WO2017143807A1 - 一种重启网络服务的方法及系统 - Google Patents

Abstract

本发明提供一种重启网络服务的方法及系统，所述方法包括：在接收到准备进行网络服务进程重启的准备信号时，配置Linux操作系统中Iptables的报文入队处理规则，将待处理报文从内核空间缓存到用户空间；通过于用户空间内设置一报文释放处理程序来实现在接收到网络服务进程重启完成的完成信号时，将用户空间缓存的待处理报文释放到内核空间，以使待处理报文与所述网络服务的新进程建立连接；所述IP信息包过滤系统利用NFQUEUE或者QUEUE将待处理报文缓存到用户空间。本发明只需要配置一条Iptables命令，以及一个用户空间程序即可实现，具有配置部署简单，对传出传入的连接都有效，使用场景不受限制等优点。

Description

一种重启网络服务的方法及系统 技术领域

本发明涉及Linux操作系统技术领域，特别是涉及Linux操作系统下的网络通讯和系统配置技术领域，具体为一种重启网络服务的方法及系统。

背景技术

某些网络服务必须重新启动进程才能完成重启或者重新载入配置文件。典型的例子是HAProxy网络服务。此网络服务通过使用SO_REUSEPORT选项，将新进程绑定到与旧进程完全相同的IP地址和端口开始监听新的连接，再发送信号通知老进程关闭监听端口的套接字(socket)。但是，当新老两个进程都绑定到同一个IP和端口，并且老进程的监听套接字还未关闭的短暂时间间隙中，新的连接可能会到来。根据Linux内核中SO_REUSEPORT的实现，新连接的第一个报文(SYN报文)可能会被分配给新老进程中的任意一个。如果这个SYN报文被分配给老进程，而紧接着老进程的监听套接字又被关闭，根据TCP协议，服务端会发送一个TCP RST报文给客户端重置这条连接。

针对这一问题，目前有一些解决方案。一种简单的做法是在进程重启期间配置Iptables规则丢弃掉新收到的SYN报文。根据TCP协议，客户端在没有收到SYN/ACK报文一段时间后会重新发送SYN报文。这一方案的不足之处在于，客户端等待超时并且重新发送SYN报文的时间很长，一般在1秒种以上，而进程重启的时间往往只需要几十毫秒。虽然新连接不会被重置，但却带来了较长时间的延时。

另一个可行的方案是利用Linux的流量控制工具。先使用Iptables标记新流入的SYN报文，再用流量控制工具暂时缓存这些报文。在进程完成重启之后，再释放这些SYN报文。相比于上一方案，这一方案所引起的时延相对较短。但是，由于流量控制工具只能控制流出的流量，因而使用场景受到了一定的限制。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种重启网络服务的方法及系统，用于解决现有技术中重启网络服务时处理待处理报文延时较长或处理受到限制的问题。

为实现上述目的及其他相关目的，本发明提供一种重启网络服务的方法，包括：在接收到准备进行网络服务进程重启的准备信号时，待处理报文配置Linux操作系统中Iptables的报文入队处理规则，将待处理报文从内核空间缓存到用户空间；在接收到网络服务进程重启 完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间，以使所述待处理报文与所述网络服务的新进程建立连接。

优选地，配置Iptables的NFQUEUE或者QUEUE的报文入队处理规则，将待处理报文从所述内核空间缓存到所述用户空间。

优选地，通过在所述用户空间内设置一报文释放处理程序来实现在接收到所述网络服务进程重载完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间。

优选地，所述报文释放处理程序调用libNetfilter_queue程序库或libipq程序库。

为实现上述目的，本发明还提供一种重启网络服务的系统，包括：配置模块，用于在接收到准备进行网络服务进程重启的准备信号时，待处理报文配置Linux操作系统中Iptables的报文入队处理规则，将待处理报文从内核空间缓存到用户空间；释放模块，用于在接收到网络服务进程重启完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间，以使所述待处理报文与所述网络服务的新进程建立连接。

优选地，配置Iptables的NFQUEUE或者QUEUE的报文入队处理规则，将待处理报文从所述内核空间缓存到所述用户空间。

优选地，所述释放模块包括设置于所述用户空间内的一报文释放处理程序，利用所述报文释放处理程序在接收到所述网络服务进程重载完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间。

优选地，所述报文释放处理程序调用libNetfilter_queue程序库或libipq程序库。

如上所述，本发明的一种重启网络服务的方法及系统，具有以下有益效果：

1、本发明利用Iptables/Netfilter框架中的NFQUEUE或QUEUE目标，基于包缓存技术实现了一种新的无丢包零停机重启网络服务的方法，只需要配置一条Iptables命令，以及一个用户空间程序即可实现，具有配置部署简单，对传出传入的连接都有效，使用场景不受限制等优点。

2、本发明中用户空间处理缓存的待处理报文的报文释放处理程序实现也较为简单，无需修改Linux内核或者网络服务程序的源代码。

附图说明

图1显示为本发明的重启网络服务的方法的流程示意图。

图2显示为本发明的重启网络服务的方法中报文的处理示意图。

图3显示为本发明的重启网络服务的系统的结构框图。

元件标号说明

1      重启网络服务的系统

11     配置模块

12     释放模块

S1～S2 步骤

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。

本实施例的目的在于提供一种重启网络服务的方法及系统，用于解决现有技术中重启网络服务时处理新连接的报文延时较长或处理受到限制的问题。以下将详细阐述本实施例的一种重启网络服务的方法及系统的原理及实施方式，使本领域技术人员不需要创造性劳动即可理解本实施例的一种重启网络服务的方法及系统。

如图1至图3所示，本实施例提供一种重启网络服务的方法及系统，适用于Linux操作系统中重启网络服务。本实施例提供的一种重启网络服务的方法及系统中利用Iptables工具的NFQUEUE/QUEUE机制，实现了一种零停机重启网络服务的方法，使重启网络服务时能正常处理所有的新连接而不会造成连接中断。相比于现有的其它方法，具有配置部署简单，对传出传入的连接都有效，使用场景不受限制等优点。

具体地，如图1所示，本实施例提供一种重启网络服务的方法，所述重启网络服务的方法包括以下步骤。

步骤S1，在接收到准备进行网络服务进程重启的准备信号时，配置Linux操作系统中Iptables的报文入队处理规则，将待处理报文从内核空间缓存到用户空间。

于本实施例中，Iptables是与最新的3.5版本Linux内核集成的IP信息包过滤系统。也就是说，于本实施例中，IP信息包过滤系统即为Netfilter/Iptables IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器，则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。

Netfilter/Iptables IP信息包过滤系统是一款功能强大的工具，可用于添加、编辑和移除规 则。虽然Netfilter/Iptables IP信息包过滤系统被称为单个实体，但它实际上由两个组件Netfilter和Iptables组成。

Iptables组件是一种工具，也称为用户空间(userspace)，它使插入、修改和除去信息包过滤表中的规则变得容易。

Netfilter组件也称为内核空间(kernelspace)，是内核的一部分，由一些信息包过滤表组成，这些表包含内核用来控制信息包过滤处理的规则集。Netfilter是Linux内核中的一个与网络功能相关的子系统。它作为一个通用的、抽象的框架，提供了数据包过滤、数据包修改、网络地址转换等功能。

具体地，于本实施例中，所述IP信息包过滤系统以队列形式将所述待处理报文缓存到用户空间，进一步来说，本实施例中，配置Iptables的NFQUEUE或者QUEUE的报文入队处理规则，将待处理报文从所述内核空间缓存到所述用户空间。其中，NFQUEUE或者QUEUE为Netfilter/Iptables自身具备的一个具体功能模块，该NFQUEUE或者QUEUE功能模块可以实现报文入队处理，其中NFQUEUE或者QUEUE功能模块用于实现报文入队处理的报文入队处理规则可以根据NFQUEUE或者QUEUE功能模块实现报文入队处理的原理和所要求的配置参数选项进行配置。

具体地，在本实施例中，如图2所示，准备进行进程重启时，添加一条Iptables配置，将服务进程所监听的端口接收到的TCP SYN报文利用Netfilter的NFQUEUE或者QUEUE目标缓存到用户空间。添加这一配置后，由于新的TCP SYN报文被缓存到用户空间，所以暂时不会与新老服务进程中的任何一个建立连接。

在Netfilter提供的众多功能中，本实施例利用NFQUEUE或者QUEUE将报文入队到用户空间，再由一个预先准备好的用户空间程序来进一步处理并决定这些报文的去向(接受、丢弃或者进一步处理，等等)。如果入队的报文没有马上被用户空间的进程处理，这些报文将被暂时缓存在队列中。所以，Netfilter的NFQUEUE或者QUEUE功能事实上提供了一种缓存报文的方法。

步骤S2，在接收到网络服务进程重启完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间，以使所述待处理报文与所述网络服务的新进程建立连接。

如图2所示，在执行网络服务的进程重启脚本，完成新旧进程的交接替换后，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间，以使所述待处理报文与所述网络服务的新进程建立连接。

具体地，于本实施例中，通过在所述用户空间内设置一报文释放处理程序来实现在接收到所述网络服务进程重载完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间。

优选地，于本实施例中，所述报文释放处理程序调用libNetfilter_queue程序库或libipq程序库。

也就是说，于本实施例中，所述报文释放处理程序运行在用户空间，并可以使用包括但不仅限于libNetfilter_queue及libipq库的程序库来编写实现。此报文释放处理程序只需要等待网络服务进程的重启脚本执行完成，新旧进程完成替换后，释放队列中的报文到内核空间即可。此时，由于老进程已经退出，只有新进程处于监听状态，这些先前被缓存的SYN报文将全部与新进程建立连接。

根据本实施例提供的重启网络服务的方法，只需要在新老进程发生交接的这段时间内，利用Iptables的NFQUEUE或者QUEUE，将新接收到的SYN报文缓存到用户空间，等待新旧进程交接替换完成，再使用一个用户空间程序接受这些缓存的SYN报文，使这些SYN报文重新进入内核空间，并与新进程建立连接即可。

为实现本实施例中的一种重启网络服务的方法，本实施例还提供一种重启网络服务的系统，具体地，如图3所示，所述重启网络服务的系统包括：配置模块和释放模块。

于本实施例中，所述配置模块用于在接收到准备进行网络服务进程重启的准备信号时，待处理报文配置Linux操作系统中Iptables的报文入队处理规则，将待处理报文从内核空间缓存到用户空间。由于本实施例中的重启网络服务的系统与重启网络服务的方法的原理相同，故对Iptables和Netfilter的说明在此不再重复赘述。

具体地，于本实施例中，配置Iptables的NFQUEUE或者QUEUE的报文入队处理规则，将待处理报文从所述内核空间缓存到所述用户空间。其中，NFQUEUE或者QUEUE为Netfilter/Iptables自身具备的一个具体功能模块，该NFQUEUE或者QUEUE功能模块可以实现报文入队处理，其中NFQUEUE或者QUEUE功能模块用于实现报文入队处理的报文入队处理规则可以根据NFQUEUE或者QUEUE功能模块实现报文入队处理的原理和所要求的配置参数选项进行配置。

具体地，在本实施例中，如图2所示，准备进行进程重启时，添加一条Iptables配置，将服务进程所监听的端口接收到的TCP SYN报文利用Netfilter的NFQUEUE或者QUEUE目标缓存到用户空间。添加这一配置后，由于新的TCP SYN报文被缓存到用户空间，所以暂时不会与新老服务进程中的任何一个建立连接。

于本实施例中，所述释放模块用于在接收到网络服务进程重启完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间，以使所述待处理报文与所述网络服务的新进程建立连接。

如图2所示，在执行网络服务的进程重启脚本，完成新旧进程的交接替换后，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间，以使所述待处理报文与所述网络服务的新进程建立连接。

具体地，于本实施例中，所述释放模块包括设置于所述用户空间内的一报文释放处理程序，利用所述报文释放处理程序在接收到所述网络服务进程重载完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间。

其中，优选地，于本实施例中，所述报文释放处理程序调用libNetfilter_queue程序库或libipq程序库。

也就是说，于本实施例中，所述报文释放处理程序运行在用户空间，并可以使用包括但不仅限于libNetfilter_queue及libipq库的程序库来编写实现。此报文释放处理程序只需要等待网络服务进程的重启脚本执行完成，新旧进程完成替换后，释放队列中的报文到内核空间即可。此时，由于老进程已经退出，只有新进程处于监听状态，这些先前被缓存的SYN报文将全部与新进程建立连接。

综上所述，本发明利用Netfilter框架中的NFQUEUE或QUEUE目标，基于包缓存技术实现了一种新的无丢包零停机重启网络服务的方法，只需要配置一条Iptables命令，以及一个用户空间程序即可实现，具有配置部署简单，对传出传入的连接都有效，使用场景不受限制等优点；本发明用户空间处理缓存的待处理报文的程序实现也较为简单，无需修改Linux内核或者网络服务程序的源代码。所以，本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。

Claims (8)

1. 一种重启网络服务的方法，其特征在于：包括：

   在接收到准备进行网络服务进程重启的准备信号时，配置Linux操作系统中Iptables的报文入队处理规则，将待处理报文从内核空间缓存到用户空间；

   在接收到网络服务进程重启完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间，以使所述待处理报文与所述网络服务的新进程建立连接。
2. 根据权利要求1所述的重启网络服务的方法，其特征在于：配置Iptables的NFQUEUE或者QUEUE的报文入队处理规则，将待处理报文从所述内核空间缓存到所述用户空间。
3. 根据权利要求1或2所述的重启网络服务的方法，其特征在于：通过在所述用户空间内设置一报文释放处理程序来实现在接收到所述网络服务进程重载完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间。
4. 根据权利要求3所述的重启网络服务的方法，其特征在于：所述报文释放处理程序调用libNetfilter_queue程序库或libipq程序库。
5. 一种重启网络服务的系统，其特征在于：包括：

   配置模块，用于在接收到准备进行网络服务进程重启的准备信号时，待处理报文配置Linux操作系统中Iptables的报文入队处理规则，将待处理报文从内核空间缓存到用户空间；

   释放模块，用于在接收到网络服务进程重启完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处理报文释放到所述内核空间，以使所述待处理报文与所述网络服务的新进程建立连接。
6. 根据权利要求5所述的重启网络服务的系统，其特征在于：配置Iptables的NFQUEUE或者QUEUE的报文入队处理规则，将待处理报文从所述内核空间缓存到所述用户空间。
7. 根据权利要求5或6所述的重启网络服务的系统，其特征在于：所述释放模块包括设置于所述用户空间内的一报文释放处理程序，利用所述报文释放处理程序在接收到所述网络服务进程重载完成的完成信号时，读取所述用户空间缓存的待处理报文并将读取的所述待处 理报文释放到所述内核空间。
8. 根据权利要求7所述的重启网络服务的系统，其特征在于：所述报文释放处理程序调用libNetfilter_queue程序库或libipq程序库。

Images