Как мы обнаружили утечки памяти ядра Linux
В декабре система мониторинга создала несколько заявок в связи с нехваткой оперативной памяти. После подключения к проблеме инженеров и разработчиков, выяснилось следующее:
- Несколько пользователей в ручном режиме обновили CentOS до последней версии на сервере системы фильтрации.
- Через 1-2 дня после перезагрузки сервера (обновление ядра применяется только после перезагрузки), система мониторинга Carbon Soft создала задачу «Недостаточно свободной оперативной памяти».
- После выполненных работ выяснили, что в ядрах новее 754.el6 имеется утечка памяти до 200 Мб в час, возникающая при обработке трафика, что стало причиной поломки нескольких серверов.
Мы добавили эти ядра в чёрный список и разобрались с серверами, которые уже обновились.
Вывод
Система мониторинга Carbon Soft спасла нескольких операторов связи от штрафов Роскомнадзора. Настоятельно рекомендуем не обновлять ядра Linux самостоятельно, так как это чревато остановкой работы сервера фильтрации. Все работы по серверу с Carbon Reductor DPI согласуйте с инженерами поддержки.
Загрузка списков в модули Carbon Reductor DPI
Мы оптимизировали логику загрузки списков в правила фильтрации в случае наличия ошибок в реестре запрещённых сайтов.
Процесс работы с реестром следующий:
- Реестр выгружается с сайта Роскомнадзора.
- Производится разбор реестра и в зависимости от типа блокировки создаются списки.
- Списки приводятся к единому стандарту.
- После обработки списков создаются правила фильтрации и загружаются в модули Carbon Reductor DPI.
Ранее, при обнаружении ошибок в реестре, загрузка правил не выполнялась, так как система обнаружила ошибки. Мы сделали пропуск десяти ошибок, проблемные записи будут проигнорированы и правила фильтрации обновлены, в случае если проблемных записей будет больше — обработка прекратится и создастся заявка о проблеме.
Система мониторинга
Выгрузки реестра запрещённых сайтов
Мы собрали статистику по устареванию реестра и пришли к выводу, что в большинстве случаев заявки создаются у операторов связи, которые выполняют выгрузку со своего сервера, а не с сервера Роскомнадзора напрямую. Если реестр устареет, АС «Ревизор» обнаружит нарушения в блокировке запрещённых ресурсов.
Мы не рекомендуем использовать подобную схему выгрузки, используйте выгрузку с помощью ЭЦП или с помощью режима «дельт».
Теперь если оператор связи выполняет выгрузку реестра самостоятельно, будет создана заявка со статусом Warning, чтобы Вы обратили на это внимание.
Примечание. Warning служит только уведомлением системного администратора, инженер технической поддержки к заявке привлекаться не будет.
Проверка наличия трафика
Обновлён тест проверки наличия трафика для анализа, теперь проверяется присутствие как IPv4, так и IPv6 трафика. В случае высокой нагрузки на сервер и наличии входящего трафика от абонентов в зеркале, тест порекомендует оставить только исходящий.
Проверка свободного места на диске
Исключены ложные срабатывания теста проверки свободного места на диске. Тест считал, что подключенный ISO образ или диск полностью заполнен и создавалась заявка.
Веб-интерфейс
Исправлено отображение статистики по количеству выгрузок единого реестра запрещённых сайтов за сутки.
График используемой оперативной памяти на сервере неверно отображал значения, они немного отличались от действительности.
Спасибо, что пользуетесь Carbon Reductor DPI X!
