久才能得到响应?这个时候应该怎么办呢?
5.4 top资源使用
那么,该从什么地方入手呢?
刚才发现,简单的SHELL命令都明显变慢,先看看系统的整体资源使用情况应该是个不错的注意,比如执行下top看看是不是出现了CPU的瓶颈
在第一个终端运行top命令,看一下系统整体的资源使用情况
# top运行后按数字1切换到显示所有CPU
$ top
top ‑ 10:50:58 up 1 days, 22:10, 1 user, load average: 0.00, 0.00, 0.00
Tasks: 122 total, 1 running, 71 sleeping, 0 stopped, 0 zombie
%Cpu0 : 0.0 us, 0.0 sy, 0.0 ni, 96.7 id, 0.0 wa, 0.0 hi, 3.3 si, 0.0 st
%Cpu1 : 0.0 us, 0.0 sy, 0.0 ni, 95.6 id, 0.0 wa, 0.0 hi, 4.4 si, 0.0 st
...
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
7 root 20 0 0 0 0 S 0.3 0.0 0:01.64 ksoftirqd/0
16 root 20 0 0 0 0 S 0.3 0.0 0:01.97 ksoftirqd/1
2663 root 20 0 923480 28292 13996 S 0.3 0.3 4:58.66 docker‑containe
3699 root 20 0 0 0 0 I 0.3 0.0 0:00.13 kworker/u4:0
3708 root 20 0 44572 4176 3512 R 0.3 0.1 0:00.07 top
1 root 20 0 225384 9136 6724 S 0.0 0.1 0:23.25 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.03 kthreadd
...
从第一行开始,逐个看一下:
- 平均负载全是0,就绪队列里面只有一个进程(1 running)
- 每个CPU的使用率都挺低,最高的CPU1的使用率也只有4.4%
- 查看进程列表,CPU使用率最高的进程只有0.3%
那为什么系统的响应变慢了呢?
既然每个指标的数值都不大,那就再来看看,这些指标对应的更具体的含义。毕竟,哪怕是同一个指标,用在系统的不同部位和场景上,都有可能对应着不同的性能问题
仔细看top的输出,两个CPU的使用率虽然分别只有3.3%和4.4%,但都用在了软中断上
而从进程列表上也可以看到,CPU使用率最高的也是软中断进程ksoftirqd。看起来,软中断有点可疑了
5.5 判断软中断类型
既然软中断可能有问题,那先要知道究竟是哪类软中断的问题
使用proc文件系统判断软中断类型呢?观察/proc/softirqs文件的内容,可以知道各种软中断类型的次数
不过,这里的各类软中断次数,又是什么时间段里的次数呢?它是系统运行以来的累积中断次数
5.6 软中断变化情况
直接查看文件内容,得到的只是累积中断次数,对这里的问题并没有直接参考意义,因为这些中断次数的变化速率才是需要关注的
那什么工具可以观察命令输出的变化情况呢?
watch命令可以定期运行一个命令来查看输出,如果再加上-d参数,还可以高亮出变化的部分,从高亮部分可以直观看出哪些内容变化得更快
还是在第一个终端,运行下面的命令:
$ watch ‑d cat /proc/softirqs
CPU0 CPU1
HI: 0 0
TIMER: 1083906 2368646
NET_TX: 53 9
NET_RX: 1550643 1916776
BLOCK: 0 0
IRQ_POLL: 0 0
TASKLET: 333637 3930
SCHED: 963675 2293171
HRTIMER: 0 0
RCU: 1542111 1590625
通过/proc/softirqs文件内容的变化情况,TIMER(定时中断)、NET_RX(网络接收)、SCHED(内核调度)、RCU(RCU锁)等这几个软中断都在不停变化
其中,NET_RX也就是网络数据包接收软中断的变化速率最快。而其他几种类型的软中断,是保证Linux 调度、时钟和临界区保护这些正常工作所必需的,所以它们有一定的变化倒是正常的
5.7 sar观察系统网络接收情况
那么接下来,就从网络接收的软中断着手继续分析
既然是网络接收的软中断,第一步应该就是观察系统的网络接收情况,接下来使用网络工具sar
sar可以用来查看系统的网络收发情况,还有一个好处是不仅可以观察网络收发的吞吐量(BPS,每秒收发的字节数),还可以观察网络收发的PPS,即每秒收发的网络帧数
在第一个终端中运行sar命令,并添加-n DEV参数显示网络收发的报告:
# ‑n DEV 表示显示网络收发的报告,间隔1秒输出一组数据
$ sar ‑n DEV 1
15:03:46 IFACE rxpck/s txpck/s rxkB/s txkB/s rxcmp/s txcmp/s rxmcst/s %ifutil
15:03:47 eth0 12607.00 6304.00 664.86 358.11 0.00 0.00 0.00 0.01
15:03:47 docker0 6302.00 12604.00 270.79 664.66 0.00 0.00 0.00 0.00
15:03:47 lo 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
15:03:47 veth9f6bbcd 6302.00 12604.00 356.95 664.66 0.00 0.00 0.00 0.
对于sar的输出界面,先简单介绍一下,从左往右依次是:
- 第一列
表示报告的时间
- 第二列
IFACE 表示网卡
- 第三、四列
rxpck/s 和 txpck/s分别表示每秒接收、发送的网络帧数,也就是PPS
- 第五、六列
rxkB/s 和 txkB/s分别表示每秒接收、发送的千字节数,也就是BPS
后面的其他参数基本接近0,显然跟上面的问题没有直接关系,可以先忽略掉
具体看输出的内容,可以发现:
- 网卡eth0
每秒接收的网络帧数比较大,达到了12607,而发送的网络帧数则比较小,只有6304;每秒接收的千字节数只有664 KB,而发送的千字节数更小,只有358 KB
- docker0和veth9f6bbcd
数据跟eth0基本一致,只是发送和接收相反,发送的数据较大而接收的数据较小
Linux内部网桥转发导致,系统把eth0收到的包转发给Nginx服务
5.8 数据包大小分析
从这些数据,有没有发现什么异常的地方?
既然怀疑是网络接收中断的问题,还是重点来看eth0 :
接收的PPS比较大,达到12607,而接收的BPS却很小,只有664KB,直观来看网络帧应该都是比较小,计算一下,664*1024/12607 = 54字节,说明平均每个网络帧只有54字节,这显然是很小的网络帧,也就是我们通常所说的小包问题
5.9 tcpdump抓包分析
那么,有没有办法知道这是一个什么样的网络帧,以及从哪里发过来的呢?
使用tcpdump抓取eth0上的包就可以了,事先已经知道Nginx监听在 80 端口,它所提供的HTTP 服务是基于TCP协议,所以可以指定TCP协议和80端口精确抓包
接下来,在第一个终端中运行tcpdump命令,通过-i eth0选项指定网卡eth0,并通过tcp port 80选项指定TCP协议的80端口:
# ‑i eth0 只抓取eth0网卡,‑n不解析协议名和主机名
# tcp port 80表示只抓取tcp协议并且端口号为80的网络帧
$ tcpdump ‑i eth0 ‑n tcp port 80
15:11:32.678966 IP 192.168.0.2.18238 > 192.168.0.30.80: Flags [S], seq 458303614, win 512, length 0
...
从tcpdump的输出中,可以发现:
192.168.0.2.18238 > 192.168.0.30.80,表示网络帧从192.168.0.2的18238端口发送到192.168.0.30的80端口,也就是从运行hping3机器的18238端口发送网络帧,目的为Nginx所在机器的80端口,Flags [S]则表示这是一个SYN包
5.10 SYN FLOOD攻击
再加上前面用sar发现,PPS超过12000的现象,现在可以确认这就是从192.168.0.2这个地址发送过来的SYN FLOOD攻击
到这里,已经做了全套的性能诊断和分析
从系统的软中断使用率高这个现象出发,通过观察/proc/softirqs文件的变化情况,判断出软中断类型是网络接收中断,再通过sar和tcpdump,确认这是一个SYN FLOOD问题
SYN FLOOD问题最简单的解决方法,就是从交换机或者硬件防火墙中封掉来源IP,这样SYN FLOOD网络帧就不会发送到服务器中
六、小结
Linux的中断处理程序分为上半部和下半部:
- 上半部对应硬件中断,用来快速处理中断
- 下半部对应软中断,用来异步处理上半部未完成的工作
软中断包括网络收发、定时、调度、RCU锁等各种类型,可以通过查看/proc/softirqs 来观察软中断的运行情况
软中断CPU使用率(softirq)升高是一种很常见的性能问题
虽然软中断的类型很多,但实际生产中,遇到的性能瓶颈大多是网络收发类型的软中断,特别是网络接收的软中断
在碰到这类问题时,可以借用sar、tcpdump等工具,做进一步分析
1204
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
