内核优化
net.ipv4.tcp_max_tw_buckets = 6000
timewait 的数量,默认是180000。
net.ipv4.ip_local_port_range = 1024 65000
允许系统打开的端口范围。
net.ipv4.tcp_tw_recycle = 1
启用timewait 快速回收。
net.ipv4.tcp_tw_reuse = 1
开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接。
net.ipv4.tcp_syncookies = 1
开启SYN Cookies,当出现SYN 等待队列溢出时,启用cookies 来处理。
net.core.somaxconn = 262144
web 应用中listen 函数的backlog 默认会给我们内核参数的net.core.somaxconn 限制到128,而nginx 定义的NGX_LISTEN_BACKLOG 默认为511,所以有必要调整这个值。
net.core.netdev_max_backlog = 262144
每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。
net.ipv4.tcp_max_orphans = 262144
系统中最多有多少个TCP 套接字不被关联到任何一个用户文件句柄上。如果超过这个数字,孤儿连接将即刻被复位并打印出警告信息。这个限制仅仅是为了防止简单的DoS 攻击,不能过分依靠它或者人为地减小这个值,更应该增加这个值(如果增加了内存之后)。
net.ipv4.tcp_max_syn_backlog = 262144
记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M 内存的系统而言,缺省值是1024,小内存的系统则是128。
net.ipv4.tcp_timestamps = 0
时间戳可以避免序列号的卷绕。一个1Gbps 的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉。
net.ipv4.tcp_synack_retries = 1
为了打开对端的连接,内核需要发送一个SYN 并附带一个回应前面一个SYN 的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK 包的数量。
net.ipv4.tcp_syn_retries = 1
在内核放弃建立连接之前发送SYN 包的数量。
net.ipv4.tcp_fin_timeout = 1
如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2 状态的时间。对端可以出错并永远不关闭连接,甚至意外当机。缺省值是60 秒。2.2 内核的通常值是180 秒,3你可以按这个设置,但要记住的是,即使你的机器是一个轻载的WEB 服务器,也有因为大量的死套接字而内存溢出的风险,FIN- WAIT-2 的危险性比FIN-WAIT-1 要小,因为它最多只能吃掉1.5K 内存,但是它们的生存期长些。
net.ipv4.tcp_keepalive_time = 30
当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时。
使上述修改生效:/sbin/sysctl -p
网络优化
启用DNS缓存:NSCD( NSCD,Name Service Cache Daemon,是服务缓存守护进程,它为NIS和LDAP等服务提供更快的验证。)
启动DNS缓存后可以本地缓存DNS解析信息,提高解析速度,但是这样会造成DNS解析信息滞后,所以不适合经常切换DNS的服务。如果域名解析需要更改,就需要手动刷新缓存
配置DNS缓存,编辑/etc/nscd.conf文件,增加如下一行可以开启本地DNS Cache
enable-cache hosts yes
启动NSCD进程,默认该服务在Redhat或Centos下是关闭的,可以通过以下命令开启
> service nscd start
清除指定类型缓存,NSCD缓存DB文件在/var/db/nscd
> nscd -i passwd
> nscd -i group
> nscd -i hosts
文件优化
linux 默认值 open files 和 max user processes 为 1024,当负载较大时,很容易遇到error: too many open files,因此需要将该值调大。
使用ulimit -a可以查看当前系统的所有限制值,使用ulimit -n可以查看当前的最大打开文件数。
有如下四种修改方式:
echo 284289 > /proc/sys/fs/file-max- 在/etc/rc.local 中增加一行
ulimit -SHn 65535(需要机器重启才能生效) - 在/etc/profile 中增加一行
ulimit -SHn 65535(执行source /etc/profile即可生效) - 在/etc/security/limits.conf 最后增加:(重新登录即可生效)
- soft nofile 65535
- hard nofile 65535
- soft nproc 65535
- hard nproc 65535
线程优化
修改系统线程栈大小。无论是进程栈还是线程栈,当栈被耗尽时,俗称”爆栈”时,都会触发段错误segment falut。默认情况下,Linux线程栈大小为10240,即10M,可以通过ulimit -s 查看默认栈大小。
修改系统线程栈大小为1M,有两种方式:
- 在
/etc/rc.local,加入ulimit -s 1024,需要机器重启才能生效 - 在/etc/security/limits.conf 中 新增
* soft stack 102400,重新登录即可生效
