nf_conntrack (连接跟踪表)是 Linux 内核里一个负责跟踪网络连接状态的模块,主要给 iptables 和 nftables 这些防火墙工具提供连接状态信息,让它们能更精准地控制流量。
简单来说,它就像个“网络连接记录员”,会记录每个连接的状态(比如是新建的、已建立的还是相关的),这样防火墙就能根据这些状态来放行或拦截数据包。
机器并未关机,openstack服务down
带外BMC(IPMI)系统登陆发现/var/log/messages出现丢包日志
kernel: nf_conntrack: table full, dropping packet
#排查 - 发现net.netfilter.nf_conntrack_max的值为默认值26万 - 连接跟踪表满了
最大连接数:cat /proc/sys/net/netfilter/nf_conntrack_max
当前连接数:cat /proc/sys/net/netfilter/nf_conntrack_count
#解决方案
/etc/sysctl.conf
大于 384G
sysctl -w net.netfilter.nf_conntrack_max=12582912
echo 1572864 > /sys/module/nf_conntrack/parameters/hashsize
120G
sysctl -w net.netfilter.nf_conntrack_max=3932160
echo 491520 > /sys/module/nf_conntrack/parameters/hashsize 