優化Linux的核心參數來提高伺服器并發處理能力

PS：在伺服器硬體資源額定有限的情況下，最大的壓榨伺服器的性能，提高伺服器的并發處理能力，是很多運維技術人員思考的問題。要提高Linux系統下的負載能力，可以使用nginx等原生并發處理能力就很強的web伺服器，如果使用Apache的可以啟用其Worker模式，來提高其并發處理能力。除此之外，在考慮節省成本的情況下，可以修改Linux的核心相關TCP參數，來最大的提高伺服器性能。當然，最基礎的提高負載問題，還是更新伺服器硬體了，這是最根本的。

Linux系統下，TCP連接配接斷開後，會以TIME_WAIT狀态保留一定的時間，然後才會釋放端口。當并發請求過多的時候，就會産生大量的TIME_WAIT狀态的連接配接，無法及時斷開的話，會占用大量的端口資源和伺服器資源。這個時候我們可以優化TCP的核心參數，來及時将TIME_WAIT狀态的端口清理掉。

本文介紹的方法隻對擁有大量TIME_WAIT狀态的連接配接導緻系統資源消耗有效，如果不是這種情況下，效果可能不明顯。可以使用netstat指令去查TIME_WAIT狀态的連接配接狀态，輸入下面的組合指令，檢視目前TCP連接配接的狀态和對應的連接配接數量：

#netstat -n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’

這個指令會輸出類似下面的結果：

LAST_ACK 16

SYN_RECV 348

ESTABLISHED 70

FIN_WAIT1 229

FIN_WAIT2 30

CLOSING 33

TIME_WAIT 18098

我們隻用關心TIME_WAIT的個數，在這裡可以看到，有18000多個TIME_WAIT，這樣就占用了18000多個端口。要知道端口的數量隻有65535個，占用一個少一個，會嚴重的影響到後繼的新連接配接。這種情況下，我們就有必要調整下Linux的TCP核心參數，讓系統更快的釋放TIME_WAIT連接配接。

用vim打開配置檔案：#vim /etc/sysctl.conf

在這個檔案中，加入下面的幾行内容：

net.ipv4.tcp_syncookies = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_fin_timeout = 30

輸入下面的指令，讓核心參數生效：#sysctl -p

簡單的說明上面的參數的含義：

#表示開啟SYN Cookies。當出現SYN等待隊列溢出時，啟用cookies來處理，可防範少量SYN攻擊，預設為0，表示關閉；

#表示開啟重用。允許将TIME-WAIT sockets重新用于新的TCP連接配接，預設為0，表示關閉；

#表示開啟TCP連接配接中TIME-WAIT sockets的快速回收，預設為0，表示關閉；

net.ipv4.tcp_fin_timeout

#修改系統預設的 TIMEOUT 時間。

在經過這樣的調整之後，除了會進一步提升伺服器的負載能力之外，還能夠防禦小流量程度的DoS、CC和SYN攻擊。

此外，如果你的連接配接數本身就很多，我們可以再優化一下TCP的可使用端口範圍，進一步提升伺服器的并發能力。依然是往上面的參數檔案中，加入下面這些配置：

net.ipv4.tcp_keepalive_time = 1200

net.ipv4.ip_local_port_range = 10000 65000

net.ipv4.tcp_max_syn_backlog = 8192

net.ipv4.tcp_max_tw_buckets = 5000

#這幾個參數，建議隻在流量非常大的伺服器上開啟，會有顯著的效果。一般的流量小的伺服器上，沒有必要去設定這幾個參數。

#表示當keepalive起用的時候，TCP發送keepalive消息的頻度。預設是2小時，改為20分鐘。

#表示用于向外連接配接的端口範圍。預設情況下很小：32768到61000，改為10000到65000。（注意：這裡不要将最低值設的太低，否則可能會占用掉正常的端口！）

#表示SYN隊列的長度，預設為1024，加大隊列長度為8192，可以容納更多等待連接配接的網絡連接配接數。

net.ipv4.tcp_max_tw_buckets = 6000

#表示系統同時保持TIME_WAIT的最大數量，如果超過這個數字，TIME_WAIT将立刻被清除并列印警告資訊。默 認為180000，改為6000。對于Apache、Nginx等伺服器，上幾行的參數可以很好地減少TIME_WAIT套接字數量，但是對于 Squid，效果卻不大。此項參數可以控制TIME_WAIT的最大數量，避免Squid伺服器被大量的TIME_WAIT拖死。

核心其他TCP參數說明：

net.ipv4.tcp_max_syn_backlog = 65536

#記錄的那些尚未收到用戶端确認資訊的連接配接請求的最大值。對于有128M記憶體的系統而言，預設值是1024，小記憶體的系統則是128。

net.core.netdev_max_backlog = 32768

#每個網絡接口接收資料包的速率比核心處理這些包的速率快時，允許送到隊列的資料包的最大數目。

net.core.somaxconn = 32768

#web應用中listen函數的backlog預設會給我們核心參數的net.core.somaxconn限制到128，而nginx定義的NGX_LISTEN_BACKLOG預設為511，是以有必要調整這個值。

net.core.wmem_default = 8388608

net.core.rmem_default = 8388608

net.core.rmem_max = 16777216           #最大socket讀buffer,可參考的優化值:873200

net.core.wmem_max = 16777216           #最大socket寫buffer,可參考的優化值:873200

net.ipv4.tcp_timestsmps = 0

#時間戳可以避免序列号的卷繞。一個1Gbps的鍊路肯定會遇到以前用過的序列号。時間戳能夠讓核心接受這種“異常”的資料包。這裡需要将其關掉。

net.ipv4.tcp_synack_retries = 2

#為了打開對端的連接配接，核心需要發送一個SYN并附帶一個回應前面一個SYN的ACK。也就是所謂三次握手中的第二次握手。這個設定決定了核心放棄連接配接之前發送SYN+ACK包的數量。

net.ipv4.tcp_syn_retries = 2

#在核心放棄建立連接配接之前發送SYN包的數量。

#net.ipv4.tcp_tw_len = 1

# 開啟重用。允許将TIME-WAIT sockets重新用于新的TCP連接配接。

net.ipv4.tcp_wmem = 8192 436600 873200

# TCP寫buffer,可參考的優化值: 8192 436600 873200

net.ipv4.tcp_rmem  = 32768 436600 873200

# TCP讀buffer,可參考的優化值: 32768 436600 873200

net.ipv4.tcp_mem = 94500000 91500000 92700000

# 同樣有3個值,意思是:

net.ipv4.tcp_mem[0]:低于此值，TCP沒有記憶體壓力。

net.ipv4.tcp_mem[1]:在此值下，進入記憶體壓力階段。

net.ipv4.tcp_mem[2]:高于此值，TCP拒絕配置設定socket。

上述記憶體機關是頁，而不是位元組。可參考的優化值是:786432 1048576 1572864

net.ipv4.tcp_max_orphans = 3276800

#系統中最多有多少個TCP套接字不被關聯到任何一個使用者檔案句柄上。

如果超過這個數字，連接配接将即刻被複位并列印出警告資訊。

這個限制僅僅是為了防止簡單的DoS攻擊，不能過分依靠它或者人為地減小這個值，

更應該增加這個值(如果增加了記憶體之後)。

#如果套接字由本端要求關閉，這個參數決定了它保持在FIN-WAIT-2狀态的時間。對端可以出錯并永遠不關閉連接配接，甚至意外當機。預設值是60秒。2.2 核心的通常值是180秒，你可以按這個設定，但要記住的是，即使你的機器是一個輕載的WEB伺服器，也有因為大量的死套接字而記憶體溢出的風險，FIN- WAIT-2的危險性比FIN-WAIT-1要小，因為它最多隻能吃掉1.5K記憶體，但是它們的生存期長些。

文章出自:http://www.ha97.com/4396.html

      本文轉自027ryan  51CTO部落格，原文連結：http://blog.51cto.com/ucode/1785336，如需轉載請自行聯系原作者