主要以下三点:
1 linux内核参数注释;
2 两种修改内核参数的方法;
3 内核优化参数生产配置;
参考文章:
linux内核TCP相关参数解释
http://os.chinaunix.net/a2008/0918/985/000000985483.shtml
linux内核参数优化
http://blog.chinaunix.net/uid-29081804-id-3830203.html
linux内核调整和内核参数详解
http://blog.csdn.net/cnbird2008/article/details/4419354
一 Linux内核参数注释(仅列出常用优化参数):
| 名称 | 默认值 | 建议值 | 描述 |
|
/proc/sys/net/ipv4 |
|||
| tcp_syn_retries | 5 | 1 |
对于一个新建连接,内核要发送多少个SYN连接请求才决定 放弃。不应该大于255,默认值是5,对应于180s左右的时间。( 对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2 ,这个值仅仅是针对对外的连接,对进来的连接,是由tcp_retries1决定的) |
|
tcp_synack_retries
|
5 | 1 | 对于远端的连接请求SYN,内核会发送SYN+ACK数据报,以确认收到上一个SYN连接请求包。这是所谓的三次握手(threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的SYN+ACK数目。不应该大于255,默认值是5,对应时间180s左右。 |
| tcp_keepalive_time | 7200 | 600 | tcp发送keepalive探测消息的间隔时间s,用于确认tcp连接是否有效。防止两边建立连接但不发送数据的攻击。 |
| tcp_keepalive_probes | 9 | 3 | tcp发送keepalive探测消息的间隔时间s,用于确认tcp连接是否有效。 |
| tcp_keepalive_intvl | 75 | 15 | 探测消息未获得响应时,重发该消息的间隔时间s,默认是75秒。(对于普通应用来说,这个值稍微大一点,可以根据取药改小,特别是web类服务器要改小该值,15是个比较合适的值。) |
| tcp_fin_timeout | 60 | 2 | 对于本端断开的socket连接,tcp保持在PIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值是60s |
| tcp_max_tw_buckets | 180000 | 36000 | 系统同时处理的最大timewait socket数目。如果超出此数的话,time-wait socket会被立即砍除并且显示告警信息。之所以要设定这个限制,纯粹为了抵御那些简单的Dos攻击,不过,如果网络条件需要比默认值更多,则可以提高(伴随而来的可能有内存的增加)。(事实上做NAT的时候最好可以适当的增加该值) |
| tcp_tw_recycle | 0 | 1 | 打开快速TIME-WAIT socket回收。除非得到技术专家的建议或要求,最好不要随意改动该值。(做NAT的时候,建议打开它) |
| tcp_tw_reuse | 0 | 1 | 表示是否允许重新应用处于TIME-WAIT状态的socket用于新的tcp连接(这个对快速重启某些服务,而启动后提示端口已被使用的情形非常有帮助) |
| tcp_max_orphans | 8192 | 32768 | 系统所能处理不属于任何进程的tcp socket最大数量。加入超过这个数量,那么不属于任何进程的连接会被立即reset,并同时显示告警信息。之所以要设定这个限制,纯粹为了抵御那些简单的Dos攻击,千万不要依赖这个或是人为的降低这个限制。如果内存大更应该增加这个值。(这个值Redhat AS版本中设置为32768,但是很多防火墙修改的时候,建议值为2000) |
| tcp_syncookies | 0 | 1 | 只有在内核编译时选择CONPIG_SYNCOOKIES时才会发生作用。当出现syn等候队列出现溢出时向对方发送syncookies。目的是为了防止syn flood攻击。 |
| tcp_max_syn_backlog | 1024 | 16384 | 对于那些依然还未获得客户端确认的连接请求,需要保存在队列中的最大数目。对于超过128M的内存的系统,默认值是1024,低于128M的则为128.如果服务器经常出现过载,可以尝试增加这个数字。警告:假如你将此值设置为大于1024,最好修改include/net/tcp_h里面的TCP_SYNQ_HSIZE,以保持TCP_SYNQ_HIZE*16(SYNFlood攻击利用TCP协议散布握手的缺陷,伪造虚假源IP地址发送大量TCP-SYN半打开连接到目标系统,最终导致目标系统Socket队列资源耗尽而无法接受到新的连接。为了应付这种攻击,现代Unix系统中普遍采用多连接队列处理的方式来缓冲,而不是解决这种攻击,是用一个基本队列处理正常的完全连接应用Connect和Accept。是用另外一个队列单独存放半打开的连接。这种双队列处理方式和其他一些系统的内核措施(例如syn-Cookies/Caches)联合应用时,能够比较有效的缓解小规模的SYN Flood攻击(事实证明)) |
| tcp_wmem:mindefaultmax |
4096 16384 131072 |
8192 131072 16777216 |
发送缓存设置: min:为tcp socket预留用于发送缓冲的内存最小值。每个tcp socket都可以在建立以后都可以使用它,默认值是4096 4k default:为tcp socket预留用于发送缓冲的内存数量,默认情况下该值会影响其他协议使用的net.core.wmem_default值,一般要低于net.core.wmem_default的值。默认为16k 16384 max:用于tcp scoket发送缓冲的内存最大值。该值不会影响net.core.wmem_max,静态选择参数SO_SNDBUF则不受该值的影响。默认值是131072 128K,(对于服务器而言,增加这个参数的值对于发送数据很有帮助,在我的网络环境中,修改为51200 131072 204800) |
| tcp_rmem:mindefaultmax |
4096 87380 174760 |
32768 131072 16777216 |
接收缓存设置,通tcp_wmem |
| tcp_mem: mindefaultmax | 根据内存计算 |
786432 1048576 1572864 |
low:当tcp使用了低于该值的内存页面数时,tcp不会考虑释放内存。即低于此值没有内存压力。理想情况下,这个值应与指定给tcp_wmem的第二个值相匹配,这里的第二个值表明最大页面大小乘以最大并发请求数除以页大小。(131072*300/4096) pressure:当tco使用了超过该值的内存页面数量时,tcp试图稳定其内存使用,进入pressure模式,当内存消耗低于low值时,则退出pressure状态,理想情况下这个值应该是tco可以使用的总缓冲区大小的最大值(204800*300/4096) high:允许所有tcp sockets用于排队缓冲数据报的页面量。,如果超过这个值,tcp连接将被拒绝,这就是为什么不要令其过于保守(512000*300/4096)。在这种情况下,提供的价值很大,他能处理很多连接,是预期的2.5倍;或者使现有连接能够传输2.5倍的数据,我的网络里是192000 300000 732000,一般情况下这些值是在系统启动时根据系统内存数量计算得到的。 |
| ip_local_port_range:minmax |
32768 61000 |
1024 65000 |
表示用于向外连接的端口范围,默认值比较小,这个范围同样会简介用于NAT表规模。 |
| ip_conntrack_max | 65535 | 65535 | 系统支持的最大ipv4连接数,默认65535,事实上这也是理论最大值,同时这个值和你的内存大小有关,如果内存128M,这个值最大8192,1G以上这个值默认都是65535 |
|
/proc/sys/net/ipv4/netfilter/ 文件需要打开防火墙才会存在 |
|||
| ip_conntrack_max | 65535 | 65535 | 系统支持的最大ipv4连接数,默认65535,事实上这个值是理论的最大值,同时这个值和你的内存有关,如果128M,这个值最大是8192,1G以上,这个值默认都是65535.这个值受/proc/sys/net/ipv4/ip_conntrack_max |
| ip_conntrack_tcp_timeout_astablishad | 432000 | 180 | 已建立的tcp连接的超时时间,默认是432000,也就是五天。影响:这个值过大将导致一些可能已经不用的连接常驻于内存中,占用大量连接资源,从而可能导致NAT ip_conntrack: table full 的问题。建议;对于NAT负载相对本机的NAT表大小紧张的时候,可能需要考虑缩小这个值,以尽早清除连接,保证有可用的连接资源:如果不紧张,不必修改 |
| /proc/sys/net/core | |||
| netdev_max_backlog | 1024 | 16384 | 每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目,对重负载的服务器而言,该值需要调高一点。 |
| somaxconn | 128 | 16384 | 用来限制监听(LISTEN)队列最大数据包的数量,超过这个数量就会导致连接超时或者触发重传机制。web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以又要调整这个值。对繁忙的服务器,增加该值有助于网络性能。 |
二 两种修改内核参数的方法
1 使用echo value方式直接追加到文件里:echo “1” >>/proc/sys/net/ipv4/tcp_syn_retries,但这种方法设备重启之后又会恢复到默认值
2 把参数添加到/etc/sysctl.conf中,然后执行sysctl -p,永久生效。
三 内核生产环境优化参数
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl =15
net.ipv4.tcp_retries2 = 5
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_orphans = 32768
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_wmem = 8192 131072 16777216
net.ipv4.tcp_rmem = 32768 131072 16777216
net.ipv4.tcp_mem = 786432 1048576 1572864
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.ip_conntrack_max = 65536
net.ipv4.netfilter.ip_conntrack_max=65536
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
其它相关linux内核参数调整文章:
Linux内核参数优化
http://flandycheng.blog.51cto.com/855176/476769
优化linux的内核参数来提高服务器并发处理能力
nginx做web服务器linux内核参数优化
http://blog.csdn.net/force_eagle/article/details/6725243
参考文章:
linux内核TCP相关参数解释
http://os.chinaunix.net/a2008/0918/985/000000985483.shtml
linux内核参数优化
http://blog.chinaunix.net/uid-29081804-id-3830203.html
linux内核调整和内核参数详解