HAProxy 2.9.1版本中的TCP检查导致套接字泄漏问题分析

问题现象

在使用HAProxy 2.9.1-alpine版本时，当配置了TCP健康检查（http-check）功能后，系统会出现套接字数量持续增长的问题。具体表现为：

1. 系统CPU使用率达到100%
2. 通过/proc/net/sockstat观察到的套接字数量不断攀升
3. 只有重启HAProxy服务才能暂时释放这些套接字
4. 问题在长时间运行（约2小时）后变得明显

环境配置

该问题出现在以下典型配置环境中：

• 8个后端服务器（4个主用+4个备用）
• 每10秒执行一次HTTP健康检查
• 使用TCP模式的后端配置
• 检查端口与业务端口不同（业务端口443，检查端口8000）

问题根源

经过分析，这个问题与HAProxy 2.9.1版本中TCP健康检查的实现有关。当健康检查使用HTTP协议但后端配置为TCP模式时，HAProxy无法正确关闭检查连接，导致套接字泄漏。

解决方案

HAProxy团队在2.9.2版本中修复了这个问题。用户可以通过以下方式解决：

1. 升级到HAProxy 2.9.2或更高版本
2. 临时回退到2.2版本（如2.2-alpine3.19）

技术细节

这个问题特别容易在以下配置条件下触发：

• 后端配置为mode tcp
• 使用option httpchk进行健康检查
• 检查端口与业务端口不同
• 检查间隔较短（如10秒）

当健康检查失败时，HAProxy未能正确释放相关资源，导致每次检查都会泄漏少量套接字，最终积累到影响系统性能的程度。

最佳实践建议

1. 保持HAProxy版本更新，及时应用安全补丁和错误修复
2. 生产环境中应对健康检查机制进行全面测试
3. 监控系统的套接字使用情况，设置告警阈值
4. 考虑使用更长的健康检查间隔（如30秒）以减少潜在影响

总结

HAProxy作为高性能负载均衡器，其健康检查机制是保证服务可用性的重要组件。这个案例展示了即使是成熟的开源软件，在特定配置组合下也可能出现资源管理问题。通过版本升级可以简单有效地解决此类问题，同时也提醒我们在生产环境部署前进行充分测试的重要性。