我的 haproxy 伺服器在達到某個閾值後拒絕新連線(或逾時)時遇到問題。代理伺服器是AWSc5.大號EC2 配備 2 個 cpu 和 4GB 記憶體。我們網站上的兩種連接類型使用相同的配置,我們有一種用於 websocket 連接,通常在2K-4K並發連線數和請求率約為10/秒。另一個是用於正常的網路流量,以 nginx 作為後端,大約400-500並發連線數和請求率約為100-150/秒。兩者的典型 CPU 使用率約為3-5%在 haproxy 進程上,2-3%用於 websocket 代理的記憶體 (40-60MB) 和1-3%用於 Web 代理的記憶體 (30-40MB)。
根據附加的配置,CPU 映射到兩個 CPU,運行一個進程和兩個執行緒。這兩種類型的流量通常都是 95%(或更高)的 SSL 流量。我已經使用查看了代理信息watch -n 1 '回顯「顯示訊息」 | socat unix:/run/haproxy/admin.sock -'看看我是否達到了自己的極限,但事實似乎並非如此。
在高流量期間,當我們開始發現問題時,我們的 websocket 並發連線達到大約5K網路請求率達到400 個請求/秒。我在這裡提到這兩台伺服器是因為我知道配置可以處理高並發連接和請求率,但我缺少一些其他已達到的資源限制。正常情況下一切正常;然而,我們看到的問題是ERR_CONNECTION_TIMED_OUT(來自 chrome)類型錯誤。我從來沒有看到任何 502 錯誤。我也沒有看到任何其他進程在伺服器上使用更多的 cpu 或記憶體。我還附加了一些其他可能相關的配置,例如設定我的限制和 sysctl 設定。
有什麼想法我可能會錯過嗎?我在讀書嗎頂部和輔助 | grep haproxy錯誤並看到錯誤的 cpu/mem 使用情況?我是否缺少一些 tcp 連線限制?後端伺服器(nginx/websocket)正在運行,但似乎從未被徵稅。我們已經用更多的連接和流量對這些進行了負載測試,並且在我們限制後端伺服器之前很久就受到代理的限制。
多謝。
haproxy.cfg:
global
ulimit-n 300057
quiet
maxconn 150000
maxconnrate 1000
nbproc 1
nbthread 2
cpu-map auto:1/1-2 0-1
daemon
stats socket /run/haproxy/admin.sock mode 600 level admin
stats timeout 2m
log 127.0.0.1:514 local0
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
ssl-default-bind-options no-sslv3 no-tlsv10
ssl-default-bind-ciphers kEECDH+aRSA+AES:kRSA+AES:+AES256:RC4-SHA:!kEDH:!LOW:!EXP:!MD5:!aNULL:!eNULL:!RC4
defaults
maxconn 150000
mode http
log global
option forwardfor
timeout client 30s
timeout server 120s
timeout connect 10s
timeout queue 60s
timeout http-request 20s
frontend default_proxy
option httplog
bind :80
bind :443 ssl crt /etc/haproxy/ssl.pem
... acl stuff which may route to a different backend
... acl for websocket traffic
use_backend websocket if websocket_acl
default_backend default_web
backend default_web
log global
option httpclose
option http-server-close
option checkcache
balance roundrobin
option httpchk HEAD /index.php HTTP/1.1\r\nHost:website.com
server web1 192.168.1.2:80 check inter 6000 weight 1
server web2 192.168.1.3:80 check inter 6000 weight 1
backend websocket
# no option checkcache
option httpclose
option http-server-close
balance roundrobin
server websocket-1 192.168.1.4:80 check inter 6000 weight 1
server websocket-2 192.168.1.5:80 check inter 6000 weight 1
輸出來自haproxy-vv:
HA-Proxy version 1.8.23-1ppa1~xenial 2019/11/26
Copyright 2000-2019 Willy Tarreau <[email protected]>
Build options :
TARGET = linux2628
CPU = generic
CC = gcc
CFLAGS = -O2 -g -O2 -fPIE -fstack-protector-strong -Wformat - Werror=format-security -Wdate-time -D_FORTIFY_SOURCE=2 -fno-strict-aliasing -Wdeclaration-after-statement -fwrapv -Wno-unused-label
OPTIONS = USE_GETADDRINFO=1 USE_ZLIB=1 USE_REGPARM=1 USE_OPENSSL=1 USE_LUA=1 USE_SYSTEMD=1 USE_PCRE2=1 USE_PCRE2_JIT=1 USE_NS=1
Default settings :
maxconn = 2000, bufsize = 16384, maxrewrite = 1024, maxpollevents = 200
Built with OpenSSL version : OpenSSL 1.0.2g 1 Mar 2016
Running on OpenSSL version : OpenSSL 1.0.2g 1 Mar 2016
OpenSSL library supports TLS extensions : yes
OpenSSL library supports SNI : yes
OpenSSL library supports : TLSv1.0 TLSv1.1 TLSv1.2
Built with Lua version : Lua 5.3.1
Built with transparent proxy support using: IP_TRANSPARENT IPV6_TRANSPARENT IP_FREEBIND
Encrypted password support via crypt(3): yes
Built with multi-threading support.
Built with PCRE2 version : 10.21 2016-01-12
PCRE2 library supports JIT : yes
Built with zlib version : 1.2.8
Running on zlib version : 1.2.8
Compression algorithms supported : identity("identity"), deflate("deflate"), raw-deflate("deflate"), gzip("gzip")
Built with network namespace support.
Available polling systems :
epoll : pref=300, test result OK
poll : pref=200, test result OK
select : pref=150, test result OK
Total: 3 (3 usable), will use epoll.
Available filters :
[SPOE] spoe
[COMP] compression
[TRACE] trace
限制.conf:
* soft nofile 120000
* soft nproc 120000
系統設定檔:
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies=1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.ip_local_port_range = 1024 65023
net.ipv4.tcp_max_syn_backlog = 50000
net.ipv4.tcp_max_tw_buckets = 400000
net.ipv4.tcp_max_orphans = 60000
net.ipv4.tcp_synack_retries = 3
net.core.somaxconn = 50000
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.ipv4.tcp_no_metrics_save = 1
net.ipv4.tcp_moderate_rcvbuf = 1
net.core.netdev_max_backlog = 50000
fs.epoll.max_user_instances = 10000
典型負載為 330 個並發連接和 80 個請求/秒輔助 | grep haproxy輸出:
root 8122 4.5 1.2 159052 46200 ? Ssl Jan28 40:56 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 29790
root 12893 0.0 0.3 49720 12832 ? Ss Jan21 0:00 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 29790
作業系統是Ubuntu 16.04。
答案1
原來答案一直盯著我的臉。我已經設定了最大連線率到 1,000。然而,顯示訊息向我展示了 10-15 之間的較低連接率,所以我認為我沒有達到該限制。我最多只能維持 500 個請求/秒(由我的後端伺服器確認),每個請求需要一個到客戶端的連接,另一個到後端的連接。因此,我每秒使用 1,000 個連線。
我取消了這個限制,並且能夠維持更高的連線速率。