NFS4 с поддержкой Kerberos открывает файл за 5 секунд

NFS4 с поддержкой Kerberos открывает файл за 5 секунд

Я настроил сервер NFSv4 и клиент, оба с Debian 11.3 на Linux 5.10.0-13. В принципе, это работает, т. е. я вижу все файлы с правильными правами и могу их открывать, изменять и т. д. Однако открытие файла вызывает задержку в 5 секунд.

Сервер экспортирует такие каталоги в /etc/exports:

/path/to          gss/krb5(rw,sync,fsid=0,crossmnt,no_subtree_check)
/path/to/NFS      gss/krb5(rw,sync,no_subtree_check)

Экспорт NFS4 монтируется с использованием такого типа /etc/fstabзаписи:

server:/NFS      /path/to/nfs                 nfs4 defaults,auto,sec=krb5,proto=tcp,port=2049,nolock 0 3

Следующие данные относятся к открытию файла emacsи закрытию emacsсразу после его отображения.

Анализируя, straceя вижу, что соответствующий openat()системный вызов занимает довольно стабильные 5,1 секунды! Другие openat(), stat(), ...системные вызовы, относящиеся к NFS, выполняются в течение микросекунд. Это то, что я постоянно вижу при выполнении eg ls, который не ощущается как что-то отличное от локальной файловой системы. Это отрывок системных вызовов, относящихся к рассматриваемому файлу, с добавлением времени, проведенного в системном вызове:

0.000014        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_CLOEXEC|O_PATH|O_DIRECTORY) = -1 ENOTDIR (Ist kein Verzeichnis)
0.000005        readlinkat(AT_FDCWD, "/path/to/nfs/file", 0x7fff202f6880, 1024) = -1 EINVAL (Das Argument ist ungültig)
0.000006        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_NOFOLLOW|O_CLOEXEC|O_PATH) = 14
0.000005        readlinkat(AT_FDCWD, "/path/to/nfs/file", 0x7fff202f64d0, 1024) = -1 EINVAL (Das Argument ist ungültig)
0.000005        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_NOFOLLOW|O_CLOEXEC|O_PATH) = 14
5.108682        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_CLOEXEC) = 14
0.000006        faccessat(AT_FDCWD, "/path/to/nfs/file", W_OK) = 0
0.000005        stat("/path/to/nfs/file", {st_mode=S_IFREG|0640, st_size=2192, ...}) = 0
0.000007        faccessat(AT_FDCWD, "/path/to/nfs/file,v", F_OK) = -1 ENOENT (Datei oder Verzeichnis nicht gefunden)
0.000009        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_CLOEXEC|O_PATH|O_DIRECTORY) = -1 ENOTDIR (Ist kein Verzeichnis)
0.000008        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_CLOEXEC|O_PATH|O_DIRECTORY) = -1 ENOTDIR (Ist kein Verzeichnis)
0.000008        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_CLOEXEC|O_PATH|O_DIRECTORY) = -1 ENOTDIR (Ist kein Verzeichnis)
0.000008        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_CLOEXEC|O_PATH|O_DIRECTORY) = -1 ENOTDIR (Ist kein Verzeichnis)
0.000008        openat(AT_FDCWD, "/path/to/nfs/file", O_RDONLY|O_CLOEXEC|O_PATH|O_DIRECTORY) = -1 ENOTDIR (Ist kein Verzeichnis)
0.000012        stat("/path/to/nfs/file", {st_mode=S_IFREG|0640, st_size=2192, ...}) = 0
0.000015        write(14, "/path/to/nfs/file"..., 90) = 90 

В Wireshark я вижу следующее:

No. Time        Source      Destination Protocol Length Info
7   0.623097    client.ip   server.ip   NFS      276    V4 Call (Reply In 8) GETATTR FH: 0xecf8d891
8   0.624231    server.ip   client.ip   NFS      376    V4 Reply (Call In 7) GETATTR
9   0.624239    client.ip   server.ip   TCP      72     951 → 2049 [ACK] Seq=601 Ack=917 Win=4176 Len=0 TSval=1071244404 TSecr=3950562910
10  0.624696    client.ip   server.ip   NFS      344    V4 Call (Reply In 11) OPEN DH: 0xecf8d891/
11  0.625669    server.ip   client.ip   NFS      452    V4 Reply (Call In 10) OPEN StateID: 0xb42f
12  0.625693    client.ip   server.ip   TCP      72     951 → 2049 [ACK] Seq=873 Ack=1297 Win=4176 Len=0 TSval=1071244405 TSecr=3950562911
13  5.742166    client.ip   server.ip   NFS      340    V4 Call (Reply In 14) CLOSE StateID: 0xb42f
14  5.743331    server.ip   client.ip   NFS      232    V4 Reply (Call In 13) SEQUENCE | PUTFH Status: NFS4ERR_STALE
15  5.743359    client.ip   server.ip   TCP      72     951 → 2049 [ACK] Seq=1141 Ack=1457 Win=4176 Len=0 TSval=1071249523 TSecr=3950568029

Я не знаю, NFS4ERR_STALEявляется ли это условие намеком на проблему. Согласно RFC7530, это указывает на то, что объект файловой системы был удален. Ну, файл в delayed openat()определенно не удален. Так что я не уверен, к чему это относится. Однако оно также показывает задержку в 5,1 секунды между 12 и 13.

Признаюсь, я не совсем понимаю, что я здесь вижу. Однако я вижу такие же задержки и с другими программами, т. е. это не причуда emacs. Сохранение в libreofficeможет даже зависнуть, пока к файлу не обратится другая программа.

Так как я где-то видел, что krb5pв некоторых средах есть проблемы, я уменьшил до krb5, но это ничего не изменило.

И клиент, и сервер запускают gssproxy. На клиенте я вижу отладочные записи nfsidmap, и после настройки sysctl sunrpc.rpc_debug=0xFFFFя вижу следующее для emacsсценария:

[423544.865600] RPC:       gss_get_mic_v2
[423544.865628] RPC:       xs_tcp_send_request(200) = 0
[423544.867049] RPC:       xs_data_ready...
[423544.867309] RPC:       gss_verify_mic_v2
[423545.373665] RPC:       gss_get_mic_v2
[423545.373691] RPC:       xs_tcp_send_request(200) = 0
[423545.374692] RPC:       xs_data_ready...
[423545.374748] RPC:       gss_verify_mic_v2
[423545.375009] RPC:       gss_get_mic_v2
[423545.375025] RPC:       xs_tcp_send_request(268) = 0
[423545.375909] RPC:       xs_data_ready...
[423545.375957] RPC:       gss_verify_mic_v2
[423550.467227] RPC:       gss_get_mic_v2
[423550.467307] RPC:       xs_tcp_send_request(216) = 0
[423550.468395] RPC:       xs_data_ready...
[423550.468513] RPC:       gss_verify_mic_v2
[423550.468621] RPC:       gss_get_mic_v2
[423550.468646] RPC:       gss_get_mic_v2
[423550.468689] RPC:       xs_tcp_send_request(264) = 0
[423550.469403] RPC:       xs_data_ready...
[423550.469541] RPC:       gss_verify_mic_v2
[423550.469564] RPC:       gss_verify_mic_v2
[423550.472794] RPC:       gss_get_mic_v2
[423550.472849] RPC:       xs_tcp_send_request(208) = 0
[423550.473758] RPC:       xs_data_ready...
[423550.473903] RPC:       gss_verify_mic_v2
[423550.474234] RPC:       gss_get_mic_v2
[423550.474290] RPC:       xs_tcp_send_request(200) = 0
[423550.475147] RPC:       xs_data_ready...
[423550.475257] RPC:       gss_verify_mic_v2

Я понятия не имею, как именно интерпретировать этот журнал, но он также ясно показывает 5-секундную задержку, и мне кажется, что все вызовы RPC обрабатываются в течение 100 мс.

Есть ли у вас идеи, что происходит, или хотя бы как еще точнее определить проблему?

решение1

Я решил проблему, когда VPN на моем втором сайте сломался некоторое время назад. Подчиненный сервер Kerberos, используемый сервером NFS, имел свой DNS-сервер, указывающий на другой сайт, т. е. через медленный VPN. Все еще озадачивает, поскольку VPN не такой уж медленный, и я не видел 5-секундных задержек, например, во время входа в систему, но после изменения DNS на локальный подчиненный проблема исчезла.

Тем временем я развернул новый сервер, и он работает без проблем.

Связанный контент