Ulimit的坑,让我的故障一波又一波

安全 应用安全
最近遇到一个非常有趣的问题。其中有一组HAProxy,频繁出现问题。登录上服务器,cpu、内存、网络、io一顿猛查。最终发现,机器上处于TIME_WAIT状态的连接,多达6万多个。

[[373179]]

本文转载自微信公众号「小姐姐味道」,作者小姐姐养的狗。转载本文请联系小姐姐味道公众号。  

最近遇到一个非常有趣的问题。其中有一组HAProxy,频繁出现问题。登录上服务器,cpu、内存、网络、io一顿猛查。最终发现,机器上处于TIME_WAIT状态的连接,多达6万多个。

TIME_WAIT状态,一般都会出现在HAProxy、Nginx这种代理机器上,主要是由于频繁的主动关闭所造成的。通过修改reuse和回收参数,可以比较快速的解决问题。

网络状态的统计数量,可以使用下面的命令进行统计。

  1. netstat -ant|awk '/^tcp/ {++S[$NF]} END {for(a in S) print (a,S[a])}' 
  2. ESTABLISHED 70 
  3. FIN_WAIT2 30 
  4. CLOSING 33 
  5. TIME_WAIT 65520 

这本来没什么神奇的,但65535这个数字,实在是太过于敏感。应该是触发了某种上限。

使我们更加感到疑惑的是:为什么TIME_WAIT状态的连接,仅仅达到了65535,服务就不可用了?

到处号称的单机百万连接,是在吹牛皮么?怎么这么经不起折腾?

65535,表示等于2的16次方减一,是一个神奇的数字。先把这小数字扔在一边,我们来看一下Linux到底能支持多少个连接。

1. Linux能够支持多少连接?

答案是无数个。可是端口只有65535个啊。

[[373180]]

为什么端口只有65535个?

这是一个历史原因,因为在TCP、UDP协议的开头,会分别有16位来存储源端口号和目标端口号。很遗憾的是,这个值是short类型的,大小也是2^16-1。

因为历史原因造成的不可改变的标准,就是那么根深蒂固。

那Linux到底能支持多少个连接呢?答案是无数个。

拿nginx来说,我们把它监听在80端口上。这时候A机器去连接Nginx,可以发起多达6w多条长连接。如果B机器去连接Nginx,同样也可以发起6w多条连接。这是由于确定一条连接,是由src和dst来共同决定的。

认为Linux只能接受65535条连接的想法,只能说是犯了非常浅显的想当然主义。

65535个端口,作为压测机可能对你来说太小了一些。但对于服务器来说,已经绰绰有余了。

2. 如何支持百万连接?

从上面可以看到,连接数,是没有限制的。但Linux还有一层防护,那就是文件句柄数。通过lsof命令查看到的那些东西,就是所谓的文件句柄。

先来看一下几个命令的展示。

ulmit,展示了每个进程所能占用的文件句柄数量。

  1. ulimit -n 
  2. 65535 

file-max,展示了操作系统能够占用的文件句柄数量总和,针对的是所有的进程。

  1. cat /proc/sys/fs/file-max 
  2. 766722 

file-nr,展示了当前已经使用的句柄数量和总的句柄数量。可以拿来做监控。

  1. cat /proc/sys/fs/file-nr 
  2. 1824  0 766722 

要支持百万连接,既要放开操作系统级别的句柄,也要放开进程级别的句柄。也就是说,ulimit和file-max的显示,都要大于百万才成。

3. 如何设置?

设置进程的句柄个数,常用的方式就有ulimit,但是非常非常不推荐。原因无他,只有在同一个shell中启动的进程,ulimit的设置才会生效。你打开另外一个shell,或者重启机器,ulimit的改动都会丢失。就是下面这种方式:

  1. ulimit -n 1000000 

正确的方式,是修改/etc/security/limits.conf文件。比如下面的内容。

  1. root soft nofile 1000000 
  2. root hard nofile 1000000 
  3. * soft nofile 1000000 
  4. * hard nofile 1000000 

可以看到,我们可以针对于特定的用户,修改其句柄数量。这在安装es等应用时,经常碰到。

  1. es  -  nofile  65535 

但即使是这种方式,也要求你需要打开一个新的shell进行操作。在当前修改的shell里或者修改之前的shell里,同样不生效。xjjdog就曾遇到过多起这样明明放开了限制,但还是发生问题的案例。

要看到这些改变是否已经对进程生效,可以查看进程的内存映射文件。比如cat /proc/180323/limits,其中会有详细的展示。

这个数值,也并不是想要设多大就多大的。它的大小上限,是由nr_open决定的。想要更大,就要修改/ect/sysct.conf 中fs.nr_open的值。

  1. cat /proc/sys/fs/nr_open 
  2. 1048576 

那file-max又该如何修改呢?建议修改/etc/sysctl.conf文件,加入下面内容。足足有6百多万!

  1. fs.file-max = 6553560 

当文件数量超出的时候,就会报kernel: VFS: file-max limit 65535 reached的错误。

总结一下。

Linux即使放开一个端口,能够接受的连接也是海量的。这些连接的上限,受到单进程文件句柄数量和操作系统文件句柄数量的限制,也就是ulimit和file-max。

为了能够将参数修改持久化,我们倾向于将改动写入到文件里。进程的文件句柄限制,可以放在/etc/security/limits.conf中,它的上限受到fs.nr_open的制约;操作系统的文件句柄限制,可以放到/etc/sysctl.conf文件中。最后,别忘了在/proc/$id/limits文件中,确认修改是否对进程生效了。

如此,百万连接才名不虚传。我比较奇怪的是,为什么Linux不默认放开这些配置呢?做成65535也认啊,为什么搞个1024?

 

作者简介:小姐姐味道 (xjjdog),一个不允许程序员走弯路的公众号。聚焦基础架构和Linux。十年架构,日百亿流量,与你探讨高并发世界,给你不一样的味道。我的个人微信xjjdog0,欢迎添加好友,进一步交流。

 

责任编辑:武晓燕 来源: 小姐姐味道
相关推荐

2015-11-05 10:07:56

2014-09-02 10:19:22

IT程序员

2020-08-06 17:16:47

抖音Tiktok美国

2021-09-01 13:46:07

GitHub Copi漏洞代码训练

2014-09-29 14:35:57

WIFI物联网RFID

2019-05-27 23:19:31

QQ腾讯回忆

2021-12-26 00:13:24

Log4jLogback漏洞

2010-10-21 14:38:07

网络融合

2015-11-17 12:56:33

浪潮SC15

2023-03-30 07:34:10

Linux性能数据结构

2022-05-10 08:49:46

设备驱动Linux

2023-07-14 13:32:05

2023-11-16 14:00:23

iOS 17.2苹果

2013-12-03 10:04:04

Windows更新代号Windows 8.1

2021-12-07 08:27:19

RTTI运行类型

2014-09-02 10:51:19

IT技术支持职场

2021-04-05 09:32:37

新冠疫苗恶意软件Emotet

2014-11-17 09:36:45

2016-05-13 16:15:05

CDN/星域CDN

2020-04-15 10:28:57

QQ腾讯更新
点赞
收藏

51CTO技术栈公众号