linux核心優化參數web伺服器

惆怅啊沒辦法，總監讓優化整個架構的核心參數，沒辦法就到處搜集了一些整理到下面了。

減少TCP 連接配接中的TIME-WAIT sockets：  

編輯/etc/sysctl.conf檔案

net.ipv4.tcp_syncookies = 1                   

 // 表示開啟SYN Cookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防範少量SYN攻擊，預設為0，表示關閉；

net.ipv4.tcp_tw_reuse = 1                    

 //表示開啟重用。允許将TIME-WAIT sockets重新用于新的TCP連接配接，預設為0，表示關閉；

net.ipv4.tcp_tw_recycle = 1                 

  //表示開啟TCP連接配接中TIME-WAIT sockets的快速回收，預設為0，表示關閉。

用以下語句檢視伺服器的TCP狀态：

#netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}

net.ipv4.ip_local_port_range = 32768 65000     // 允許系統打開的端口範圍。

net.ipv4.tcp_keepalive_time = 30           

// 當keepalive起用的時候，TCP發送keepalive消息的頻度。預設是2小時

net.ipv4.tcp_max_tw_buckets = 6000            

// timewait的數量，預設是180000。

表示系統同時保持TIME_WAIT套接字的最大數量，如果超過這個數字，TIME_WAIT套接字将立刻被清除并列印警告資訊。預設為180000，改為 6000。對于Apache、Nginx等伺服器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對于Squid，效果卻不大。此項參數可以控制TIME_WAIT套接字的最大數量，避免Squid伺服器被大量的TIME_WAIT套接字拖死。

net.ipv4.tcp_max_syn_backlog = 65536       

 //記錄的那些尚未收到用戶端确認資訊的連接配接請求的最大值。對于有128M記憶體的系統而言，預設值是1024，小記憶體的系統則是128

net.core.netdev_max_backlog = 32768        

//每個網絡接口接收資料包的速率比核心處理這些包的速率快時，允許送到隊列的資料包的最大數目。

net.core.somaxconn = 32768               

 //web應用中listen函數的backlog預設會給我們核心參數的net.core.somaxconn限制到128，

  而nginx定義的NGX_LISTEN_BACKLOG預設為511，是以有必要調整這個值。

net.core.wmem_default = 8388608           

net.core.rmem_default = 8388608

net.core.rmem_max = 16777216           //最大socket讀buffer,可參考的優化值:873200

net.core.wmem_max = 16777216           //最大socket寫buffer,可參考的優化值:873200

net.ipv4.tcp_timestsmps = 0           

 //時間戳可以避免序列号的卷繞。一個1Gbps的鍊路肯定會遇到以前用過的序列号。時間戳能夠讓核心接受這種“異常”的資料包。這裡需要将其關掉

net.ipv4.tcp_synack_retries = 2       

 //為了打開對端的連接配接，核心需要發送一個SYN并附帶一個回應前面一個SYN的ACK。

也就是所謂三次握手中的第二次握手。這個設定決定了核心放棄連接配接之前發送SYN+ACK包的數量

net.ipv4.tcp_syn_retries = 2         

 //在核心放棄建立連接配接之前發送SYN包的數量

#net.ipv4.tcp_tw_len = 1

net.ipv4.tcp_tw_reuse = 1                   

// 開啟重用。允許将TIME-WAIT sockets重新用于新的TCP連接配接。

net.ipv4.tcp_wmem = 8192 436600 873200       

 // TCP寫buffer,可參考的優化值: 8192 436600 873200

net.ipv4.tcp_rmem  = 32768 436600 873200      

// TCP讀buffer,可參考的優化值: 32768 436600 873200

net.ipv4.tcp_mem = 94500000 91500000 92700000 

// 同樣有3個值,意思是:

\net.ipv4.tcp_mem[0]:低于此值,TCP沒有記憶體壓力.

\net.ipv4.tcp_mem[1]:在此值下,進入記憶體壓力階段.

\net.ipv4.tcp_mem[2]:高于此值,TCP拒絕配置設定socket.

\ 上述記憶體機關是頁,而不是位元組.可參考的優化值是:786432 1048576 1572864

net.ipv4.tcp_max_orphans = 3276800

//系統中最多有多少個TCP套接字不被關聯到任何一個使用者檔案句柄上。

 如果超過這個數字，孤兒連接配接将即刻被複位并列印出警告資訊。

這個限制僅僅是為了防止簡單的DoS攻擊，不能過分依靠它或者人為地減小這個值，

更應該增加這個值(如果增加了記憶體之後)。

net.ipv4.tcp_fin_timeout = 30    

  //如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀态的時間。

  對端可以出錯并永遠不關閉連接配接，甚至意外當機。預設值是60秒。2.2 核心的通常值是180秒，

 你可以按這個設定，但要記住的是，即使你的機器是一個輕載的WEB伺服器，

也有因為大量的死套接字而記憶體溢出的風險，FIN- WAIT-2的危險性比FIN-WAIT-1要小，

   因為它最多隻能吃掉1.5K記憶體，但是它們的生存期長些。

本文轉自 houzaicunsky 51CTO部落格，原文連結:http://blog.51cto.com/hzcsky/477624