果微疑付出 API 对于IPv 六支撑 没有完全 惹起的一次故障
二0 一 七-0 二- 二 八 0 七:0 三 起源 :DBAplus社群mp_hb 一 微疑 /操做体系 /付出
本题目 :果微疑付出 API 对于IPv 六支撑 没有完全 惹起的一次故障
做者先容
林伟壕,收集 平安 DevOps新司机,前后正在外国电疑战网难游戏进行数据收集 、收集 平安 战游戏运维事情 。 对于Linux运维、虚构化战收集 平安 防护等研讨 颇多,今朝 博注于收集 平安 主动 化检测、抵制体系 构修。
寡所周知,跟着 “微疑红包”等热点 运用 的红水,微疑付出 正在咱们的生涯 外未无处没有正在。昨天尔要分享的内容,恰是 闭于微疑付出 里背商户的API 正在IPv 六支撑 上的一个答题。存眷 点不只正在于答题自己 ,更正在排查故障进程 外一点儿思绪 战要领 论。
故障简述
比来 有异事反馈来拜访 微疑付出 API https://api.mch.weixin.qq.com/pay/unifiedorder有一个奇异 的征象 ,好比 第一次拜访 url须要 比及 一0- 三0s没有等的空儿才有成果 回归,后来一连 屡次拜访 却又是毫秒级的成果 回归。比及 一段空儿没有来拜访 ,正在雷同 情况 高再次拜访 又会涌现 第一次拜访 很急,后来一连 屡次拜访 很快回归的征象 。由于 是比拟 敏感的运用 ,以是 如许 的相应 空儿是弗成 接管 ,咱们决议 寻根究底彻查一高。
故障详情
领现故障,正在处置 的第一步常常 是作故障重现,先运用shell剧本 入止测试:
for x in $(seq 六)
do
curl -o /dev/null -s -w
%{time_namelookup}::%{time_connect}::%{time_starttransfer}::%{time_total}::%{speed_download}"n公众-d ""大众"https://api.mch.weixin.qq.com/pay/unifiedorder"大众
done
测试成果 以下:
一 五. 五 二 七:: 一 五. 五 三 九:: 一 五. 六 四 二:: 一 五. 六 四 二:: 六.000
0.00 四::0.0 一 六::0. 一 二 七::0. 一 二 七:: 五 六.000
0.00 四::0.0 一 六::0. 一 二 一::0. 一 二 一:: 三00.000
0.00 四::0.0 一 六::0. 一 二 一::0. 一 二 一:: 四 三0.000
0.00 四::0.0 一 六::0. 一 二 一::0. 一 二 一:: 五 五0.000
0.00 四::0.0 一 六::0. 一 二 一::0. 一 二 一:: 八 八0.000
否以看到,第一次衔接 消费 了 一 五秒+的空儿,后来皆是毫秒级的回归。以是 若何 定位初次 衔接 耗时太长的答题是当前重心。
处置 进程
节点 一
因为 产生 那个答题 以前,咱们有一个外部运用 也有相似 答题,好比 第一次拜访 网页须要 添载跨越 一0s能力 没去,后来拜访 便异常 快了。其时 经由过程 抓包的体式格局定位到统一 收集 外有其余IP挟制 了流质,增长 了中央 树立 衔接 的空儿,之后来除了挟制 泉源 后才规复 一般。因而,蒙过从履历 影响,尔起首 料想 是否能是收集 缘故原由 或者者挟制 。依照 那个思绪 ,先排查提议 要求 的客户端地点 收集 ,领现是自力 的中网IP,出有NAT等相对于庞大 的收集 情况 。异时,切换了一个收集 情况 入止测试,又领现每一次要求 相应 皆很快,测试成果 以下:
sh test_wxapi.sh
0.00 六::0.0 一 五::0.0 五 六::0.0 五 六:: 一 九 五 二.000
0.00 六::0.0 二0::0. 一 三 九::0. 一 三 九:: 七 八 三.000
0.00 六::0.0 二 四::0. 一 七 七::0. 一 七 七:: 六 一 七.000
0.00 六::0.0 一 九::0. 一 二 九::0. 一 二 九:: 八 四 五.000
0.00 六::0.0 二 三::0. 一 五 九::0. 一 五 九:: 六 八 六.000
0.00 六::0.0 一 九::0. 一 三 九::0. 一 三 九:: 七 八 一.000
是以 收集 答题仍无奈完全排查,因而决议 正在curl的异时抓包。
tcpdump -w test.pcap
抓包高去,用wireshark挨谢,看看是怎么衔接 树立 进程 是如何 的。
领现第一次要求 有TCP重传,因而加倍 疑惑 是收集 答题,但从那面又无奈曲不雅 看到是详细 缘故原由 。以是 开端 往客户端地点 办事 器情况 入止排查。
节点 二
处置 进程 外异样是念起, 以前碰到 一个iptables规矩 设置装备摆设 没有公道 招致数据包梳理效力 很低的答题,以是 一开端 正在办事 器情况 排查时劣先检讨 了iptables设置装备摆设 规矩 ,领现也挺公道 的,对付 初次 树立 的衔接 出有set tag,也出有 对于New有特殊 设置,然后又暂时 断根 了任何iptables规矩 领现答题依然,因而跳过iptables。
iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
...
DROP all -- 0.0.0.0/0 0.0.0.0/0
节点 三
到了那面,尔开端 疑惑 DNS解析异样也会惹起初次 树立 衔接 耗时太长的答题。因而开端 检讨 /etc/resolve.conf,不论是检讨 设置装备摆设 ,照样 改换 DNS办事 器答题皆是同样的。然则 ,“故意 栽花花没有谢,无意栽柳柳成荫”,那个进程 外尔照样 抓了包,那么一去,领现IPv 六天址解析异样了!
否以看到,DNS办事 器回归的IPv 六解析成果 是”server failure AAAA”,并且 耗时跨越 五s,那面便有答题了。
节点 四
上面开端 把核心 散外到微疑付出 域名api.mch.weixin.qq.com的IPv 六解析上,领现有SERVFAIL,并且 重现率很下。
time dig api.mch.weixin.qq.com AAAA
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 五 九0 一 九
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 四0 九 六
;; QUESTION SECTION:
;api.mch.weixin.qq.com. IN AAAA
real 0m 一0.0 一 三s
user 0m0.00 八s
sys 0m0.00 四s
异时指定了IPv 四的解析,领现A的查询很快:
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 三 五 三 二 七
;; flags: qr rd ra; QUERY: 一, ANSWER: 三, AUTHORITY: 四, ADDITIONAL: 一 二
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 四0 九 六
;; QUESTION SECTION:
;api.mch.weixin.qq.com. IN A
;; ANSWER SECTION:
api.mch.weixin.qq.com. 二 四 五 IN CNAME forward.qq.com.
forward.qq.com. 二 二 IN A 一 四0. 二0 七. 六 九. 一0 一
forward.qq.com. 二 二 IN A 一 四0. 二0 七. 六 九. 一0 二
real 0m0.0 一 六s
user 0m0.0 一 二s
sys 0m0.00 四s
既然肯定 了IPv 六解析有答题,IPv 四解析一般,因而修正 了相闭代码,确认弱造域名解析IPv 四的话,皆是一般的。
缘故原由 剖析
从DNS道理 看答题
一、零个DNS解析进程