轉Linux調優方案,sysctl.conf的詳細設定

chenfeng發表於2016-06-28
$ /proc/sys/net/core/wmem_max
最大socket寫buffer,可參考的最佳化值:873200$ /proc/sys/net/core/rmem_max
最大socket讀buffer,可參考的最佳化值:873200$ /proc/sys/net/ipv4/tcp_wmem
TCP寫buffer,可參考的最佳化值:32768 436600 873200$ /proc/sys/net/ipv4/tcp_rmem
TCP讀buffer,可參考的最佳化值:32768 436600 873200$ /proc/sys/net/ipv4/tcp_mem
同樣有3個值,意思是:
net.ipv4.tcp_mem[0]:低於此值,TCP沒有記憶體壓力.
net.ipv4.tcp_mem[1]:在此值下,進入記憶體壓力階段.
net.ipv4.tcp_mem[2]:高於此值,TCP拒絕分配socket.
上述記憶體單位是頁,而不是位元組.可參考的最佳化值是:786432 1048576 1572864$ /proc/sys/net/core/netdev_max_backlog
進入包的最大裝置佇列.預設是1000,對重負載伺服器而言,該值太低,可調整到16384.$ /proc/sys/net/core/somaxconn
listen()的預設引數,掛起請求的最大數量.預設是128.對繁忙的伺服器,增加該值有助於網路效能.可調整到8192.$ /proc/sys/net/core/optmem_max
socket buffer的最大初始化值,預設10K(10240).也可調整到20k(20480).但建議保留不變$ /proc/sys/net/ipv4/tcp_max_syn_backlog
進入SYN包的最大請求佇列.預設1024.對重負載伺服器,增加該值顯然有好處.可調整到16384.$ /proc/sys/net/ipv4/tcp_retries2
TCP失敗重傳次數,預設值15,意味著重傳15次才徹底放棄.可減少到5,以儘早釋放核心資源.$ /proc/sys/net/ipv4/tcp_keepalive_time
$ /proc/sys/net/ipv4/tcp_keepalive_intvl
$ /proc/sys/net/ipv4/tcp_keepalive_probes
這3個引數與TCP KeepAlive有關.預設值是:tcp_keepalive_time = 7200 seconds (2 hours)
tcp_keepalive_probes = 9
tcp_keepalive_intvl = 75 seconds意思是如果某個TCP連線在idle 2個小時後,核心才發起probe.如果probe 9次(每次75秒)不成功,核心才徹底放棄,認為該連線已失效.對伺服器而言,顯然上述值太大. 
可調整到:/proc/sys/net/ipv4/tcp_keepalive_time 1800
/proc/sys/net/ipv4/tcp_keepalive_probes 3
/proc/sys/net/ipv4/tcp_keepalive_intvl 30$ proc/sys/net/ipv4/ip_local_port_range
指定埠範圍的一個配置,預設是32768 61000.可調整為1024 65535.----------net.ipv4.tcp_syncookies = 1
表示開啟SYN Cookies。當出現SYN等待佇列溢位時,啟用cookies來處理,可防範少量SYN攻擊,預設為0,表示關閉。
net.ipv4.tcp_tw_reuse = 1
表示開啟重用。允許將TIME-WAIT sockets重新用於新的TCP連線,預設為0,表示關閉。
net.ipv4.tcp_tw_recycle = 1
表示開啟TCP連線中TIME-WAIT sockets的快速回收,預設為0,表示關閉。
net.ipv4.tcp_fin_timeout = 30
表示如果套接字由本端要求關閉,這個引數決定了它保持在FIN-WAIT-2狀態的時間。
net.ipv4.tcp_keepalive_time = 1200
表示當keepalive起用的時候,TCP傳送keepalive訊息的頻度。預設是2小時,改為20分鐘。
net.ipv4.ip_local_port_range = 1024 65535
表示用於向外連線的埠範圍。預設情況下過窄:32768到61000,改為1024到65535。
net.ipv4.tcp_max_syn_backlog = 16384
表示SYN佇列的長度,預設為1024,加大佇列長度為8192,可以容納更多等待連線的網路連線數。
net.ipv4.tcp_max_tw_buckets = 180000
表示系統同時保持TIME_WAIT套接字的最大數量,如果超過這個數字,TIME_WAIT套接字將立刻被清除並列印警告資訊。預設為180000,可適當增大該值,但不建議減小。對於Apache、Nginx等伺服器,
以上幾行引數的設定可以很好地減少TIME_WAIT套接字數量,但是對於Squid,效果卻不大。此項引數可以控制TIME_WAIT套接字的最大數量,避免Squid伺服器被大量的TIME_WAIT套接字拖死。 
參考:http://blog.sina.com.cn/s/blog_541086000100skq0.html proc/sys/net/ipv4/下各項的意義
參考:http://blog.chinaunix.net/space.php?uid=20423817&do=blog&id=1682374 網站加速:伺服器篇 一些實用tips的整理
**************************************************************************************************************
轉載自:
問題表現就是epoll這個服務端對10000的併發請求處理特別慢,甚至還出現很多客戶連線超時的情況!但是順序的一個個請求卻沒有問題。


測試如下:
首先是1個程式,順序10000個請求。服務端沒問題,很快速完成。


然後是10000個程式,每個程式1個請求,開始都還正常,可是過一會服務端accept就阻塞了,大概有1-2s,之後又返回,有時候還會出現客戶端連線超時的問題,但是這樣測30章那個執行緒池(300個執行緒)的服務端程式碼,不管怎麼測都不會有問題。


按理說accept應該能一直返回才對呀,為什麼中途會阻塞呢?是核心引數問題?
之前也試過把listenfd也新增到epoll裡,listenfd不是ET模式。也有這樣的問題。


分析了很多可能:
        epoll本身處理效率的問題(這個自己都不信)
        服務端完成客戶的處理請求太耗時,導致沒有時間讓accept返回其他客戶連線(這是個最簡單的處理,應該也不會)
        單臺機器測試,所以產生了太多的TIME_WAIT導致客戶無法連線導致超時(之前以為是這個原因)
        核心的一些限制問題,服務端不能同時處理太多連線(可能的原因)


最終才發現真正原因!!!
原來上面這個伺服器程式碼listen指定的backlog連線完成佇列引數太小,只有32,導致高併發的時候,伺服器的連線完成佇列在極短的時間內被填滿了,而accept的處理速度跟不上佇列填滿的速度,導致佇列始終是滿的,然後就不理會客戶的其他連線請求,導致了客戶connect超時,並且處理效率低下。
而執行緒池的backlog有1024,不過受限於核心引數的預設值最大128,所以執行緒池這個的backlog實際是128(見man listen),再加上300個執行緒,每個執行緒獨自accpet,所以能很快從完成佇列中取得連線,客戶的connect也不會超時了,如果把執行緒數改為1個,客戶連線也會超時。


詳細資訊可以man listen 同時man tcp 裡面有很多限制對伺服器來說需要改的。


一般設定:
#sudo vi /etc/sysctl.conf 
#在最後面編輯新增以下內容: 


#預設socket寫buffer,可參考的最佳化值:873200/1746400/3492800
net.core.wmem_default = 1746400


#最大socket寫buffer,可參考的最佳化值:1746400/3492800/6985600
net.core.wmem_max = 3492800


#預設socket讀buffer,可參考的最佳化值:873200/1746400/3492800
net.core.rmem_default = 1746400


#最大socket讀buffer,可參考的最佳化值:1746400/3492800/6985600
net.core.rmem_max = 3492800


#進入包的最大裝置佇列.預設是1000,對重負載伺服器而言,該值太低,可調整到16384/32768/65535
net.core.netdev_max_backlog = 32768


#listen()的預設引數,掛起請求的最大數量.預設是128.對繁忙的伺服器,增加該值有助於網路效能.可調整到8192/16384/32768
net.core.somaxconn = 16384


#每個socket buffer的最大補助快取大小,預設10K(10240),也可調整到20k(20480),但建議保留
net.core.optmem_max = 10240


#表示用於向外連線的埠範圍.預設情況下過窄:32768到61000,改為1024到65535
net.ipv4.ip_local_port_range = 1024 65535


#TCP寫buffer,可參考的最佳化值:873200/1746400/3492800/6985600
net.ipv4.tcp_wmem = 873200 1746400 3492800


#TCP讀buffer,可參考的最佳化值:873200/1746400/3492800/6985600
net.ipv4.tcp_rmem = 873200 1746400 3492800


#net.ipv4.tcp_mem[0]:低於此值,TCP沒有記憶體壓力.
#net.ipv4.tcp_mem[1]:在此值下,進入記憶體壓力階段.
#net.ipv4.tcp_mem[2]:高於此值,TCP拒絕分配socket.
#上述記憶體單位是頁,而不是位元組.可參考的最佳化值是:78643200/104857600/157286400
net.ipv4.tcp_mem = 78643200 104857600 157286400


#進入SYN包的最大請求佇列.預設1024.對重負載伺服器,增加該值顯然有好處.可調整到16384/32768/65535
net.ipv4.tcp_max_syn_backlog = 32768


#TCP失敗重傳次數,預設值15,意味著重傳15次才徹底放棄.可減少到5,以儘早釋放核心資源
net.ipv4.tcp_retries2 = 5


#以下3個引數與TCP KeepAlive有關.預設值是:
#tcp_keepalive_time = 7200 seconds (2 hours)
#tcp_keepalive_probes = 9
#tcp_keepalive_intvl = 75 seconds
#意思是如果某個TCP連線在idle 2個小時後,核心才發起probe.如果probe 9次(每次75秒)不成功,核心才徹底放棄,認為該連線已失效
#對伺服器而言,顯然上述值太大.可調整到:
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 30


#表示開啟SYN Cookies,當出現SYN等待佇列溢位時,啟用cookies來處理,可防範少量SYN攻擊,預設為0,表示關閉
net.ipv4.tcp_syncookies = 1


#表示如果套接字由本端要求關閉,這個引數決定了它保持在FIN-WAIT-2狀態的時間
net.ipv4.tcp_fin_timeout = 30


#表示開啟重用,允許將TIME-WAIT sockets重新用於新的TCP連線,預設為0,表示關閉
#net.ipv4.tcp_tw_reuse = 1


#表示開啟TCP連線中TIME-WAIT sockets的快速回收,預設為0,表示關閉
#net.ipv4.tcp_tw_recycle = 1


#表示系統同時保持TIME_WAIT套接字的最大數量,如果超過這個數字,TIME_WAIT套接字將立刻被清除並列印警告資訊
#預設為180000,建議使用預設值,不建議調小
#net.ipv4.tcp_max_tw_buckets = 180000


#其它的一些設定
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_synack_retries = 2


儲存退出:
2 #sudo /sbin/sysctl -p


***************************************************************************************
Proc 系統最佳化
 

http://www.cnblogs.com/happyhotty/articles/2044049.html
轉載自:
一、前言
 具體最佳化策略需要根據實際情況進行調整;本文件將在以下幾個方面來闡述如何針對RedHat Enterprise Linux進行效能最佳化。
1)   Linux Proc檔案系統,透過對Proc檔案系統進行調整,達到效能最佳化的目的。
2)   Linux效能診斷工具,介紹如何使用Linux自帶的診斷工具進行效能診斷。


二、/proc/sys/kernel/最佳化
1)     /proc/sys/kernel/ctrl-alt-del
該檔案有一個二進位制值,該值控制系統在接收到ctrl+alt+delete按鍵組合時如何反應。這兩個值分別是:
零(0)值,表示捕獲ctrl+alt+delete,並將其送至 init 程式;這將允許系統可以安全地關閉和重啟,就好象輸入shutdown命令一樣。
壹(1)值,表示不捕獲ctrl+alt+delete,將執行非正常的關閉,就好象直接關閉電源一樣。
預設設定:0
建議設定:1,防止意外按下ctrl+alt+delete導致系統非正常重啟。
2)     proc/sys/kernel/msgmax
該檔案指定了從一個程式傳送到另一個程式的訊息的最大長度(bytes)。程式間的訊息傳遞是在核心的記憶體中進行的,不會交換到磁碟上,所以如果增加該值,則將增加作業系統所使用的記憶體數量。
預設設定:8192
3)     /proc/sys/kernel/msgmnb
該檔案指定一個訊息佇列的最大長度(bytes)。
預設設定:16384
4)     /proc/sys/kernel/msgmni
該檔案指定訊息佇列標識的最大數目,即系統範圍內最大多少個訊息佇列。
預設設定:16
5)     /proc/sys/kernel/panic
該檔案表示如果發生“核心嚴重錯誤(kernel panic)”,則核心在重新引導之前等待的時間(以秒為單位)。
零(0)秒,表示在發生核心嚴重錯誤時將禁止自動重新引導。
預設設定:0
6)     proc/sys/kernel/shmall
該檔案表示在任何給定時刻,系統上可以使用的共享記憶體的總量(bytes)。
預設設定:2097152
7)     /proc/sys/kernel/shmmax
該檔案表示核心所允許的最大共享記憶體段的大小(bytes)。
預設設定:33554432
建議設定:實體記憶體 * 50%
實際可用最大共享記憶體段大小=shmmax * 98%,其中大約2%用於共享記憶體結構。
可以透過設定shmmax,然後執行ipcs -l來驗證。
8)     /proc/sys/kernel/shmmni
該檔案表示用於整個系統的共享記憶體段的最大數目(個)。
預設設定:4096
9)     /proc/sys/kernel/threads-max
該檔案表示核心所能使用的執行緒的最大數目。
預設設定:2048
10) /proc/sys/kernel/sem
該檔案用於控制核心訊號量,訊號量是System VIPC用於程式間通訊的方法。
建議設定:250 32000 100 128
第一列,表示每個訊號集中的最大訊號量數目。
第二列,表示系統範圍內的最大訊號量總數目。
第三列,表示每個訊號發生時的最大系統運算元目。
第四列,表示系統範圍內的最大訊號集總數目。
所以,(第一列)*(第四列)=(第二列)
以上設定,可以透過執行ipcs -l來驗證。
 11) 待續。。。
三、/proc/sys/vm/最佳化
1)     /proc/sys/vm/block_dump
該檔案表示是否開啟Block Debug模式,用於記錄所有的讀寫及Dirty Block寫回動作。
預設設定:0,禁用Block Debug模式
2)     /proc/sys/vm/dirty_background_ratio
該檔案表示髒資料到達系統整體記憶體的百分比,此時觸發pdflush程式把髒資料寫回磁碟。
預設設定:10
3)     /proc/sys/vm/dirty_expire_centisecs
該檔案表示如果髒資料在記憶體中駐留時間超過該值,pdflush程式在下一次將把這些資料寫回磁碟。
預設設定:3000(1/100秒)
 4)     /proc/sys/vm/dirty_ratio
該檔案表示如果程式產生的髒資料到達系統整體記憶體的百分比,此時程式自行把髒資料寫回磁碟。
預設設定:40
5)     /proc/sys/vm/dirty_writeback_centisecs
該檔案表示pdflush程式週期性間隔多久把髒資料寫回磁碟。
預設設定:500(1/100秒)
 6)     /proc/sys/vm/vfs_cache_pressure
該檔案表示核心回收用於directory和inode cache記憶體的傾向;預設值100表示核心將根據pagecache和swapcache,把directory和inode cache保持在一個合理的百分比;降低該值低於100,將導致核心傾向於保留directory和inode cache;增加該值超過100,將導致核心傾向於回收directory和inode cache。
預設設定:100
7)     /proc/sys/vm/min_free_kbytes
該檔案表示強制Linux VM最低保留多少空閒記憶體(Kbytes)。
預設設定:724(512M實體記憶體)
8)     /proc/sys/vm/nr_pdflush_threads
該檔案表示當前正在執行的pdflush程式數量,在I/O負載高的情況下,核心會自動增加更多的pdflush程式。
預設設定:2(只讀)
9)     /proc/sys/vm/overcommit_memory
該檔案指定了核心針對記憶體分配的策略,其值可以是0、1、2。
0, 表示核心將檢查是否有足夠的可用記憶體供應用程式使用;如果有足夠的可用記憶體,記憶體申請允許;否則,記憶體申請失敗,並把錯誤返回給應用程式。
1, 表示核心允許分配所有的實體記憶體,而不管當前的記憶體狀態如何。
2, 表示核心允許分配超過所有實體記憶體和交換空間總和的記憶體(參照overcommit_ratio)。
預設設定:0
10) /proc/sys/vm/overcommit_ratio
該檔案表示,如果overcommit_memory=2,可以過載記憶體的百分比,透過以下公式來計算系統整體可用記憶體。
系統可分配記憶體=交換空間+實體記憶體*overcommit_ratio/100
預設設定:50(%)
11) /proc/sys/vm/page-cluster
該檔案表示在寫一次到swap區的時候寫入的頁面數量,0表示1頁,1表示2頁,2表示4頁。
預設設定:3(2的3次方,8頁)
12) /proc/sys/vm/swapiness
該檔案表示系統進行交換行為的程度,數值(0-100)越高,越可能發生磁碟交換。
預設設定:60
13) legacy_va_layout
該檔案表示是否使用最新的32位共享記憶體mmap()系統呼叫,Linux支援的共享記憶體分配方式包括mmap(),Posix,System VIPC。
0, 使用最新32位mmap()系統呼叫。
1, 使用2.4核心提供的系統呼叫。
預設設定:0
14) nr_hugepages
該檔案表示系統保留的hugetlb頁數。
15) hugetlb_shm_group
該檔案表示允許使用hugetlb頁建立System VIPC共享記憶體段的系統組ID。
16) 待續。。。
四、/proc/sys/fs/最佳化
1)     /proc/sys/fs/file-max
該檔案指定了可以分配的檔案控制程式碼的最大數目。如果使用者得到的錯誤訊息宣告由於開啟檔案數已經達到了最大值,從而他們不能開啟更多檔案,則可能需要增加該值。
預設設定:4096
建議設定:65536
2)     /proc/sys/fs/file-nr
該檔案與 file-max 相關,它有三個值:
已分配檔案控制程式碼的數目
已使用檔案控制程式碼的數目
檔案控制程式碼的最大數目
該檔案是隻讀的,僅用於顯示資訊。
3)     待續。。。
五、/proc/sys/net/core/最佳化
  該目錄下的配置檔案主要用來控制核心和網路層之間的互動行為。
1) /proc/sys/net/core/message_burst
寫新的警告訊息所需的時間(以 1/10 秒為單位);在這個時間內系統接收到的其它警告訊息會被丟棄。這用於防止某些企圖用訊息“淹沒”系統的人所使用的拒絕服務(Denial of Service)攻擊。
預設設定:50(5秒)
 2) /proc/sys/net/core/message_cost
該檔案表示寫每個警告訊息相關的成本值。該值越大,越有可能忽略警告訊息。
預設設定:5
3) /proc/sys/net/core/netdev_max_backlog
該檔案表示在每個網路介面接收資料包的速率比核心處理這些包的速率快時,允許送到佇列的資料包的最大數目。
預設設定:300
4) /proc/sys/net/core/optmem_max
該檔案表示每個套接字所允許的最大緩衝區的大小。
預設設定:10240
5) /proc/sys/net/core/rmem_default
該檔案指定了接收套接字緩衝區大小的預設值(以位元組為單位)。
預設設定:110592
6) /proc/sys/net/core/rmem_max
該檔案指定了接收套接字緩衝區大小的最大值(以位元組為單位)。
預設設定:131071 7) /proc/sys/net/core/wmem_default
該檔案指定了傳送套接字緩衝區大小的預設值(以位元組為單位)。
預設設定:110592
8) /proc/sys/net/core/wmem_max
該檔案指定了傳送套接字緩衝區大小的最大值(以位元組為單位)。
預設設定:131071
9) 待續。。。
六、/proc/sys/net/ipv4/最佳化
1)     /proc/sys/net/ipv4/ip_forward
該檔案表示是否開啟IP轉發。
0,禁止
1,轉發
預設設定:0
2)     /proc/sys/net/ipv4/ip_default_ttl
該檔案表示一個資料包的生存週期(Time To Live),即最多經過多少路由器。
預設設定:64
增加該值會降低系統效能。
 3)     /proc/sys/net/ipv4/ip_no_pmtu_disc
該檔案表示在全域性範圍內關閉路徑MTU探測功能。
預設設定:0
4)     /proc/sys/net/ipv4/route/min_pmtu
該檔案表示最小路徑MTU的大小。
預設設定:552
5)     /proc/sys/net/ipv4/route/mtu_expires
該檔案表示PMTU資訊快取多長時間(秒)。
預設設定:600(秒)
6)     /proc/sys/net/ipv4/route/min_adv_mss
該檔案表示最小的MSS(Maximum Segment Size)大小,取決於第一跳的路由器MTU。
預設設定:256(bytes)
6.1 IP Fragmentation
1)     /proc/sys/net/ipv4/ipfrag_low_thresh/proc/sys/net/ipv4/ipfrag_low_thresh
兩個檔案分別表示用於重組IP分段的記憶體分配最低值和最高值,一旦達到最高記憶體分配值,其它分段將被丟棄,直到達到最低記憶體分配值。
預設設定:196608(ipfrag_low_thresh)
     262144(ipfrag_high_thresh)
2)     /proc/sys/net/ipv4/ipfrag_time
該檔案表示一個IP分段在記憶體中保留多少秒。
預設設定:30(秒)
6.2 INET Peer Storage
1)     /proc/sys/net/ipv4/inet_peer_threshold
INET對端儲存器某個合適值,當超過該閥值條目將被丟棄。該閥值同樣決定生存時間以及廢物收集透過的時間間隔。條目越多,存活期越低,GC 間隔越短。
預設設定:65664
2)     /proc/sys/net/ipv4/inet_peer_minttl
條目的最低存活期。在重組端必須要有足夠的碎片(fragment)存活期。這個最低存活期必須保證緩衝池容積是否少於 inet_peer_threshold。該值以 jiffies為單位測量。
預設設定:120
3)     /proc/sys/net/ipv4/inet_peer_maxttl
條目的最大存活期。在此期限到達之後,如果緩衝池沒有耗盡壓力的話(例如:緩衝池中的條目數目非常少),不使用的條目將會超時。該值以 jiffies為單位測量。
預設設定:600
4)     /proc/sys/net/ipv4/inet_peer_gc_mintime
廢物收集(GC)透過的最短間隔。這個間隔會影響到緩衝池中記憶體的高壓力。 該值以 jiffies為單位測量。
預設設定:10
5)     /proc/sys/net/ipv4/inet_peer_gc_maxtime
廢物收集(GC)透過的最大間隔,這個間隔會影響到緩衝池中記憶體的低壓力。 該值以 jiffies為單位測量。
預設設定:120
6.3 TCP Variables
1)     /proc/sys/net/ipv4/tcp_syn_retries
該檔案表示本機向外發起TCP SYN連線超時重傳的次數,不應該高於255;該值僅僅針對外出的連線,對於進來的連線由tcp_retries1控制。
預設設定:5
2)     /proc/sys/net/ipv4/tcp_keepalive_probes
該檔案表示丟棄TCP連線前,進行最大TCP保持連線偵測的次數。保持連線僅在SO_KEEPALIVE套接字選項被開啟時才被髮送。
預設設定:9(次)
3)     /proc/sys/net/ipv4/tcp_keepalive_time
該檔案表示從不再傳送資料到向連線上傳送保持連線訊號之間所需的秒數。
預設設定:7200(2小時)
4)     /proc/sys/net/ipv4/tcp_keepalive_intvl
該檔案表示傳送TCP探測的頻率,乘以tcp_keepalive_probes表示斷開沒有相應的TCP連線的時間。
預設設定:75(秒)
5)     /proc/sys/net/ipv4/tcp_retries1
該檔案表示放棄回應一個TCP連線請求前進行重傳的次數。
預設設定:3
6)     /proc/sys/net/ipv4/tcp_retries2
該檔案表示放棄在已經建立通訊狀態下的一個TCP資料包前進行重傳的次數。
預設設定:15
7)     /proc/sys/net/ipv4/tcp_orphan_retries
在近端丟棄TCP連線之前,要進行多少次重試。預設值是 7 個,相當於 50秒–16分鐘,視 RTO 而定。如果您的系統是負載很大的web伺服器,那麼也許需
要降低該值,這類 sockets 可能會耗費大量的資源。另外參考tcp_max_orphans。
8)     /proc/sys/net/ipv4/tcp_fin_timeout
對於本端斷開的socket連線,TCP保持在FIN-WAIT-2狀態的時間。對方可能
會斷開連線或一直不結束連線或不可預料的程式死亡。預設值為 60 秒。過去在2.2版本的核心中是 180 秒。您可以設定該值,但需要注意,如果您的機器為負載很重的web伺服器,您可能要冒記憶體被大量
無效資料包填滿的風險,FIN-WAIT-2 sockets 的危險性低於 FIN-WAIT-1,因為它們最多隻吃 1.5K的記憶體,但是它們存在時間更長。另外參考 tcp_max_orphans。
預設設定:60(秒)
9)     /proc/sys/net/ipv4/tcp_max_tw_buckets系統在同時所處理的最大timewait sockets 數目。如果超過此數的話,time-wait socket 會被立即砍除並且顯示警告資訊。之所以要設定這個限制,純粹
為了抵禦那些簡單的 DoS 攻擊,千萬不要人為的降低這個限制,不過,如果網路條件需要比預設值更多,則可以提高它(或許還要增加記憶體)。
預設設定:180000
10) /proc/sys/net/ipv4/tcp_tw_recyle
開啟快速 TIME-WAIT sockets 回收。除非得到技術專家的建議或要求,請不要隨意修改這個值。
預設設定:0
11) /proc/sys/net/ipv4/tcp_tw_reuse
該檔案表示是否允許重新應用處於TIME-WAIT狀態的socket用於新的TCP連線。
預設設定:0
12) /proc/sys/net/ipv4/tcp_max_orphans
系統所能處理不屬於任何程式的TCP sockets最大數量。假如超過這個數量,那麼不屬於任何程式的連線會被立即reset,並同時顯示警告資訊。之所以要設定這個限制,純粹為了抵禦那些簡單的 DoS 攻擊,
千萬不要依賴這個或是人為的降低這個限制。
預設設定:8192
13) /proc/sys/net/ipv4/tcp_abort_on_overflow
當守護程式太忙而不能接受新的連線,就向對方傳送reset訊息,預設值是false。這意味著當溢位的原因是因為一個偶然的猝發,那麼連線將恢復狀態。只有在你確信守護程式真的不能完成連線請求時才開啟
該選項,該選項會影響客戶的使用。
預設設定:0 14) /proc/sys/net/ipv4/tcp_syncookies
該檔案表示是否開啟TCP同步標籤(syncookie),核心必須開啟了 CONFIG_SYN_COOKIES項進行編譯。 同步標籤(syncookie)可以防止一個套接字在有過多試圖連線到達時引起過載。
預設設定:0
15) /proc/sys/net/ipv4/tcp_stdurg
使用 TCP urg pointer 欄位中的主機請求解釋功能。大部份的主機都使用老舊的BSD解釋,因此如果您在 Linux 開啟它,或會導致不能和它們正確溝通。
預設設定:0
16) /proc/sys/net/ipv4/tcp_max_syn_backlog
對於那些依然還未獲得客戶端確認的連線請求,需要儲存在佇列中最大數目。對於超過 128Mb 記憶體的系統,預設值是 1024,低於 128Mb 的則為 128。如果伺服器經常出現過載,可以嘗試增加這個數字。
警告!假如您將此值設為大於1024,最好修改 include/net/tcp.h 裡面的 TCP_SYNQ_HSIZE,以保持
TCP_SYNQ_HSIZE*16 0)或者bytes-bytes/2^(-tcp_adv_win_scale)(如果tcp_adv_win_scale 128Mb 32768-610000)則系統將忽略所有傳送給自己的ICMP ECHO請求或那些廣播地址的請求。
預設設定:1024
17) /proc/sys/net/ipv4/tcp_window_scaling
該檔案表示設定tcp/ip會話的滑動視窗大小是否可變。引數值為布林值,為1時表示可變,為0時表示不可變。tcp/ip通常使用的視窗最大可達到 65535 位元組,對於高速網路,該值可能太小,這時候如果啟用了
該功能,可以使tcp/ip滑動視窗大小增大數個數量級,從而提高資料傳輸的能力。
預設設定:1
18) /proc/sys/net/ipv4/tcp_sack
該檔案表示是否啟用有選擇的應答(Selective Acknowledgment),這可以透過有選擇地應答亂序接收到的報文來提高效能(這樣可以讓傳送者只傳送丟失的報文段);(對於廣域網通訊來說)這 個選項應該
啟用,但是這會增加對 CPU 的佔用。
預設設定:1
19) /proc/sys/net/ipv4/tcp_timestamps
該檔案表示是否啟用以一種比超時重發更精確的方法(請參閱 RFC 1323)來啟用對 RTT 的計算;為了實現更好的效能應該啟用這個選項。
預設設定:1
20) /proc/sys/net/ipv4/tcp_fack
該檔案表示是否開啟FACK擁塞避免和快速重傳功能。
預設設定:1
21) /proc/sys/net/ipv4/tcp_dsack
該檔案表示是否允許TCP傳送“兩個完全相同”的SACK。
預設設定:1
22) /proc/sys/net/ipv4/tcp_ecn
該檔案表示是否開啟TCP的直接擁塞通告功能。
預設設定:0
23) /proc/sys/net/ipv4/tcp_reordering
該檔案表示TCP流中重排序的資料包最大數量。
預設設定:3 24) /proc/sys/net/ipv4/tcp_retrans_collapse
該檔案表示對於某些有bug的印表機是否提供針對其bug的相容性。
預設設定:1
25) /proc/sys/net/ipv4/tcp_wmem
該檔案包含3個整數值,分別是:min,default,max
Min:為TCP socket預留用於傳送緩衝的記憶體最小值。每個TCP socket都可以使用它。
Default:為TCP socket預留用於傳送緩衝的記憶體數量,預設情況下該值會影響其它協議使用的net.core.wmem中default的 值,一般要低於net.core.wmem中default的值。
Max:為TCP socket預留用於傳送緩衝的記憶體最大值。該值不會影響net.core.wmem_max,今天選擇引數SO_SNDBUF則不受該值影響。預設值為 128K。
預設設定:4096 16384 131072
26) /proc/sys/net/ipv4/tcp_rmem
該檔案包含3個整數值,分別是:min,default,max
Min:為TCP socket預留用於接收緩衝的記憶體數量,即使在記憶體出現緊張情況下TCP socket都至少會有這麼多數量的記憶體用於接收緩衝。
Default:為TCP socket預留用於接收緩衝的記憶體數量,預設情況下該值影響其它協議使用的 net.core.wmem中default的 值。該值決定了在tcp_adv_win_scale、tcp_app_win和tcp_app_win的預設值情況下,
TCP 視窗大小為65535。
Max:為TCP socket預留用於接收緩衝的記憶體最大值。該值不會影響 net.core.wmem中max的值,今天選擇引數 SO_SNDBUF則不受該值影響。
預設設定:4096 87380 174760
27) /proc/sys/net/ipv4/tcp_mem
該檔案包含3個整數值,分別是:low,pressure,high
Low:當TCP使用了低於該值的記憶體頁面數時,TCP不會考慮釋放記憶體。
Pressure:當TCP使用了超過該值的記憶體頁面數量時,TCP試圖穩定其記憶體使用,進入pressure模式,當記憶體消耗低於low值時則退出 pressure狀態。
High:允許所有tcp sockets用於排隊緩衝資料包的頁面量。
一般情況下這些值是在系統啟動時根據系統記憶體數量計算得到的。
預設設定:24576 32768 49152
28) /proc/sys/net/ipv4/tcp_app_win
該檔案表示保留max(window/2^tcp_app_win, mss)數量的視窗由於應用緩衝。當為0時表示不需要緩衝。
預設設定:31
29) /proc/sys/net/ipv4/tcp_adv_win_scale
該檔案表示計算緩衝開銷bytes/2^tcp_adv_win_scale(如果tcp_adv_win_scale >; 0)或者bytes-bytes/2^(-tcp_adv_win_scale)(如果tcp_adv_win_scale <= 0)。
預設設定:2
6.4 IP Variables
1)     /proc/sys/net/ipv4/ip_local_port_range
該檔案表示TCP/UDP協議開啟的本地埠號。
預設設定:1024 4999
建議設定:32768 61000
2)     /proc/sys/net/ipv4/ip_nonlocal_bind
該檔案表示是否允許程式邦定到非本地地址。
預設設定:0
3)     /proc/sys/net/ipv4/ip_dynaddr
該引數通常用於使用撥號連線的情況,可以使系統動能夠立即改變ip包的源地址為該ip地址,同時中斷原有的tcp對話而用新地址重新發出一個syn請求 包,開始新的tcp對話。在使用ip欺騙時,該引數可以立即
改變偽裝地址為新的ip地址。該檔案表示是否允許動態地址,如果該值非0,表示允許;如果該值 大於1,核心將透過log記錄動態地址重寫資訊。
預設設定:0
4)     /proc/sys/net/ipv4/icmp_echo_ignore_all/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
該檔案表示核心是否忽略所有的ICMP ECHO請求,或忽略廣播和多播請求。
0, 響應請求
1, 忽略請求
預設設定:0
建議設定:1
5)     /proc/sys/net/ipv4/icmp_ratelimit
6)     /proc/sys/net/ipv4/icmp_ratemask
7)     /proc/sys/net/ipv4/icmp_ignore_bogus_error_reponses
某些路由器違背RFC1122標準,其對廣播幀傳送偽造的響應來應答。這種違背行為通常會被以告警的方式記錄在系統日誌中。如果該選項設定為True,核心不會記錄這種警告資訊。
預設設定:0
8)     /proc/sys/net/ipv4/igmp_max_memberships
該檔案表示多播組中的最大成員數量。
預設設定:20 6.5 Other Configuration
1)     /proc/sys/net/ipv4/confaccept_source_route
是否接受含有源路由資訊的ip包。引數值為布林值,1表示接受,0表示不接受。在充當閘道器的linux主機上預設值為1,在一般的linux主機上預設值為0。從安全性角度出發,建議關閉該功能。
 3)     /proc/sys/net/ipv4proxy_arp
設定是否對網路上的arp包進行中繼。引數值為布林值,1表示中繼,0表示忽略,
預設值為0。該引數通常只對充當路由器的linux主機有用。
 七、效能最佳化策略
7.1 基本最佳化
1)      關閉後臺守護程式
系統安裝完後,系統會預設啟動一些後臺守護程式,有些程式並不是必需的;因此,關閉這些程式可以節省一部分實體記憶體消耗。以root身份登入系統,執行ntsysv,選中如下程式:
iptables
network
syslog
random
apmdxinetd
vsftpd
crond
local
修改完後,重新啟動系統。
如此,系統將僅僅啟動選中的這些守護程式。
2)      減少終端連線數
系統預設啟動6個終端,而實際上只需啟動3個即可;以root身份登入系統,執行vi /etc/inittab,修改成如下:
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
如上所述,註釋掉4、5、6終端。
 3)      待續。。。
 7.2 網路最佳化
1)      最佳化系統套接字緩衝區
net.core.rmem_max=16777216
net.core.wmem_max=16777216
2)      最佳化TCP接收/傳送緩衝區
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
3)      最佳化網路裝置接收佇列
net.core.netdev_max_backlog=3000
4)      關閉路由相關功能
net.ipv4.conf.lo.accept_source_route=0
net.ipv4.conf.all.accept_source_route=0
net.ipv4.conf.eth0.accept_source_route=0
net.ipv4.conf.default.accept_source_route=0
 
net.ipv4.conf.lo.accept_redirects=0
net.ipv4.conf.all.accept_redirects=0
net.ipv4.conf.eth0.accept_redirects=0
net.ipv4.conf.default.accept_redirects=0
 
net.ipv4.conf.lo.secure_redirects=0
net.ipv4.conf.all.secure_redirects=0
net.ipv4.conf.eth0.secure_redirects=0
net.ipv4.conf.default.secure_redirects=0
 
net.ipv4.conf.lo.send_redirects=0
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.eth0.send_redirects=0
net.ipv4.conf.default.send_redirects=0
5)      最佳化TCP協議棧
開啟TCP SYN cookie選項,有助於保護伺服器免受SyncFlood攻擊。
net.ipv4.tcp_syncookies=1
 
開啟TIME-WAIT套接字重用功能,對於存在大量連線的Web伺服器非常有效。
net.ipv4.tcp_tw_recyle=1
net.ipv4.tcp_tw_reuse=1
 
減少處於FIN-WAIT-2連線狀態的時間,使系統可以處理更多的連線。
net.ipv4.tcp_fin_timeout=30
 
減少TCP KeepAlive連線偵測的時間,使系統可以處理更多的連線。
net.ipv4.tcp_keepalive_time=1800
 
增加TCP SYN佇列長度,使系統可以處理更多的併發連線。
net.ipv4.tcp_max_syn_backlog=8192

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/15498/viewspace-2121130/,如需轉載,請註明出處,否則將追究法律責任。

相關文章