优化 Linux NAT 网关

因为我们的生产环境没有专用的 NAT 设备,不得不使用 Linux 的 NAT 功能来解决生产内网访问公网的问题。

NAT 的原理,大致如下图所示:

内网的机器,将网关配置成 NAT 网关的地址,当访问公网时,NAT 会将访问公网的包的源地址(内网地址)转换为自己的公网地址,再将包发给公网的服务器。

然而,服务器访问公网与桌面系统访问公网的场景,是完全不同的,服务器访问公网的行为,通常比桌面系统的行为更有“规律“(其实与操作系统也有关系,不同操作系统的 TCP/IP 协议栈行为是有差别的)。比如,服务器会在相对集中、统一的时间同时发起公网请求,并且还是相对集中地访问固定的地址。这对 NAT 设备来说,要求就比桌面系统的 NAT 要高。我们知道,计算机系统中大量地使用 "哈希算法",而对哈希算法性能影响最明显的,就是“哈希因子分布不匀”。

在使用默认 NAT 的情况下,我们遇到若干问题,写下来希望对别人有帮助。(如有不正确的地方,欢迎指正。我们运维团队衷爱对系统底层实现有理解、有认识的同学,欢迎讨论)。

问题一:

在公网请求突发变大的情况下,NAT 设备的 CPU 会被打满(CPU 软中断使用率占大头),平时 CPU 使用率 5% 不到。

被打满的经典现象(出现过多次)是:

  1. CPU 使用率达到或接近 100%。
  2. 网卡带宽很小。比平时大,但绝没有达到极限。
  3. PPS 比平时大,但是跟网卡的处理能力比,也是微不足道。
  4. /proc/net/nf_conntrack 条目达到 9 万多条。

我们分析了 /proc/net/nf_contrack 的条目,得到了两个重要的信息:

  1. 访问公网的目的地址很集中。
  2. 有大量的 TIME_WAIT 状态的连接。

因为我们没人理解内核的原理,只能靠经验来分析。
我们抛出了几个问题:
1. 一个只有一个公网地址的 NAT 网关,最多能支持多少个“访问公网的连接”?(我们知道,一个公网 IP,连接同一个目标 IP:PORT,理论上,能支持的主动连接也就 65535 个,因为在 ipv4 中,本地端口最多只有 6335 个。)
2. net.netfilter.nf_conntrack_buckets 这个参数,默认有点小,连接数多了以后,势必造成“哈希冲突”增加,“哈希处理”性能下降。( 是这样吗?)

经过一轮分析,我们得出一调整结论为:

  1. 增加网关公网地址数量。
  2. 增加 net.netfilter.nf_conntrack_buckets 值。
  3. 减小 net.netfilter.nf_conntrack_tcp_timeout_time_wait 值。

调整完之后,到目前为止,还没有再出现过 CPU 使用率 100% 的问题,至少是在之前就会故障的同等“连接数量”场景下,CPU 依然很低,网关依然可用。

然而事情还没有完结……

问题二:

通过观察监控,我们发现有一个 4 台设备的集群,TCP 的重传率不一致,查找原因,最终发现调用某个第三方的 API 时,4 台机器的表现不一致,有 2 台能访问,2 台不能访问。
我们确认了 4 台设备上的 net.vip4.tcp_tw_recyle = 0。作为 Server 端,是绝对不能打开这个开关的,会让在 NAT 后端的 Client 出现连接不上服务端。那么几乎可以肯定是对端开启了这个设置,导致我们位于 NAT 后端后设备连接不上第三方的服务。

于是我们不得不 sysctl -w net.ipv4.tcp_timestamps = 0,然后 4 台机器都能访问这个第三方 API 了。

结论:

  1. 对于提供监听服务(即以被动连接的形式提供业务)的系统来说,net.ipv4.tcp_tw_recyle 必须等于 0。否则,对 NAT 后的 Client,将不能提供 100% 的可用服务。
  2. 假如你的连接要经过 NAT,那么就不应该启用“net.ipv4.tc_tw_reuse”。
  3. 要用好一个东西,一定要知道、理解它的工作原理。
  4. 观察(监控、可视化)、分析、思考是运维工作中“做好细节”的唯一的方式、方法。
  5. 查资料这种事,Google 虽然很方便,但是“手册、官网”才是正经信息来源。

参考:

Linux-netfilter-conntrack 机制初步分析

http://blog.sina.com.cn/s/blog_781b0c850100znjd.html (阿里技术专家)

http://blog.chinaunix.net/uid-20196318-id-3409788.htmlg