LVSのDSR構成でリアルサーバにFIN_WAIT1 FIN_WAIT2が多発する問題

CentOSからUbuntu Serverへの入れ替えを進めてる最中だったりするのですが、グローバルに露出しているLVSをDSR構成でつかうと、リアルサーバにFIN_WAIT1と、FIN_WAIT2が大量に発生してしまいました。

LVSの方でtimeoutを通常より短めに設定していたため、ただちに大きな影響はありませんでしたが、これは放置できません。

ぐぐったらすぐでてきたのですが、iptablesがstateを評価すると、FINを落とすそうです。http://3.1415.jp/node/226

さて、そんな設定した覚えないのになーと思いつつ、ufwの存在をすっかり忘れているお馬鹿さんでした。
iptables -L でみると見たこともないような設定だらけ!
簡単にポリシーにそって設定できるufwですが、よかれとおもって入っているリッチ()な設定が悪さをしていました。

なのでとりあえず暫定的にstate部分を削除します。

探して、
iptables -L --line-number

チェインと番号を指定して消します。
iptables -D ufw-before-input 3

1リアルサーバあたり30000くらいあったActiveConnが、2500前後まで落ちました。スッキリ。

ufwを使わずに今まで通りに手で書いてrestoreするのか、ufwを使いこなすか悩むところです。

コメントを残す

メールアドレスが公開されることはありません。


*