關於常用Linux內核參數的優化---持續更新
vim /etc/sysctl.conf
#每一個端口最大監聽隊列長度,最大文件打開數量以及儘可能使用內存,swap值越大,越會積極使用交換分區
net.core.somaxconn = 65535
fs.file-max = 655360
vm.swappiness = 1
#生效
sysctl -p
#配置最大文件打開數量,修改保存後立即生效
#帳號 限制依據 限制項目 限制值
# 第一欄位為帳號,或者是羣組!若為羣組則前面需要加上 @ ,例如 @projecta
# 第二欄位為限制的依據,是嚴格(hard),還是僅為警告(soft);
# 第三欄位為相關限制,此例中限制檔案容量,
# 第四欄位為限制的值,在此例中單位為 KB。
# 若以 vbird1 登入後,進行如下的操作則會有相關的限制出現!
/etc/security/limits.conf
* soft nofile 102536
* hard nofile 102536
#timewait 的數量,默認是180000。
net.ipv4.tcp_max_tw_buckets = 6000
#允許系統打開的端口範圍。
net.ipv4.ip_local_port_range = 1024 65000
#啓用timewait 快速回收。
net.ipv4.tcp_tw_recycle = 1
#開啓重用。允許將TIME-WAIT sockets 重新用於新的TCP 連接。
net.ipv4.tcp_tw_reuse = 1
#開啓SYN Cookies,當出現SYN 等待隊列溢出時,啓用cookies 來處理。
net.ipv4.tcp_syncookies = 1
#web 應用中listen 函數的backlog 默認會給我們內核參數的net.core.somaxconn 限制到128,而nginx 定義的NGX_LISTEN_BACKLOG 默認爲511,所以有必要調整這個值。
net.core.somaxconn = 262144
#每個網絡接口接收數據包的速率比內核處理這些包的速率快時,允許送到隊列的數據包的最大數目。
net.core.netdev_max_backlog = 262144
#系統中最多有多少個TCP 套接字不被關聯到任何一個用戶文件句柄上。如果超過這個數字,孤兒連接將即刻被複位並打印出警告信息。這個限制僅僅是爲了防止簡單的DoS 攻擊,不能過分依靠它或者人爲地減小這個值,更應該增加這個值(如果增加了內存之後)。
net.ipv4.tcp_max_orphans = 262144
#記錄的那些尚未收到客戶端確認信息的連接請求的最大值。對於有128M 內存的系統而言,缺省值是1024,小內存的系統則是128。
net.ipv4.tcp_max_syn_backlog = 262144
#時間戳可以避免序列號的卷繞。一個1Gbps 的鏈路肯定會遇到以前用過的序列號。時間戳能夠讓內核接受這種“異常”的數據包。這裏需要將其關掉。
net.ipv4.tcp_timestamps = 0
#爲了打開對端的連接,內核需要發送一個SYN 並附帶一個迴應前面一個SYN 的ACK。也就是所謂三次握手中的第二次握手。這個設置決定了內核放棄連接之前發送SYN+ACK 包的數量。
net.ipv4.tcp_synack_retries = 1
#在內核放棄建立連接之前發送SYN 包的數量。
net.ipv4.tcp_syn_retries = 1
#如果套接字由本端要求關閉,這個參數決定了它保持在FIN-WAIT-2 狀態的時間。對端可以出錯並永遠不關閉連接,甚至意外當機。缺省值是60 秒。2.2 內核的通常值是180 秒,3你可以按這個設置,但要記住的是,即使你的機器是一個輕載的WEB 服務器,也有因爲大量的死套接字而內存溢出的風險,FIN- WAIT-2 的危險性比FIN-WAIT-1 要小,因爲它最多隻能喫掉1.5K 內存,但是它們的生存期長些。
net.ipv4.tcp_fin_timeout = 1
#當keepalive 起用的時候,TCP 發送keepalive 消息的頻度。缺省是2 小時。
net.ipv4.tcp_keepalive_time = 30
