运维排查篇 | Linux 连接跟踪表满了怎么处理

摘要：

nf_conntrack（旧称ip_conntrack）是Linux内核模块，负责追踪网络连接状态。不当配置可能导致nf_conntrack表满，引发丢包和连接建立失败。本文基于作者亲身经历的线上故障，深入分析了该问题的原因和机制。

案例现象：

A服务压测期间，出现后端服务不可用。服务器负载正常，服务日志无异常，但系统日志显示大量错误信息，指出nf_conntrack表已满，导致数据包丢弃。

问题定位：

系统日志显示问题与nf_conntrack有关。nf_conntrack是内核模块，追踪连接状态，与iptables关联，用于nat和state模块。连接跟踪信息记录在/proc/net/nf_conntrack文件中。

nf_conntrack存储机制：

nf_conntrack将连接信息存储在哈希表中，每个哈希桶包含一个链表，存放多个连接条目。当新数据包到来时，内核通过计算哈希值，判断连接信息是否已被跟踪。理想情况下，每个链表存储一条连接，但这会占用大量内存。官方推荐每个链表存四条连接，以兼顾效率和内存使用。

解决方案：

面对nf_conntrack表满的问题，可以关闭防火墙、修改iptables规则或优化内核参数。优化措施包括调整nf_conntrack_buckets和nf_conntrack_max的值，以及调整连接超时参数，以适应服务器配置和减少无意义连接的跟踪。

结论：

作者通过真实案例，详细解释了nf_conntrack的工作原理和存储机制，并提供了解决nf_conntrack表满问题的方法。适当配置和优化可以有效防止此类问题发生。