gitbook/性能测试实战30讲/docs/204690.md
2022-09-03 22:05:03 +08:00

18 KiB
Raw History

29丨案例如何应对因网络参数导致的TPS呈锯齿状?

在苍茫的性能分析道路上,不管你是一只多老的鸟,在经历了多个性能测试的项目之后,你都会发现对于性能问题而言,你仍然不敢说能全部解决。因为下一个问题可能真的是你完全没有见过的。

再加上技术的飞速发展,想跟得上技术的进步都是一件痛苦的事情,更别说要完全掌握并且融会贯通了。

我经常看到有些人在简历中动辄说自己做过上百个性能项目以彰显自己有充足的经验。事实上如果一个性能项目需要做两个星期的话基本上做不到调优的层面最多是弄个脚本压个报告。在我的经验中基本上一个完整的架构级的性能项目从准备开始到写出测试报告、调优报告需要1.5个月以上。你可以想像这样的项目就算一年不停地做做10个都算是非常快的了而要做上百个这样的项目至少需要10年的时间。

并且不是每一个项目都能让你有分析性能瓶颈的机会,因为有很多问题都是重复的。

所以性能分析是一个需要不断总结出自己的分析逻辑的工作,有了这些分析逻辑,才能在新项目中无往不利。请注意我的描述,我强调的是要有自己分析的逻辑,而不是经历多少个性能问题。因为问题可能会遇到新的,但是分析逻辑却是可以复用的。

在今天的文章中,我仍然用一个之前项目中出现过的案例给你讲一讲性能分析的思路。

案例问题描述

这个项目是我调优过两次的项目。我介入这个项目之后和同事们一起从100TPS调到1000TPS。

但是调到这个阶段也只是在测试环境中调的并没有按生产的架构调优。从测试部署架构上来说就是Tomcat+Redis+MySQL负载均衡的Nginx部分还没有加进去。

本来想着如果只是加个Nginx也复杂不到哪里去。于是我就撤了。但是当我离开一周之后那个项目组同事又给我打电话说这个项目仍然有问题加了Nginx之后TPS达不到1000了。啊这还得了要砸我招牌呀。

于是我又介入这个项目了,直到再次解决这个新的性能问题。

在今天的内容里,我会将记忆中所有的细节都记录下来,有些是同事调的步骤,有些是我调的步骤。在这个久远的项目中,希望我能写的完整。

下面来看这个具体的问题分析过程。

这个系统的简单架构图如下所示:

压力工具图

照例,我们先看压力工具中给出来的重要曲线。

用户递增图:

TPS图

响应时间图:

从上面的曲线可以看到TPS在上升到一个量级的时候就会掉下来然后再上到同样的量级再掉下来非常规律。而响应时间呢在第一次TPS掉下来之后就变得乱七八糟了。响应时间不仅上升了而且抖动也很明显。

这是什么情况?从来没见过呀。

分析过程

我们需要经过一系列的工作——看操作系统的CPU、I/O、Memory、NET等资源看数据库、Tomcat、Nginx监控数据等等。

经过分析,我们觉得其他数据显示正常,网络连接状态是有问题的。如下所示:

tcp        0      0 ::ffff:192.168.1.12:59103   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59085   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59331   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:46381   ::ffff:192.168.1.104:3306   TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59034   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59383   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59138   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59407   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59288   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:58905   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:58867   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:58891   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59334   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:46129   ::ffff:192.168.1.100:3306   TIME_WAIT   timewait (0.00/0/0)
tcp        0      0 ::ffff:192.168.1.12:59143   ::ffff:192.168.1.11:3306    TIME_WAIT   timewait (0.00/0/0)

从这里我们可以看到网络中有大量的timewait存在这是有价值的信息了但也只是现象。

尝试优化

尝试一为TIME_WAIT修改TCP参数

通过检查sysctl.conf我们看到所有的配置均为默认于是尝试如下修改。

其实这个修改,应该说是在分析得不够精准的情况下做的判断。

因为在服务端出现大量的timewait说明是服务端主动断开的TCP连接。而我们处理这样的连接无非就是释放服务端的句柄和内存资源但是不能释放端口因为服务端只开了一个listen端口。

net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 3
net.ipv4.tcp_keepalive_time = 3

回归测试,问题依旧。

尝试二修改Nginx的proxy_ignore_client_abort

考虑到当客户端主动断开时服务器上也会出现大量的timewait所以我们打开proxy_ignore_client_abort让Nginx忽略客户端主动中断时出现的错误。

proxy_ignore_client_abort on;

修改后重启Nginx问题依旧。

这个操作纯属根据经验做的猜测。因为是加了Nginx之后才出现的问题。但是这个调整并没有起到作用可见不是压力端主动断开连接而导致的问题也就是说和压力机无关了。

尝试三换Nginx和Nginx所在的服务器

因为这个案例是通过Nginx服务器才看到TPS上到300就会下降所以我们考虑是Nginx的问题。但是查来查去也没看到Nginx有什么明显的问题于是我们就下载了Nginx的源码重新编译一下什么模块都不加只做转发。

通过回归测试发现,并没有解决问题。

到这里那就显然和Nginx本身没什么关系了那么我们就换个服务器吧。于是我们在另一台机器上重新编译了Nginx但是问题依旧。

服务器和Nginx都换了但还是没有解决问题那么问题会在哪呢想来想去还是在操作系统层面因为Nginx实在是没啥可调的只做转发还能复杂到哪去。

但是操作系统层面又有什么东西会影响TPS到如此规律的状态呢在考虑了应用发送数据的逻辑之后请参考《18丨CentOS操作系统级监控及常用计数器解析中的网络部分中的“数据发送过程”和“数据接收过程”),我觉得操作系统本身应该不会存在这样的限制,网络配置参数我也看过,不会导致这样的问题。

那么在操作系统发送和接收数据的过程中,只有一个大模块我们还完全没有涉及到,那就是防火墙。于是我查了一下系统的防火墙状态。

激活状态的防火墙是如下这样的:

[root@node-1 zee]# systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: active (running) since Mon 2015-02-17 23:34:55 CST; 2s ago
     Docs: man:firewalld(1)
 Main PID: 32052 (firewalld)
    Tasks: 2
   Memory: 32.4M
   CGroup: /system.slice/firewalld.service
           └─32052 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

从上面的“active (running)”可以看到防火墙确实是开着的。那怎么办?果断地先停掉再说。

尝试四:停掉防火墙

和网络连接有关的内容,剩下的就只有防火墙了。于是执行如下命令:

Service iptables stop

之后我们就会看到TPS立即就上去了这就明显和防火墙相关了。

dmesg查下系统日志可以看到如下的大量信息

Nov  4 11:35:48 localhost kernel: __ratelimit: 108 callbacks suppressed
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:48 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:53 localhost kernel: __ratelimit: 592 callbacks suppressed
Nov  4 11:35:53 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:53 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:57 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:57 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:57 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:57 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:57 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:57 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:57 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:57 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: __ratelimit: 281 callbacks suppressed
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:35:58 localhost kernel: nf_conntrack: table full, dropping packet.
Nov  4 11:36:14 localhost kernel: __ratelimit: 7 callbacks suppressed

这个信息很明显那就是nf_conntrack的表满了于是把包给丢了。可是看到这里的时候我还不知道nf_conntrack是个啥玩意。

后来通过查资料才知道nf_conntrack以前叫ip_conntrack是Linux中一个跟踪TCP连接条目的模块它会用一个哈希表记录TCP的连接信息。当这个哈希表满了之后就会报nf_conntrack: table full,dropping packet这样的错误。

__ratelimit: N callbacks suppressed的意思是系统中这样重复的日志太多了达到了内核参数中的net_ratelimit()的上限。Linux中也是用这个参数来避免DDos的。

可是,为啥要丢掉这些包呢?满就满了呗,你可以报错呀。丢人家的包,这一招不是很地道呀。

原理分析

下面来看一下nf_conn的数据结构

struct nf_conn {
        / Usage count in here is 1 for hash table/destruct timer, 1 per skb, plus 1 for any connection(s) we are `master' for /
        struct  nf_conntrack  ct_general;                / 连接跟踪的引用计数 /
        spinlock_t  lock;
        /* Connection tracking(链接跟踪)用来跟踪、记录每个链接的信息(目前仅支持IP协议的连接跟踪)。每个链接由“tuple”来唯一标识这里的“tuple”对不同的协议会有不同的含义例如对TCP,UDP来说就是五元组: (源IP源端口目的IP, 目的端口,协议号)对ICMP协议来说是: (源IP, 目的IP, id, type, code), 其中id,type与code都是icmp协议的信息。链接跟踪是防火墙实现状态检测的基础很多功能都需要借助链接跟踪才能实现例如NAT、快速转发、等等。*/
        struct  nf_conntrack_tuple_hash  tuplehash[IP_CT_DIR_MAX];
        
        unsigned long  status;  / 可以设置由enum ip_conntrack_status中描述的状态 /


        struct  nf_conn  master;  / 如果该连接是某个连接的子连接则master指向它的主连接 */
        / Timer function; drops refcnt when it goes off. /
        struct  timer_list  timeout;


        union nf_conntrack_proto proto;                / 用于保存不同协议的私有数据 /
        / Extensions /
        struct nf_ct_ext ext;                        / 用于扩展结构 */
}


上面的nf_conn有最大个数限制它是通过nf_conntrack_max来限制的默认值是65535。

通过查找资料我发现nf_conn的主要作用如下描述

在nf_conntrack模块中实现了对连接跟踪。它利用netfilter框架中的nf_register_hook/nf_unregister_hook函数来注册钩子项调用nf_conntrack_in来建立相应连接ipv4_conntrack_in挂载在NF_IP_PRE_ROUTEING点上该函数主要实现了创建连接从而实现连接跟踪。

从上面的描述我们就可以看到原来这个模块并不是防火墙必须的模块并且从实现手法上来说是通过注册hook函数实现的功能。有黑客经验的人应该经常听到hook函数很多病毒软件都用这个思路往其他的应用中插入自己的代码模块的。

参数调整

知道了是什么模块之后,就很容易找到和它相关的参数了,这个信息你可以直接在操作系统的官网信息中找得到。

那么nf_conntrack的参数是什么呢

net.netfilter.nf_conntrack_max
//是允许的最大跟踪连接条目是在内核内存中netfilter可以同时处理的“任务”。
net.netfilter.nf_conntrack_tcp_timeout_established
//是TCP连接创建时的超时时间。

其实还有其他参数,只是这两个和性能相关,所以我在这里单独列了出来。

根据官方的公式nf_conntrack_max的最大值是CONNTRACK_MAX = RAMSIZE(in bytes)/16384/(ARCH/32)

其中RAMSIZE是物理内存大小ARCH是操作系统位数16384是netfilter框架中hash桶参数nf_conntrack_buckets的默认大小。

以32G内存64位操作系统为例

CONNTRACK_MAX = 32*10241024*1024/16384/2 = 1048576条

也就是说,如果你有内存,就可以把这个值调大点。

我在这里就直接往后面加了个0改为

net.netfilter.nf_conntrack_max=655350


知道了原理,就不止一个调优方案了,下面我们就来看看。

其他解决方案

关闭防火墙

chkconfig iptables off 
chkconfig ip6tables off 
service iptables stop 
service ip6tables stop 

禁用在这个端口上跟踪(也称为使用裸表)

在防火墙规则中这样配置:

-A PREROUTING -p tcp -m tcp --dport 80 -j NOTRACK 

你也可以直接对TCP禁用跟踪至于规则配置就看你的想像力了这也是我比较不喜欢弄防火墙的原因配置也太灵活了容易乱

删除跟踪模块

你还可以直接删除跟踪模块。首先,查看有哪些模块:

lsmod | grep nf_conntrack


再用rmmod删除它们。

总之,不管你用什么方式,都需要再你的应用可以安全并能正常提供服务的前提下使用。

知道了解决方案之后我们就来看下解决之后的TPS是怎样的。

解决问题后的TPS图

上图中有两次TPS下降的过程这是因为我又尝试修改了防火墙的禁用参数配置重启了两次防火墙。并不是出现了新的问题所以不要紧张。

后来在这个项目中又调优了一些其他的参数,下面是最终达到的调优效果。

蓝色是调优前的,红色是调优后的。

我们可以看到响应时间下降了很多TPS也上去了客户非常满意还请我吃了顿忘不了的牛肉火锅。哈。

总结

性能问题总是层出不穷,不管你以前多有经验,都可能会遇到不懂的性能问题。

如果建立了分析问题的思路逻辑,并且又善于学习和查找各种资料,找到根本原因,最后都会给出完整的解决方案。

这个案例应该说是个比较偏门的性能问题了,解决问题的思路就是我上面说的那样。

其实你也可以看到,有很多时候,我们的性能问题和代码并没有关系,所以这里也提醒那些一玩性能就想看代码的人,眼光要放开阔一些。还有就是遇到性能问题时,一定要记住,不要慌!

思考题

这是个刁钻的案例你能说一下为什么在本例中最后想到了看防火墙呢以及为什么说timewait的TCP链接只是问题的现象呢

欢迎你在评论区写下你的思考,也欢迎把这篇文章分享给你的朋友或者同事,一起交流一下。