nf_conntrack满之解决方法

最新推荐文章于 2023-03-03 15:39:21 发布
最新推荐文章于 2023-03-03 15:39:21 发布
阅读量2k 收藏 1
点赞数
分类专栏: 系统运维 文章标签: linux tcp 
vim /var/log/message报错
nf_conntrack: table full, dropping packet

先关掉iptables
/etc/init.d/iptables stop

查看当前的连接数:
# grep nf_conntrack /proc/slabinfo

查出目前 nf_conntrack 的排名:
$ cat /proc/net/nf_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10

优化参数
状态跟踪表的最大行数的设定,理论最大值 CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32) 
以64G的64位操作系统为例,CONNTRACK_MAX = 64*1024*1024*1024/16384/2 = 2097152 

即时生效请执行: 
sysctl –w net.netfilter.nf_conntrack_max = 524288  (16G)

其哈希表大小通常为总表的1/8,最大为1/2。CONNTRACK_BUCKETS = CONNTRACK_MAX / 8 
同样64G的64位操作系统,哈希最佳范围是 262144 ~ 1048576 。 

运行状态中通过 sysctl net.netfilter.nf_conntrack_buckets 进行查看,通过文件 /sys/module/nf_conntrack/parameters/hashsize 进行设置 
或者新建 /etc/modprobe.d/iptables.conf ,重新加载模块才生效: 
options nf_conntrack hashsize = 262144

还有些相关的系统参数`sysctl -a | grep nf_conntrack`可以调优(/etc/sysctl.conf ): 
net.netfilter.nf_conntrack_max  =   1048576   
net.netfilter.ip_conntrack_tcp_timeout_established  =   3600   
net.netfilter.nf_conntrack_tcp_timeout_close_wait  =   60   
net.netfilter.nf_conntrack_tcp_timeout_fin_wait  =
無形的畫筆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Conntracker:防火墙嗅探器。 实时,低开销地分析所有iptables(netfilter / xtables)或nf_tables现有流,并以可消耗的方式进行通知。-C/C++开发
05-27
连接跟踪器/防火墙规则指示器解决日志TCP,UDP和ICMP IPv4 / IPv6流的问题。 了解主机(或防火墙)中的网络流量; 创建适当的iptables(或nf_tables)规则; 怪罪防火墙行为(接受/拒绝); 优化防火墙规则; 编译...
如何解决系统报错:nf_conntrack: table full, dropping packets
n9ecommunity的博客
06-12 1203
如果这个值跟上面介绍的 nf_conntrack_max 已经很接近了,就说明快了,需要调大 nf_conntrack_max。为了缓解大量连接的问题,您可能还需要考虑减少服务器等待连接关闭/超时的时间。这说明系统接到了大量的连接请求,但是系统的连接跟踪已经了,无法再记录新的连接了。显然,调大最大值的限制就可以了。不过更大的限制意味着可以承接更多连接,意味着要耗费更多资源,这点要注意。如果流量比较小,这个值是没问题的,但如果流量巨大,这个值可能就有点太小了。catpaw 的入门使用,可以参考文章:《
linux查看硬件设备信息 与 nf_conntrack
星辰大海
04-12 5906
Linux 查看硬件设备信息、 Ipatables 的 nf_conntrack 模块
kubernetes的master节点由于natnf_conntrack 问题造成dockers启动不了处理
rendongxingzhe的博客
12-24 2398
dockers启动Perhaps iptables or your kernel needs to be upgraded
云原生-Kubernetes集群监控指标项详解
张军伟的技术博客
11-09 3242
Kubernetes集群全方位监控说明
prometheus-metrics指标翻译
liujiangxu
03-03 3051
【代码】prometheus-metrics指标翻译。
Netfilter_读书笔记.pdf
05-13
- **优先级**:这些钩子点的优先级分别为 NF_IP_PRI_CONNTRACKNF_IP_PRI_CONNTRACKNF_IP_PRI_LAST 和 NF_IP_PRI_LAST-1。这意味着当数据包进入或离开 IP 层时,将会被处理以进行连接跟踪。这主要是通过调用回调...
softap_ap6212a0_tinav2.1_验证通过_旧版本的系统_20170915_1223没有外层目录.7z
09-15
<*> "conntrack" connection tracking match support <*> "state" match support < > IP virtual server support ---> 修改为: <*> IP virtual server support ---> [ ] Netfilter connection tracking (NEW) ...
LVS 负载均衡器总结
01-26
对于内核版本不同,可能需要加载的内核模块包括`ip_vs`、`ip_vs_rr`、`ip_vs_wrr`、`ip_vs_sh`以及`nf_conntrack_ipv4`或`nf_conntrack`。 LVS支持四种工作模式: 1. **Virtual server via NAT (VS-NAT)**:在此...
性能提升40%:腾讯TKE用eBPF绕过conntrack优化Kubernetes Service
Docker的专栏
06-29 2210
Kubernetes Service[1]用于实现集群中业务之间的互相调用和负载均衡,目前社区的实现主要有userspace,iptables和IPVS三种模式。IPVS模式的性能最好...
连接跟踪(conntrack):原理、应用及 Linux 内核实现
maimang1001的专栏
05-19 4945
连接跟踪(conntrack):原理、应用及 Linux 内核实现 This post also provides anEnglish version. 摘要 1 引言 1.1 概念 1.2 原理 1.3 设计:Netfilter 1.4 设计:进一步思考 1.5 应用 1.5.1 网络地址转换(NAT) 四层负载均衡(L4LB) 1.5.2 有状态防火墙 OpenStack 安全组 1.6 小结 2 Netfilter h..
10 个常用监控 Kubernetes 性能的 Prometheus Operator 指标
热门推荐
easylife206的专栏
09-17 1万+
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Prometheus Operator 安装完成后会有很多默认的监控指标,一不注意就大量的报警产生,所以...
Kubernetes 性能的 Prometheus Operator 指标
mnasd的博客
01-25 2112
1. Kubernetes 资源相关 1.1 CPUThrottlingHigh 关于 CPU 的 limit 合理性指标。查出最近5分钟,超过25%的 CPU 执行周期受到限制的容器。达式: sum(increase(container_cpu_cfs_throttled_periods_total{container!="", }[5m])) by (container, pod, namespace)/sum(increase(container_cpu_cfs_periods_total..
prometheus网络包相关监控(采集服务node-exporter)
weixin_45244610的博客
08-24 784
prometheus网络监控
conntrack机制:追踪本机上的请求和响应之间的关系
一直在努力学习的菜鸟
01-25 2270
查看连接追踪所能够容纳的最大连接数量: [root@centos7 ~]#cat /proc/sys/net/netfilter/nf_conntrack_max 65536 查看连接跟踪有多少条目: [root@centos7 ~]#cat /proc/sys/net/netfilter/nf_conntrack_count 2 说明: (1)连接跟踪,需要加载模块: modprobe nf_conntrack_ipv4 (2)当服务器连接多于最大连接数时dmesg 可以观察到 :ker.
linux 路由跟踪错误 nf_conntrack: table full, dropping packet 原理解决方法
whatday的专栏
04-01 6218
netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参数应该“足够好”,其实不是。默认参数面向“通用”服务器,不适用于连接数和访问量比较多...
PPO算法,即Proximal Policy Optimization(近端策略优化).pdf
最新发布
08-05
PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广泛应用的策略梯度方法。由OpenAI在2017年提出,PPO旨在解决传统策略梯度方法中策略更新过大导致的训练不稳定问题。它通过引入限制策略更新范围的机制,在保证收敛性的同时提高了算法的稳定性和效率。 一、PPO算法简介 PPO算法的核心思想是通过优化一个特定的目标函数来更新策略,但在这个过程中严格限制策略变化的幅度。具体来说,PPO引入了裁剪(Clipping)和信赖域(Trust Region)的概念,以确保策略在更新过程中不会偏离太远,从而保持训练的稳定性。 二、PPO算法的主要变体 PPO算法主要有两种变体:裁剪版(Clipped PPO)和信赖域版(Adaptive KL Penalty PPO)。其中,裁剪版PPO更为常见,它通过裁剪概率比率来限制策略更新的幅度,而信赖域版PPO则使用KL散度作为约束条件,并通过自适应调整惩罚系数来保持策略的稳定更新。PPO算法,即Proximal Policy Optimization(近端策略优化),是一种在强化学习领域中广
nf_conntrack
04-16
nf_conntrackLinux内核中的一个模块,用于跟踪网络连接的状态。它是Netfilter框架的一部分,用于实现网络连接的状态跟踪和连接跟踪nf_conntrack模块可以在Linux内核中启用,以便在网络层面上跟踪和管理网络连接。 nf_conntrack模块的主要功能包括: 1. 跟踪网络连接状态:nf_conntrack可以跟踪TCP、UDP、ICMP等协议的连接状态,包括连接的建立、终止和超时等。 2. 连接跟踪nf_conntrack维护一个连接跟踪,记录所有活动的网络连接信息,包括源IP地址、目标IP地址、源端口、目标端口等。 3. 连接状态检查:nf_conntrack可以根据连接状态进行数据包过滤和处理,例如防火墙可以根据连接状态来决定是否允许或拒绝数据包通过。 4. NAT(Network Address Translation)支持:nf_conntrack可以与NAT功能结合使用,实现IP地址和端口的转换,用于解决IP地址不足的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值