Las 낙서장

net.netfilter.nf_conntrack_max

nf_conntrack은 ip_conntrack의 후속 커널 모듈로 netfilter가 네트워크에서 발생하는 커넥션에 대해 해당 내용을 기록하고 추적하기 위한 모듈이다.

일반적으로 활성화되지는 않지만 iptables를 이용한 NAT 환경 같은 경우에 사용되기도 한다.

특히 아래와 같은 경우에 사용자 모르게 활성화되어서 사용되는 경우가 있다.

• iptables -t nat -L 같은 NAT 테이블 확인 명령을 한번이라도 수행한 경우

• docker와 같이 iptables의 NAT 기능이 필요한 애플리케이션을 사용할 경우

단순히 해당 모듈이 활성화된다고 해서 문제가 되지는 않지만 접속량이 많은 네트워크 서비스를 제공하는 경우에는 nf_conntrack을 기본 값으로 사용할 경우 연결을 기록하는 테이블의 크기를 기본 값인 65536을 사용하기 때문에 문제가 발생할 수 있다.

따라서 해당 값을 서버의 환경에 맞추어 충분히 늘려주는게 좋다.

nf_conntrack_max

nf_conntrack_max는 nf_conntrack 모듈이 기록할 최대 연결 개수를 지정하는 파라미터이다.

기본 값은 65536이며 적당히 크게 잡아줘도 무방하지만 단순히 값을 크게 잡는 것이 좋지만은 않다.

아래는 Conntrack Hash Table이 어떻게 구현되어있는지에 대한 그림이다.

Hash Table의 각 구성 요소는 bucket이라는것으로 구성되어 있으며 Bucket은 내부적으로 연결 리스트로 구현되어 있다.

Table은 O(1)의 효율을 보여주지만 연결 리스트의 경우 O(n)의 효율을 보여주기 때문에 연결 리스트를 최소화하고 Hash Table의 크기를 키우는게 가장 좋아 보인다.

하지만 Hash Table을 크게 갖는 다는 것은 그만큼 정적으로 많은 메모리를 할당해서 사용해야하는 부담이 존재한다.

예를 들어 2097152개의 연결을 처리하기 위해 nf_conntrack_max 값을 2097152로 지정하고 Hash Table도 동일한 크기로 잡게 된다면 단순히 Hash Table을 구성하는데 아래와 같은 메모리 자원을 사용하게 된다.

• 연결을 기록하는 각 엔트리의 크기는 308byte라고 한다.

• 2097152(Hash 크기) * 308byte / 1048576(1MiB) = 616MB

• 즉 600MB가 넘는 크기를 Hash Table 구성에만 낭비하게 된다.

따라서 단순히 Hash Table 크기 자체를 크게하기 보다는 연결 리스트를 적절히 활용하여 성능과 공간의 균형을 맞추는게 좋다.

Hash Table의 크기가 부족할 경우 Table이 full이라면 메시지와 함께 들어오는 패킷은 모두 Drop 되어버린다.

커널 2.6 버전을 기점으로 파라미터 이름이 변경되었다.

커널 문서에는 아래와 같이 nf_contrack_max 값을 정의하고 있다. (ip_contrack 시절에는 8배였다.)

여기에는 nf_conntrack_buckets는 bucket들의 개수이며 다시 말해 Hash Table의 크기를 의미한다.

커널 문서에는 Hash Table 크기의 4배로 Max 값을 지정하는걸 기본으로 하고 있기 때문에 각 Hash Table의 bucket은 4개의 노드를 갖는 연결 리스트로 구성된다.

따라서 앞서 살펴본 2097152개의 연결을 처리하는 경우로 살펴본다면 616MB의 크기는 154MB로 줄어들게 된다.

옛날의 ip_contrack 시절에는 Conntrack_Max 값에 대한 기본 값을 결정하는 요소에는 시스템 아키텍처도 변수로 작용했었다.

Conntrack_Max를 수식으로 표현하면 아래와 같다. (Link : https://wiki.khnet.info/index.php/Conntrack_tuning)

nf_conntrack_buckets

네트워크 관련 커널 파라미터 설정에는 정답이라는 것은 없다.

다만 무작정 nf_contrack_max를 키우기만 하면 연결 리스트에 대해 부하가 높아지기 때문에 nf_contrack_buckets 값도 같이 조절을 해 주어야 한다.

4GB 메모리에는 65536이 적합하지만 별도로 Hash 크기를 지정해서 모듈을 올리지 않는다면 16384 값으로 정해지게 된다.

이 상황에서 nf_contrack_max를 계속 키우게 되면 연결 리스트 길이만 계속 길어지기 때문에 바람직하지 않다.

최근 시스템들은 많은 메모리를 가지고 있기 때문에 65536개 이상의 연결을 충분히 처리할 수 있으며 Hash 크기에 대한 모듈 파라미터를 지정해서 수동으로 로딩하지 않고 docker나 iptables에 의해서 자동으로 로딩되므로 

이 값을 변경해 주어야 하는데 한 번 모듈이 올라가게 되면 sysctl을 이용해서 커널 파라미터 값을 변경할 수 없으며 sysfs를 통해서만 변경이 가능하다.

여기서 nf_conntrack 모듈을 지우고 내렸다가 다시 올린다면 연결되어 있던 네트워크 세션이 모두 끊어지기 때문에 모듈자체를 건드려서는 안된다.

Values 설정

요즘 시스템은 메모리가 넉넉하기 때문에 65536의 배수로 적당히 지정하고 거기에 맞추어 Hash 크기를 지정하는 것도 방법이다.

또는 과거 ip_conntrack 시절에 계산하던 방법을 차용하면 아래와 같이 계산해 볼 수 있다.

nf_conntrack_max, nf_conntrack_buckets 외에도 네트워크 서비스를 위해서 몇 가지 중요한 설정 값이 있다.

먼저 nf_conntrack_generic_timeout이 있는 Layer 4 기반 타임아웃 설정 값으로 기본 값은 600초로 되어 있다. 

이 값이 너무 길기 때문에 이를 적절히 (예를 들면 120) 낮춰주는게 좋다.

그리고 활성화된 연결에 대한 타임아웃 파라미터로 nf_conntrack_tcp_timeout_established이 있으며 기본 값은 4332000초 (5일) 이다.

이 값 또한 적당히 낮춰 주는게 좋다.

아래는 추천하는 설정이다.

예를 들어 32GB 메모리를 가지고 있는 64bit 시스템에 대해서는 아래와 같이 설정값을 추천할 수 있다.

다만 nf_conntrack_max는 필요에 따라 임의로 적정값을 직접 지정해도 무방하다.

특히, 연결 양이 많지 않은 네트워크 서비스 시스템에서 기본 값으로도 충분할 경우가 많다.

키                                                        계산                                            값

nf_conntrack_max                                32 * 1073741824 / 16384 / 2       1048576

nf_conntrack_buckets                           nf_conntrack_max / 4                   262144

nf_conntrack_generic_timeout                                                                 120

nf_conntrack_tcp_timeout_established                                                      54000

아래는 설정 스크립트이다.

#!/bin/bash
#
# nf-setup.sh: nf_conntrack configurator
#
# by lunatine
#
_arch=1
_max=0
_bucket=0
_gto=120
_tcp=54000

help() {
    cat << EOF
  $ nf-setup.sh [OPTIONS ...]

  Options:
    -m|--max   : nf_conntrack_max (default: memsize / 16384 / arch bit)
    -b|--bucket: nf_conntrack_buckets (default: nf_conntrack_max / 4)
    -g|--gto   : nf_conntrack_generic_timeout (default: 120)
    -t|--tcp   : nf_conntrack_tcp_timeout_established (default: 54000)
    -h|--help  : help message
EOF
}

# get arguments
while [[ -n $1 ]]
do
    case "$1" in
        # nf_conntrack_max
        -m|--max) _max=$1; shift 2;;
        -b|--bucket) _bucket=$1; shift 2;;
        -g|--gto) _gto=$1; shift 2;;
        -t|--tcp) _tcp=$1; shift 2;;
        -h|--help) help; exit 0;;
    esac
done

if [ "$(id -u)" -ne 0 ]; then
    echo "[Error] root privilege required ..."
    exit 1
else
    for modname in nf_conntrack nf_conntrack_ipv4
    do
        if [ "$(lsmod | grep -c $modname)" -eq 0 ]; then
            echo "[Error] No $modname module found"
            exit 1
        fi
    done
fi

# when nf_conntrack_max omitted
if [ "$_max" -eq 0 ]; then
    memtotal=$(grep MemTotal /proc/meminfo | awk '{print $2}')
    [ "$(uname -m)" == "x86_64" ] && _arch=2
    _max=$(( memtotal * 1024 / 16384 / _arch ))
fi

# when nf_conntrack_buckets omitted
if [ "$_bucket" -eq 0 ]; then
    _bucket=$(( _max / 4 ))
fi

# asking for apply
CONF_VALUES="
[Applying]
---------------------------------------------------
  nf_connectrack_max                  : $_max
  nf_conntrack_generic_timeout        : $_gto
  nf_conntrack_tcp_timeout_established: $_tcp
  nf_conntrack hash size              : $_bucket
---------------------------------------------------
  are you sure? (Cancel: Ctrl+C) "
read -p "$CONF_VALUES" ans

# apply configurations
sed -i "/^net.netfilter.nf_conntrack_max/d" /etc/sysctl.conf
sed -i "/^net.netfilter.nf_conntrack_buckets/d" /etc/sysctl.conf
sed -i "/^net.netfilter.nf_conntrack_generic_timeout/d" /etc/sysctl.conf
sed -i "/^net.netfilter.nf_conntrack_tcp_timeout_established/d" /etc/sysctl.conf
{
    echo "net.netfilter.nf_conntrack_max = $_max"
    echo "net.netfilter.nf_conntrack_generic_timeout = $_gto"
    echo "net.netfilter.nf_conntrack_tcp_timeout_established = $_tcp"
} >> /etc/sysctl.conf
echo $_bucket > /sys/module/nf_conntrack/parameters/hashsize

# Result
cat << EOF
[Result]
---------------------------------------------------
  max                    : $(sysctl net.netfilter.nf_conntrack_max)
  hash size (buckets)    : $(sysctl net.netfilter.nf_conntrack_buckets)
  generic_timeout        : $(sysctl net.netfilter.nf_conntrack_generic_timeout)
  tcp_timeout_established: $(sysctl net.netfilter.nf_conntrack_tcp_timeout_established)
---------------------------------------------------
EOF

exit 0

참고

- https://lunatine.net/2018/04/12/nf_conntrackgwa-docker/

- https://medium.com/naver-cloud-platform/nf-conntrack-full%EB%A1%9C-%EC%9D%B8%ED%95%9C-packet-drop-%EB%8C%80%EC%9D%91-2586146e6714

- https://blog.pages.kr/tag/nf_conntrack_max

- https://jjinisystem.tistory.com/22

심볼릭 링크가 연결되어 있는 원본 파일을 찾는 명령어이다.

readlink는 심볼릭링크인 path가 가르키는 원본의 파일 이름을 돌려준다. 알아낸 원본 파일을 이름은 buffer에 저장된다.

bufsize는 buffer의 저장 크기이다. 만약 buffer의 크기가 원본 파일의 이름을 담기에 충분히 크지 않다면 나머지 부분은 잘리게 된다.

readlink는 원본 파일의 완전한 경로를 가져온다.

사용법

# readlink -{Option} File

Example

# ls -al test.txt

lrwxrwxrwx 1 root root 13 Oct 25 14:38 test.txt -> /tmp/test.txt

# readlink -f test.txt

/tmp/test.txt

Options

-f (canonicalize)

• 주어진 이름의 모든 구성 요소에 있는 모든 심볼릭 링크를 따라가면서 정규화한다. 마지막 구성 요소를 제외하고 모두 존재해야한다.

-e (canonicalize-existing)

• 주어진 이름의 모든 구성 요소에 있는 모든 심볼릭 링크를 따라가며 정규화 한다. 마지막 구성 요소를 제외하고 모두 존재해야한다.

-m (canonicalize-missing) 

• 구성 요소 존재에 대한 요구 사항없이 주어진 이름의 모든 구성 요소에 있는 모든 심볼릭 링크를 따라 정규화한다.

Return

성공할 경우 Buffer에 들어 있는 문자의 갯수가 반환되며 에러가 발생했다면 -1 Return되며 적당한 Error 코드가 설정된다.

Error

- ENOTDIR

경로가 디렉토리(:12)가 아니다.

- EINVAL

bufsize 가 양수가 아닐경우

- ENAMETOOLONG

경로이름이 너무 길경우

- ENOENT

명명된 파일이 존재하지 않을경우

- EACCES

path 에 접근하기 위한 디렉토리 권한이 없을경우

- EINVAL

파일이 심볼릭 링크가 아닐때

참고

- https://zetawiki.com/wiki/%EB%A6%AC%EB%88%85%EC%8A%A4_readlink

- https://www.joinc.co.kr/w/man/2/readlink

• 하나의 시스템에서 프로세스를 격리시킬 수 있는 가상화 기술 (각 별개의 독립된 공간을 사용하는 것처럼 격리된 환경을 제공하는 경량 프로세스 가상화 기술)
• VM에서는 각 게스트 머신별 독립적인 공간을 제공하고 서로가 충돌하지 않도록 하는 기능을 갖고 있다. 리눅스에서 동일한 역활을 하는 것이 Namespace이며 커널에 내장되어 있음
• Hypervisor는 Hardware Resource를 가상화 하고 위에 올라가는 Guest OS에는 가상화 된 형태의 H/W를 제공하게 되므로 각 Guest OS는 완전히 다른 환경으로 분리된다.
  하지만 Namespace의 경우 Hardware Resource 레벨의 가상화가 아니고 동일한 OS와 동일한 Kernel에서 작동하게 된다. 단지 격리된 환경만 제공하는 것
  (Namespace는 H/W 자원을 가상화하는 것이 아니라 Linux 내의 자원을 가상화 하는 것)
• unshare : NameSpace를 분리하는 명령어로 확인 가능

1. MNT (파일시스템 마운트)
   - 파일 시스템 마운트 포인트를 격리
   - 호스트 파일시스템에 구해받지 않고 독립적으로 파일시스템을 마운트하거나 언마운트 가능
   -m : Mount NameSpace를 의미
   # unshare -m /bin/bash
   - readlink : 심볼릭 링크의 원본을 찾는 명령어
   /proc/  : 시스템의 여러 실시간 정보들을 디렉토리와 파일 형태로 저장. linux 에서 가상 파일시스템에 위치하는 가상 디렉토리이며 실제 존재하지 않고 메모리에 저장
   # readlink /proc/OOO(pid)/ns/mnt -> 현재 프로세스의 Mount 정보를 확인

2. UTS
   - 독립적인 Hostname 할당
   - 각각의 리눅스 컨테이너가 자신의 식별자 (hostname -f 로 확인)를 유지관리하기 위해 호스트이름과 도메인이름을 네임스페이스별로 격리
   - 호스트 이름에 종속적인 대부분의 어플리케이션에 중요한 기능이 -u 옵션을 통해 구현 가능
   # unshare -u /bin/bash

3. IPC 
   - 프로세스간 데이터 교환 및 프로세스와 쓰레드간의 작업을 동기화하는 기능을 제공
   - semaphore, file locking, mutex오 가타은 자원에 대한 접근제어를 제공하며 컨테이너에서 실제 프로세스를 분리하기 위해서도 필요

4. PID
   - 프로세스 ID를 분할하여 관리하기 위해 필요
   - systemd 프로세스만 가질 수 있는 PID 1번을 독립적으로 추가할당하며 동일한 OS에서 systemd 프로세스 뿐만 아니라 여러 프로세스가 PID 충돌없이 실행 가능하게 한다.

5. USR
   - 프로세스가 namespace 내부와 기본 namespace 간에 각기 다른 사용자 및 그룹 ID를 가질 수 있도록 지원
   - 독립적인 사용자 할당, UID와 GID 격리

6. NET
   - NameSpace 간에 Network 충돌 방지 (중복 포트 바인딩 등)
   - 네트워크 장치, 주소, 경로 및 방화벽 규칙 같은 네트워크 자원을 격리
   - 네트워크 스택의 논리적 복사본을 효과적을 생성하여 여러 namespace가 동일 포트로 다수의 서비스 제공하는 것을 가능하게 한다. (iproute2 package등을 이용하여 구현 가능)

Linux Software Config

1. Stop and Start

1.1) Stop

# mdadm –detail /dev/md0

- Stop후 다시 Start 하기위해서는 UUID를 알고 있어야한다. (UUID로 start 하려는 경우)

# mdadm -S /dev/md0

# mdadm –detail /dev/md0

으로 확인하면 출력되지 않음.

1.2) Start

# mdadm --assemble --scan -v (전체 start)

# mdadm --assemble –scan -uuid=d62fd767:c5161187:89ef017d:a9ea6101 (uuid로 하나 start)

2. Software Raid 장애 복구

2-1) Disk 장애 발생

2-2) 강제 Fail (Test 할 경우)

# mdadm /dev/md0 -f /dev/sdc1

2-3) Raid Group에서 제거

# mdadm /dev/md0 -r /dev/sdc1

2-4) Raid 복구

# mdadm /dev/md0 -a /dev/sdc1

- 새로운 disk를 삽입하여 fdisk로 파티션 생성 후 타입을 fd로 지정

- Raid 그룹안에 포함시킨다

Linux Software Raid 설정

- 사전 작업

raid를 구성할 2개의 파티션을 생성후 fdisk에서 type을 fd로 설정

1. raid devices 생성

# mknod /dev/md0 b 9 0

b : block devices

9 : md 장치의 주 번호가 9번

0 : 0번 째 장치

Ex) 만약 2번째 장치이면

# mknod /dev/md1 b 9 1

2. raid 구성

# mdadm -C /dev/md0 --level=raid1 --raid-devices=2 /dev/sda1 /dev/sdc1

이후 continue에서 y

- C : create

--level : raid 레벨

--raid-devices : raid를 구성할 devices 숫자

3. raid 확인

# mdadm --detail /dev/md0

4. Mount or format

# mkfs -t xfs -f /dev/md0

# mount /dev/md0 /test

- 정상적인 상태일 경우 lvs

- 정상적인 상태일 경우 pvs

- lv cache가 정상적으로 구동하지 않는 경우

- pv확인 시 disk 장애가 발생한 경우

- 해결 방법

1. 새로운 disk 삽입

2. fdisk를 통한 파티션 생성

# fdisk /dev/sda

3. pvdisplay로 장애난 disk의 pv uuid 확인

4. 메타데이터와 pv uuid를 통해 복구

# pvcreate --uuid "a2Lfiu-JoO2-3cte-dvAO-r12j-lvrn-bbi2z5" --restorefile /etc/lvm/archive/vg_hybrid_00015-1742953829.vg /dev/sda1

--restorefile의 경우 /etc/lvm/archive/ 아래있는 파일중 lvm 정상적으로 구성된 가장 마지막 버전을 찾아야 한다. 장애가 발생한 상태도 저장되기에 uuid와 status를 잘 확인해야한다.