現在のパフォーマンス測定

パフォーマンスが悪い、といっても遅さの指針となるデータがないと目標も立てられませんし、改善の評価も行えません。
そこで、今回はネットワークパフォーマンス測定ツール netperf を使ってパフォーマンスを測定することにしました。

sol11 $ netperf  -H oi148
MIGRATED TCP STREAM TEST from ::ffff:0.0.0.0 (0.0.0.0) port 0 AF_INET to oi148 (192.168.1.3) port 0 AF_INET
Recv   Send    Send                          
Socket Socket  Message  Elapsed              
Size   Size    Size     Time     Throughput  
bytes  bytes   bytes    secs.    10^6bits/sec  

128000  49152  49152    10.00    1028.79  

sol11 $ netperf  -H 192.168.30.1
MIGRATED TCP STREAM TEST from ::ffff:0.0.0.0 (0.0.0.0) port 0 AF_INET to 192.168.30.1 (192.168.30.1) port 0 AF_INET
Recv   Send    Send                          
Socket Socket  Message  Elapsed              
Size   Size    Size     Time     Throughput  
bytes  bytes   bytes    secs.    10^6bits/sec  

128000  49152  49152    10.32      22.88  

Dtraceによる測定

せっかくSolarisには dtrace(1M) というトレーサーがついているのですから、まずは Dtrace でボトルネック箇所を探してみます。

fbt:tap::entry
{
        @cntproc[probefunc] = count();
}

tick-1sec { 
        trunc(@cntproc,10);
        printa(@cntproc);
}

sol11 $ sudo dtrace -s  count_tuntap.d   
    :
  1  68057                       :tick-1sec 
  tunwsrv                                               678
  tun_unitdata_ind.clone.0                             9334
  tunwput                                             35464
  tun_frame                                           36333

fbt:tap::entry
{
        self->ts = timestamp;
}
                                       
fbt:tap::return
/self->ts > 0/
{
        @ts[probefunc] = sum(timestamp - self->ts);
        self->ts = 0;
}

tick-1sec { 
        trunc(@ts,10);
        printa(@ts);
}

sol11 $ sudo dtrace -s  elapsed_sum_tuntap.d 
dtrace: script 'elapsed_sum_tuntap.d' matched 30 probes
CPU     ID                    FUNCTION:NAME
    :
  1  68057                       :tick-1sec 
  tunwsrv                                           1081603
  tun_unitdata_ind.clone.0                         13908076
  tunwput                                          32014047

pid$target:::entry
{
        @cnt[probefunc] = count()
}

tick-1sec { 
        trunc(@cnt, 30);
        printa(@cnt);
}

sol11 $ sudo dtrace -s count.d -p 5511
dtrace: script 'count.d' matched 11218 probes
   :
 BF_decrypt                                          66579
  sha1_block_data_order                              68652
  EVP_CIPHER_CTX_iv_length                            75084
  po_ctl                                              75084
  proto_is_dgram                                      81978
  memset                                             223560
  memcpy                                             243961
  BF_encrypt                                        2032723

pid$target:::entry
{
        self->ts = timestamp;
}

pid$target:::return
/self->ts > 0/
{
        @ts[probefunc] = sum(timestamp - self->ts);
}

tick-1sec { 
        trunc(@ts,10);
        printa(@ts);
}

sol11 $ sudo dtrace -s elapsed_sum.d -p 5511
dtrace: script 'elapsed_sum.d' matched 22404 probes
CPU     ID                    FUNCTION:NAME
    :
  1  68057                       :tick-1sec 
  SHA1_Update                                     142005693
  memset                                          184523613
  memmove                                         189561457
  EVP_DigestUpdate                                190132463
  memcpy                                          316211424
  BF_encrypt                                     1654880393
  __pollsys                                      3503914650
  _pollsys                                       3538953225
  poll                                           3569561345
  po_wait                                        3600229916

sol11 $ sudo dtrace -n 'pid$target:::entry/probefunc=="poll"/{ustack(20)}' -p 5511
dtrace: description 'pid$target:::entry' matched 11217 probes
CPU     ID                    FUNCTION:NAME
  0  77052                       poll:entry 
              libc.so.1`poll
              openvpn`po_wait+0x65
              openvpn`io_wait_dowork+0x120
              openvpn`main+0x35e
              openvpn`_start+0x83

snoop コマンドのトレース

上位プロトコルからのデータが届いていないのでは?との推測を受けて、snoop コマンドを使って TAP ドライバに流入するパケットをチェックします。

tap0 インターフェースに流れるパケットをファイル(バイナリフォーマット)に落とすコマンド実行例。

# snoop -d tap0 -o /var/tmp/snoop.out

このように snoop コマンドを実行しながら netperf コマンドを実行します。
取得したパケットキャプチャファイルは snoop コマンドでももちろん読めますが、よりグラフィカルにパケットの送受を確認するために Wireshark というパケットキャプチャの表示・解析ツールを使います。

Wireshark は多機能な解析ツールですが、その機能のなかでもパフォーマンス問題を調査するのにお奨めな機能が「Time-Sequence Graph(tcptrace)」です。この機能はキャプチャファイルオープン後、調査をしたいTCPコネクションのパケットを一つクリックした後、メニューの Statictics -> TCP Stream Graph -> Time-Sequence Graph(tcptrace)から起動することができます。

横軸が経過時間を示し、縦軸がそ転送されたデータ量を示しています。平らなっているように見える部分はデータ転送が無い部分です。
デフォルトでは全体を示しているのでわかりづらいのでマウスの左クリク、もしくは「i」キーでズームインします。

図中の「I」の一つが一つのパケットのデータ転送量を表しています。「I」が重なって上に伸びているのは連続してパケットが送信されたことを示しています。逆に「I」と次の「I」の間が開いてしまっているのは何らかの「待ち」が発生していることになります。
図の左上の方に斜め右上に階段上に登っている先は受信側が「Windowサイズ」として通知してきた受信可能なデータ量を示しています。
つまり、実際に「Windowsサイズ」と書かれた縦の赤線の高さくらいまで連続してデータを送ることができるのに、送信側(=クライアント)が送信を自ら止めているのです。
一方右下の階段上の線は受信側(=サーバ)からのとどいた確認応答(ACK)のデータを示しています。ある時間どのデータ量までACKを受けたかが分かります。
これらからわかることは、クライアントは、サーバからのある一定数のACK、実際には3~4つ前に送信したデータのACKが届くのを見届けてから次のデータを送信しているのが分かります。簡単に言うと以下のような動きを繰り返して、ちょっとずつ時間をロスしています。

1. クライアントが4つのパケットを連続して送信。
2. サーバからのACKを待つ(1msくらい)
3. サーバからACKが到着。
4. 次の4つのパケットを送信

TCP というプロトコルの仕組み上、送信側が通知してきた Window サイズ(図の赤い縦線)分だけのデータはACKを受けること無く、連続して送信することができるはずです。
では、なぜクライアントは 4つのパケットだけしか送信せずにACKを待っているのでしょう?

これはおそらくTCPの「輻輳回避アルゴリズム」が働いているため、と考えることができます。
輻輳回避アルゴリズムは、ネットワーク経路に輻輳が発生しているような場合に、ネットワークに負荷を掛けることによってパケットのロスが発生し、パケットの再送信が必要になる、という悪循環を避けるために、自らパケット送信のスロットルを弱める機能になります。
この場合、このパケット以前に、再送信が頻発するなど、TCPが「輻輳が発生している」と判断する事象が発生していたと考えられます。

では、あらためて、このTCP接続の最初の部分を見てみましょう。

これは、TCP接続の最初の部分です。最初「I」が3つならんで縦に伸びて言いますので、3つのパケットが連続してだされているのが分かります。続いては4つのパケットが連続で、次の次の塊では5つのパケットが連続で送られており、7つめ塊では7つのパケットが連続で送られている様子が見て取れます。先ほど書いた通り、本来はWindowサイズ分だけ一気にデータを連続して送れるはずですが、そうはしていません。なぜでしょう? これも輻輳回避の仕組みの一つで「スロースタート」といわれるTCPの機能です。TCPははじめからフルスロットルでデータの転送を開始すること無く文字通り「スロースタート」で様子を探りながらデータがどれくらいなら再転送せずに連続して送信できるかを確認しているのです。

そして、期待通り(?)問題が発生しています。真ん中付近でデータの再送信が発生している様子が見えます。このTime-Sequence 図では再送信がなければ「I」の高さが低くなることは無いはずで、最後の送信時より高さが低い「I」があったらそれは再送信を示しています。
そして、図の右上にあるようにサーバからの ACK が届かずにデータも送れない、という無通信状態が長く続いている様子が伺えます。

コード調査

snoop の調査結果からパケットのドロップが起こっていることが推測されましたが、20Mbps程度のデータ量で NIC や Switch でバッファーオーバーフローが起こることは考えられないので、TAPドライバ自身の内部でパケットのドロップが起こっている可能性が出てきました。

実際には snoop のキャプチャにはパケットが記録できているので、疑わしいのは snoop にパケットを渡す部分と、openvpn プロセスにデータを転送する部分の間あたりだと推測できます。TAPのドライバのコードでその様なことを行なっているのは tun_frame という関数です。

/* Route frames */ ### パケットをルーティングする関数
static void tun_frame(queue_t *wq, mblk_t *mp, int q)
{
     :
  /* Check for the sniffers */ ### snoop 等のパケットキャプチャ向けのルーティング処理
  for( tmp=ppa->p_str; tmp; tmp = tmp->p_next ){
     :
  if( !(str->flags & TUN_CONTROL) ){ ### openvpn プロセスにデータパケットをルーティングする処理
     /* Data from the Protocol stream send it to
      * the Control stream */
     DBG(CE_CONT,"tun: frame %lu -> control str\n", (ulong_t)msgdsize(mp));
     if( canputnext(ppa->rq) ){
         ^^^^^^^^^^^^^^^^^
             putnext(ppa->rq, mp);
             ^^^^^^^^^^^^^^^^^^^ 
     } else {
         if( q == TUN_QUEUE ){
           DBG(CE_CONT,"tun: queueing frame %lu\n", (ulong_t)msgdsize(mp));
           putbq(wq, mp);
           ^^^^^^^^^^^^^
        } else {
           DBG(CE_CONT,"tun: dropping frame %lu\n", (ulong_t)msgdsize(mp));
           freemsg(mp);
           ^^^^^^^^^^^
        }
     }
  } else {

臭う部分がみえて来ました。下線をつけた canputnext(9F)というのは、引数で渡されたキュー(Streams Queue)にパケットが渡せるか?というのを確認するためのカーネルの関数です。ちょっと図で説明します。

今見ているのは図でアプリケーションからTAPドライバをつないでいる赤い矢印の下端部分です。TAPドライバはTCP/IP経由でアプリ(netperf)からのデータを受け取り、それを STREAM HEAD という門を通じて OpenVPN に渡そうかどうしようか、という判断をしている部分になります。
STREAM HEAD はユーザ空間とカーネル空間の間に居る特別なキューです。canputnext(9F) は図のSTREAMS HEAD にデータが渡せるかどうか(キューががいっぱいでないか)を確認するために使われています。
ここで、TAPではちょっと自分でも輻輳制御を行なっています。STREAM HEADのキューが一杯だとしても即座に、freemsg(9F)でパケットをドロップせず、一旦 putbp(9F) で自分自身のキューに保存し、2度めのチャレンジでもSTREAM HEADが一杯だったら初めて freemsg(9F) で破棄する、という動きをとっています。
・・・輻輳制御の仕組みがあるとは言え、非常に疑わしいコードです。デバッグプリントのコードを有効にして再度テストしてみましょう。

 :
Jul 16 22:19:15 sol11 tap: [ID 852863 kern.notice] tun: queueing frame 1389
Jul 16 22:19:15 sol11 tap: [ID 279187 kern.notice] tun: dropping frame 1389
Jul 16 22:19:15 sol11 tap: [ID 852863 kern.notice] tun: queueing frame 1389
Jul 16 22:19:15 sol11 tap: [ID 279187 kern.notice] tun: dropping frame 1389
Jul 16 22:19:15 sol11 tap: [ID 852863 kern.notice] tun: queueing frame 1389
Jul 16 22:19:15 sol11 tap: [ID 279187 kern.notice] tun: dropping frame 1389
Jul 16 22:19:15 sol11 tap: [ID 852863 kern.notice] tun: queueing frame 1389
Jul 16 22:19:15 sol11 tap: [ID 279187 kern.notice] tun: dropping frame 1389
 :

案の定、ドロップの嵐です(笑)
なぜ、こんなにドロップしてしまうんでしょう? そもそも STREAM HEAD のキューのサイズってどれくらいなんでしょう?
チェックしてみましょう。
確認にはデバッガである mdb を使います。mdb に -k オプションを指定してカーネルデバッガとして起動します。(もちろんroot権限が必要です)

sol11 $ sudo mdb -k
Loading modules: [ unix genunix specfs dtrace mac cpu.generic uppc pcplusmp scsi_vhci zfs mpt sd ip hook neti arp usba sockfs fctl kssl random idm fcip cpc crypto lofs ufs logindmux ptm sppp nfs ]
>

ストリームの一覧を表示して TAP ドライバのストリームを探します。

> ::walk stream_head_cache|::stream
  :
+-----------------------+-----------------------+
| 0xffffff015a80f6b8    | 0xffffff015a80f5c0    |
| strwhead              | strrhead              |
|                       |                       |
| cnt = 0t0             | cnt = 0t0             |
| flg = 0x00004022      | flg = 0x00044030      |
+-----------------------+-----------------------+
            |                       ^
            v                       |
+-----------------------+-----------------------+
| 0xffffff014d4988d0    | 0xffffff014d4987d8    |
| tap                   | tap                   |
|                       |                       |
| cnt = 0t0             | cnt = 0t0             |
| flg = 0x00248822      | flg = 0x00208832      |
+-----------------------+-----------------------+

::walk stream_head_cache コマンドは全ての STREAMSをリストし、パイプで ::stream コマンドに渡すことで STREAMSの構造を見やすく図示してくれます。
右上の strrhead (STREAM HEAD の Read サイドキュー)のアドレスから queue のサイズ(q_hiwat)を見てみます。
ここでは queue_t 構造体の q_hiwat メンバを見てみます。

> 0xffffff015a80f5c0::print queue_t q_hiwat
q_hiwat = 0x1400
                 ^^^^^^

::print コマンドは指定した与えられたアドレスをを構造体に当てはめて、指定したメンバを表示してくれるコマンドです。
なるほど、分かりました。キューのサイズは 0x1400=5,120byteです。TCPのペイロード(データ)が1,460byteだとすると、3パケット分しかキャッシュできない計算になります。これでは溢れるのも必至です。

コードの変更による対策

これまでの調査から、OpenVPN プロセスがオープンしている STREAM の STREAM HEADのキューのサイズ(q_hiwat)が小さいためにパケットのドロップが起きているのがわかっています。対策は単純で、このキューのサイズを大きくします。
具体的には OpenVPN が STREAM をオープンした際に呼ばれるコードに STREAM HEADのキューのサイズを大きするコードを追加します。

/* Handle IOCTLs */
static void tun_ioctl(queue_t *wq, mblk_t *mp)
{
  :
        /* Set High Water Mark of Stream head */
        if( !(mopt = allocb(sizeof(struct stroptions), BPRI_LO)) ){
            tuniocack(wq, mp, M_IOCNAK, 0, ENOMEM);
            return;
        }
        mopt->b_datap->db_type = M_SETOPTS;
        mopt->b_wptr += sizeof(struct stroptions);
        sop = (struct stroptions *)(void *)mopt->b_rptr;
        sop->so_flags = SO_HIWAT;
        sop->so_hiwat = TUN_SO_HIWAT;
        putnext(ppa->rq, mopt);

so_hiwat に設定している TUN_SO_HIWAT は if_tun.h で以下のように宣言してあります。

#define TUN_SO_HIWAT    1024*1024

1024*1024byte。つまり1Mです。約720個のTCPデータを保持できます。これくらいあれば大丈夫でしょう。

コード変更後のパフォーマンス測定

sol11 $ netperf  -H 192.168.30.1
MIGRATED TCP STREAM TEST from ::ffff:0.0.0.0 (0.0.0.0) port 0 AF_INET to 192.168.30.1 (192.168.30.1) port 0 AF_INET
Recv   Send    Send                          
Socket Socket  Message  Elapsed              
Size   Size    Size     Time     Throughput  
bytes  bytes   bytes    secs.    10^6bits/sec  

128000  49152  49152    10.04     214.29 

Solaris 11 EA のローカルにパッケージのリポジトリを作成し集積サーバを起動する

パッケージアーカイブの入ったリポジトリイメージをダウンロード

パッケージファイルは2つの zip ファイルに分割して配布されているので Solaris11 EA のページ の「Oracle Solaris 11 Early Adopter Repository Image」という部分から以下の2つのリンクをクリックして、それぞれ sol-11-ea-repo-full-iso-a.zip と sol-11-ea-repo-full-iso-b.zip というファイルをダウンロードする。

 Download Part A SPARC, x86 (2 GB) 
 Download Part B SPARC, x86 (2 GB) 

ファイルの統合

ダウンロードした zip ファイルを解凍した後、cat(1M) コマンドで一つファイルに連結します。
連結後の ISO ファイルのサイズはだいたい 6.1GB ほどです。

$ unzip sol-11-ea-repo-full-iso-a.zip
$ unzip sol-11-ea-repo-full-iso-b.zip
$ cat sol-11-ea-repo-full-iso-a sol-11-ea-repo-full-iso-b > sol-11-ea-repo-full.iso

ISO ファイルをブロックデバイスに関連付け

パッケージのISOファイルの中身をこのあとの集積サーバーで利用するために、lofiadm(1M) コマンドを使って ISOファイルをブロックデバイスに関連付けします。
ここからは root 権限が必要です。

# /usr/sbin/lofiadm -a /repo/sol-11-ea-repo-full.iso /dev/lofi/1

ブロックデバイスをマウント

関連付けを行ったブロックデバイスをマウントします。
ここでは /mnt にマウントしていますが他もディレクトリでも大丈夫です。

# /usr/sbin/mount -F hsfs /dev/lofi/1 /mnt

集積サーバの設定

先ほどマウントしたリポジトリデータの場所を指定して Image Packaging System の集積サーバを設定します。
inst_root には先ほどマウントしたマウントポイント /mnt の下の repo というディレクトリを指定しています。もし /mnt 以外のところにマウントしている場合には inst_root=/repo という具合に指定します。

# /usr/sbin/svccfg -s application/pkg/server setprop pkg/inst_root=/mnt/repo
# /usr/sbin/svccfg -s application/pkg/server setprop pkg/readonly=true

集積サーバの起動

Image Packagin System の集積サーバを起動します。
起動には svcadm(1M) コマンドを使用します。これによって集積サーバはデフォルトで TCP ポート 80 番で接続を待機します。

# /usr/sbin/svcadm refresh application/pkg/server         
# /usr/sbin/svcadm enable application/pkg/server

パッケージ配布元の設定

pkg コマンドに配布元(パブリッシャー)の場所をセットします。
上記の通りに設定した場合には場所は http://localhost になります。

# pkg set-publisher -O http://localhost solaris

これで以降の pkg コマンドの実行時にはパッケージはローカルのパッケージから取得されるようになります。
私もこれで無事 gcc のインストールができました。

このエントリは基本的に下記の記述を参考に書いています。あわせてこちらもご参照下さい。
Oracle SolarisTM 11 Early Adopter Release Repository Image