Мониторинг сетевых соединений
Для обеспечения работы сетевого балансировщика и групп безопасности VPC использует мониторинг сетевых соединений.
Под сетевым соединением подразумевается поток сетевого трафика (Traffic flow) в любом направлении. Соединение однозначно определяется пятью параметрами: IP-адресом источника, портом источника, IP-адресом приемника, портом приемника и протоколом сетевого взаимодействия. Порядок приемника и источника не учитывается.
При использовании групп безопасности соединение создается, если первый пакет получен в направлении с разрешающим правилом.
Жизненный цикл сетевого соединения заканчивается в следующих случаях:
- через три минуты после передачи последнего пакета в любом направлении;
- для TCP-соединения — через короткое время после получения пакета RST или пакета с флагом FIN.
В связи с этим, для ОС виртуальной машины и для ваших приложений рекомендуется устанавливать параметр keepalive на время меньше трех минут.
Например, для ОС на базе Linux рекомендуются следующие настройки системных параметров
sysctl:
- net.ipv4.tcp_keepalive_time = 120
- net.ipv4.tcp_keepalive_intvl = 60
- net.ipv4.tcp_keepalive_probes = 4
Ограничение на количество соединений — 350 000 при использовании групп безопасности. Обратите внимание, что ограничение действует только если ВМ назначена группа безопасности, созданная пользователем. При достижении этого ограничения новые соединения отбрасываются. Ограничение действует для отдельного сетевого интерфейса виртуальной машины.
Подробнее о просмотре графика подключений.