LINUX.ORG.RU
ФорумAdmin

ksoftirqd - 100% CPU


0

1

Мне syn flood льют на 70 мегабит. Смушает что ksoftiqrd жрет 100% 1 ядра. Мне не жалко, но хочется канал расширить до гигабита, и не уверен, что пройдет без затыков.

Debian5 c 32 ядром. (Proxmox 1.7)

★★★★★

Как вариант - поставить перед сервером железку, типа cisco ASA.
Она будет пропускать только установленные соединения.

Steel901 ()
Ответ на: комментарий от Steel901

Вообще-то вопрос был про линукс :) . куда крутить ksoftirq

Vit ★★★★★ ()
Ответ на: комментарий от Vit

Это транзитный марщрутизатор или сервер в который и льют? У вас в iptables не многовато ли правил?

ventilator ★★★ ()
Ответ на: комментарий от Vit

>куда крутить ksoftirq

Никуда. Можно попробовать уменьшить число генерируемых сетевухой прерываний, покрутив параметры её модуля.

anon_666 ()
Ответ на: комментарий от ventilator

ksoftirqd - Это все что происходит с пакетом в ядре - роутинг, фильтрация, шейпинг, нат и тд. Похоже что у топикстартера с иптейблс правил многовато, через которые проходят все пакеты. Неплохо бы увидеть вообще какие то циферки и конфиги.

ventilator ★★★ ()
Ответ на: комментарий от ventilator

В iptables вообще пусто.

Есть подозрение, что нагрузка идет из-за proxmox, там же пакеты в venet перекладываются виртуалкам. По крайней мере, когда пришиб виртуалку, на которую синфлуд лили, нагрузка пропала, несмотря на 70 мегабит входного траффика.

Но я все равно не понимаю, какого все прерывания идут на одно ядро, если остальные размазываются по восьми. В общем, в сервер уже воткнули гигабитный конец, и теперь вопрос в том, что тюнить дальше, чтобы ksoftirqd с ума не сходил.

Насчет DDoS-ов сразу говорю - входящий траффик сервера в 3 раза больше исходящего. То есть валят именно канал, синфлудом.

Vit ★★★★★ ()
Ответ на: комментарий от Vit

Что такое proxmox и как работает я не знаю. Прерывания от сетевок желательно не размазывать, а прибить каждое прерывание к какому то ядру, это вообще нормально одна сетевка - одно прерывание - одно ядро, исключение составляет MSI-X который раскладывает прерывания по ядрам(может теряться производительность из-за непопадания в кеш), а также сетевки которые поддерживают несколько очередей на разных прерываниях - это наиболее правильный способ загрузки всех ядер. Однако ksoftirqd это совсем не только хардварные прерывания. У вас похоже трафик в venet через юзерспейс попадает.

ventilator ★★★ ()
Ответ на: комментарий от ventilator

proxmox ~= openvz с удобной вебмордой

Как там траффик бегает - без понятия. На 10 мегабитах ничего не заметно.

Vit ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.