HAProxy监听器在高负载测试后冻结问题分析与修复

问题现象

在HAProxy的实际生产环境中，当配置了大量前端监听器(约300个)并同时启用SSL加密和TCP连接限制时，经过高负载压力测试后，部分前端监听器会进入"LIM"状态且无法自动恢复。具体表现为：

1. 监听器停止接受新连接
2. 通过管理接口查看显示状态为LIM
3. 即使负载已经降低，监听器仍保持冻结状态
4. 影响版本包括2.4.22至2.9.5等多个稳定版本

问题根源

经过深入分析，发现这是由HAProxy内部的两个连接限制机制之间的竞争条件导致的：

1. 最大连接数限制(maxconn)：限制单个前端可接受的总连接数
2. 会话速率限制(session-rate)：限制每秒新建连接数

当这两个限制同时启用时，特别是在SSL前端上，会出现以下问题链：

1. 高负载触发速率限制，将监听器加入限制队列
2. 同时连接数达到maxconn限制
3. 当连接释放时，管理任务未被正确调度来重新检查限制条件
4. 监听器永久停留在LIM状态，无法恢复

技术细节

问题的核心在于listener_release()函数中的处理逻辑不足。当连接释放时，函数会检查前端是否应该从限制队列中移除，但在以下情况下处理不完整：

• 前端仍有监听器在限制队列中
• 会话速率限制仍然处于激活状态
• 管理任务未被重新调度来评估当前限制条件

这种状态会导致系统无法自动恢复，即使负载已经降低到限制阈值以下。

解决方案

开发团队提供的修复方案通过增强listener_release()函数的逻辑来解决这个问题。主要改进包括：

1. 当连接释放时，不仅检查是否可以立即解除限制
2. 如果仍受速率限制，计算下次应该检查的时间
3. 主动调度前端管理任务在适当时间重新评估限制状态

关键修复代码如下：

if (fe && !MT_LIST_ISEMPTY(&fe->listener_queue) &&
    (!fe->fe_sps_lim || freq_ctr_remain(&fe->fe_sess_per_sec, fe->fe_sps_lim, 0) > 0))
        dequeue_proxy_listeners(fe);
else {
        unsigned int wait;
        int expire = TICK_ETERNITY;

        if (fe->fe_sps_lim &&
            (wait = next_event_delay(&fe->fe_sess_per_sec,fe->fe_sps_lim, 0))) {
                expire = tick_first(fe->task->expire, tick_add(now_ms, wait));
                if (fe->task && tick_isset(expire))
                        task_schedule(fe->task, expire);
        }
}

影响版本与修复状态

该问题影响HAProxy 2.0至2.9的多个版本。修复已合并到主分支，并计划向后移植到最近的稳定版本(2.4+)。对于2.2及更早版本，由于仅接收关键安全修复，不会包含此修复。

最佳实践建议

对于使用HAProxy的生产环境，特别是配置了多种连接限制的场景，建议：

1. 及时升级到包含此修复的版本
2. 监控监听器状态，特别是LIM状态的持续时间
3. 对于关键业务前端，考虑分离SSL和非SSL监听器
4. 压力测试时逐步增加限制阈值，观察系统行为

此修复显著提高了HAProxy在高负载场景下的稳定性，确保了连接限制机制的正确性和自恢复能力。