nginx 内核调优配置
net.ipv4.ip_forward = 0
#原配置
#cat /proc/sys/net/ipv4/ip_forward
0
作用:
开启路由转发功能;1为允许,0为禁止。
对nginx性能无影响。按照默认配置。
net.ipv4.conf.default.rp_filter = 1
原配置
cat /proc/sys/net/ipv4/conf/default/rp_filter
1
作用:
#启用源路由核查功能
即rp_filter参数有三个值,0、1、2,具体含义:
0:不开启源地址校验。
1:开启严格的反向路径校验。对每个进来的数据包,校验其反向路径是否是最佳路径。如果反向路径不是最佳路径,则直接丢弃该数据包。
2:开启松散的反向路径校验。对每个进来的数据包,校验其源地址是否可达,即反向路径是否能通(通过任意网口),如果反向路径不同,则直接丢弃该数据包。
对nginx性能无影响。按照默认配置。
开启rp_filter参数的作用
- 减少DDoS攻击
校验数据包的反向路径,如果反向路径不合适,则直接丢弃数据包,避免过多的无效连接消耗系统资源。 - 防止IP Spoofing
校验数据包的反向路径,如果客户端伪造的源IP地址对应的反向路径不在路由表中,或者反向路径不是最佳路径,则直接丢弃数据包,不会向伪造IP的客户端回复响应。
net.ipv4.conf.default.accept_source_route = 0
原配置:
cat /proc/sys/net/ipv4/conf/default/accept_source_route
0
作用:
是否接受含有源路由信息的ip包。参数值为布尔值,1表示接受,0表示不接受。在充当网关的linux主机上缺省值为1,在一般的linux主机上缺省值为0。从安全性角度出发,建议你关闭该功能。
kernel.sysrq = 0
原配置:
cat /proc/sys/kernel/sysrq
16
作用:
sysrq组合键是了解系统目前运行情况。
对nginx性能无影响。按照默认配置。
kernel.core_uses_pid = 1
原配置:
cat /proc/sys/kernel/core_uses_pid
1
作用:
(开启core???)
/proc/sys/kernel/core_uses_pid可以控制core文件的文件名中是否添加pid作为扩展。
文件内容为1,表示添加pid作为扩展名,生成的core文件格式为core.xxxx
为0则表示生成的core文件同一命名为core。可通过以下命令修改此文件:
net.ipv4.tcp_syncookies = 1
原配置:
cat /proc/sys/net/ipv4/tcp_syncookies
1
作用:
开启 SYN Cookies,当出现 SYN 等待队列溢出时,启用 cookies 来处理。
预防SYN Flood 攻击。建议开启。
————————————————————————————————————————————————————————
kernel.msgmnb = 65536
原配置:
cat /proc/sys/kernel/msgmnb
16384
作用:
#每个消息队列的大小(单位:字节)限制
#单个消息体的容量的最大值
kernel.msgmax = 65536
原配置:
cat /proc/sys/kernel/msgmax
8192
作用:
#整个系统最大消息尺寸 (字节)
kernel.shmmax = 68719476736
原配置:
cat /proc/sys/kernel/shmmax
18446744073692774399
作用:
#单个共享内存段的大小(单位:字节)限制
kernel.shmall = 4294967296
原配置:
cat /proc/sys/kernel/shmall
18446744073692774399
作用:
#所有内存大小(单位:页,1页 = 4Kb),计算公式16G10241024*1024/4KB(页)
net.ipv4.tcp_max_tw_buckets = 6000
原配置:
cat /proc/sys/net/ipv4/tcp_max_tw_buckets
262144
作用:
#timewait的数量#表示系统同时保持TIME_WAIT套接字的最大数量
net.ipv4.tcp_sack = 1
原配置:
cat /proc/sys/net/ipv4/tcp_sack
1
作用:
#开启有选择的应答
#启用有选择的应答(Selective Acknowledgment),
#这可以通过有选择地应答乱序接收到的报文来提高性能(这样可以让发送者只发送丢失的报文段);
#(对于广域网通信来说)这个选项应该启用,但是这会增加对 CPU 的占用。
net.ipv4.tcp_window_scaling = 1
原配置
cat /proc/sys/net/ipv4/tcp_window_scaling
1
作用:#支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1
——————————————————————————————————————————————————————————
net.ipv4.tcp_rmem = 4096 87380 4194304
原配置:
cat /proc/sys/net/ipv4/tcp_rmem
4096 87380 6291456
作用:
#TCP读buffer
为自动调优定义socket使用的内存。第一个值是为socket接收缓冲区分配的最少字节数;第二个值是默认值(该值会被rmem_default覆盖),缓冲区在系统负载不重的情况下可以增长到这个值;第三个值是接收缓冲区空间的最大字节数(该值会被rmem_max覆盖)。
net.ipv4.tcp_wmem = 4096 16384 4194304
cat /proc/sys/net/ipv4/tcp_wmem
4096 16384 4194304
作用:
为自动调优定义socket使用的内存。第一个值是为socket发送缓冲区分配的最少字节数;第二个值是默认值(该值会被wmem_default覆盖),缓冲区在系统负载不重的情况下可以增长到这个值;第三个值是发送缓冲区空间的最大字节数(该值会被wmem_max覆盖)。
#TCP读buffer
net.core.wmem_default = 8388608
原配置:
cat /proc/sys/net/core/wmem_default
212992
默认的发送窗口大小。
——————————————————————————————————————————————————————————
net.core.rmem_default = 8388608
原配置:
cat /proc/sys/net/core/rmem_default
212992
默认的接收窗口大小。
net.core.rmem_max = 16777216
原配置:
cat /proc/sys/net/core/rmem_max
212992
— 最大的TCP数据接收缓冲。
net.core.wmem_max = 16777216
原配置
cat /proc/sys/net/core/wmem_max
212992
— 最大的TCP数据发送缓冲
net.core.netdev_max_backlog = 262144
原配置
cat /proc/sys/net/core/netdev_max_backlog
1000
每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包
的最大数目
调大
——————————————————————————————————————————————————————————
net.core.somaxconn = 262144(10240)
原配置
cat /proc/sys/net/core/somaxconn
128
#web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值
——————————————————————————————————————————————————————————
net.ipv4.tcp_max_orphans = 3276800
原配置:
cat /proc/sys/net/ipv4/tcp_max_orphans
262144
系统所能处理不属于任何进程的TCP sockets最大数量(主动关闭端发送了FIN后转到FIN_WAIT_1,这时TCP连接就不属于某个进程了)。假如超过这个数量,那么不属于任何进程的连接会被立即reset,并同时显示警告信息。之所以要设定这个限制,纯粹为了抵御那些简单的 DoS 攻击﹐千万不要依赖这个或是人为的降低这个限制(这个值Redhat AS版本中设置为32768,但是很多防火墙修改的时候,建议该值修改为2000)
net.ipv4.tcp_max_syn_backlog = 262144
原配置:
cat /proc/sys/net/ipv4/tcp_max_syn_backlog
2048
记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024,小内存的系统则是128。一般在系统内存比较充足的情况下,可以增大这个参数的赋值
net.ipv4.tcp_timestamps = 0
原配置:
cat /proc/sys/net/ipv4/tcp_timestamps
1
该参数用于设置时间戳,可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉.
net.ipv4.tcp_synack_retries = 1
原配置:
cat /proc/sys/net/ipv4/tcp_synack_retries
5
对于远端的连接请求SYN,内核会发送SYN + ACK数据报,以确认收到上一个 SYN连接请求包。这是所谓的三次握手( threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的 SYN+ACK 数目。不应该大于255,默认值是5,对应于180秒左右时间。(可以根据上面的 tcp_syn_retries 来决定这个值)
net.ipv4.tcp_syn_retries = 1
原配置:
cat /proc/sys/net/ipv4/tcp_syn_retries
6
对于一个新建连接,内核要发送多少个 SYN 连接请求才决定放弃。不应该大于255,默认值是5,对应于180秒左右时间。(对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2.这个值仅仅是针对对外的连接,对进来的连接,是由tcp_retries1决定的)
net.ipv4.tcp_tw_recycle = 1
原配置:
cat /proc/sys/net/ipv4/tcp_tw_recycle
0
打开快速 TIME-WAIT sockets 回收。除非得到技术专家的建议或要求﹐请不要随意修改这个值。(做NAT的时候,建议打开它)
可能会发生问题
(不修改)
net.ipv4.tcp_tw_reuse = 1
原配置:
cat /proc/sys/net/ipv4/tcp_tw_reuse
0
可能发生问题
该文件表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接(这个对快速重启动某些服务,而启动后提示端口已经被使用的情形非常有帮助)
(不修改)
对压力测试端修改
net.ipv4.tcp_mem = 94500000 915000000 927000000
原配置:
cat /proc/sys/net/ipv4/tcp_mem
1537584 2050115 3075168
内核分配给TCP连接的内存 单位是Page,1 Page = 4096 Bytes = 4K
第一个数字表示,当 tcp 使用的 page 少于 1537584 时,kernel 不对其进行任何的干预
第二个数字表示,当 tcp 使用了超过 2050115 的 pages 时,kernel 会进入 “memory pressure” 压力模式
第三个数字表示,当 tcp 使用的 pages 超过 3075168 时(相当于11GB内存),就会报:Out of socket memory
net.ipv4.tcp_fin_timeout = 10
原配置:
cat /proc/sys/net/ipv4/tcp_fin_timeout
60
TCP状态中FIN_WAIT2的过期时间
对于本端断开的socket连接,TCP保持在FIN_WAIT_2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为 60 秒。过去在2.2版本的内核中是 180 秒。您可以设置该值﹐但需要注意﹐如果您的机器为负载很重的web服务器﹐您可能要冒内存被大量无效数据报填满的风险﹐FIN-WAIT-2 sockets 的危险性低于 FIN-WAIT-1 ﹐因为它们最多只吃 1.5K 的内存﹐但是它们存在时间更长。另外参考 tcp_max_orphans。
net.ipv4.tcp_keepalive_time = 30
原配置:
cat /proc/sys/net/ipv4/tcp_keepalive_time
7200
当 keepalive 起用的时候,TCP 发送 keepalive 消息的频度。缺省是 2 小时。
net.ipv4.ip_local_port_range = 1024 65000
原配置 :
cat /proc/sys/net/ipv4/ip_local_port_range
32768 60999
允许系统打开的端口范围。
最大文件数限制修改
vi /etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
修改进程限制
vi /etc/security/limits.d/20-nproc.conf
* soft nproc 40960
扫一扫
540
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
