我已经尽我所能地研究了这个问题,但并没有深入研究内核源代码。似乎有大量关于这个问题的虚假信息/不正确的信息,所以我希望这篇文章能一劳永逸地解答我和其他人的问题。
严格来说,从 IPv4 角度来说,端口耗尽真的可能发生吗?让我来解释一下:
- 似乎有 65535 个端口可供使用。0 不可用。
- 我已经读过,端口耗尽需要 (src ip、src port、dst ip、dst port) 元组是唯一的。
- 为了清楚起见,假设我可以通过 sysctl net.ipv4.ip_local_port_range 设置使用 100% 的临时端口
问题是:它是这样的吗?
- 我可以有 65k 个从 127.0.0.1:(x) 到 127.0.0.1:80 的连接
- 我可以有 65k 个从 127.0.0.1:(x) 到 127.0.0.1:555 的连接
- 基本上,再次问题是(srcip,srcport,dstip,dstport)必须是唯一的,对吗?
- 我无法打开超过 65k 个连接从IP“A”到 IP“B”,端口“N”
- 同样地,单一 IP无法打开超过 65k 个到我的 web 服务器的连接,地址是 xxxx:80,但是我可以支持超过 65k 个连接,只要它们来自不同的源 IP?
最后,我对(传出)临时端口和正在监听的传入端口有点困惑。我意识到一旦建立连接,连接的每一侧都是对等的,平等的,但在此之前:
例如,如果 (srcip,srcport,dstip,dstport) 元组确实必须是唯一的,那么为什么如果我启用,例如
net.ipv4.ip_local_port_range = 1024 65535
它允许使用 1024-65535 之间的临时端口,如果我有绑定在端口 3306 上的服务(例如 mySQL),它们有时会因为端口正在使用而无法启动。
这是否与以下事实有关:(这是我要求验证的陈述):
- (srcip、srcport、dstip、dstport)对于每个连接都是唯一的,端口范围为 1-65535(不关注操作系统对临时端口的使用)
- 但是,对于要绑定的套接字,它可以被视为 (srcip,srcport, *, *)。或者换句话说,IP 是否一定不能出于任何原因使用该端口进行绑定?
我可以验证上述行为,即我使用上面精确的 sysctl 行,并且因此我将 mySQL 移动到低于 1024 的端口,因为它偶尔会非常随机地无法重新启动,因为假设操作系统正在使用该端口(3306)作为临时端口。
答案1
这里有两个主要问题:
1.
严格地从 IPv4 角度来说,端口耗尽真的可能发生吗?
是的。例如,负载平衡路由器将所有连接发送到 NAT IP 地址。当您有许多SRC IPs 连接到单个 s 的瓶颈时,很可能会发生这种情况DST IP。
这意味着你的网络服务器可能拥有一系列的连接,例如:
root@buglab:~# netstat -pnt
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 173.200.1.18:80 10.100.1.100:49923 ESTABLISHED 13939/nginx: worker
tcp 0 0 173.200.1.18:80 10.200.1.200:10155 ESTABLISHED 13939/nginx: worker
tcp 0 0 173.200.1.18:80 10.10.1.10:14400 ESTABLISHED 13939/nginx: worker
tcp 0 0 173.200.1.18:80 10.10.1.10:50652 ESTABLISHED 13939/nginx: worker
tcp 0 0 173.200.1.18:80 10.20.1.20:57554 ESTABLISHED 13939/nginx: worker
这完全没问题。但是,如果所有“外部地址”都相同,则可能会出现问题(例如“执行 NAT 的大型路由器 <---> 具有一个 IP 地址的服务器”)。
如果我必须假设为什么短暂端口耗尽不是一个常见问题,我认为这是因为每个端口都需要一个监听服务和足够的资源来响应——另一种资源(内存、CPU)通常首先成为瓶颈。
然而,我在一家负载平衡公司工作时亲自遇到过一些端口耗尽问题。
2. 为什么已使用的端口会给监听服务带来问题?
“这允许使用 1024-65535 之间的临时端口,如果我有绑定在端口 3306 上的服务(例如 mySQL),它们有时会因为端口正在使用而无法启动。”
如果该端口正在使用中(例如 localhost:3306 或所有接口),则 mySQL 服务器无法绑定到该端口。例如,看到以下netstat输出中的 0.0.0.0:80 行了吗?
root@buglab:~# netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:9000 0.0.0.0:* LISTEN 964/php-fpm.conf)
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 1660/mysqld
tcp 0 0 0.0.0.0:842 0.0.0.0:* LISTEN 1317/inetd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 13938/nginx
这意味着端口 80 正在监听全部服务器本地接口。如果另一个进程在我的nginx服务器启动之前占用了端口 80,则nginx无法控制该端口,并且启动过程可能会失败。
通常情况下,端口 3306 就可以了,因为监听服务具有从主机请求的预定义端口(或范围) - 例如 Web 服务器的端口 80 和 443。
答案2
我可以有 65k 个从 127.0.0.1:(x) 到 127.0.0.1:80 的连接。我可以有 65k 个从 127.0.0.1:(x) 到 127.0.0.1:555 的连接。
答:是的,如果你的本地端口是 1-65535,则连接数是 65k-1(一个端口正在监听)
基本上,再次,问题是 (srcip,srcport,dstip,dstport) 必须是唯一的,对吗?答:是的
我无法从 IP “A” 到 IP “B”、端口 “N” 打开超过 65k 个连接,同样,单个 IP 也无法从 xxxx:80 打开到我的网络服务器超过 65k 个连接,但是只要它们来自不同的源 IP,我总体上是否可以支持超过 65k 个连接?
答:单个 IP 无法打开超过 65k 个连接到我的 xxxx:80 的网络服务器,因为 srcip、srcport、dstip、dstport 都是唯一的。是的,如果源 IP 不同,您可以支持超过 65k 个连接