Мы настроили некоторые правила брандмауэра, чтобы заблокировать некоторые плохие ip-адреса. Это было сделано в области VPC Network -> Firewall. Это НЕ делается на сервере через IPTables или что-то еще.
Все хорошо, пока у нас не будет потока трафика с этих плохих IP-адресов. Я вижу в журнале брандмауэра, что это правило блокирует их, но есть либо ограничение на соединение, либо ограничение на пропускную способность. В течение 40 минут у меня сплошной счетчик обращений к стене в 24 000 за каждую минуту — никаких вверх или вниз, просто 24 000 постоянно.
Сервер не получал трафика, использование ресурсов было очень низким. Это было проблемой, потому что действительный трафик где-то становился узким местом.
Единственное, что я вижу в документации, — это ограничение в 130 000 максимальных соединений с сохранением состояния. https://cloud.google.com/vpc/docs/firewalls#specifications
Тип машины — n1-standard-4
Во время этой атаки, когда я заглянул на страницу квот, ничего не было превышено.
Может ли кто-нибудь пролить свет на этот вопрос?
решение1
Ответ — изменить размер экземпляра и добавить больше ядер. Не используйте instanced с общими ядрами.
Я выбрал n2 с 8 ядрами, и теперь эта проблема решилась сама собой.