??在作業中,平常我們使用官方鏡像安裝的Linux系統(非自定制化的)系統內核考慮的是最通用的場景,通常設定都偏向穩定保守,比較典型的代表如紅帽系列的RHEL、CentOS等,而在正式的生成環境使用中,服務器的CPU、記憶體等硬體配置都比較高,而安裝系統時默認的系統內核引數設定并不符合用于支持高并發訪問的業務服務器,因此我們需要根據實際的業務特性來對系統的默認內核引數設定加以優化,以便能充分發揮服務器的硬體計算處理能力,提高資源利用率的同時也給企業節省IT設備資源成本,
??以centos為例,可以通過vim /etc/sysctl.conf 檔案來更改內核引數,可使用sysctl -p命令立即生效,
Linux系統常用的內核引數及定義總結如下:
以下內核引數配置僅供參考,具體使用應當根據業務環境特性及服務器硬體配置來設定合理的值,
net.ipv4.ip_nonlocal_bind = 1
#允許非本地IP地址socket監聽,當主機作為網關、反向代理或負載均衡器實作雙機熱備高可用時,主機需要系結監聽虛擬VIP地址時,必須開啟此項,
net.ipv4.ip_forward = 1
#開啟IPv4轉發,當服務器作為路由網關、反向代理與負載均衡(開啟客戶端IP透傳時)必須開啟,
net.ipv4.tcp_timestamps = 1
#開啟TCP時間戳,以一種比重發超時更精確的方法(請參閱 RFC 1323)來啟用對 RTT 的計算;為了實作更好的性能應該啟用這個選項,默認為0不啟用,
fs.file-max = 6553560
#系統所有行程一共可以打開的檔案數量,即系統當前最大的檔案句柄數,屬于系統級別的限制,默認值大小通常與系統物理記憶體有關,注意:ulimit的open file值(默認1024)是單個行程可以打開的最大檔案數,在高并發業務下,這個2個值都需要進行調整,
net.ipv4.tcp_tw_reuse = 1
#默認為0不啟用,設定為1啟用tcp復用,表示允許將TIME_WAIT狀態的socket重新用于新的TCP鏈接,這對于高并發的服務器來說意義重大,因為總有大量TIME_WAIT狀態的鏈接存在,
net.ipv4.tcp_tw_recycle = 1
#默認為0表示關閉,為1時表示開啟TCP連接中TIME-WAIT sockets的快速回收,用于大量TIME_OUT場景,
net.ipv4.tcp_keepalive_time = 600
#當keepalive啟用時,TCP發送keepalive訊息的頻度;默認是2小時,將其設定為10分鐘,可更快的清理無效鏈接,
net.ipv4.tcp_keepalive_probes = 3
#當keepalive啟用時,如果對方不予應答,探測包的發送次數,
net.ipv4.tcp_keepalive_intvl = 15
#當keepalive啟用時,keepalive探測包的發送間隔,單位為秒,
net.ipv4.tcp_fin_timeout = 30
#當服務器主動關閉鏈接時,socket保持在FIN_WAIT_2狀態的最長時間,單位為秒,
net.ipv4.tcp_syn_retries = 1
#在內核放棄建立連接之前發送SYN包的數量
net.ipv4.tcp_syncookies = 1
#與性能無關,用于解決TCP的SYN攻擊,1表示開啟TCP SYN Cookies,當出現SYN等待佇列溢位時,啟用cookies來處理,可防范少量SYN攻擊,默認為0,表示關閉,
net.ipv4.icmp_echo_ignore_broadcasts = 1
#忽略icmp ping廣播包,避免放大攻擊,
net.ipv4.icmp_ignore_bogus_error_responses = 1
#開啟惡意icmp錯誤訊息保護
net.ipv4.conf.default.accept_source_route = 0
#是否接受含有源路由資訊的ip包,引數值為布林值,1表示接受,0表示不接受,在充當網關的linux主機上預設值應為1,在一般的linux主機上預設值應為0,從安全性角度出發,建議關閉該功能,
net.ipv4.tcp_slow_start_after_idle = 0
#關閉tcp的連接傳輸的慢啟動,即先休止一段時間,再初始化擁塞視窗,
net.ipv4.route.gc_timeout = 100
#路由快取重繪頻率,當一個路由失敗后多長時間跳到另一個路由,默認是300秒,
net.ipv4.tcp_max_tw_buckets = 5000
#表示作業系統允許保持TIME_WAIT套接字數量的最大值,如超過此值,TIME_WAIT套接字將立刻被清除并列印警告資訊,默認為8000,過多的TIME_WAIT套接字會使服務器回應變慢,
net.ipv4.ip_local_port_range = 1024 65000
#定義UDP和TCP鏈接的本地埠的取值范圍,
net.ipv4.tcp_rmem = 10240 87380 12582912
#定義了TCP接受socket請求快取的記憶體最小值、默認值、最大值,
net.ipv4.tcp_wmem = 10240 87380 12582912
#定義TCP發送快取的最小值、默認值、最大值,該值為自動調優定義每個 socket 使用的記憶體,
#第一個值是為 socket 的發送緩沖區分配的最少位元組數,
#第二個值是默認值(該值會被 wmem_default 覆寫),緩沖區在系統負載不重的情況下可以增長到這個值,
#第三個值是發送緩沖區空間的最大位元組數(該值會被 wmem_max 覆寫),
net.core.netdev_max_backlog = 8096
#當網卡接收資料包的速度大于內核處理速度時,會有一個緩沖佇列保存這些資料包,這個引數表示該列隊的最大值,
net.core.somaxconn=262114
#選項默認值是128,表示socket監聽的backlog(監聽佇列)上限,這個引數用于調節系統同時發起的TCP連接數,在高并發的請求中,默認的值可能會導致鏈接超時或者重傳,因此需要結合高并發請求數來調節此值,
net.core.optmem_max = 10000000
#該引數指定了每個套接字所允許的最大緩沖區的大小(以位元組為單位)
net.core.rmem_default = 6291456
#表示內核接收套接字緩沖區默認大小(以位元組為單位),該引數定義了默認的發送視窗大小,對于更大的 BDP 來說,這個大小也應該更大,
net.core.wmem_default = 6291456
#表示內核發送套接字緩沖區默認大小(以位元組為單位)
net.core.rmem_max = 12582912
#表示內核接收套接字緩沖區最大大小(以位元組為單位),該引數定義了默認的發送視窗大小,對于更大的 BDP 來說,這個大小也應該更大,
net.core.wmem_max = 12582912
#表示內核發送套接字緩沖區最大大小(以位元組為單位)
net.ipv4.tcp_mem
#確定 TCP 堆疊應該如何反映記憶體使用;每個值的單位都是記憶體頁(通常是 4KB),
#第一個值是記憶體使用的下限,
#第二個值是記憶體壓力模式開始對緩沖區使用應用壓力的上限,
#第三個值是記憶體上限,在這個層次上可以將報文丟棄,從而減少對記憶體的使用,對于較大的 BDP 可以增大這些值(其單位是記憶體頁,而不是位元組),
net.ipv4.tcp_max_syn_backlog = 8192
#這個引數表示TCP三次握手建立階段接受SYN請求列隊的較大長度,默認1024,將其設定的大一些可使出現服務器程式繁忙來不及accept新連接時,可以容納更多等待連接的網路連接數,Linux不至于丟失客戶端發起的鏈接請求,
net.ipv4.tcp_max_orphans=262114
#選項用于設定系統中最多有多少個TCP套接字不被關聯到任何一個用戶檔案句柄上,如果超過這個數字,孤立鏈接將立即被復位并輸出警告資訊,這個限制指示為了防止簡單的DOS攻擊,不用過分依靠這個限制甚至認為的減小這個值,更多的情況是增加這個值,
net.ipv4.netfilter.ip_conntrack_max=204800
#設定系統開始iptables防火墻對TCP連接進行狀態跟蹤的最大佇列長度限制,超過此限定值,將會發生資料表溢位丟棄,對于高并發業務通常也可以使用iptables的raw表設定免跟蹤處理,
net.ipv4.conf.all.rp_filter = 1
#用于控制系統是否開啟對資料包源地址的校驗,1為嚴謹模式 (推薦),0為松散模式,默認為1開啟,
net.ipv4.conf.default.rp_filter = 1
#用于控制系統是否開啟對資料包源地址的校驗,1為嚴謹模式 (推薦),0為松散模式,默認為1開啟,
net.ipv4.tcp_congestion_control = cubic
#TCP擁塞控制演算法,centos7默認設定是cubic,Linux內核中提供了若干套TCP擁塞控制演算法,已加載進內核的可以通過內核引數net.ipv4.tcp_available_congestion_control看到:sudo sysctl net.ipv4.tcp_available_congestion_control 沒有加載進內核的一般是編譯成了模塊,可以用modprobe加載,這些演算法各自適用于不同的環境,reno是最基本的擁塞控制演算法,也是TCP協議的實驗原型,bic適用于rtt較高但丟包極為罕見的情況,比如北美和歐洲之間的線路,這是2.6.8到2.6.18之間的Linux內核的默認演算法,cubic是修改版的bic,適用環境比bic廣泛一點,它是2.6.19之后的linux內核的默認演算法,hybla適用于高延時、高丟包率的網路,比如衛星鏈路——同樣適用于中美之間的鏈路,多人實驗表明,TCP擁塞控制演算法對TCP傳輸速率的影響可很大,修改TCP擁塞控制演算法需要修改內核引數net.ipv4.tcp_congestion_control=xxx
net.ipv4.tcp_window_scaling = 0
#關閉tcp_window_scaling,啟用 RFC 1323 定義的 window scaling;要支持超過64KB的視窗,必須啟用該值,
net.ipv4.tcp_ecn = 0
#關閉TCP的直接擁塞通告(tcp_ecn)
net.ipv4.tcp_sack = 1
#關閉tcp_sack,啟用有選擇的應答(Selective Acknowledgment),這可以通過有選擇地應答亂序接收到的報文來提高性能(這樣可以讓發送者只發送丟失的報文段),(對于廣域網通信來說)這個選項應該啟用,但是這會增加對CPU的占用,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/157896.html
標籤:Linux
上一篇:centos7時間同步和時區設定