Linux网络端口耗尽

前端之家收集整理的这篇文章主要介绍了Linux网络端口耗尽前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我已经做了尽可能多的研究而没有在内核源代码中直接挖掘.关于这个问题似乎有大量的虚假信息/错误信息,所以我希望这能为我和其他人一劳永逸地回答这个问题.

严格说来IPv4,实际上是端口耗尽吗?让我解释:

>看起来有65535个端口可供使用. 0不可用.
>我已经读过端口耗尽要求(src ip,src port,dst ip,dst port)元组是唯一的.
>要清楚并假设我可以通过sysctl net.ipv4.ip_local_port_range设置使用100%的临时端口

这就是问题:它是如何运作的?

>我可以从127.0.0.1:(x)到127.0.0.1:80有65k连接
>我可以从127.0.0.1:(x)到127.0.0.1:555有65k连接
>基本上再一次,问题是(srcip,srcport,dstip,dstport)必须是唯一的,正确的吗?
>我无法打开超过65k的连接,从IP“A”到IP“B”,端口“N”
>同样,单个IP无法打开超过65k的连接到我的网站服务器x.x.x.x:80,但是只要它们来自不同的源IP,我可以支持超过65k的连接?

最后,我对(传出的)临时端口和正在侦听的传入端口感到有点困惑.我意识到一旦建立了连接,连接的每一端都是一个同等的,但在此之前:

例如,如果(srcip,dstport)元组确实必须是唯一的,那么为什么我启用它,例如

net.ipv4.ip_local_port_range = 1024 65535

这允许使用1024-65535的临时端口,如果我有端口3306(例如MysqL)绑定的服务,它们有时会因为端口正在使用而无法启动.

这是否与以下事实有关:(这是我要求验证的声明):

>(srcip,dstport)对于端口范围为1-65535的每个连接都需要是唯一的(不关注操作系统对临时端口的使用)
>但是,对于要绑定的套接字,可以将其视为(srcip,*,*).或者换句话说,IP是否必须以任何理由绑定到该端口?

我可以验证上面的行为,即我使用上面的确切sysctl行,因为它我将MysqL移动到低于1024的端口,因为它偶尔会非常随机地无法重启,因为假设操作系统正在使用该端口(3306)对于一个短暂的港口.

解决方法

这里有两个主要问题:

1.

Strictly IPv4 speaking,is port exhaustion actually possible?

是.例如,负载均衡路由器将所有连接发送到NAT IP地址.当您有许多SRC IP连接到单个DST IP的瓶颈时,可能会发生这种情况.

这意味着您的网络服务器可能有一堆连接,如:

root@buglab:~# netstat -pnt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 173.200.1.18:80      10.100.1.100:49923        ESTABLISHED 13939/Nginx: worker
tcp        0      0 173.200.1.18:80      10.200.1.200:10155        ESTABLISHED 13939/Nginx: worker
tcp        0      0 173.200.1.18:80      10.10.1.10:14400        ESTABLISHED 13939/Nginx: worker
tcp        0      0 173.200.1.18:80      10.10.1.10:50652        ESTABLISHED 13939/Nginx: worker
tcp        0      0 173.200.1.18:80      10.20.1.20:57554        ESTABLISHED 13939/Nginx: worker

那很好.但是,如果所有“外部地址”都相同,则可能导致问题(例如,“使用一个IP地址执行NAT< --->服务器的大型路由器”).

如果我不得不假设为什么短暂的端口耗尽不是常见的问题,我建议这是因为每个端口都需要一个监听服务和足够的资源来响应 – 另一个资源(内存,cpu)通常是瓶颈.

但是,在负载平衡公司工作时,我个人遇到了一些端口耗尽问题.

2.为什么使用的端口会出现侦听服务的问题?

“Which allows the use of ephemeral ports from 1024-65535,that if I have services that bind on port 3306 (MysqL,for example),they will sometimes fail to start because the port is in use.”

如果正在使用MysqL服务器,则无法绑定到该端口 – 例如localhost:3306或所有接口.例如,请参阅以下netstat输出中的0.0.0.0:80行?

root@buglab:~# netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      PID/Program name
tcp        0      0 127.0.0.1:9000          0.0.0.0:*               LISTEN      964/PHP-fpm.conf)
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1660/MysqLd     
tcp        0      0 0.0.0.0:842             0.0.0.0:*               LISTEN      1317/inetd      
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      13938/Nginx

这意味着端口80正在侦听服务器本地的所有接口.如果另一个进程在我的Nginx服务器启动之前保留端口80,则Nginx将无法控制该端口,并且可能无法启动其启动过程.

通常,端口3306很好,因为监听服务具有从主机请求的预定义端口(或范围) – 例如,Web服务器的端口80和443.

原文链接:https://www.f2er.com/linux/400957.html

猜你在找的Linux相关文章