Saltar para o conteúdo 
Eu mostro como Modelação da largura de banda em servidores e controlo de tráfego em Linux para controlar os fluxos de pacotes de forma a reduzir significativamente a latência, o jitter e as interrupções. Utilizo filas prioritárias, limites e regras de QoS para proteger fluxos críticos para o negócio, como VoIP, APIs ou pedidos de lojas, de cargas de fundo e backups.
Pontos centrais
As seguintes afirmações-chave ajudam-me a controlar a largura de banda e o tráfego nos servidores Linux de uma forma orientada e a torná-los permanentemente planeáveis.
- Definição de prioridades fluxos de tempo crítico reduzem a latência e o jitter.
- Limites de taxas e a limitação evitam explosões e bloqueios de memória intermédia.
- HTB/SFQ distribuir a largura de banda de forma justa e manter as classes constantes.
- Filtro QoS controlo por IP, porta, protocolo ou etiquetas.
- Monitorização através de P95 e alertas detecta estrangulamentos numa fase inicial.
Desenvolvo estes pontos passo a passo, meço continuamente os efeitos e adapto as aulas e as tarifas à utilização real.
O que significa realmente a modelação da largura de banda
Ao moldar, regulo a Fluxo de parcelas ativamente, em vez de apenas limitar de forma reactiva. Mantenho os débitos constantes, dou prioridade ao tráfego em tempo real e interativo e suavizo os picos de dados irregulares. Para tal, utilizo a limitação de débito para o tráfego de saída e a limitação de débito para os fluxos de dados de entrada. Esta separação cria responsabilidades claras por direção e evita buffers cheios. Para os ambientes de alojamento, estabeleço limites superiores definidos para cada cliente ou aplicação, de modo a que um pico de carga não faça abrandar todo o sistema.
Controlo de tráfego em Linux: ferramentas e conceitos
No Linux, controlo o tráfego com a ferramenta tc e as disciplinas de enfileiramento do kernel (qdisc). Os blocos de construção típicos são o qdisc raiz, classes e filtros que definem a atribuição de pacotes a prioridades e limites. Eu geralmente começo com HTB como um controlador hierárquico para taxas garantidas e máximas. Também uso SFQ para distribuição justa dentro de uma classe. Limito a largura de banda a 90-95% da taxa fisicamente possível para manter a margem de manobra e evitar picos de latência.
Modelação da entrada (Ingress): IFB em vez de Policer
Para o tráfego de entrada, não formulo diretamente na interface física, mas utilizo um IFB-device (Bloco Funcional Intermediário). Espelho os pacotes de entrada para o IFB e trato-os como tráfego de saída - incluindo a hierarquia, a equidade e os limites do HTB. Isto é mais fino do que um policer puro, que só descarta hard e muitas vezes aumenta o jitter.
modprobe ifb numifbs=1
ip link add ifb0 type ifb
ip link set dev ifb0 up
# Ativar ingress no PHY e redirecionar para IFB
tc qdisc add dev eth0 handle ffff: ingress
tc filter add dev eth0 parent ffff: protocol ip u32 match u32 0 0 \
ação espelhada egress redirecionar dev ifb0
# Shaping no IFB como no egress
tc qdisc add dev ifb0 root handle 2: htb default 20
tc class add dev ifb0 parent 2: classid 2:10 htb rate 40mbit ceil 60mbit
tc class add dev ifb0 parent 2: classid 2:20 htb rate 20mbit ceil 40mbit
tc qdisc add dev ifb0 parent 2:10 handle 210: fq_codel
tc qdisc add dev ifb0 parent 2:20 handle 220: sfq
Com o IFB, tenho controlo sobre os picos de transferência, por exemplo, quando as tarefas de backup ou de espelhamento de entrada ocupam a largura de banda. Na prática, utilizo o IFB em interfaces com taxas altamente assimétricas (por exemplo, 1G/200M) ou quando os picos de entrada põem em causa a interatividade.
HTB, TBF e SFQ em comparação
Para uma escolha correta de qdisc Eu olho para os objectivos da aplicação: Garantias, comportamento de rajada e equidade. O HTB oferece classes hierárquicas com taxas fixas e máximas, o TBF limita estritamente por balde de fichas, o SFQ distribui oportunidades através de fluxos. Em combinação, eles formam uma estrutura resiliente na prática: O HTB limita e garante, o SFQ impede o domínio de conexões individuais, o TBF domina rajadas teimosas. A tabela a seguir resume os principais recursos para cenários típicos de servidor. Isto permite-me decidir mais rapidamente que disciplina faz sentido em que altura.
| qdisc/Feature | Objetivo | Pontos fortes | Utilização típica |
|---|---|---|---|
| HTB | Hierarquia e controlo da taxa | Taxa garantida, limite máximo, herança | Clientes, classes de serviço, perfis de QoS |
| TBF | Rigoroso Tampas | Simples, muito determinista | Limite de uplink, limites rígidos de aplicações |
| SFQ | Equidade por caudal | Poucas despesas gerais, boa distribuição | Downloads, P2P, muitas sessões |
| FQ_CoDel | AQM contra o bufferbloat | Baixa latência, descodificação de filas | Encaminhadores de extremidade, ligações críticas em termos de latência |
Para acessos com RTTs significativamente flutuantes, eu uso FQ_CoDel ou - dependendo do kernel - CAKE como um polivalente. Na prática do servidor, no entanto, fico com HTB+SFQ/FQ_CoDel porque posso combinar garantias, empréstimos e distribuição justa de forma limpa numa hierarquia.
Prática: regras tc para servidores típicos
Começo com um simples HTB-e depois alocar usando um filtro. Um qdisc de raiz com classe predefinida apanha os pacotes não classificados, as classes prioritárias recebem taxas garantidas. Eu então refino os filtros: HTTP/S para a classe A, replicação de banco de dados para a classe B, backups para a classe C. Isto mantém os pedidos de compras rápidos, enquanto os backups utilizam os restos. Para conhecer os conceitos básicos e o vocabulário, remeto-o para esta introdução ao Gestão da largura de banda, o que torna o procedimento tangível.
tc qdisc add dev eth0 root handle 1: htb default 20
tc class add dev eth0 parent 1: classid 1:10 htb rate 50mbit ceil 70mbit
tc class add dev eth0 parent 1: classid 1:20 htb rate 20mbit ceil 50mbit
tc class add dev eth0 parent 1: classid 1:30 htb rate 10mbit ceil 30mbit
tc qdisc add dev eth0 parent 1:10 handle 110: sfq
tc qdisc add dev eth0 parent 1:20 handle 120: sfq
tc qdisc add dev eth0 parent 1:30 handle 130: sfq
tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match ip dport 443 0xffff flowid 1:10
tc filter add dev eth0 protocol ip parent 1:0 prio 2 u32 match ip dport 3306 0xffff flowid 1:20
tc filter add dev eth0 protocol ip parent 1:0 prio 3 u32 match ip sport 22 0xffff flowid 1:30
Classificação com DSCP e Marcas (compatível com IPv4/IPv6)
Para garantir que os filtros funcionem independentemente da versão IP e do NAT, eu marco os pacotes antecipadamente e depois os mapeio via fwmark nas classes. Isto poupa-me combinações complexas de u32 e mantém as regras simples. Também utilizo o DSCP para semântica de ponta a ponta, por exemplo, para VoIP ou interatividade.
Exemplo # com nftables: Dar prioridade ao TLS, limitar as cópias de segurança
nft add table inet mangle
nft add chain inet mangle prerouting { type filter hook prerouting priority -150; }
nft add rule inet mangle prerouting tcp dport 443 meta mark set 10
nft add rule inet mangle prerouting tcp dport 22 meta mark set 30
nft add rule inet mangle prerouting tcp dport 873 meta mark set 40 # rsync/Backups
Mapeamento # em classes HTB (funciona igualmente para IPv4/IPv6)
tc filter add dev eth0 parent 1:0 prio 1 handle 10 fw flowid 1:10
tc filter add dev eth0 parent 1:0 prio 2 handle 30 fw flowid 1:30
tc filter add dev eth0 parent 1:0 prio 3 handle 40 fw flowid 1:20
Importante: defino DSCP/marcadores na medida do possível. no limite (entrada da máquina ou à sua frente) para que as decisões posteriores possam ser tomadas rapidamente e para que o tc tenha menos trabalho sob carga.
Estratégias de QoS para alojamento: equidade e limites
Em configurações multilocatário, asseguro Equidade através de garantias fixas por cliente e limites máximos por aplicação. Eu marco os pacotes através de DSCP ou de acordo com os portos e atribuo-os a classes adequadas. Os downloads e os backups são autorizados a preencher a capacidade, enquanto as sessões interactivas têm prioridade. Desta forma, os serviços relevantes para o SLA continuam a ter prioridade sem excluir outros inquilinos. Nesta visão geral, resumo os cenários práticos e a lógica de priorização Prioridade de tráfego que se enquadra bem nas regras tc.
Persistência e automatização
Minhas políticas de QoS sobrevivem a reinicializações e reinicializações de interface. Eu armazeno comandos tc como um script idempotente e integro-o ao systemd ou netplan/networkd. Para dispositivos com nomes dinâmicos (por exemplo, veth/tap), eu uso regras do udev ou modelos do systemd.
# /usr/local/sbin/tc-setup.sh (compilação idempotente)
#!/bin/sh
tc qdisc replace dev eth0 root handle 1: htb default 20
# ... mais classes/filtros aqui
# systemd unit: /etc/systemd/system/tc-setup.service
[Unidade]
Descrição=Configuração do Controlo de Tráfego
After=network-online.target
Quer=rede-online.target
[Serviço]
Tipo=oneshot
ExecStart=/usr/local/sbin/tc-setup.sh
RemainAfterExit=sim
[Instalar]
WantedBy=multi-user.target
Introduzo as alterações de forma controlada: primeiro na fase de preparação e depois, durante um período limitado, no sistema de produção (tc substituir em vez de adicionar), acompanhado de métricas e de um botão de reversão.
Monitorização, P95 e resolução de problemas sem frustração
Meço os efeitos continuamente em vez de me concentrar em Pressentimento para sair. As latências P95, os comprimentos de fila e as perdas de pacotes mostram se as regras são eficazes ou demasiado rígidas. Ferramentas como o iftop, vnStat e Netdata tornam visíveis os picos de carga, os registos do tc e do iptables mostram a atribuição. Se ocorrer jitter, reduzo ligeiramente os valores de ceil e verifico CoDel/FQ_CoDel como uma medida AQM. No caso de estrangulamentos, ajusto os pesos das classes passo a passo e mantenho as janelas de medição após cada alteração.
Metodologia de ensaio: simulação de carga e verificação
Simulo cenários realistas: um fluxo contínuo (iperf3), interações curtas (pequenos pedidos HTTP) e rajadas periódicas (backup/rsync) em paralelo. Em seguida, verifico se os fluxos interactivos mantêm uma latência consistentemente baixa e se as explosões são suavizadas de forma limpa.
# Teste na direção oposta (descarregamento/ingresso)
iperf3 -c -R -t 60
# Ler estatísticas de shaping
tc -s qdisc show dev eth0
tc -s class show dev eth0
# Verificar a distribuição de jitter/RTT
ping -i 0.2 -c 100 | awk '/time=/{print $7}'Se as classes precisarem de empréstimos permanentemente, aumento ligeiramente as taxas garantidas. Se as quedas se acumularem nas filas de espera do AQM, verifico os tamanhos dos buffers e se os limites estão definidos de forma demasiado agressiva.
Afinação do desempenho: cobertura 90-95 %, suavização de rajadas, MTU
Limito a taxa de saída a 90-95% da velocidade do link para evitar o inchaço do buffer e permitir que o AQM tenha efeito. Eu suavizo as rajadas com parâmetros de token bucket (taxa, rajada/latência) para que os picos de curto prazo não preencham filas inteiras. Verifico o MTU para reduzir a fragmentação e evitar problemas de MTU do caminho. Para cargas de trabalho altamente flutuantes, defino valores de limite generosos, mas taxas garantidas conservadoras. Essa configuração mantém o tráfego prioritário rápido enquanto os processos em segundo plano continuam a ser executados de forma neutra.
Descargas de hardware, filas múltiplas e ajuste de IRQ
Para uma modelação precisa em ligações rápidas, conheço a interação com os offloads de NIC. TSO/GSO/GRO aceleram, mas em taxas de destino muito baixas podem piorar a granulação fina. Para links sensíveis, eu desligo o TSO/GSO como um teste e meço o ganho de latência/CPU em relação a ele. Em NICs com várias filas, uso um mq-Distribuo a carga da CPU com RPS/XPS e fixação de IRQ para que o trabalho de QoS não passe fome numa CPU.
# Testar seletivamente as descargas (cuidado na produção)
ethtool -K eth0 tso off gso off gro off
# Layout de filas múltiplas
tc qdisc add dev eth0 root handle 1: mq
tc qdisc add dev eth0 parent 1:1 handle 10: htb default 20
tc qdisc add dev eth0 parent 1:2 handle 20: htb default 20
# ... continuar por fila e definir classes/filtros como habitualmente
Com txqueuelen, tamanhos de buffer de anel e afinidade de IRQ, eu continuo a cortar a latência. O objetivo é conseguir um caminho de fila estável e curto que não caia sob carga.
Segurança e segmentação: modelação com firewall e VLAN
Combino QoS com Segmentação, para que as redes críticas mantenham as suas próprias capacidades. Defino as minhas próprias filas de espera para cada VLAN ou interface, as firewalls marcam os pacotes assim que entram no servidor. Isso significa que o tc tem que tomar menos decisões sob carga porque os pacotes são classificados logo no início. Os backups da VLAN de armazenamento permanecem no seu caminho, enquanto o HTTP front-end não passa fome. A separação também reduz as análises de erros porque os fluxos podem ser atribuídos com mais clareza.
Virtualização e contentores: onde estou
Em configurações KVM/virtio, prefiro formar BordaO que é que eu posso fazer: na bridge interface (br0), no uplink físico (eth0) ou especificamente por convidado na sua interface vnet. Eu gosto de implementar garantias por inquilino no vnetX, limites globais no uplink. No Kubernetes, o tc é praticável em pares veth ou uplinks de nó; eu atribuo marcadores no início via CNI/iptables/nftables para que a alocação permaneça determinística. Para SR-IOV ou DPDK, certifico-me de que os caminhos de dados ainda passam por tc - caso contrário, formo antecipadamente ou uso os próprios limitadores de taxa da NIC.
Custos e benefícios: Eficiência em vez de actualizações de hardware
Com limpeza Modelagem Utilizo melhor as linhas existentes e, muitas vezes, poupo em actualizações dispendiosas. Menos perda de pacotes e menor latência melhoram diretamente a experiência do utilizador. Em ambientes de alojamento, isto compensa duplamente, porque limites justos evitam escaladas entre clientes. Na prática, verifico que as taxas estáveis aumentam o débito à medida que as retransmissões são reduzidas. Estes efeitos reflectem-se, em última análise, em SLAs mais claros e menos casos de assistência.
Armadilhas frequentes e controlos rápidos
- Unidades inadequadas: Verifico se
mbitekbitsão escritos corretamente e o burst/latency corresponde ao MTU. - Inversão de prioridades: demasiadas classes de alta prioridade sem um limite real conduzem a uma fome das predefinições. Respeito estritamente os limites superiores.
- NAT/IPv6 ignorado: Os filtros de porta não funcionam como pretendido após NAT/IPv6. Eu marco cedo (fwmark) e depois mapeio em classes.
- Ceil less than rate: Um erro de digitação comum que bloqueia o empréstimo. Eu valido cada classe com
tc -s classe. - Entrada apenas polarizada: o hard dropping cria jitter. Com o IFB, a forma é mais fina e mais justa.
- As descargas distorcem as medições: Eu documento o estado da descarga para cada teste e comparo maçãs com maçãs.
Perspectivas para o futuro: Reserva apoiada por IA e políticas adaptativas
Utilizo tendências como Previsões com base no histórico de carga para adaptar dinamicamente as classes pouco antes das horas de ponta. Os modelos de aprendizagem reservam largura de banda para VoIP ou fases de checkout antes de as filas aumentarem. Em redes híbridas entre a nuvem e o local, utilizo limites temporários e orçamentos de explosão que alteram as políticas de acordo com um cronograma. Isto reduz as intervenções operacionais e mantém os serviços previsíveis mesmo durante eventos especiais. Eu agrego conhecimentos mais profundos sobre escalonamento e limites aqui: Gestão do tráfego e limites de alojamento.
Resumo e lista de controlo
Em primeiro lugar, defini uma Hierarquia com HTB, emitir garantias e manter Ceil ligeiramente abaixo da velocidade da ligação. De seguida, classifico de acordo com os serviços, protocolos ou DSCP e verifico os valores de latência, jitter e P95. Utilizo o SFQ ou o FQ_CoDel para garantir uma distribuição equitativa e filas de espera curtas. A monitorização acompanha todas as alterações para que eu possa decidir sobre os efeitos em vez de adivinhar. Isto significa que a modelação da largura de banda não é um ato isolado, mas um ciclo de controlo simples que mantém o tráfego do servidor seguro e previsível.
