OpenNET: статья - Решение проблемы с kernel panic на FreeBSD (dummynet, swi1:net, trap number = 12) (freebsd panic ipfw crash dummynet)

Ключевые слова: freebsd, panic, ipfw, crash, dummynet, (найти похожие документы)
From: Александр aka Radist <alex@brovis.net.ua.> Newsgroups: email Date: Mon, 09 Feb 2009 17:02:14 +0000 (UTC) Subject: Решение проблемы с kernel panic на FreeBSD (dummynet, swi1:net, trap number = 12) Вначале немного истории и лирики - решение в самом конце. Есть у меня сервер с FreeBSD (7.0). Материнка Microstar AMD 9650 на четыре ядра. Занимается VPN (poptop) и шейпингом (dummynet). Когда резко увеличили канал в интернет (с 20 до 100 мегабит) сервер начал падать пару раз в сутки. При падении выдавал что-то похожее: Fatal trap 12: page fault while in kernel mode current process = 11 (swi1: net) (на одном ядре) и current process = dummynet (на другом) trap number = 12 panic: page fault Подозрения на железо. Поменяли все (включая корпус). Не помогло. Поменяли версию операционки. Ставили 5.4, 6.2 потом поставили 7.1-RC2. Не помагает. Причем в половине случаев даже не сам перегружается. (Заготовили пару бубнов и начили разучивать шаманские танцы:) Временно решили проблему поднятием резерва с перехватом (резервной сервак постоянно пингует основной, когда ответа нет, меняет себе маки и отвечат на ВПН сам). Но это не дело (причем иногда он на пинги отвечал, зараза, нужно что-то другое анализировать или ставить аппаратные вачдоги). В /var/log/messages перед моментом падения появлелись сообщения ipfw: ouch!, skip past end of rules, denying packet. Интернет по этому поводу молчит. Все решения сводятся к манипуляцием с ядром и sysctl и заменой железа. Как правило замена железа помагала. (Как потом выснелось, в большинстве случаев ставилось более новое железо и просто падала общая нагрузка и глюки исчезали.) Раскопали, что в ряде прочессоров AMD 9550-9650 есть глюки с кешем. Попробывали на относительно стором двухядерном - то-же самое. Попутно опеределили, что версия 7.1-RC2 имеет в том числе два прекрасных усовершенствования. 1. При максимальной загрузке по процесу dummynet (более 90%) на предыдущих версиях резко повышался пинг (с 5 до 300 милисекунд) и держался таким пока загрузка не спадала. В новой версии при загрузке 100% пинги не повышаютя и шейпинг остается на приемлемом уровне (правда не понятно за счет чего это достигается, но все равно приятно) 2. Появилось пару новых ключей в sysctl которые снизили нагрузку на процессы dummynet и sw1: net что благоприятно отобразилось на загрузке всей машины и общей latency системы. Потом обратили внимание, что сервер пару раз падал на галзах при операциях с фаерволом. Добавление, удаление правил. Стали копать дальше. У нас в середине фаервола для каждого юзверя создается три правила которые отправляют пакеты на шейпинг. Одно для входящешго и два для исходящего (так надо). При изменении параметров тарифных пакетов клиента правила дропались, менялись параметры пайпов и новые правила создавались. Также аналогично правила создавались и для клиентов, которые вышли за лимит и т.д. Два раза в сутки все правила пересоздавались (в 12 и 8 - ночью скорости для клиентов в два раза выше). Падения сервера были примерно в 18-19 (час пик) и в 12 часов (как правило) . Значит проблема в манипуляциями с фаерволлом. Стали перед удалением правил и пайп делать команду ipfw add XXX skipto YYY all from any to any и давать задержку до 300 секунд перед удалением, чтобы явно все пакеты из пайп ушли. Стало лучше, но падения остались. Думали про altq. Подходит с большим скрипом. Во первых не шейпит входящие пакеты. Да можно их шейпить на исходящем интерфесе, но исходящие в моем случае - это динамически сосздаваемые и так-же динамически умирающие tun интерфейсы числом до 500. И как их обллуживать красиво и помощью altq - это тот еще вопрос. Да конечно, можно поставить еще одну машину, только для altq. (но это не решение проблемы - это борьба с последствиями). Второй скользкий вопрос - это поведение altq пр изагрузке процессора до 100%. Интернет говорит, что это поведение не очень, по крайней мере хуже dummynet. (не проверяли на практике, но dummynet на 7.2 при 100% загрузки себя ведет себя прекрасно) Накопали в инете переписку с коммитерами еще по 4 версии FreeBSD. (сейчас не смог найти что-бы дать ссылку) Речь шла о появлении сообщений ipfw: "ouch!, skip past end of rules, denying packet". Это сообщение появляется когда правило с которого ушли пакеты на dummynet удалено в то время пока в dummynet еще есть пакеты. По умолчанию такие пакеты дропаются (или разрешаются в зависимости от параметров ядра.) Как для меня представлялась система dummynet. Что-то вроде natd. Существуют трубы (pipe) и queue со своими параметрами. Правилом фаэрвола на них пересылается пакеты. После должной обработки пакеты возвращаются на фаэрвол (если другое поведение не определено настройками - пакет может просто разрешатся). Причем пакет возвращается не на правило с номером большим чем правило отправившее пакет на dummynet как это есть в natd, а пакет возвращается на СЛЕДУЮЩЕЕ правило. И в переписке сказано, что пайпа ДОЛЖНА иметь номер правила фаэрвола (очевидно последнего используемого, т.к. правил может быть много) с которого ушел пакет. Иначе там толи нул толи хз. И как оказалось, СИСТЕМА ПАДАЕТ КОГДА УДАЛЯЕТСЯ ПРАВИЛО КОТОРОЕ ОТПРАВЛЯЕТ ПАКЕТЫ НА DUMMYNET, причем без разницы, есть ли в данный момент пакеты на обработке dummynet. Причем, когда загрузка меньше 1 (в еденицах из top), то все нормально, а когда загрузка превышает 1 - вероятность падежа повышается прямо пропорционально загрузке. Решение: Никогда не удалять правила фаервола, которые отправляют пакеты в DUMMYNET. Создать при старте или при необходимости, определить пайпы или queue и не торгать их больше. Надо запретить пакеты - или deny раньше по фаерволу или дать пользователю пару бит в сек. Надо отменить шейпинг - говорим "bw 0" или сказать skipto. Да, есть мнение, что наличее ненужных pipe (так как скорость на них не лимитируется) только уменьшает производительность (занимают память и dummynet с частотой Hz (из параметров ядра) их обходит), но лучше так, чем kernel panic. После замены логики - сервер без перезагрузок более недели. P.S. Не пробывали только менять правила фаэрвола через сеты (ipfw set см. man ipfw) - быть может там другая ситуация

2.19, wtf, 20:38, 09/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
это не баг В списках рассылки об этом есть упоминание http lists freebsd org... весь текст скрыт [показать] [показать ветку]

3.21, Sem, 23:37, 09/02/2009 [^] [ответить] [смотреть все]	+/–
Паника - всегда баг ... весь текст скрыт [показать]

3.30, User294, 20:32, 10/02/2009 [^] [ответить] [смотреть все]	+/–
Наверняка это такая, гм, фича ... весь текст скрыт [показать]

2.16, mummy, 20:24, 09/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
P S У меня sysctl net inet ip fw one_pass 1 net inet ip fw one_pass 1 Forces ... весь текст скрыт [показать] [показать ветку]

3.26, Radist, 18:50, 10/02/2009 [^] [ответить] [смотреть все]	+/–
Не проходит, т к шейпов у меня несколько - на юзера, на групу, на тип трафика и... весь текст скрыт [показать]

2.25, Radist, 18:47, 10/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
У меня время пересоздавания до т 1110 сячи правил на загруженой машине сейчас ... весь текст скрыт [показать] [показать ветку]

2.22, dansoftware, 13:49, 10/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Это старая и до сих пор нерешенная проблема http www freebsd org cgi query-pr... весь текст скрыт [показать] [показать ветку]

3.23, Samm, 13:53, 10/02/2009 [^] [ответить] [смотреть все]	+/–
Тут нигде не сказано про панику ... весь текст скрыт [показать]

4.24, dansoftware, 14:11, 10/02/2009 [^] [ответить] [смотреть все]	+/–
Справедливое замечание Тем не менее, на этот PR я наткнулся, когда разбирался с... весь текст скрыт [показать]

2.27, Radist, 18:52, 10/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Ничего не формлял В силу различн 1110 х причин ... весь текст скрыт [показать] [показать ветку]

2.12, terminus, 17:52, 09/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
цитата из http nuclight livejournal com 124348 html Подобное выведение па... весь текст скрыт [показать] [показать ветку]

3.14, Аноним, 18:38, 09/02/2009 [^] [ответить] [смотреть все]	+/–
Спасибо, так понятнее Могу, однако заметить, что сообщения вполне безобидны и... весь текст скрыт [показать]

2.17, mummy, 20:26, 09/02/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Может выставить в 1 По-умолчанию ведь 0 ... весь текст скрыт [показать] [показать ветку]

3.18, wtf, 20:33, 09/02/2009 [^] [ответить] [смотреть все]	+/–
да в 1, при этом параметры пакет проходит только через первое подходящее правило, при 0 он проходит через все правила, отсюда и ошибка - во время флуша пакет не находит следующего правила в которое он был отправлен.

2.29, Radist, 20:25, 10/02/2009 [^] [ответить] [смотреть все] [показать ветку]

+/–

У меня 600 сессий ВПН и одновременно ломятся в инет до 100.

Сейчас прошло уже более месяца. Серваки ни разу (сплюнуть три раза через плечо) не ребутнулись

З.І. Похожая проблема обнаружилась еще на одном серваке (АМД, два ядра, 6.5 фря, занимается НАТ в пять потоков, т.к. в один поток не справляется). Правил фаєрвола до 300, но есть пару пайп. Иногда при нагрузке близкой к 4 (в еденицах топа), когда удалял правило фаєрвола, все єто чудо просто ребуталось (даже без дампа и сообщений в логах). Исправил по образу и подобию, пока все гуд.

З.З.І. Спользовать общие пайпі на несколько юзеров немог, т.к. используется система бонусов и у каждого юзверя своя скорость.

Испольщовать таблиці (имеестя в виду tablearg), можно, но только если не удалять соответствующие правила, а править параметрі пайп. Тоесть все то-же самое.

3.31, Аноним, 12:27, 12/02/2009 [^] [ответить] [смотреть все]	+/–
Так и знал, что машину времени уже изобрели ... весь текст скрыт [показать]

4.32, Radist, 20:28, 13/02/2009 [^] [ответить] [смотреть все]	+/–
>>6.5 фря > >Так и знал, что машину времени уже изобрели. Sorry, 6.2