- Как увидеть информацию о потерях
- Нагрузка на процессор и что она значит
- Network Top
- Размер буфера сетевой карты
- Распределение прерываний
- Мощность ядер процессора
- Настройки rx-usecs
- Замена сетевых карт
- Отключение гипертрединга
- Включение RPS
- Актуализация настроек зеркала трафика
- Использование нескольких сетевых карт для приёма зеркала
- MTU
В производительность модуля фильтрация не упирается, как правило единственной проблемой при запуске бывает не совсем корректное работающее по умолчанию оборудование (процессор, сетевые карты). Мы много сталкивались с этим, поэтому готовы помочь с настройкой этого оборудования для обеспечения отличной производительности.
Есть четыре вещи которые в основном влияют на потерю пакетов при приёме (допустим, нас не волнует как долго он будет проходить через нашу систему, то есть latency мы можем жертвовать), а наша задача - поймать все пакеты, не упустив ни одного и обработать.
Как увидеть информацию о потерях
Ключевые слова: missed, dropped, fifo, error, rx.
ip -s -s link show eth1
Смотреть нужно на RX Errors. Некоторые сетевые карты предоставляют более подробную информацию о характере потерь:
ethtool -S eth1
Потери могут быть не только на сетевых картах Carbon Reductor. Они могут быть и на порту сетевого оборудования, отправляющего зеркало трафика. О том, как это посмотреть можно узнать из документации производителя сетевого оборудования.
Нагрузка на процессор и что она значит
Выполните команду
top -cd1
и нажмите клавишу "1".
Вы увидите что-то в духе:
Tasks: 143 total, 1 running, 142 sleeping, 0 stopped, 0 zombie Cpu0 : 0.0%us, 0.0%sy, 0.0%ni, 88.0%id, 0.0%wa, 0.0%hi, 12.0%si, 0.0%st Cpu1 : 0.0%us, 0.0%sy, 0.0%ni, 88.8%id, 0.0%wa, 0.0%hi, 11.2%si, 0.0%st Cpu2 : 0.0%us, 1.0%sy, 0.0%ni, 85.0%id, 0.0%wa, 0.0%hi, 14.0%si, 0.0%st Cpu3 : 0.0%us, 0.0%sy, 0.0%ni, 87.8%id, 0.0%wa, 0.0%hi, 12.2%si, 0.0%st
Нас в основном интересуют цифры "%si".
- Нагрузка должна быть распределена равномерно, если Cpu0 трудится, а 1..n находятся на нуле - это не очень хорошо.
- 0% на каждом ядре - вы скорее всего ещё не настроили зеркало, а если всё работает - у вас замечательный сервер.
- 1-3% на каждом ядре - всё хорошо настроено, можно даже увеличивать канал и не особо беспокоиться об апгрейде железа.
- 6-10% в принципе сойдёт.
- 11-15% повод задуматься о покупке более хорошего оборудования или его настройке.
- 20-100% скорее всего будут потери пакетов и пропуски фильтрации. Если ситуация сохраняется после того, как вы прошлись по всем пунктам в этой статье (и воспользовались ими) - свяжитесь с технической поддержкой.
На постоянное использование можно добавлять команды в хук start.sh в функцию client_post_start_hook().
Network Top
В комплекте с редуктором поставляется утилита
chroot /app/reductor network-top
Запускается без аргументов, показывает полную картину нагрузки на сетевые карты и ядра процессора в реальном времени. Аномально высокие значения подсвечиваются желтым (больше нормы) или красным (критично) цветом.
Размер буфера сетевой карты
[root@centos ~]# ethtool -g eth1
Ring parameters for eth1:
Pre-set maximums:
RX: 4096
RX Mini: 0
RX Jumbo: 0
TX: 4096
Current hardware settings:
RX: 4096
RX Mini: 0
RX Jumbo: 0
TX: 256
Здесь мы видим увеличенный до максимума rx-буфер.
В Carbon Reductor DPI X при добавлении сетевой карты для фильтрации через мастер для неё автоматически настраивается оптимальный размер RX-буфера.
Также он настраивается автоматически при использовании опции FWBOOST.
Распределение прерываний
Многие сетевые карты имеют несколько очередей для входящих пакетов. Каждая очередь висит на ядре/списке ядер. На многих железках из коробки, несмотря на то, что в smp_affinity_list указан список 0-$cpucount все прерывания находятся на первом ядре процессора. Обойти это можно раскидав с помощью echo все прерывания на разные ядра.
Для систем с одним физическим процессором и сетевыми картами, использующими драйвера igb, ixgbe, vmxnet3 можно использовать утилиту:
/usr/local/Reductor/bin/tune_interrupts.sh eth1
В остальных случаях она сделает хуже и требуется ручная настройка, рекомендации по ней:
По возможности используйте разные реальные ядра, допустим, дано:
- 1 процессор с гипертредингом
- 4 реальных ядра
- 8 виртуальных ядер
- 4 очереди сетевой карты, которые составляют 95% работы сервера
Раскинуть их на 0, 1, 2 и 3 ядра будет не так эффективно, как на 0, 2, 4 и 6.
Пример кода (не универсальный), который раскидывает 8 очередей на 8 ядер (довольно простой случай).
Строка "-TxRx" - по ней можно идентифицировать очереди сетевой карты принимающей зеркало трафика, может отличаться в зависимости от модели сетевой карты и драйвера, посмотреть как она выглядит можно в файле cat /proc/interrupts
Создаем сам файл-хук:
/usr/local/Reductor/userinfo/hooks/start.sh
В него добавляем следующее содержимое:
#!/bin/bash tune_nic() { echo "- Настраиваем прерывания $1" local nic="$1$2" local cpucount=$(grep -c 'model name' /proc/cpuinfo) grep $nic /proc/interrupts | while read irq $(eval echo cpu{1..$cpucount}) _ queue _; do irq=${irq//:} proc_entry=/proc/irq/$irq/smp_affinity_list evaled="${queue##*rx-}" echo $evaled > $proc_entry done } client_post_start_hook() { tune_nic "eth1" "-rx" tune_nic "eth2" "-TxRx" }
Мощность ядер процессора
В Carbon Reductor DPI X процессор автоматически настраивается на максимально доступную базовую частоту.
Настройки rx-usecs
В Carbon Reductor DPI X автоматически подбирается оптимальное значение этого параметра для сетевой карты при использовании опций FWBOOST.
Замена сетевых карт
Иногда бывает дело в используемом оборудовании. Если Вы уверены, что сетевая карта хорошей модели и есть ещё одна такая же - попробуйте использовать её. Возможно она просто бракованная.
Иногда дело бывает в драйвере (в случае dlink / realtek сетевых карт). Они не подходят для высоких нагрузок.
Отключение гипертрединга
В некоторых случаях использование процессора с отключенным гипертредингом оказывалось эффективнее, чем с включенным, несмотря на меньшее количество логических ядер.
Делать это стоит, если все предыдущие пункты не помогают.
Включение RPS
В Carbon Reductor DPI X эта технология автоматически настраивается для сетевых карт с одной очередью.
При использовании опции FWBOOST эта технология автоматически настраивается в сочетании с RSS.
Актуализация настроек зеркала трафика
Разнесение всех интерфейсов зеркала трафика по отдельным бриджам даёт снижение нагрузки.
Использование нескольких сетевых карт для приёма зеркала
Вы можете распределить зеркало между несколькими сетевыми картами, указав в настройках создаваемых сессий зеркалирования равные диапазоны абонентских физических портов.
MTU
MTU на порту коммутатора, отправляющего зеркало не должно быть больше, чем MTU интерфейса на Carbon Reductor (в том числе и всех VLAN), принимающего зеркалированный трафик.
Рекомендуем посмотреть статистику на коммутаторе по распределению размеров пакетов, для D-Link например команда
show packet port 1:1
и вывод в духе:
Port number : 2:11 Frame Size/Type Frame Counts Frames/sec --------------- ---------------------- ----------- 64 1470536789 6330 65-127 511753536 12442 128-255 1145529306 1433 256-511 704083758 1097 512-1023 842811566 882 1024-1518 1348869310 7004 1519-1522 2321195608 1572 1519-2047 2321195608 1572 2048-4095 0 0 4096-9216 0 0 Unicast RX 0 0 Multicast RX 16 0 Broadcast RX 0 0 Frame Type Total Total/sec --------------- ---------------------- ----------- RX Bytes 1384 0 RX Frames 16 0 TX Bytes 20409818277370 15162751 TX Frames 34114583632 30760
По дефолту, CentOS ставит MTU = 1500, лучше выставить его равным максимальному ненулевому значению из статистики.
1519-2047 2321195608 1572
Как определить потери пакетов из-за низкого MTU?
Посмотрите на RX: length значение.
# ip -s -s link show eth1 3: eth1: <BROADCAST,MULTICAST,NOARP,UP,LOWER_UP> mtu 1528 qdisc mq state UP qlen 1000 link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff RX: bytes packets errors dropped overrun mcast 5956390755888 19345313821 3533855 0 0 817154 RX errors: length crc frame fifo missed 3533855 0 0 0 0 TX: bytes packets errors dropped carrier collsns 23100 330 0 0 0 0 TX errors: aborted fifo window heartbeat 0 0 0 0
Как избавиться от этих потерь?
Разово:
ip link set eth1 mtu 1540
На постоянной основе:
Дописать в конфиг сетевой карты (например /etc/sysconfig/network-scripts/ifcfg-eth1):
MTU=1540