解决Tengine健康检查引起的TIME_WAIT堆积问题

最新推荐文章于 2021-09-01 12:42:54 发布
最新推荐文章于 2021-09-01 12:42:54 发布
阅读量236 收藏 1
点赞数
文章标签: socket 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43970890/article/details/112770535
版权

1. 问题背景

“服务上云后,我们的TCP端口基本上都处于TIME_WAIT的状态”、“这个问题在线下机房未曾发生过” 这是客户提交问题的描述。

客户环境是自建Tengine作为7层反向代理,后端接约1.8万台NGINX。Tengine上云之后,在服务器上发现大量的TIME_WAIT状态的TCP socket;由于后端较多,潜在可能影响业务可用性。用户对比之前的经验比较担心是否可能是接入阿里云之后导致,所以希望我们对此进行详细的分析。

注:TIME_WAIT状态的监听带来的问题在于主机无法为往外部的连接请求分配动态端口。此时,可以配置net.ipv4.ip_local_port_range,增加其端口选择范围(可以考虑 5000 - 65535),但依然存在 2 MSL 时间内被用完的可能。

2. TIME_WAIT原因分析

首先,如果我们重新回顾下TCP状态机就能知道,TIME_WAIT状态的端口仅出现在主动关闭连接的一方(跟这一方是客户端或者是服务器端无关)。当TCP协议栈进行连接关闭请求时,只有【主动关闭连接方】会进入TIME_WAIT状态。

而客户的顾虑也在这里。

一方面,健康检查使用 HTTP1.0 是短连接,逻辑上应该由后端NGINX服务器主动关闭连接,多数TIME_WAIT应该出现在NGINX侧。

另一方面,我们也通过抓包确认了多数连接关闭的第一个FIN请求均由后端NGINX服务器发起,理论上,Tengine服务器的socket 应该直接进入CLOSED状态而不会有这么多的TIME_WAIT 。
抓包情况如下,我们根据Tengine上是TIME_WAIT的socket端口号,进行了过滤。

最低0.47元/天 解锁文章
阿里云技术
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【学习Nginx-06】Tengine实现健康检查
AlanLee97的博客
05-03 322
Tengine实现健康检查 编辑配置文件 user root; worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile o...
[线上问题] “服务端长连接与客户端短连接引起Nginx产生大量\"TIME_WAIT\"状态的线程”的问题分析解决
08-08
NULL 博文链接:https://bert82503.iteye.com/blog/2147899
Nginx反向代理的主被动健康检查
qq_43427354的博客
09-01 1527
一、环境介绍: 1、系统:centos7 2、应用部署:weblogic 12c 2、nginx版本:nginx-1.7.2 3、应用1(weblogic1):192.168.29.149:7018/realware 4、应用2(weblogic2):192.168.29.150:7012/realware 5、nginx服务器:192.168.29.152:8080 二、下载nginx-1.7.2 mkdir -p /opt/src cd opt/src wget http://nginx.org/dow
Tengine2.2.2 健康检查http1.1 服务器报错400 Bad Request 问题分析
大新博客
07-23 2627
Tengine2.2.2官方健康检查示例 check interval=3000 rise=2 fall=5 timeout=1000 type=http; check_keepalive_requests 100; check_http_send "HEAD / HTTP/1.1\r\nConnection: keep-alive\r\n\r\n"; check_http_expect_al...
tengine_waf:Tengine_waf,具有WAF防火墙功能的te​​ngine系统,防止网络攻击和cc攻击的功能,小巧灵便,简单可依赖
03-11
Tengine WAFF 基于tengine的防攻击模块,最初我尝试了mod-security,但有一个bug,在大并发的时候狂吃内存,直到拖垮应用,不后来转向ngx_lua_waf(感谢loveshell),并在此基础上做了改良,觉得效果不错,就推荐给...
Tengine for windows
最新发布
05-22
Tengine 使用cygwin编译适用于windows x64,编译了健康检查模块,health check check interval=3000 rise=2 fall=2 timeout=1000 type=http; check_http_send "HEAD /webecg/login HTTP/1.0\r\n\r\n"; check_...
install-tengine-2.2.2.zip_shell
09-15
在使用Tengine时,你可能会遇到各种问题,如依赖冲突、配置错误等。这时,查看官方文档、社区论坛或使用`grep`、`log`等工具进行调试将十分有用。此外,定期检查Tengine的更新以获得最新的安全修复和性能改进也是很...
tengine-2.3.2_win64.rar
03-20
在 Cygwin 下编译 Tengine 可能涉及到解决依赖问题、配置环境以及解决与 Windows 系统交互的兼容性问题。经过了编译和测试,这个版本已经被确认在 Windows 平台上可以正常运行。 标签 "tengine-2.3.2 nginx cygwin...
Tengine_mobileSSD模型.rar
09-26
在压缩包“Tengine_mobileSSD模型.rar”中,可能包含了转换好的MobileSSD模型文件、模型配置文件、示例代码以及相关的使用说明。用户需要解压文件,根据提供的文档和代码示例进行模型加载和运行。在实际操作时,可能...
tengine2.1.2
03-05
tengine2.1.2所需的全部依赖,以及对应的tengine2.12包本身,包括zlib-1.2.8,pcre-8.38,openssl-1.0.2g,jemalloc-3.6.0
Tengine健康检查模块的一点使用经验
huazhebia的专栏
11-29 1028
Tengine健康检查模块(ngx_http_upstream_check_module)的使用经验 一、在需要的upstream里中配置以下信息。check_http_send、check_http_expect_alive可以不配置,默认即可。 check interval=3000 rise=3 fall=5 timeout=1000 type=http; ...
Web容器版本泄露漏洞修复
煜铭2011
06-20 7018
0x00 背景 恶意攻击者可以根据版本信息寻找相关漏洞,进行利用漏洞攻击 0x01 修复思路 通过修改配置或者配置错误提示页面,隐藏 web容器的版本号及其它敏感信息。 0x02 代码修复 Apache 版本号 隐藏 Apache 的版本号及其它敏感信息,配置操作,修改 httpd.conf 配置文件: 在Apache配置文件中添加ServerTokens ProductOnly #ServerTokens OS # 注释掉改行 Servertoke...
TCP: time wait bucket table overflow 过多的解决方式
kjsayn的博客
11-30 1372
由于服务器内存过高,登录阿里云自带的远程VNC远程连接查看原因,登录发现一大堆的TCP: time wait bucket table overflow 然后查了一下,发现有4000多条就开始报了。 netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' TCP: time wait bucket table overflow产生原因及影响: 原因是超过了linux系统tw数量的阀值。危害是超过阀值后﹐系统会
tengine的ip访问控制踩坑实录
逆天骚年的博客
03-30 1902
tengine的配置文件中加入要禁访问止的ip或者网段vim /usr/local/tengine/conf/nginx.conf例如 禁止本地ip访问 先查看本地ip地址重启tengine本机通过浏览器访问发现还是可以正常访问 明明已经禁止了本地ip 问题出在哪呢 我们可以看一下tengine的访问日志可以发现本地实际上是通过VMware虚拟化的ip访问的 因此应该禁止的是这个ip 重新修改t...
Nginx负载均衡+监控状态检测
weixin_33726318的博客
01-08 1127
Nginx负载均衡+监控状态检测 想用Nginx或者Tengine替代LVS,即能做七层的负载均衡,又能做监控状态检测,一旦发现后面的realserver挂了就自动剔除,恢复后自动加入服务池里,可以用Tengine的ngx_http_upstream_check_module模块。该模块在Tengine-1.4.0版本以前没有默认开启,它可以在配置编译选项的时候开启:./configure --w...
测试一年多,上线就崩溃!技术供应商纳斯达克酿出严重软件事故
airyea的博客
11-23 454
经过一年多的广泛测试、四次彩排,澳大利亚交易所(ASX)的新系统在上线后还是因为出现故障而被迫关闭。这是其 2016 年因硬件故障导致休市后最为严重的一次事故。 测试一年多,测了个寂寞 11 月 16 日中午,ASX 发布声明表示当天将休市,于次日正常时间重新开放。交易所给出的关闭的原因是“局限于单个交易指令中交易多种证券(组合交易)的软件问题导致了市场数据不准确。” ASX 此次升级的系统是由纳斯达克开发的最新一代交易系统,目前在全球广泛使用。为了保障上线后的安全运行,ASX、技术...
解决服务器TIME_WAIT过多的问题
m0_37581001的博客
07-16 646
1、项目中的服务器 查看发现有很多redis和数据库的TIME_WAIT; 项目中用的是predis,在设置里加入: 'connection_persistent'=>true, 实测有效。这个参数也要看下服务端的redis的设置是否开启了长连接。 2、mysq的TIME_WAIT: 在配置中加入 'persistent'=> true, ...
服务器大量TIME_WAIT的原因及解决办法
小螺号的博客
05-31 5642
目录发送ACK和RST的场景TIME_WAIT状态产生大量TIME_WAIT原因解决办法 发送ACK和RST的场景 在有以下几种情景,TCP会把ack包发出去: 收到1个包,启动200ms定时器,等到200ms的定时器到点了(第二个包没来),于是对这个包的确认ack被发送。这叫做“延迟发送”; 收到1个包,启动200ms定时器,200ms定时器还没到,第二个数据包又来了(两个数据包一个ack); 收到1个包,启动200ms定时器,还没超时,正好要给对方发点内容。于是对这个包的确认ack就跟着捎过去。这叫做
在INSTALL_DIR前添加TENGINE_DIR变量 set( TENGINE_DIR /home/rk/Tengine-1.3.2) set( INSTALL_DIR
05-31
set( TENGINE_DIR /home/rk/Tengine-1.3.2) set( INSTALL_DIR /home/rk/Tengine-1.3.2/install) # 添加Tengine库的查找路径 link_directories(${TENGINE_DIR}/build) # 添加Tengine库的头文件路径 include_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值