版权声明:本文为博主原创文章,遵循 CC 4.0 by-sa 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dog250/article/details/51289489
越是靠海的地方,海鲜越贵!
但那是骗外地的以种田为生的人的...
作为服务器,你敢想象系统的开销大部分都在“路由查找”上吗?
如果你的系统中10w+条量级以上的路由表项的话,这个无可厚非,然而系统就是一个服务器,一共两块网卡,连接在一个可怜的万兆以太网中,该以太网一共两个出口,一个默认网关,一个内网网关,我勒个去,一共就2条路由...爆炸!
然而该服务器的pps/tps均非常巨量,每一个数据包都要往路由表中走一趟,这其实就是例行公事!走这一趟的原始意义在于找出一个结果,告诉我我该从哪里走,为了让处理更快些,很多路由器采用了流缓存,在硬件或者软件的底层保留一个关于N元组的缓存,里面保存一个流的路由项,邻居等信息。在早期的一篇文章中,我描述了怎么在nf_conntrack中保存路由信息,一个数据包 从一个接口进来,然后快速地查找缓存,找出从哪个接口出去,发出去,即可。这样就避开了查找路由表。
对于服务器而言,大多数人有一种偏见,就是鄙视Netfilter,鄙视conntrack,这绝对是一种偏见,我也承认conntrack的效率低下,但这绝对不是Netfilter的错!很多人把iptables和Netfilter混为一谈,这是极其错误的,坏了Netfilter名声的仅仅是iptables的filter而已,我前任公司的老师在6年前就告诉过我,10000条iptables可以让系统的网络性能下降一半!后来我确实证实了这个,因为iptables是通过Netfilter实现的,所以就觉得Netfilter性能低下,我后来移植了nf-HiPAC,也是基于Netfilter,加了50000条规则,性能却几乎没有任何损失!
因此,iptables的性能损失在于其线性结构,而与Netfilter完全无关!不管怎么说,在网络领域大行其道的Netfilter在服务器领域却被无情蔑视,事实上,Netfilter更多的是想用于服务器的。你可以试试看,只要你对开发人员说用Netfilter就可以搞定什么的时候,他们一定会站起来跟你嚷嚷,这样效率太低,这样不合理,这样太复杂之类的反驳如同暴风骤雨,大珠小珠落玉盘!
好了,扯远了,我们现在忘掉Netfilter,我暂时也加入蔑视一族。我们的目标是绕开每一个数据包的路由查找,而又不想用Netfilter,那么怎么办?!事实上,对于服务器而言,有一个天然的缓存,那就是socket!既然你不想查路由,也不想引入Netfilter查缓存,如果你连socket都不想查,我觉得你可以成仙玩瞬间移动了。socket查找既然最终必不可少,那就把所有的东西都扔到socket里面,第一个包查找到路由的时候,就把路由项存在socket里面,后面的数据包直接取而用之!
不过我还是建议使用基于Netfilter的流缓存,将socket也保存在里面,囊括一切。不要鄙视Netfilter,特别是在服务器,如果做转发设备,Netfilter可能真会成为瓶颈,但是对于服务器,应用的处理能力完全比不上Netfilter,充其量是一个量级,这要不要学iptables,不会带来任何性能问题。你自己想啊,应用程序会受制于各种计算,磁盘IO,日志,统计...任何一个延迟都会拖慢整体,而协议栈的处理是软中断驱动的,完全异步。对于转发设备,pps是指标中的根本,这意味着引入的哪怕纳秒级的性能损伤都会影响整体。
————————————————
版权声明:本文为CSDN博主「dog250」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/dog250/article/details/51289489
阅读(1388) | 评论(0) | 转发(0) |