Bug 32157

Summary:

с ядром 4.4 крайне медленно стали создаваться правила iptables

Product:

Sisyphus

Reporter:

Sergey Y. Afonin <asy>

Component:

kernel-image-std-def

Assignee:

Vitaly Chikunov <vt>

Status:

CLOSED WONTFIX

QA Contact:

qa-sisyphus

Severity:

normal

Priority:

CC:

evg, kernelbot, placeholder, rider, vt

Version:

unstable

Hardware:

all

OS:

Linux

Attachments:

Description	Flags
Нагенерированный файлик с IP-адресами	none

Description Sergey Y. Afonin 2016-05-31 02:00:43 MSK

Образовалась какая-то засада. Есть набор IP-адресов, достаточно большой, около 18000. Понятное дело, что надо бы использовать ipset, но руки не доходили. Раньше набор правил создавался за вменяемое время, включая ядро 4.1. Примерно 9 минут. С ядром 4.4 этот процесс длится 3 часа 5 минут.

Comment 1 Anton Farygin 2016-05-31 07:33:16 MSK

А откат на предыдущее ядро ускоряет процесс?
Это для того, что бы убедится что дело именно в ядре.

Comment 2 Sergey Y. Afonin 2016-05-31 08:25:49 MSK

Да, с kernel-image-std-def-4.1.21-alt1 9 минут. Два раза перемерял и с ним, и с kernel-image-std-def-4.4.11-alt0.M80P.1. Сейчас ещё подумаю, где можно днём посмотреть и un-def 4.5 посмотрю.

Comment 3 Sergey Y. Afonin 2016-05-31 08:28:09 MSK

И я ОС не обновлял. Это предварительный этап, p7 с ядром от p8. Как раз хотел убедиться, что всё хоршо, и обновиться до конца.

Comment 4 Sergey Y. Afonin 2016-05-31 15:05:59 MSK

С ядром kernel-image-un-def-4.5.5-alt0.M80P.1 так же, как и с kernel-image-std-def-4.4.11-alt0.M80P.1, то есть, долго. Всё воспроизводится и после полного обновления до p8.

Comment 5 Anton Farygin 2016-05-31 15:12:14 MSK

testcase нужен, можно пример какой-то скрипта простого, который можно запускать на любой конфигурации ?

Comment 6 Sergey Y. Afonin 2016-05-31 17:21:06 MSK

как-то так (немного неаккуратно в плане -N/-F, но сойдёт для теста):

========
iptables -t nat -N TEST_CHAIN
iptables -t nat -F TEST_CHAIN

IP_LIST=/tmp/iplist.txt

for IP in `cat $IP_LIST`; do
        echo iptables -t nat -A TEST_CHAIN -d $IP -j DNAT --to 127.0.0.2
        iptables -t nat -A TEST_CHAIN -d $IP -j DNAT --to 127.0.0.2
done
========

Начинается всё быстро, но замедляется в процессе. При этом, если одна здоровенная цепочка создана, то вторая (TEST_CHAIN2, к примеру) уже создаётся изначально медленно. В принципе, тысяче на пяти правил уже заметно.

Comment 7 Sergey Y. Afonin 2016-05-31 17:22:08 MSK

Created attachment 6738 [details]
Нагенерированный файлик с IP-адресами

Comment 8 Anton Farygin 2016-05-31 21:08:39 MSK

Посмотрю.

А если тоже-самое попробовать с IPSET ? Там же тест тривиальный.

Comment 9 Sergey Y. Afonin 2016-11-09 12:13:42 MSK

(In reply to comment #8)

> А если тоже-самое попробовать с IPSET ? Там же тест тривиальный.

Дошли руки. На 28000 ip-адресах сет заполняется одинаково примерно, за 62-64 секунды (и с 4.1.21-std-def, и с 4.4.30-std-def). В общем-то, оно решение, и правильное идеологически, но что сломали в iptables - непонятно. Может, что-то связанное с переходом на nftables ?

Comment 10 Anton Farygin 2016-11-09 15:39:27 MSK

Вешайте это в апстрим, думаю что у нас здесь не решить такую ошибку.
Апстрим, правда, скорее всего посоветует использовать ipset, там есть инструменты оптимизированные для загрузки большого количества адресов (опция restore).

Comment 11 Sergey Y. Afonin 2016-11-21 17:10:51 MSK

https://bugzilla.kernel.org/show_bug.cgi?id=188251

Comment 12 Anton Farygin 2016-11-21 17:17:30 MSK

Сергей, было бы неплохо в ту багу добавить скрипты для тестирования.

Comment 13 Anton Farygin 2024-06-03 19:26:12 MSK

в рамках нашего проекта эта задача неисправима, да и ядро уже 6.6 и iptables уже устарел.