Cloudflare

CUBIC Congestion Window Pinned at Minimum: Uncovering a QUIC Implementation Bug in Cloudflare's quiche

configuration-drift

causa raíz

Timeline del incidente

· Equipo de QA/Ingeniería

Se reportan fallos inesperados en la pipeline de tests de integración del proxy de ingress de Cloudflare, específicamente en escenarios de alta pérdida de paquetes al inicio de la conexión.

T+0s · Sistema de testing

Inicio de la simulación de test: cliente y servidor HTTP/3 con quiche, RTT de 10ms, descarga de 10MB, CUBIC CC, 30% de pérdida de paquetes aleatoria durante los primeros 2 segundos.

T+2s · Sistema de testing

La pérdida de paquetes cesa por completo en la simulación.

T+2s · Observadores del test

Observación: el cwnd de CUBIC permanece anclado en su mínimo (2700 bytes / 2 paquetes) y el estado de congestión oscila rápidamente entre 'recovery' y 'congestion avoidance' cada ~14ms (cercano al RTT).

T+2s · Sistema de testing

El test falla en el 60% de las ejecuciones, superando el timeout de 10 segundos, a pesar de que la pérdida de paquetes había cesado.

· Ingenieros de Cloudflare

Instrumentación de la salida qlog de quiche con eventos de pérdida de paquetes y visualización para entender el comportamiento del controlador de congestión.

· Ingenieros de Cloudflare

Análisis revela que la lógica de CUBIC malinterpreta el estado de la conexión, detectando falsos periodos de 'idle' debido a que bytes_in_flight llega a cero en cada ciclo de ACK.

· Ingenieros de Cloudflare

Se identifica que el problema reside en la adaptación de una optimización del kernel de Linux (ajuste del epoch_start para periodos de idle) a la implementación de QUIC en userspace de quiche.

· Ingenieros de Cloudflare

Se descubre que la implementación de quiche usaba now - self.last_sent_time para calcular el delta de idle, lo que en cwnd mínimo inflaba el delta a un RTT completo, empujando congestion_recovery_start_time al futuro.

· Ingenieros de Cloudflare

El congestion_recovery_start_time en el futuro hacía que in_congestion_recovery() siempre fuera true, impidiendo el crecimiento del cwnd y perpetuando el ciclo de estancamiento.

· Ingenieros de Cloudflare

Implementación del fix: añadir last_ack_time al estado de CUBIC y usar cmp::max(cubic.last_ack_time, cubic.last_sent_time) para calcular el delta de idle, reflejando el tiempo real desde el último ACK.

· Ingenieros de Cloudflare

Validación del fix: los tests de quiche restauran una tasa de éxito del 100%, con el cwnd creciendo como se espera y las descargas completándose en 4-5 segundos.

Análisis técnico

Este incidente en la implementación de CUBIC en quiche de Cloudflare revela una falla sutil pero crítica en el manejo de la congestión, específicamente en condiciones de recuperación tras una pérdida severa de paquetes. La causa raíz se encuentra en una adaptación incorrecta de una optimización del kernel de Linux a un entorno de userspace (QUIC). La optimización original buscaba corregir un comportamiento anómalo de CUBIC tras periodos de inactividad de la aplicación, donde el cwnd se inflaba excesivamente. La solución en Linux fue desplazar el 'epoch_start' de CUBIC para preservar la forma de la curva de crecimiento.

El problema surgió cuando esta lógica se portó a quiche. En el entorno de QUIC, la función on_packet_sent() detectaba un estado de 'idle' si bytes_in_flight era cero. Sin embargo, en un escenario de cwnd mínimo (dos paquetes) y alta congestión, bytes_in_flight caía a cero en cada ciclo de ACK, no por inactividad real de la aplicación, sino por limitación de la ventana de congestión. Al calcular el 'delta' de inactividad como now - last_sent_time, se inflaba este valor a un RTT completo, empujando el congestion_recovery_start_time al futuro. Esto hacía que el controlador de congestión percibiera la conexión como constantemente en 'recovery', impidiendo el crecimiento del cwnd y creando un 'death spiral' donde la ventana se mantenía en su mínimo.

Las salvaguardas fallaron porque el bug se manifestaba en un 'corner case' muy específico: cwnd mínimo después de una pérdida severa, que no era cubierto por los tests de rendimiento habituales. Los tests de 'steady-state' o fases de crecimiento no lo detectaban. Solo un test diseñado para estresar la recuperación del controlador de congestión en condiciones extremas pudo sacarlo a la luz. La oscilación entre estados de recuperación y evitación de congestión, sincronizada con el RTT, fue la pista clave para diagnosticar la causa raíz. La solución, aunque conceptualmente simple (medir el 'idle' desde el último ACK en lugar del último envío), requirió una profunda comprensión de las dinámicas de CUBIC y las diferencias entre TCP en kernel y QUIC en userspace.

Remediaciones y action items

✓ Se añadió un timestamp last_ack_time al estado de CUBIC en quiche.
✓ Se actualizó last_ack_time cuando llegaban los ACKs.
✓ Se modificó el cálculo del delta de 'idle' en on_packet_sent() para usar cmp::max(cubic.last_ack_time, cubic.last_sent_time), asegurando que el delta reflejara el tiempo real desde el último ACK y no un RTT inflado.

Lecciones para arquitectos

→ La portabilidad de algoritmos de control de congestión entre diferentes capas (kernel vs. userspace) o protocolos (TCP vs. QUIC) requiere una reevaluación cuidadosa de las suposiciones subyacentes y los puntos de instrumentación.
→ Los 'corner cases' de sistemas distribuidos, como el comportamiento en cwnd mínimo o tras una congestión severa, son críticos y a menudo pasan desapercibidos en pruebas estándar.
→ La definición de 'idle' en sistemas de red es más compleja de lo que parece; las pausas en el envío pueden ser por limitación de congestión, no por falta de datos de la aplicación.
→ La instrumentación detallada y las visualizaciones de bajo nivel (ej. qlog) son indispensables para diagnosticar problemas complejos en protocolos de transporte.
→ Un pequeño cambio de lógica puede tener un impacto desproporcionado en el rendimiento y la estabilidad del sistema, especialmente en el 'critical path' de un controlador de congestión.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp