Запись в птс аннулирована: Запись аннулирована в птс

* tcp_keepalives_kill = 1
tcp_ip_abort_interval = 600000
(по умолчанию 600000)

Коды ошибок Open Transport / PPP

     7102: OT / PPP не загружается должным образом при запуске системы.7103: OT / PPP не удалось настроить порт.
     7104: OT / PPP не хватает памяти.
     7105: Запрошенное действие не поддерживается.
     7106: Один или несколько ресурсов отсутствуют в OT / PPP.
     установленные файлы.
     7107: файл подключений удаленного доступа не
     совместим с установленной версией OT / PPP.
     7108: действие, требующее подключения, было запрошено, когда
     связи не было.
     7109: попытка подключения или установленное соединение.
     был прекращен пользователем.7110: имя пользователя неизвестно.
     7111: неверный пароль.
     7112: Непредвиденная ошибка без полезной информации.
     произошел.
     7113: Один или несколько установленных файлов OT / PPP
     поврежден.
     7114: Запрошенное действие не может быть выполнено, потому что
     OT / PPP был занят.
     7115: логический порт OT / PPP находится в неизвестном состоянии.
     7116: логический порт OT / PPP находится в недопустимом состоянии.
     7117: Логический порт OT / PPP обнаружил недопустимый
     последовательный протокол.7118: Вход для данного пользователя отключен.
     7120: Администратор сервера требует, чтобы пользователь ввел
     пароль.
     7122: OT / PPP не удалось инициализировать открытый транспорт.
     7123: Запрошенное действие не может быть выполнено, потому что
     OT / PPP еще не полностью инициализирован.
     7124: TCP / IP неактивен и не может быть загружен.
     7125: TCP / IP еще не настроен.
     7126: PPP не выбран в качестве интерфейса TCP / IP в
     текущая конфигурация TCP / IP.
     7128: Запрошенный протокол PPP был отклонен PPP.
     вглядеться.7129: Ошибка аутентификации PPP.
     7130: сбой согласования PPP.
     7131: PPP был отключен локально.
     7132: Одноранговый узел PPP неожиданно отключился.
     7133: одноранговый узел PPP не отвечает.
     7134: Файл журнала OT / PPP не открыт.
     7135: Файл журнала OT / PPP уже открыт.
     7136: Не удалось получить запись журнала OT / PPP.
     7138: OT / PPP не может найти активную системную папку.
     7139: OT / PPP не может найти свою папку настроек.
     7140: Существует уже существующий файл, использующий тип OT / PPP или
     создатель.7141: уже существует папка, использующая OT / PPP.
     имя и расположение папки.
     7142: файл подключений удаленного доступа не открыт.
     7144: Получен неизвестный тип протокола управления PPP.
     7145: PPP получил пакет недопустимой длины.
     7146: PPP получил оборотную опцию с недопустимым
     значение.
     7147: PPP получил обсуждаемую опцию с недопустимыми флагами.
     7148: PPP исчерпала память во время согласования с одноранговым узлом.
     7152: PPP обнаружил ошибку без полезной информации.7153: PPP находится в недопустимом состоянии.
     7163: Пользователь отменил диалог ввода пароля.
     7164: Пользователь не ответил на ввод пароля
     диалог во времени.
     7165: Обращение к неизвестному последовательному порту Open Transport.
     7166: Логический порт OT / PPP не настроен.
     7167: Нет доступных конечных точек служб AppleTalk.
     7168: Пользователь отменил модемный скрипт ASK или
     Диалог ручного набора.
 

Что значит "Этот надоедливый MacTCP снова взбесился." Сообщение
     Иметь в виду?
     
Программное обеспечение PPP / SLIP не подключается к вашему
Провайдер интернет-услуг (ISP).

    Необходимо установить расширение PPP и панель управления Config PPP,
    или соответствующее программное обеспечение SLIP. Вам необходимо убедиться, что модем
    соединение с вашим интернет-провайдером выполняется перед запуском приложения TCP / IP.
    Вы должны запустить Config PPP или Config SLIP и дозвониться через него.
    программное обеспечение.
     
- Подтверждающие сообщения из программного обеспечения для подключения будут отображаться, когда
     успешное соединение установлено,
     
- Или сообщения об ошибках укажут, что не так.Панель управления MacTCP или TCP / IP настроена неправильно.
     См. Раздел «Правильная настройка конфигурации MacTCP или TCP / IP» ниже.
     для дополнительной информации.

          Сервер MacIP не работает или не имеет доступного IP-адреса.
     Вы должны выбрать другую зону, в которой также есть MacIP-сервер.
     сеть. Это выбирается под значком EtherTalk или LocalTalk.
     всплывающее меню в панели управления MacTCP.

          Интернет-шлюз или маршрутизатор не работает или вводится адрес.
     неправильно (обычно это применяется при ручной настройке IP).Ты
     необходимо запросить у сетевого администратора список действительных Интернет-сайтов.
     IP-адреса шлюза или маршрутизатора.

          Файлы MacTCP или TCP / IP повреждены.
     Если вы используете MacTCP, закидывайте панель управления MacTCP, MacTCP
     Файлы DNR и MacTCP Prep в корзину.

     - Переустановите MacTCP с помощью выборочной установки из Mac OS 7.5.
     установщик или перетащите копию из предыдущих версий системы. У вас будет
     ввести всю необходимую информацию в панель управления.

     Если вы используете Open Transport и TCP / IP, бросьте элемент управления TCP / IP
     панель и файлы настроек TCP / IP в корзину.- Переустановите панель управления TCP / IP с пользовательской установкой из
     установщик Mac OS 7.5.2 или более поздней версии. Однажды при выборочной установке
     вариантов, расширить сеть, расширить открытый транспорт и выбрать TCP / IP.
     Вам нужно будет ввести всю необходимую информацию в панели управления. 

      kOTBadAddressErr
                               -3150
                                      Указанный адрес протокола
                                      был в неправильном формате или
                                      содержала незаконную информацию.kOTBadOptionErr
                               -3151
                                      Указанные параметры протокола
                                      были в неправильном формате или
                                      содержала незаконную информацию.
      kOTAccessErr
                               -3152
                                      У пользователя нет
                                      разрешение на переговоры
                                      указанный адрес или варианты.kOTBadReferenceErr
                               -3153
                                      Указанная EndpointRef или
                                      TEndpoint * не относится к
                                      действующая конечная точка.
      kOTNoAddressErr
                               -3154
                                      Конечная точка не может выделить
                                      адрес, или адрес был
                                      требуется и не предоставляется
                                      клиент.kOTOutStateErr
                               -3155
                                      Функция была выпущена в
                                      неправильная последовательность.
      kOTBadSequenceErr
                               -3156
                                      Недействительный порядковый номер
                                      был указан, или вызов NULL
                                      указатель был указан, когда
                                      отклонение запроса на подключение.kOTLookErr
                               -3158
                                      Асинхронное событие имеет
                                      произошло на этой конечной точке.
      kOTBadDataErr
                               -3159
                                      Количество клиентских данных
                                      указанное не было в пределах
                                      пределы, разрешенные
                                      конечная точка.
      kOTBufferOverflowErr
                               -3160
                                      Количество выделенных байтов
                                      держать результат больше чем
                                      ноль, но недостаточно для хранения
                                      результат.kOTFlowErr
                               -3161
                                      Конечная точка находится в асинхронном режиме
                                      режим, но управление потоком
                                      механизм предотвращает
                                      конечная точка от принятия любых
                                      данные на данный момент.
      kOTNoDataErr
                               -3162
                                      Эта конечная точка не блокируется
                                      режим, но в настоящее время нет данных
                                      имеется в наличии.Он также возвращается
                                      LookupName, когда нет имен
                                      найдены.
      kOTNoDisconnectErr
                               -3163
                                      Индикация отключения отсутствует.
                                      имеется в наличии.
      kOTNoUDErrErr
                               -3164
                                      Нет индикации ошибки данных агрегата
                                      в настоящее время существует на этой конечной точке.kOTBadFlagErr
                               -3165
                                      Указан недопустимый флаг.
      kOTNoReleaseErr
                               -3166
                                      Нет индикации упорядоченного выпуска
                                      в настоящее время существует на этой конечной точке.
      kOTNotSupportedErr
                               -3167
                                      Это действие не поддерживается
                                      эта конечная точка.kOTStateChangeErr
                               -3168
                                      Конечная точка подвергается
                                      переходное изменение состояния. Этот
                                      ошибка возвращается, когда
                                      вызов функции выполняется во время
                                      конечная точка находится в процессе
                                      изменение состояний. Клиент
                                      следует дождаться события
                                      указывает на то, что конечная точка имеет
                                      закончил изменять состояние и звонить
                                      функция снова.Примечание: эквивалент
                                      код ошибки изменения состояния,
                                      TSTATECHNG, не является
                                      описанный в 1992 году X / Open
                                      Спецификация XTI.

                                      Эта ошибка также возвращается, если вы
                                      попытаться использовать
                                      «несовместимая» функция, пока
                                      еще одна операция
                                      продолжается (например: звонит
                                      SndUData в то время как
                                      Вызов OptionManagement по-прежнему
                                      выдающийся).kOTStructureTypeErr
                               -3169
                                      Неподдерживаемый тип структуры
                                      был передан в structType
                                      поле. Эта ошибка также возвращается
                                      когда поле structType
                                      несовместимо с конечной точкой
                                      тип.
      kOTBadNameErr
                               -3170
                                      Имя конечной точки недействительно.kOTBadQLenErr
                               -3171
                                      Аргумент qlen, когда
                                      конечная точка была связана с Bind
                                      было ноль.
      kOTAddressBusyErr
                               -3172
                                      Запрошенный адрес уже используется,
                                      или эта конечная точка не
                                      поддержка нескольких подключений
                                      с одинаковыми локальными и удаленными
                                      адреса.Этот код результата
                                      указывает, что соединение
                                      уже существует. Как возвращаемое значение
                                      для вызова Bind он также может
                                      указать, что нет динамических
                                      адреса доступны для
                                      протоколы или конфигурация
                                      методы, позволяющие динамические
                                      адресация.kOTIndOutErr
                               -3173
                                      Есть выдающиеся
                                      индикация подключения на
                                      конечная точка. Все остальные связи
                                      показания должны быть обработаны
                                      либо отклонив их с помощью
                                      SndDisconnect, или приняв
                                      их с помощью Accept.kOTProviderMismatchErr
                               -3174
                                      Конечная точка, которая должна принимать
                                      соединение не то же самое
                                      своего рода конечная точка, как эта.
      kOTResQLenErr
                               -3175
                                      Когда эта конечная точка была привязана
                                      (см. Bind), параметр qlen
                                      было больше нуля.Но
                                      принять соединение на
                                      альтернативная конечная точка, например эта
                                      один, конечная точка должна быть
                                      связан с параметром qlen
                                      равняется нулю.
      kOTResAddressErr
                               -3176
                                      Адрес, по которому это
                                      конечная точка привязана отличается от
                                      то конечной точки, что
                                      получил соединение
                                      запрос; таким образом, эта конечная точка
                                      не могу принять это соединение
                                      запрос.kOTQFullErr
                               -3177
                                      Максимальное количество
                                      выдающиеся признаки были
                                      достиг конечной точки.
      kOTProtocolErr
                               -3178
                                      Неуказанная ошибка протокола
                                      произошел.
      kOTBadSyncErr
                               -3179
                                      Звонок в Sync был сделан в
                                      время, не относящееся к SystemTask.kOTCanceledErr
                               -3180
                                      Выдающийся звонок был
                                      отменен.
      kOTNoError
                               0000
                                      Функция завершена
                                      выполнение без ошибок.
 

Вот некоторые часто используемые решения:

• Sysdig Inspec — это мощный интерфейс с открытым исходным кодом для поиска и устранения неисправностей контейнеров.

»Настройка ОС Linux

Если базовая операционная система правильно сконфигурирована и настроена, операции с хранилищем улучшатся, и проблемы можно будет предотвратить.

В этом разделе вы узнаете о настраиваемой конфигурации ОС Linux для идеальных операций с Vault.

»Пользовательские ограничения

Ядро Linux может налагать пользовательских ограничений (также называемых ulimits или) для каждого пользователя, процесса или всей системы.Эти ограничения исторически были разработаны, чтобы помочь предотвратить потребление одним пользователем или процессом доступных ресурсов в многопользовательских и многопроцессорных системах. В современной системе Linux эти ulimit обычно контролируются свойствами процесса systemd.

Для систем, ориентированных на конкретные задачи, таких как серверы Vault, на которых обычно размещается минимальное количество запущенных процессов и отсутствуют многопользовательские интерактивные сеансы, ограничения по умолчанию могут быть слишком низкими и вызывать проблемы.

Текущие ограничения для запущенного процесса хранилища всегда можно прочитать из таблицы процессов ядра под соответствующим идентификатором процесса (PID).В этом примере команда pidof используется для динамического получения PID хранилища и вставки его в путь для получения правильных значений.

  $ cat / proc / $ (pidof vault) / limits
  

Успешный ответ похож на результат этого примера.

  Предел Мягкий Предел Жесткий Предел Единицы
Максимальное время процессора неограниченно неограниченно секунд
Максимальный размер файла неограничен неограниченно байтов
Максимальный размер данных неограничен неограниченно байтов
Максимальный размер стека 8388608 неограниченное количество байтов
Максимальный размер файла ядра 0 неограниченное количество байтов
Максимальный набор резидента неограниченное неограниченное количество байтов
Максимальное количество процессов 7724 7724 процесса
Максимальное количество открытых файлов 1024 4096 файлов
Максимальный объем заблокированной памяти 16777216 16777216 байт
Максимальное адресное пространство неограниченное неограниченное количество байтов
Максимальное количество блокировок файлов неограниченное количество блокировок
Максимальное количество ожидающих сигналов 7724 7724 сигналов
Максимальный размер очереди сообщений 819200 819200 байт
Максимальный хороший приоритет 0 0
Максимальный приоритет в реальном времени 0 0
Максимальный тайм-аут в реальном времени без ограничений без ограничений сша
  

Выходные данные показывают имя лимита и три значения:

• Мягкий предел — это настраиваемое пользователем значение, которое ядро ​​будет применять, которое не может превышать жесткое ограничение.
• Hard Limit — это настраиваемое пользователем значение root, которое будет применяться ядром, которое не может превышать общесистемный предел
• Единицы представляют тип измерения для ограничения

Хотя в выходных данных показано 16 различных ограничений, в этом руководстве подробно рассматриваются 2 из них: Макс открытые файлы и Макс процессы .

ПРИМЕЧАНИЕ: Будьте осторожны при использовании таких подходов, как ulimit -a для получения пользовательских ограничений, поскольку выходные ограничения этой команды предназначены для текущего пользователя и не обязательно совпадают с теми из идентификатора пользователя, под которым ваше хранилище или процессы Consul действительно выполняются.

»Максимальное количество открытых файлов

Действующее хранилище потребляет файловые дескрипторы как для доступа к файлам в файловой системе, так и для представления подключений, установленных к другим сетевым узлам, в виде сокетов.

Максимальное количество открытых файлов, разрешенное для процесса Vault, является критическим пределом для пользователей, который следует соответствующим образом настроить для достижения идеальной производительности.

Как измерить использование?

Чтобы проверить только текущие максимальные значения открытых файлов для процесса хранилища, прочтите их из таблицы процессов ядра.

  $ cat / proc / $ (pidof vault) / limits | awk 'NR == 1; / Максимальное количество открытых файлов / '
  

Успешный ответ включает описания и значения заголовков:

  Предел Мягкий предел Жесткий предел Единицы
Максимальное количество открытых файлов 1024 4096 файлов
  

Чтобы получить более подробную картину открытых файлов, вы также можете использовать команду lsof , подобную этой.

  $ sudo lsof -p $ (хранилище pidof)
  

Пример вывода:

  КОМАНДНЫЙ ПИД ПОЛЬЗОВАТЕЛЬ ТИП FD РАЗМЕР УСТРОЙСТВА / ВЫКЛ ИМЯ УЗЛА
хранилище 14810 хранилище cwd DIR 253,0 4096 2 /
хранилище 14810 хранилище rtd DIR 253,0 4096 2 /
хранилище 14810 хранилище txt REG 253,0 138377265 131086 / usr / local / bin / vault
хранилище 14810 хранилище 0r CHR 1,3 0t0 6 / dev / null
vault 14810 vault 1u unix 0xffff89e6347f9c00 0t0 41148 type = STREAM
хранилище 14810 хранилище 2u unix 0xffff89e6347f9c00 0t0 41148 тип = ПОТОК
хранилище 14810 хранилище 3u unix 0xffff89e6347f8800 0t0 41208 тип = DGRAM
Убежище 14810 Убежище 4u a_inode 0,13 0 9583 [eventpoll]
хранилище 14810 хранилище 6u IPv4 40467 0t0 TCP *: 8200 (СЛУШАТЬ)
хранилище 14810 хранилище 7u IPv4 41227 0t0 TCP localhost: 53766-> localhost: 8500 (УСТАНОВЛЕН)
  

Это минимальный пример из недавно распечатанного Хранилища.Вы можете ожидать гораздо больше результатов в производственном Vault с несколькими вариантами использования. Выходные данные полезны для определения конкретного источника открытых соединений, такого как, например, многочисленные сокеты для механизма секретов базы данных.

Здесь вы можете заметить, что последние 2 строки относятся к 2 открытым сокетам.

Во-первых, есть дескриптор файла номер 6, который открыт с разрешениями на чтение и запись (u), имеет тип IPv4, это узел TCP, который привязан к порту 8200 на всех сетевых интерфейсах.

Во-вторых, файловый дескриптор 7 представляет собой тот же тип сокета, за исключением исходящего эфемерного соединения порта из Vault по TCP / 53766 с агентом клиента Consul на локальном хосте, который прослушивает порт 8500.

Каковы распространенные ошибки?

Когда значение максимального количества открытых файлов недостаточно, Vault будет выдавать ошибки в свой рабочий журнал в формате, указанном в этом примере.

  http: Принять ошибку: принять tcp4 0.0.0.0:8200: accept4: слишком много открытых файлов; повторная попытка через 1 с
  

В этой строке журнала есть несколько важных частей:

• Подсистема HTTP хранилища является источником ошибки ( http: )
• Поскольку ошибка возникает из http , ошибка также связана с исчерпывающими дескрипторами файлов в контекст сетевых сокетов, а не обычных файлов (т.е.е. note accept4 () вместо open () )
• Самый важный фрагмент сообщения и тот, который объясняет корень непосредственной проблемы, — это слишком много открытых файлов .

Это одновременно красное предупреждение о том, что в настоящее время недостаточно файловых дескрипторов и что что-то может их чрезмерно использовать.

Необходимо устранить проблему, увеличив максимальное количество открытых файлов и перезапустив службу Vault для каждого затронутого узла кластера.Есть последствия и ограничения, связанные с повышением ценности, о которых вам следует знать, прежде чем делать это.

Во-первых, существует ограничение на максимальное количество открытых файлов для всей системы, которое обеспечивается ядром и не может быть превышено пользовательскими программами, такими как Vault. Обратите внимание, что это значение динамически устанавливается во время загрузки и зависит от характеристик физической компьютерной системы, таких как доступная физическая память.

Чтобы проверить текущее значение максимального количества открытых файлов в системе для данной системы, прочтите его из таблицы процессов ядра.

  $ cat / proc / sys / fs / file-max
  

Успешный ответ включает только необработанное значение:

В этом примере системы невозможно указать максимальный предел открытых файлов, превышающий 197073.

Увеличить пределы

В случае предыдущего Например, вы заметили, что максимальное количество открытых файлов для процесса Vault имеет мягкое ограничение 1024 и жесткое ограничение 4096. Часто это значения по умолчанию для некоторых дистрибутивов Linux, и вы всегда должны увеличивать значение сверх таких значений по умолчанию для использования Vault в производстве.

После определения общесистемного лимита вы можете соответствующим образом увеличить лимит для процессов Vault. В современном Linux на основе systemd это можно сделать, отредактировав файл служебного модуля systemd хранилища и указав значение для свойства процесса LimitNOFILE .

Имя файла модуля systemd может быть разным, но часто это vault.service , расположенный по пути /etc/systemd/system/vault.service .

Отредактируйте файл как суперпользователь системы.

  $ sudo $ РЕДАКТОР /etc/systemd/system/vault.service
  

Затем либо добавьте свойство процесса LimitNOFILE в поле [Служба] , либо отредактируйте его значение, если оно уже существует, чтобы как мягкие, так и жесткие ограничения были увеличены до разумного базового значения 65536 .

Сохраните файл, выйдите из редактора.

Любое изменение модуля требует перезагрузки демона; давай и сделай это сейчас.

  $ sudo systemctl демон-перезагрузка
  

Успешный ответ не должен включать никаких выходных данных.

При следующем перезапуске службы хранилища будут действовать новые ограничения на максимальное количество открытых файлов.

Вы можете перезапустить службу, а затем снова изучить таблицу процессов, чтобы убедиться, что внесенные изменения внесены.

ВНИМАНИЕ: Вы должны быть осторожны с этим шагом в производственных системах, так как он может вызвать смену лидерства кластера. В зависимости от типа печати Vault перезапуск службы может означать, что вам также необходимо распечатать Vault, если не используется тип автоматической печати, поэтому будьте готовы сделать это, если это ваш случай.

Сначала перезапустите службу хранилища.

  $ sudo systemctl перезапустить хранилище
  

После успешного завершения перезапуска проверьте таблицу процессов на наличие нового процесса хранилища.

  $ cat / proc / $ (pidof vault) / limits | awk 'NR == 1; / Максимальное количество открытых файлов / '
  

Успешный ответ должен включать обновленные значения:

  Limit Soft Limit Hard Limit Units
Максимальное количество открытых файлов 65536 65536 файлов
  

СОВЕТ: Для примера файла модуля Vault systemd, который также включает это свойство процесса, см. Шаг 3: Настройка systemd в Руководстве по развертыванию Vault.

»Примечание о масштабировании ЦП

Можно ожидать, что Vault будет линейно масштабироваться до 100% использования ЦП при настройке определенных рабочих нагрузок, таких как шифрование механизма Transit или Transform Secrets, но это обычно нереально.

Частично это связано с производительностью Go, языка программирования, на котором написано Vault. В Go есть понятие горутин, которые представляют собой функции или методы, которые выполняются одновременно с другими функциями или методами.Чем больше горутин запланировано одновременно, тем больше переключений контекста должно выполняться системой, тем больше прерываний будет отправлено сетевой картой и т. Д.

Такое поведение может не оказывать существенного воздействия на ЦП с точки зрения реальной загрузки ЦП, но оно может ухудшить ввод-вывод, потому что каждый раз, когда горутина блокируется для ввода-вывода (или вытесняется из-за прерывания), она может длиться дольше. каждый раз перед тем, как эта горутина возвращается в эксплуатацию.

Об этом следует помнить при настройке тяжелых рабочих нагрузок ЦП в Vault.

»Настройка Vault

Следующие разделы относятся к настройке самого программного обеспечения Vault с использованием доступных параметров конфигурации, функций или функций.

По возможности даются рекомендации и примеры.

»Размер кэша

Vault использует кэш чтения наименее недавно использованного (LRU) для подсистемы физического хранения с настраиваемым значением cache_size. Значение представляет собой количество записей, а значение по умолчанию — 131072 .

Общий размер кэша зависит от размера сохраненных записей.

ПРИМЕЧАНИЕ. Операции LIST не кэшируются.

»Максимальная длительность запроса

Vault предоставляет два параметра, которые вы можете настроить, которые ограничивают максимально допустимую продолжительность запроса для вариантов использования со строгой продолжительностью или соглашений об уровне обслуживания в отношении продолжительности запросов или других потребностей для обеспечения продолжительности запроса определенной длина.

На уровне сервера есть default_max_request_duration со значением по умолчанию 90 секунд (90s).Опять же, настройка этого значения предназначена для очень конкретных случаев использования и влияет на на каждый запрос, сделанный ко всему узлу , так что имейте это в виду.

Вот пример минимальной конфигурации Vault, в которой показано использование явной настройки default_max_request_duration .

  api_addr = "https://127.0.0.8200"

default_max_request_duration = "30 с"

listener "tcp" {
  адрес = "127.0.0.1:8200"
  tls_cert_file = "/etc/pki/vault-server.crt"
  tls_key_file = "/ etc / pki / vault-server.ключ"
}

хранилище "консул" {
  адрес = "127.0.0.1:8500"
  путь = "хранилище"
}
  

Второй вариант — установить аналогичный максимум на уровне слушателя. Vault позволяет настроить несколько прослушивателей TCP. Чтобы получить некоторую степень детализации в ограничении запросов, вы можете установить max_request_duration в пределах области слушателя строфы. Значение по умолчанию также составляет 90 секунд (90 секунд).

Вот пример минимальной конфигурации хранилища, который показывает использование явного значения max_request_duration в прослушивателе TCP.

  api_addr = "https://127.0.0.8200"

listener "tcp" {
  адрес = "127.0.0.1:8200"
  tls_cert_file = "/etc/pki/vault-server.crt"
  tls_key_file = "/etc/pki/vault-server.key"
  max_request_duration = "15 с"
}

хранилище "консул" {
  адрес = "127.0.0.1:8500"
  путь = "хранилище"
}
  

ПРИМЕЧАНИЕ: Когда вы устанавливаете max_request_duration в разделе прослушивателя TCP, значение переопределяет значение default_max_request_duration .

»Максимальный размер запроса

Vault позволяет управлять глобальным жестко максимально допустимым размером запроса в байтах на приемнике с помощью параметра max_request_size.

Значение по умолчанию — 33554432 байт (32 МБ).

Указание числа, меньшего или равного 0, полностью отключает ограничение размера запроса.

»Таймауты HTTP

Каждый приемник TCP Vault может определять четыре тайм-аута HTTP, которые напрямую сопоставляются с параметрами базового HTTP-сервера Go, как определено в пакете http.

»http_idle_timeout

Параметр http_idle_timeout используется для настройки максимального времени ожидания следующего запроса при включении поддержки активности. Если значение этого параметра равно 0, используется значение http_read_timeout . Если оба имеют значение 0, таймаута нет.

Значение по умолчанию: 5 м (5 минут)

»http_read_header_timeout

Параметр http_read_header_timeout используется для настройки количества времени, разрешенного для чтения заголовков запросов.Если значение http_read_header_timeout равно 0, используется значение http_read_timeout . Если оба равны 0, таймаута нет.

Значение по умолчанию: 10 с (10 секунд)

»http_read_timeout

Параметр http_read_timeout используется для настройки максимальной продолжительности чтения всего HTTP-запроса, включая тело.

Значение по умолчанию: 30 с (30 секунд)

»http_write_timeout

Параметр http_write_timeout используется для настройки максимальной длительности перед записью ответа по таймауту.

Значение по умолчанию: 0 (ноль)

»Срок действия аренды и значения TTL

Vault поддерживает аренду для всех динамических секретов и токенов аутентификации типа службы.

Эти договоры аренды представляют собой обязательство выполнить будущую работу в форме отзыва, что включает в себя подключение к внешним хостам для отзыва учетных данных и там. Кроме того, в Vault предусмотрена внутренняя обработка, которая заключается в удалении (потенциально рекурсивно) истекших токенов и аренды.

Важно сдерживать рост арендных плат в производственном кластере Vault. Неограниченный рост объема аренды может в конечном итоге вызвать серьезные проблемы с базовой серверной частью хранилища и, в конечном итоге, с самим Vault.

По умолчанию Vault будет использовать значение времени жизни (TTL) 32 дня для всех договоров аренды. Вы должны знать об этом при определении вариантов использования и стараться выбрать самое короткое возможное значение TTL, которое может выдержать ваше использование.

ВНИМАНИЕ: Если вы развертываете варианты использования Vault без указания явных значений TTL и максимальных значений TTL, вы рискуете создать чрезмерные аренды, поскольку длительный срок службы по умолчанию позволяет им быстро накапливаться, особенно при массовом или нагрузочном создании и тестировании.Это распространенная ошибка новых пользователей Vault. Просмотрите время жизни токенов, периодические токены и явные максимальные значения TTL, чтобы узнать больше.

»Короткие TTL — это хорошо

Хорошо для безопасности

• Утечка токена с короткой арендой, вероятно, уже истекла.
• Неисправный или уничтоженный экземпляр службы, токен которого не отозван немедленно, не имеет большого значения, если срок его действия истекает в ближайшее время.

Хорошо для производительности

Короткие TTL имеют эффект сглаживания нагрузки.Лучше иметь много мелких операций записи, отложенных во времени, чем сразу иметь большое количество невыполненных операций записи.

»На что обратить внимание?

Что касается использования и насыщения, вы можете идентифицировать проблемы, отслеживая метрику vault.expire.num_leases, которая представляет собой количество всех арендных договоров, срок действия которых истекает.

Вы также можете отслеживать емкость хранилища на предмет признаков насыщения аренды. В частности, вы можете изучить пути в хранилище, в которых хранятся данные об аренде.Просмотрите учебные пособия «Проверка данных в хранилище Consul» или «Проверка данных в интегрированном хранилище», чтобы узнать больше о путях, по которым можно ожидать найти данные об аренде.

»Пространства имен

ПРИМЕЧАНИЕ. Пространства имен — это функция Vault Enterprise Platform.

Иерархия пространств имен чисто логическая, а внутренняя маршрутизация обрабатывается только на одном уровне. В результате отсутствуют какие-либо соображения производительности или общие ограничения для использования самих пространств имен, независимо от того, реализованы ли они как плоские иерархии или в глубоко вложенной конфигурации.

»Performance Standbys

ПРИМЕЧАНИЕ. Performance Standby — это функция Vault Enterprise с модулем Multi-Datacenter & Scale.

Vault Enterprise предлагает дополнительные функции, которые позволяют серверам высокой доступности обслуживать запросы, которые не изменяют хранилище Vault (запросы только для чтения) на локальном резервном узле, а не перенаправлять их на активный узел. Такие резервные серверы известны как резервные серверы производительности и по умолчанию включены в Vault Enterprise.Прочтите руководство по резервным узлам производительности, чтобы узнать больше.

Хотя в настоящее время нет настраиваемых параметров, доступных для функции ожидания производительности, в некоторых случаях может потребоваться их полное отключение. При необходимости вы можете отключить использование резервных серверов производительности с помощью параметра конфигурации disable_performance_standby.

»Репликация

Корпоративная репликация Vault использует компонент, называемый отправителем журналов , для отслеживания недавно записанных обновлений в хранилище Vault и их потоковой передачи во вторичные репликации.

Vault версии 1.7 представил новую конфигурацию, связанную с производительностью, для функции Enterprise Replication.

Если вы являетесь пользователем Vault Enterprise с версией 1.7 или выше, используйте информацию в этом разделе, чтобы понять и настроить конфигурацию производительности репликации для вашего варианта использования и рабочей нагрузки.

Настройка конфигурации репликации наиболее полезна при репликации большого количества (от тысяч до десятков тысяч) элементов, таких как пространства имен предприятия, особенно если пространства имен часто создаются и удаляются.

Вы можете настроить как длину, так и размер буфера отправителя журналов, чтобы максимально использовать доступные системные ресурсы, а также предотвратить неограниченный рост буфера.

Конфигурация содержится в разделе репликации , который должен находиться в области глобальной конфигурации. Вот пример фрагмента конфигурации, содержащий все доступные параметры для раздела репликации .

  репликация {
  resolver_discover_servers = истина
  logshipper_buffer_length = 1000
  logshipper_buffer_size = "5 ГБ"
}
  

Подробная информация о каждой опции конфигурации приведена ниже.

• resolver_discover_servers контролирует, должен ли распознаватель журналов обнаруживать другие серверы Vault; опция принимает логическое значение, а значение по умолчанию — истина;

• logshipper_buffer_length устанавливает максимальное количество записей, которые хранятся в буфере отправителя журнала, в виде целого числа; значение по умолчанию — ноль (0). В конфигурации примера установлено значение 1000 записей.

• logshipper_buffer_size устанавливает максимальный размер, до которого может увеличиваться буфер отправителя журнала, выраженный как целое число, указывающее количество байтов, или как строка емкости.Допустимые строки емкости: kb, kib, mb, mib, gb, gib, tb, tib ; Там нет значения по умолчанию. В конфигурации примера установлено значение 5 гигабайт.

Если вы не определяете явно значения для logshipper_buffer_length или logshipper_buffer_size , то Vault вычисляет значения по умолчанию на основе доступной памяти.

При запуске Vault пытается получить доступ к объему памяти хоста, в случае успеха он выделяет 10% доступной памяти для отправителя журналов.Например, если ваш сервер Vault имеет 16 ГБ памяти, отправитель журнала будет иметь доступ к 1,6 ГБ.

Если Vault не может прочитать память хоста, для logshipper_buffer_size используется значение по умолчанию 1 ГБ.

СОВЕТ: См. Ограничения и максимумы хранилища, чтобы узнать больше о конкретных ограничениях и максимальных размерах ресурсов хранилища.

»На что обратить внимание?

Наблюдать за использованием памяти процессами Vault; если вы реплицируете много пространств имен предприятия, а память не высвобождается после удаления пространств имен, вам следует провести расследование.

Затем вы можете решить, вносить ли изменения в конфигурацию репликации, которые соответствуют доступным ресурсам памяти сервера и использованию пространства имен, на основе вашего исследования текущего поведения использования памяти.

»Как повысить производительность?

Сначала необходимо убедиться, что серверы Vault соответствуют требованиям, изложенным в эталонной архитектуре Vault. Для настройки этих значений конфигурации необходимо, чтобы ресурсы базовой памяти присутствовали на каждом сервере в кластере Vault.

Если вы намереваетесь увеличить ресурсы памяти на серверах Vault, вы можете соответственно увеличить значение logshipper_buffer_size .

Вы можете настроить значение logshipper_buffer_length для обработки ожидаемого увеличения использования пространства имен. Например, если ваше развертывание в настоящее время использует несколько сотен пространств имен, но вы планируете вскоре расширить до 3000 пространств имен, тогда вам следует увеличить logshipper_buffer_length , чтобы удовлетворить это увеличение.

Внимание: Имейте в виду, что практическое ограничение для пространств имен предприятия в одном кластере зависит от типа используемого хранилища. Текущие ограничения объяснены в разделе «Ограничения пространства имен» документации Vault Limits and Maximums.

»Сертификаты PKI и списки отозванных сертификатов

Пользователи PKI Secrets Engine должны знать о соображениях производительности и передовых методах, характерных для этого механизма секретов.

Одна вещь, на которую следует обратить внимание Если вы стремитесь к максимальной производительности с этим механизмом секретов: вы будете связаны доступной энтропией на сервере Vault и высокими требованиями к ЦП для вычисления пар ключей, если в вашем варианте использования Vault выдает сертификат и закрытый ключ вместо подписания запросов на подпись сертификатов (CSR).

Это может легко вызвать довольно линейное масштабирование. Есть несколько способов избежать этого, но наиболее универсальный способ — заставить клиентов генерировать CSR и отправлять их в Vault для подписи вместо того, чтобы Vault возвращал пару сертификат / ключ.

Две наиболее распространенные проблемы производительности, с которыми пользователи сталкиваются при работе с механизмом секретов PKI, взаимосвязаны и могут привести к серьезным проблемам с производительностью, вплоть до простоя в самых крайних случаях.

Первая проблема заключается в выборе нереально большого срока службы сертификатов.

Vault отстаивает философию сохранения как можно более короткого срока жизни в секрете. Хотя это замечательно для обеспечения безопасности, это может немного усложнить выбор идеальных значений срока действия сертификата.

По-прежнему важно, чтобы вы тщательно продумывали каждый вариант использования и определяли идеальное кратчайшее время жизни для ваших секретов Vault, включая сертификаты PKI, созданные Vault. Ознакомьтесь с документацией по механизму секретов PKI, особенно с разделом «Сокращение срока службы сертификатов», чтобы получить дополнительные сведения о CRL.

СОВЕТ: Если срок службы вашего сертификата несколько длиннее, чем требуется, очень важно убедиться, что приложения повторно используют сертификаты, которые они получают из Vault, до истечения срока их действия, прежде чем запрашивать новые, и не часто запрашивают новые сертификаты. постоянная основа. Часто генерируемые долгоживущие сертификаты приводят к быстрому росту CRL.

Вторая проблема связана с первой, поскольку создание множества сертификатов с длительным сроком службы приведет к быстрому росту списка отозванных сертификатов (CRL).Внутри этот список представлен как один ключ в хранилище ключей / значений. Если ваши серверы Vault используют бэкэнд хранилища Consul, он поставляется с максимальным размером значения по умолчанию 512 КБ , и CRL может легко заполнить это значение вовремя с достаточным количеством неправильного использования и частыми запросами долгоживущих сертификатов.

Каковы распространенные ошибки?

Когда CRL механизма секретов PKI вырос и стал больше, чем разрешено максимальным размером значения ключа Consul по умолчанию, вы можете ожидать появления ошибок об отзыве аренды в операционном журнале Vault, которые похожи на этот пример:

  [ERROR] истечение срока: не удалось отозвать аренду: lease_id = pki / issue / prod / 7XXYS4FkmFq8PO05En6rvm6m error = "не удалось отозвать запись: resp: (* logical.Ответ) (nil) err: ошибка при построении CRL: ошибка при сохранении CRL: неудавшийся запрос: тело запроса слишком велико, максимальный размер: 524288 байт »
  

Если вы пытаетесь повысить производительность с помощью механизма секретов PKI и не требуете CRL, вы должны определить свои роли для использования параметра no_store.

ПРИМЕЧАНИЕ. Сертификаты, сгенерированные из ролей, которые определяют параметр no_store, не могут быть перечислены или отозваны Vault.

»ACL в политиках

Если ваша цель — максимально оптимизировать производительность Vault, вам следует проанализировать свои ACL и пути политик с целью минимизировать сложность путей, использующих шаблоны и специальные операторы.

»Как повысить производительность?

• По возможности старайтесь минимизировать использование шаблонов в путях политики.
• Старайтесь минимизировать использование указателей сегментов пути + и * в синтаксисе пути политики.

»Оценка политики

Пользователи Vault Enterprise могут использовать политики списка управления доступом (ACL), политики управления конечными точками (EGP) и политики управления ролями (RGP).

Для справки, вот схема и описание процесса оценки политики Vault для ACL, EGP и RGP.

Если запрос был запросом без аутентификации (например, «вход в хранилище»), токен отсутствует; поэтому Vault оценивает EGP, связанные с конечной точкой запроса.

Если запрос содержит маркер, политики ACL, прикрепленные к маркеру, оцениваются. Если маркер имеет соответствующую возможность работать на пути, далее будут оцениваться RGP.

Наконец, будут проанализированы EGP, установленные для конечной точки запроса.

Если в какой-то момент оценка политики завершится неудачно, запрос будет отклонен.

»Политики Sentinel

Корпоративные пользователи политик Vault Sentinel должны знать, что эти политики обычно требуют больших вычислительных ресурсов по своей природе.

Какое влияние на производительность оказывают политики Sentinel?

• Как правило, чем сложнее политика и чем больше она относится к конкретному запросу, тем дороже она будет.
• Шаблонные пути к политике также увеличивают стоимость политики.
• Большее количество политик Sentinel, применяемых к конкретным запросам, будет иметь большее влияние на производительность, чем такое же количество политик, которые не так специфичны для запроса.

Новый импорт HTTP, представленный в Vault версии 1.5, обеспечивает гибкие средства рабочего процесса политик для использования внешних конечных точек HTTP. Если вы используете этот модуль, вы должны знать, что в дополнение к внутренней задержке, связанной с обработкой логики для политики Sentinel, теперь существует внешняя задержка, и эти два должны быть объединены, чтобы правильно оценить общую производительность.

»Tokens

Tokens требуются для всех аутентифицированных запросов Vault, которые составляют большинство конечных точек.

Как правило, они имеют ограниченный срок службы в форме аренды или значения времени жизни (TTL).

Обычно для токенов используются запросы на вход и отзыв. Эти взаимодействия с Vault приводят к следующим операциям.

Пакетные токены — это зашифрованные большие двоичные объекты, которые несут достаточно информации для использования в действиях Vault, но не требуют хранения на диске, например служебных токенов.

При использовании пакетных токенов следует помнить о некоторых компромиссах, и вы должны использовать их с осторожностью.

»Менее безопасен, чем служебные токены

• Пакетные токены не могут быть отозваны или продлены.
• Значение TTL должно быть установлено заранее, и в результате оно часто оказывается выше идеального.

»Более высокая производительность

• Пакетные жетоны удивительно недороги в использовании, поскольку они не касаются диска.
• Они часто являются приемлемым компромиссом, когда альтернативой является неуправляемая частота запросов на вход в систему.

»Seal Wrap

ПРИМЕЧАНИЕ. Seal Wrap — это функция Vault Enterprise с модулем управления и политик.

При интеграции Vault Enterprise с HSM упаковка пломбой всегда включена с поддерживаемой пломбой. Сюда входят ключ восстановления, любые сохраненные общие ключи, главный ключ, связка ключей и, что более важно, любой критический параметр безопасности (CSP) в ядре Vault.

Все, что запечатано, будет значительно медленнее читать и писать, поскольку запросы будут использовать шифрование и дешифрование HSM.Как правило, обмен данными с HSM увеличивает задержку, которую необходимо учитывать в общей производительности.

Это применимо даже к кэшированным элементам, поскольку Vault кэширует зашифрованные данные; поэтому, даже если чтение из хранилища является бесплатным, запрос все равно должен взаимодействовать с печатью, чтобы использовать данные.

»Настройка серверной части хранилища

Задержка запроса хранилища в основном ограничивается настроенной базой хранилища, а запись в хранилище намного дороже, чем чтение.

Большинство операций записи в Vault связано с этими событиями:

• Вход в систему и создание токена
• Динамическое создание секрета
• Продление
• Аннулирование

Существует ряд аналогичных настраиваемых параметров для поддерживаемых серверных модулей хранения.В настоящее время в этом руководстве рассматриваются только параметры для бэкэндов хранилища Consul и Integrated Storage (Raft).

Существуют некоторые рабочие характеристики и компромиссы, связанные с тем, как различные механизмы хранения обрабатывают память, постоянство и сеть, с которыми вам следует ознакомиться.

Характеристики бэкэнда хранилища Consul:

Характеристики интегрированного бэкэнд-хранилища (Raft):

. Имея в виду эту информацию, просмотрите подробности о конкретных настраиваемых параметрах для бэкэнда хранилища, которые вас больше всего интересуют.

»Consul

При использовании Consul для бэкэнда хранилища большая часть дискового ввода-вывода будет выполняться серверами Consul, а в самом Vault ожидается меньшее использование дискового ввода-вывода. Consul хранит свой рабочий набор в памяти, и, как правило, сервер Consul должен иметь физическую память, примерно в 3 раза превышающую размер рабочего набора данных хранилища ключей / значений, содержащего данные Vault. Обеспечение хорошей производительности операций ввода-вывода в секунду (IOPS) для хранилища Consul имеет первостепенное значение.Дополнительные сведения см. В справочной архитектуре Consul и руководстве по развертыванию Consul.

»Каковы распространенные ошибки?

Если вы наблюдаете резкое снижение производительности Vault при использовании Consul в качестве серверной части хранилища, полезно сначала взглянуть на использование памяти и ошибки сервера Consul. Например, проверьте кольцевой буфер ядра операционной системы сервера Consul или системный журнал на наличие признаков нехватки памяти (OOM).

  $ grep 'Недостаточно памяти' / var / log / messages
  

Если есть результаты, они будут напоминать этот пример.

  ядро: [16909.873984] Недостаточно памяти: убить процесс 10742 (консул) с результатом 422 или принести в жертву ребенка
ядро: [16909.874486] Убитый процесс 10742 (консул) total-vm: 242812kB, anon-rss: 142081kB, file-rss: 68768kB
  

Другая распространенная причина проблем — снижение IOPS на серверах Consul. Это состояние может проявляться в Vault как ошибки, связанные с отмененным контекстом, как в следующих примерах.

  [ОШИБКА] ядро: не удалось создать токен: ошибка = "не удалось сохранить запись: контекст отменен"

[ERROR] core: не удалось зарегистрировать аренду токена: request_path = auth / Approle / login error = "не удалось сохранить запись аренды: контекст отменен"


[ERROR] core: не удалось создать токен: error = "не удалось сохранить запись индекса доступа: контекст отменен"
  

Ключевым признаком здесь является сообщение «контекст отменен».Эта проблема приведет к прерывистой доступности Vault для всех пользователей, и вам следует попытаться решить проблему, увеличив доступный IOPS для серверов Consul.

Ниже приведены некоторые важные параметры конфигурации, связанные с производительностью, о которых следует знать при использовании Consul для серверной части хранилища Vault.

»kv_max_value_size

Одно из распространенных ограничений производительности, с которыми можно столкнуться при использовании Consul для серверной части хранилища Vault, — это размер данных, которые Vault может записать как значение для одного ключа в хранилище ключей / значений Consul.

Начиная с версии Consul 1.7.2, вы можете явно указать это значение в байтах с помощью параметра конфигурации kv_max_value_size.

Значение по умолчанию: 512 КБ

Вот пример фрагмента конфигурации сервера Consul, который увеличивает это значение до 1024 КБ .

  "лимиты": {
     «kv_max_value_size»: 1024000
 }
  

Каковы распространенные ошибки?

Следующая ошибка будет возвращена клиенту, который пытается превысить максимальный размер значения.

  Ошибка записи данных в kv / data / foo: Ошибка при выполнении запроса API.

URL: PUT http://127.0.0.1:8200/v1/kv/data/foo
Код: 413. Ошибки:

* не удалось проанализировать ввод JSON: http: тело запроса слишком велико
  

Обратите внимание, что неправильная настройка может привести к неожиданному сбою Consul, это может потенциально повлиять на стабильность лидерства и предотвратить своевременные сигналы пульса за счет увеличения продолжительности ввода-вывода RPC.

»txn_max_req_len

Этот параметр настраивает максимальное количество байтов для тела запроса транзакции к конечной точке Consul / v1 / txn .В ситуациях, когда этот параметр установлен и kv_max_value_size также установлено, более высокое значение будет иметь приоритет для обеих настроек.

Обратите внимание, что неправильная настройка может привести к неожиданному отказу Consul, это может потенциально повлиять на стабильность лидерства и предотвратить своевременные сигналы пульса за счет увеличения продолжительности ввода-вывода RPC.

»max_parallel

Еще одним параметром, для которого иногда может быть полезна настройка в зависимости от конкретной среды и конфигурации, является параметр max_parallel, который указывает максимальное количество параллельных запросов, которые Vault может направить Consul.

Значение по умолчанию — 128 .

Это значение обычно не увеличивается для повышения производительности, а чаще всего требуется для уменьшения нагрузки на перегруженный кластер Consul путем набора значения по умолчанию.

»consistency_mode

Vault поддерживает использование 2 из 3 режимов согласованности Consul. По умолчанию он использует режим по умолчанию, который описан в документации Consul следующим образом:

Если не указан, значение по умолчанию строго согласовано почти во всех случаях.Однако есть небольшое окно, в котором может быть избран новый лидер, в течение которого старый лидер может обслуживать устаревшие значения. Компромисс — быстрое чтение, но потенциально устаревшие значения. Условие, приводящее к устаревшим чтениям, трудно вызвать, и большинству клиентов не следует беспокоиться об этом случае. Также обратите внимание, что это состояние гонки применяется только к чтению, но не к записи.

Этот режим подходит для большинства случаев использования, и вы должны знать, что изменение режима на strong в Vault соответствует согласованному режиму в Consul.Этот режим имеет дополнительные последствия для производительности, и в большинстве случаев использования этот режим не требуется, если только они не могут терпеть устаревшее чтение. В документации Consul говорится следующее о согласованном режиме :

Этот режим строго согласован без оговорок. Требуется, чтобы лидер проверил с кворумом сверстников, что он по-прежнему является лидером. Это вводит дополнительный круговой обход всех серверов. Компромисс — увеличенная задержка из-за дополнительного обхода.Большинство клиентов не должны использовать это, если они не могут терпеть устаревшее чтение.

»Интегрированное хранилище (Raft)

Vault версии 1.4.0 представило новую возможность интегрированного хранилища, использующую Backend Raft Storage. Этот бэкэнд хранилища очень похож на хранилище ключей / значений Consul по своему поведению и набору функций. Он реплицирует данные Vault на все серверы, используя алгоритм консенсуса Raft.

Если вы еще этого не сделали, просмотрите контрольный список перед проверкой — переход на интегрированное хранилище для получения дополнительной информации об интегрированном хранилище.

Ниже приведены настраиваемые элементы конфигурации для этого внутреннего хранилища.

»mlock ()

Отключение mlock () настоятельно рекомендуется при использовании интегрированного хранилища, так как он плохо взаимодействует с файлами с отображением памяти, такими как созданные BoltDB, которые используются Raft для отслеживания состояния.

При использовании mlock () файлы с отображением памяти загружаются в резидентную память, что приводит к загрузке в память полного набора данных Vault, и это может привести к нехватке памяти, если данные Vault становятся больше, чем доступная физическая память.

»Рекомендация

Хотя данные Vault в BoltDB остаются зашифрованными при хранении, настоятельно рекомендуется использовать инструкции для вашей ОС и дистрибутива, чтобы гарантировать, что свопинг отключен на ваших серверах Vault, которые используют интегрированное хранилище, чтобы предотвратить другие конфиденциальные Vault. данные в памяти от записи на диск.

»Каковы распространенные ошибки?

Если вы используете кластер Vault со встроенным сервером хранилища и не отключили mlock () для двоичного файла хранилища (и, возможно, любых внешних подключаемых модулей), то вы можете ожидать возникновения ошибок, подобных этому примеру, когда данные Vault превышают доступная память.

  ядро: [12209.426991] Недостаточно памяти: завершите процесс 23847 (хранилище) с результатом 444 или принесите в жертву ребенка
ядро: [12209.427473] Убитый процесс 23847 (хранилище) total-vm: 1897491kB, anon-rss: 948745kB, file-rss: 474372kB
  

»performance_multiplier

Если у вас есть опыт настройки и настройки Consul, вы, возможно, уже знакомы с его параметром конфигурации performance_multiplier , и Vault использует его таким же образом в контексте интегрированного бэкэнда хранилища для масштабирования ключевого алгоритма Raft. временные параметры.

Значение по умолчанию — 0 .

Настройка влияет на время, необходимое Vault для обнаружения сбоев лидера и его выбора, за счет увеличения ресурсов сети и ЦП для повышения производительности.

По умолчанию Vault будет использовать время с низкой производительностью, подходящее для серверов Vault со скромными ресурсами ближе к нижнему пределу рекомендованных, что в настоящее время эквивалентно установке значения 5 (это значение по умолчанию может быть изменено в будущих версиях Vault, в зависимости от того, изменяется ли целевой минимальный профиль сервера).Установка этого параметра на значение 1 настроит Raft в режим максимальной производительности и рекомендуется для производственных серверов Vault. Максимально допустимое значение — 10.

»snapshot_threshold

СОВЕТ: Это параметр низкого уровня, который редко требует настройки.

Опять же, параметр snapshot_threshold аналогичен параметру, с которым вы, возможно, сталкивались при развертывании Consul. Если вы не знакомы с Consul, существует автоматическое создание снимков данных фиксации raft, а параметр snapshot_threshold управляет минимальным количеством записей фиксации raft между снимками, которые сохраняются на диск.

В документации также говорится следующее о настройке этого значения:

Очень загруженные кластеры, испытывающие чрезмерный дисковый ввод-вывод, могут увеличить это значение, чтобы уменьшить дисковый ввод-вывод и свести к минимуму вероятность того, что все серверы будут делать снимки одновременно. Увеличение этого показателя приводит к замене дискового ввода-вывода на дисковое пространство, поскольку журнал будет расти намного больше, а пространство в файле raft.db не может быть восстановлено до следующего снимка. Серверам может потребоваться больше времени для восстановления после сбоев или переключения при отказе, если это значительно увеличится, поскольку потребуется воспроизвести больше журналов.

»Ограничения и максимумы ресурсов

Этот раздел служит ссылкой на некоторые из наиболее распространенных ограничений ресурсов и максимальных значений, с которыми вы можете столкнуться при настройке Vault для повышения производительности.

»Максимальное количество механизмов секретов

Нет определенного ограничения на количество включенных механизмов секретов.

В зависимости от серверной части хранилища при многих тысячах (потенциально десятках тысяч) задействованных механизмов секретов вы можете достичь предела максимального размера значения (например)

»Максимальный размер значения с хранилищем Consul

Максимальный размер значения по умолчанию для ключа в хранилище ключей / значений Consul предлагается максимальный размер Raft 512 КБ .Начиная с версии Consul 1.7.2, этот лимит можно изменить с помощью kv_max_value_size.

»Максимальный размер значения с интегрированным хранилищем

В отличие от бэкэнда хранилища Consul, интегрированное хранилище в настоящее время не устанавливает максимальный размер значения ключа. Это означает, что следует проявлять осторожность при развертывании сценариев использования в интегрированном хранилище, которые могут привести к неограниченному росту стоимости.

Хотя интегрированное хранилище не так сильно зависит от памяти и подвержено нехватке памяти из-за того, как данные сохраняются на диске, использование слишком больших значений ключей может отрицательно сказаться на координации сети, голосовании и выборах руководства.Следует иметь в виду, что интегрированное хранилище Vault не предназначено для работы в качестве базы данных ключей / значений общего назначения, поэтому использование ключей с необоснованно большими значениями, во много раз превышающими значение по умолчанию, может быть проблематичным в зависимости от варианта использования и среды.

»Справка и справочная информация

Устранение неполадок Действия при ошибках маршрутизатора | Документы Cloud Foundry

Последнее обновление страницы:

Этот раздел помогает операторам понять и отладить ошибки 502, которые являются результатом их инфраструктуры, Cloud Foundry (CF) или приложения.

Обзор

В вашем развертывании 502 ошибки могут возникать по любой из следующих причин:

• Инфраструктура : проблемы с балансировщиком нагрузки или сетью могут вызвать ошибку 502.
• Платформа : проблемы с ячейками Gorouter или Diego могут вызвать ошибку 502. См. Следующие разделы:
• Приложение : проблемы с загрузкой или конфигурацией приложения могут вызвать ошибку 502. См. Раздел «Диагностика ошибок приложения».

Если вы не уверены в источнике ошибки 502, см. Общие шаги отладки ниже.

Общие шаги отладки

Ниже приведены некоторые общие шаги отладки для любой проблемы, приводящей к ошибке 502:

1. Соберите журналы Горутера и Ячейки Диего во время инцидента.

2. Просмотрите журналы и примите во внимание следующее:

   1. Какие ошибки возвращают Gorouters?
   2. Насколько точна таблица маршрутизации Горутера? Каковы ожидаемые конечные точки маршрута? Дополнительные сведения см. В разделе Таблица динамической маршрутизации в документации Gorouter на GitHub.
   3. Есть ли в журналах Diego Cell что-нибудь интересное о неожиданных сбоях или перезапусках приложений?
   4. Работает ли приложение и успешно ли обрабатывает запросы? Вы можете использовать заголовки трассировки запросов для проверки. Для получения дополнительной информации см. Заголовки HTTP для трассировки Zipkin в HTTP-маршрутизации .

3. Рассмотрим следующее:

   • Ваш балансировщик нагрузки регистрирует 502 ошибки, а Gorouter — нет? Это означает, что трафик не достигает Горутера.
   • Произошло ли недавнее изменение или обновление платформы, которое привело к увеличению количества ошибок 502?
   • Есть ли какие-нибудь подозрительные всплески показателей? Как загрузка процессора и памяти?

Форматирование журнала

Уровни

В следующей таблице описаны уровни ведения журнала, поддерживаемые Gorouter. Уровень журнала указывается в файле конфигурации YAML для Gorouter.

Содержание сообщения

В этом разделе представлен образец записи журнала Gorouter и объяснение ее содержания.

[2017-02-01 22: 54: 08 + 0000] {"log_level": 0, "timestamp": 1485989648.0895808, "message": "endpoint-registration", "source": "vcap.Gorouter.registry" , "data": {"uri": "0 - *. login.bosh-lite.com", "backend": "10.123.0.134:8080","modification_tag":{"guid":"","index ": 0}}}

Журналы доступа

В этом разделе содержится подробная информация о журналах доступа Gorouter.

Gorouter при получении запроса создает журнал доступа в следующем формате:

<Хост запроса> - [<Дата начала>] "<Метод запроса> <Протокол запроса>" <Код состояния> <Полученные байты> <Отправленные байты> "<Реферрер>" "<Агент-Пользователь> "<Удаленный адрес> <Внутренний адрес> x_forwarded_for:" "x_forwarded_proto:" "vcap_request_id: response_time: gorouter_time: app_id: app_index: x_cf_routererror:

Gorouter также перенаправляются в системный журнал.

См. Список ниже для получения дополнительной информации о полях журнала доступа Gorouter:

• Следующие поля являются необязательными: Код состояния , Время отклика , Идентификатор приложения , Индекс приложения , X-Cf-RouterError и Дополнительные заголовки .

• Если в журнале доступа отсутствует код состояния , время отклика , идентификатор приложения , индекс приложения или X-Cf-RouterError , в соответствующем поле отображается - .

• Время отклика — это общее время, необходимое для прохождения запроса через Gorouter в приложение. и для ответа вернуться через Горутер. Сюда входит время, затрачиваемое запросом на прохождение сети к приложению и обратно к Gorouter. Сюда также входит время, которое приложение тратит на формирование ответа.

• Gorouter Time — общее время, необходимое для прохождения запроса через Gorouter. изначально плюс время, необходимое для прохождения ответа через Горутер.Это не включает время, которое запрос тратит на прохождение сети к приложению. Это также не включает время, которое приложение тратит на формирование ответа.

• X-Cf-RouterError заполняется, если Gorouter обнаруживает ошибку. Возвращенные значения могут помогите определить, является ли ответный код, отличный от 2xx, из-за ошибки в Gorouter или задняя часть. Для получения дополнительной информации о возможных ошибках см. раздел «Диагностика ошибок приложения».

Диагностика ошибок Gorouter

В этом разделе описывается основная структура журналов Gorouter и способы диагностики ошибок Gorouter.

Gorouter не может подключиться к контейнеру приложения

Если Gorouter не может подключиться к контейнеру приложения, вы можете увидеть эту ошибку в gorouter.log :

[2018-07-05 17: 59: 10 + 0000] {"log_level": 3, "timestamp": 1530813550.
, "message":
"backend-endpoint-failed", "source": "vcap.gorouter", "data": {"route-endpoint":
{"ApplicationId": "", "Addr": "10.0.32.15:60099","Tags":null,"RouteServiceUrl": ""},
"error": "dial tcp 10.0.32.15:60099: getsockopt: соединение отклонено"}}
 

Если TCP не может установить начальное соединение с серверной частью, Gorouter повторяет ошибки набора TCP до трех раз.Если это все еще не удается, Gorouter возвращает 502 клиенту и записывает в access.log .

Любое из следующего может вызвать ошибки соединения между Gorouter и контейнером приложения:

• Приложение не отвечает, что указывает на проблему с приложением.
• Несвежий маршрут в Горутере, указывающий на проблему с платформой. Дополнительные сведения см. В разделе «Диагностика устаревших маршрутов» ниже.
• Поврежденный контейнер приложения, указывающий на проблему с платформой.

Ошибки Gorouter после подключения

Если Gorouter успешно набирает конечную точку, но возникает ошибка, вы можете увидеть следующее:

• чтение: сброс соединения одноранговым узлом ошибки. Когда возникают эти ошибки, Gorouter возвращает ошибку клиенту, помечает серверную часть как неприемлемую и не повторяет попытку другой серверной части.

• Ошибки установления связи TLS. Когда возникают эти ошибки, Gorouter повторяет попытку до трех раз. Если это все еще не удается, Gorouter может вернуть 502.Эти ошибки выглядят похожими на следующие в gorouter.log , а ошибка 502 регистрируется в access.log :

  [2018-07-05 18: 20: 54 + 0000] {"log_level": 3, "timestamp": 1530814854.4359834, "message": "
  backend-endpoint-failed "," source ":" vcap.gorouter "," data ": {" route-endpoint ":
  {"ApplicationId": "", "Addr": "10.0.16.17:61002","Tags":null,"RouteServiceUrl": ""},
  "error": "x509: сертификат действителен для 53079ca3-c4fe-4910-78b9-c1a6, а не xxx"}}
   

• Если клиент отменяет запрос до того, как сервер отвечает заголовками, Gorouter возвращает ошибку 499.

Диагностика устаревших маршрутов в Gorouter

Устаревший маршрут возникает, когда Gorouter содержит устаревшую информацию о маршруте для серверное приложение. Почти во всех случаях устаревшие маршруты корректируются самостоятельно.

Если TLS от Gorouter к приложениям и другим серверным процессам включен, то, когда Gorouter обнаруживает, что он отправляет трафик в неправильное приложение, он удаляет это внутреннее приложение из своей таблицы маршрутов и разрывает соединение. TLS от Gorouter к приложениям и другим бэкэндам включен по умолчанию в cf-deployment v7.0,0.

Причины устаревших маршрутов

Когда маршрут не отображается или когда контейнер приложения удаляется из-за удаления или перемещения приложения, в Gorouter отправляется сообщение об отмене регистрации. Это сообщение говорит Горутеру удалить сопоставление маршрута с этим контейнером.

Если Gorouter не получает это сообщение об отмене регистрации, маршрут теперь считается устаревшим. Gorouter все еще пытается направить трафик в приложение.

У вас больше шансов получить устаревшие маршруты, если верно следующее:

• Проверка SSL не включена.
• У вас не развернут Diego Release v2.34.0 или более поздней версии, который содержит исправление, которое многократно отправляет сообщения об отмене регистрации.
• Вы отменили сопоставление маршрута с приложением, но трафик по этому маршруту все еще отправляется в приложение.

Как найти устаревшие маршруты

Следующая процедура поможет вам определить устаревшие маршруты:

1. Проверьте состояние развертывания . Запустите cf routes для всех пространств и убедитесь, что маршрут сопоставлен только с намеченными приложениями.Иногда может быть несколько маршрутов с одним и тем же именем хоста и доменом, но с разными путями. Если домен является общим, проверьте также все организации.
2. Изучите таблицу маршрутов Gorouter . Возможно, потребуется проверить несколько Gorouters, так как возможно, что некоторые получили правильное сообщение об отмене регистрации, а некоторые нет.
   1. SSH к виртуальной машине, на которой работает Gorouter.
   2. Чтобы распечатать всю таблицу маршрутов Gorouter, запустите: / var / vcap / jobs / gorouter / bin / retrieve-local-routes | jq.
   3. Найдите запись для предполагаемого устаревшего маршрута. Обратите внимание на значения для адреса и private_instance_id .
3. Сделайте перекрестную ссылку на запись в таблице маршрутов Gorouter с фактическими длительными процессами (LRP) :
   1. SSH на ячейку Диего, где IP-адрес совпадает с IP-адресом, который вы нашли в записи таблицы маршрутов.
   2. Чтобы получить информацию обо всех фактических LRP, запустите: cfdot actual-lrps | jq.'
   3. Просмотрите фактические LRP, чтобы найти ID экземпляра, который вы отметили в таблице маршрутов. Если этот идентификатор экземпляра существует, а порт в таблице маршрутов не существует в разделе портов, то, скорее всего, существует устаревший маршрут.

      Примечание : у вас может возникнуть соблазн использовать конечную точку CAPI GET / v3 /cesses /: guid / stats чтобы узнать информацию о хосте и портах, которые использует приложение. Однако это конечная точка разработчика приложения и не предоставляет операторам полную информацию.Используйте cfdot CLI на Diego Cell, чтобы сразу и сразу просмотреть фактические LRP.

Как исправить устаревшие маршруты

Следующая процедура поможет вам исправить устаревшие маршруты:

1. Убедитесь, что проверка SSL включена. Для получения дополнительной информации см. С включенным TLS в HTTP-маршрутизации .

   Примечание : использование TLS для проверки идентичности приложения зависит от проверки SSL. Если вы отключите проверку SSL, не удастся избежать неправильной маршрутизации.

2. Если есть устаревший маршрут, перезапуск Gorouter немедленно устраняет проблему. Если вы перезапустите все Gorouters и увидите ту же проблему для одного и того же маршрута, то проблема не в устаревшем маршруте.
3. Если Gorouter постоянно пропускает сообщения отмены регистрации, это может быть связано с перегрузкой шины сообщений NATS или Gorouter. Посмотрите на использование виртуальной машины и подумайте о масштабировании.

Таблица классификации ошибок Горутера

Используйте эту таблицу при отладке ошибок Gorouter.В таблице перечислены типы ошибок, коды состояния и указано, повторяет ли Gorouter ошибочный запрос.

Для каждой ошибки существует запись журнала backend-endpoint-failure в gorouter.log и сообщение об ошибке в gorouter.err.log . Кроме того, access.log записывает коды состояния запроса. Для получения дополнительной информации см. Документацию Gorouter на GitHub.

Если запрос можно повторить, Gorouter делает до трех попыток.

Диагностика ошибок приложения

В этом разделе описаны ошибки 502, связанные с приложениями.

Если ошибка 502 возникает только в определенных экземплярах приложения, а не во всех экземплярах приложения на платформе, скорее всего, это ошибка, связанная с приложением. Приложение может быть перегружено, не отвечает или не может подключиться к базе данных.

Если во всех приложениях возникает ошибка 502, то это может быть проблема платформы, например неправильная конфигурация, или проблема приложения, например, все приложения не могут подключиться к вышестоящей базе данных.

Если в Gorouter включены серверные соединения проверки активности, могут возникнуть ошибки 502 из-за состояния гонки, когда тайм-аут простоя проверки активности экземпляра приложения составляет менее 90 секунд.Дополнительные сведения см. В разделе «Поддерживаемые соединения с серверной частью Gorouter».

Примечание. Gorouter не пытается повторно получить ответ об ошибке, возвращаемый приложением.

В случае, если Gorouter обнаруживает ошибку при подключении к серверной части приложения, будет заполнен заголовок X-CF-RouterError , чтобы помочь определить источник кода ответа, отличного от 2xx.

Значение заголовка X-Cf-Routererror может быть одним из следующих:

NetworkConnectivity, быстрый пакет для состояния подключения

Если есть одна вещь, которую я усвоил за свою карьеру, так это то, что подключение к сети не является двоичным состоянием. Сетевое соединение проходит через множество различных переходов при настройке соединения, передаче данных и закрытии соединения.В большинстве случаев мобильное или настольное приложение на стороне клиента может просто отправить сетевой запрос, и если клиентское приложение отключено, запрос немедленно завершится ошибкой, и приложение сможет соответствующим образом обновить пользователя (см. Статью здесь). Однако в некоторых случаях может быть полезно узнать, в каком состоянии находится соединение в вашем клиентском приложении. Например, если задействована клиентская VPN или, возможно, используется связь в реальном времени между клиентом и сервером. И это побудило меня написать пакет NetworkConnectivity.Пакет NetworkConnectivity — это пакет Swift, разработанный для определения состояния TCP-соединения. Таким образом, ваше приложение будет лучше понимать, когда VPN или стратегия связи pub-sub могут циклически переключаться между состояниями сетевого подключения. Это позволяет вашему приложению эффективно представлять пользователю обновления в реальном времени о состоянии подключения клиента.

Пакет NetworkConnectivity можно найти в моей учетной записи Github здесь.

Более пристальный взгляд на возможности подключения к сети 👨‍💻

Пакет NetworkConnectivity — это пакет Swift, разработанный с использованием Swift 4.2 и Network Framework для настройки и определения состояния соединения TCP. Операционный класс в пакете построен с использованием общего синглтона. Этот синглтон NetworkConnectivity.swift настраивается и отправляет сообщения делегата обратно соответствующему контроллеру представления для выполнения действий. Так, например, если вы хотите наблюдать за состоянием соединения в начале своей программы, когда это соединение меняет состояние, изменение может быть отправлено в контроллер базового представления вашей программы, чтобы обновить пользователя при условии, что может сделать соединение непригодным для использования. .Давайте посмотрим, как это делается. Сначала синглтон NetworkConnectivity настраивается с именем хоста.

Общие сообщения об ошибках | Consul от HashiCorp

При установке и запуске Consul вы можете увидеть несколько общих сообщений. Обычно они указывают на проблему в вашей сети или в конфигурации вашего сервера. Некоторые из наиболее распространенных ошибок и способы их устранения перечислены ниже.

Если вы получаете сообщение об ошибке, которого нет в списке на этой странице, следуйте нашему общему руководству по поиску и устранению неисправностей.

Чтобы получить сообщения о типичных ошибках, связанных с Kubernetes, перейдите в раздел «Распространенные ошибки в Kubernetes».

»Ошибки файла конфигурации

» Несколько сетевых интерфейсов

  Обнаружено несколько частных IPv4-адресов. Пожалуйста, настройте один с помощью «привязать» и / или «рекламировать».
  

Ваш сервер имеет несколько активных сетевых интерфейсов. Консулу необходимо знать, какой интерфейс использовать для связи по локальной сети. Добавьте в конфигурацию опцию bind .

Совет : Если у вашего сервера нет статического IP-адреса, вы можете использовать шаблон go-sockaddr в качестве аргумента опции bind , например "bind_addr": "{{GetInterfaceIP \" eth0 \ "}}" .

»Ошибки синтаксиса конфигурации

  Ошибка синтаксического анализа config.hcl: В 1:12: недопустимый символ
  

  Ошибка синтаксического анализа config.hcl: В 1:32: клавиша 'foo' ожидала начало объекта ('{') или присваивания ('=')
  

  Ошибка разбора сервера.json: недопустимый символ '' 'ищет начало значения
  

Синтаксическая ошибка в файле конфигурации. Если в сообщении об ошибке не указано точное место в файле, где возникла проблема, попробуйте использовать jq, чтобы найти его, например:

  $ consul agent -server -config-file server.json
==> Ошибка синтаксического анализа server.json: недопустимый символ '' 'ищет начало значения
$ cat server.json | jq.
ошибка синтаксического анализа: недопустимый числовой литерал в строке 3, столбце 29
  

»Недействительное имя хоста

  Имя узла" consul_client.internal "не будет обнаружен через DNS из-за недопустимых символов.
  

Добавьте параметр имя узла в конфигурацию агента и укажите допустимое имя DNS.

»Тайм-ауты ввода-вывода

  Не удалось подключиться 10.0.0.99: набрать tcp 10.0.0.99:8301: тайм-аут ввода-вывода
  

  Не удалось синхронизировать удаленное состояние: нет лидера кластера
  

Если клиент и сервер Consul находятся в одной локальной сети, то, скорее всего, брандмауэр блокирует соединения с сервером Consul.

Если они не находятся в одной локальной сети, проверьте параметры retry_join в конфигурации клиента Consul. Клиент должен быть настроен для присоединения к кластеру внутри своей локальной сети.

»Превышен крайний срок

  Ошибка получения сведений о состоянии сервера из« XXX »: истек срок контекста
  

Эти сообщения об ошибках указывают на общую проблему производительности на сервере Consul. Убедитесь, что вы отслеживаете телеметрию Consul и системные метрики в соответствии с нашим руководством по мониторингу.При необходимости увеличьте выделение ЦП или памяти серверу. Проверьте производительность сети между узлами Consul.

»Слишком много открытых файлов

  Ошибка при приеме TCP-соединения: accept tcp [::]: 8301: слишком много открытых файлов в системе
  

  Получить http: // localhost: 8500 /: набрать tcp 127.0.0.1:31643: socket: слишком много открытых файлов
  

В загруженном кластере операционная система может не предоставить процессу Consul достаточно файловых дескрипторов. Вам нужно будет увеличить лимит для пользователя Consul, а также, возможно, общесистемный лимит.Здесь можно найти хорошее руководство для Linux.

Или, если вы запускаете Consul из systemd , вы можете добавить LimitNOFILE = 65536 в файл модуля для Consul. Вы можете увидеть наш пример файла модуля здесь.

»Ошибка закрытия снимка

Наш протокол RPC требует поддержки полузакрытия TCP, чтобы сигнализировать другой стороне, что они закончили чтение потока, поскольку мы не знаем размер заранее. Это избавляет нас от необходимости буферизовать только для расчета размера.

Если хост не реализует полузакрытие должным образом, вы можете увидеть сообщение об ошибке [ERR] consul: Failed to close snapshot: write tcp -> : write: broken pipe при сохранении снимков. Это не должно влиять на сохранение и восстановление снимков.

Это известная проблема в Docker, но может проявляться и в других средах.

»ACL не найден

  Ошибка RPC при вызове: ошибка rpc при вызове: ACL не найден
  

Это означает, что в вашем кластере включен ACL, но вы не передаете действительный токен.Убедитесь, что при создании ваших токенов для них установлены правильные разрешения. Кроме того, вы должны убедиться, что токен агента предоставляется при каждом вызове.

»TLS и сертификаты

» Неверное имя сертификата или сертификата

  Удаленная ошибка: tls: неверный сертификат
  

  X509: сертификат, подписанный неизвестным органом
  

Убедитесь, что ваши клиенты и серверы Consul используют правильные сертификаты и подписаны одним и тем же центром сертификации.Самый простой способ сделать это — следовать нашему руководству.

Если вы генерируете свои собственные сертификаты, убедитесь, что сертификаты сервера включают специальное имя server.dc1.consul в поле Subject Alternative Name (SAN). (Если вы измените значения центра обработки данных или домена в своей конфигурации, обновите SAN соответственно.)

»HTTP вместо HTTPS

  Агент запроса ошибки: неверный ответ HTTP
  

  Сеть / http: HTTP / 1.x транспортное соединение разорвано: неверный HTTP-ответ "\ x15 \ x03 \ x01 \ x00 \ x02 \ x02"
  

Вы пытаетесь подключиться к агенту Consul с помощью HTTP на порту, который был настроен для HTTPS.

Если вы используете Consul CLI, убедитесь, что вы указываете «https» в флаге -http-addr или в переменной среды CONSUL_HTTP_ADDR .

Если вы взаимодействуете с API, измените схему URI на «https».

»Предупреждения о лицензии

  Лицензия: срок действия: ГГГГ-ММ-ДД ЧЧ: ММ: СС -0500 EST, оставшееся время: 29 мин.
  

Вы установили корпоративную версию Consul.Если вы являетесь корпоративным клиентом, предоставьте Consul лицензионный ключ до того, как он отключится. В противном случае вместо этого установите двоичный файл Consul с открытым исходным кодом.

Примечание: двоичных файлов Enterprise можно идентифицировать на нашем сайте загрузки по суффиксу + ent .

»Общие ошибки в Kubernetes

» Невозможно подключиться к клиенту Consul на том же хосте

Если модули не могут подключиться к клиенту Consul, работающему на том же хосте, сначала проверьте, работают ли клиенты Consul с kubectl get pods .

  $ kubectl get pods -l "component = client"
НАЗВАНИЕ ГОТОВ СОСТОЯНИЕ ВОЗРАСТ НАЗАД
consul-kzws6 1/1 Работает 0 58s
  

Если по-прежнему не удается подключиться и увидеть таймаут ввода-вывода или соединение отклонено ошибок при подключении к клиенту Consul на Kubernetes worker, это может быть связано с тем, что CNI (сетевой интерфейс контейнера) не поддерживается использование hostPort .

  Поместите http: // 10.0.0.10: 8500 / v1 / catalog / register: dial tcp 10.0.0.10:8500: connect: соединение отклонено
  

  Ставим http://10.0.0.10:8500/v1/agent/service/register: dial tcp 10.0.0.10:8500: connect: соединение отклонено
  

  Получить http://10.0.0.10:8500/v1/status/leader: набрать tcp 10.0.0.10:8500: тайм-аут ввода-вывода
  

Указанный выше IP 10.0.0.10 относится к IP-адресу хоста, на котором работают клиентские модули Consul.

1. 30.01.1970
2. 0