Linux系統內核參數優化

時間 2019-11-07

標籤 linux 系統內核參數優化欄目 Linux 简体版

原文原文鏈接

Linux系統內核參數優化

在工做中，日常咱們使用官方鏡像安裝的Linux系統（非自定製化的）系統內核考慮的是最通用的場景，一般設定都偏向穩定保守，比較典型的表明如紅帽系列的RHEL、CentOS等。而在正式的生成環境使用中，服務器的CPU、內存等硬件配置都比較高，而安裝系統時默認的系統內核參數設定並不符合用於支持高併發訪問的業務服務器，所以咱們須要根據實際的業務特性來對系統的默認內核參數設定加以優化，以便能充分發揮服務器的硬件計算處理能力，提升資源利用率的同時也給企業節省IT設備資源成本。linux

以centos爲例，能夠經過vim /etc/sysctl.conf 文件來更改內核參數，可以使用sysctl -p命令當即生效。算法

Linux系統經常使用的內核參數及定義總結以下：vim

如下內核參數配置僅供參考，具體使用應當根據業務環境特性及服務器硬件配置來設置合理的值。centos

net.ipv4.ip_nonlocal_bind = 1 
#容許非本地IP地址socket監聽，當主機做爲網關、反向代理或負載均衡器實現雙機熱備高可用時，主機須要綁定監聽虛擬VIP地址時，必須開啓此項。

net.ipv4.ip_forward = 1 
#開啓IPv4轉發。當服務器做爲路由網關、反向代理與負載均衡（開啓客戶端IP透傳時）必須開啓。

net.ipv4.tcp_timestamps = 1 
#開啓TCP時間戳，以一種比重發超時更精確的方法（請參閱 RFC 1323）來啓用對 RTT 的計算；爲了實現更好的性能應該啓用這個選項。默認爲0不啓用。

fs.file-max = 6553560 
#系統全部進程一共能夠打開的文件數量，即系統當前最大的文件句柄數，屬於系統級別的限制，默認值大小一般與系統物理內存有關。注意：ulimit的open file值（默認1024）是單個進程能夠打開的最大文件數，在高併發業務下，這個2個值都須要進行調整。

net.ipv4.tcp_tw_reuse = 1 
#默認爲0不啓用，設置爲1啓用tcp複用，表示容許將TIME_WAIT狀態的socket從新用於新的TCP連接，這對於高併發的服務器來講意義重大，由於總有大量TIME_WAIT狀態的連接存在。

net.ipv4.tcp_tw_recycle = 1 
#默認爲0表示關閉，爲1時表示開啓TCP鏈接中TIME-WAIT sockets的快速回收，用於大量TIME_OUT場景。

net.ipv4.tcp_keepalive_time = 600 
#當keepalive啓用時，TCP發送keepalive消息的頻度；默認是2小時，將其設置爲10分鐘，可更快的清理無效連接。

net.ipv4.tcp_keepalive_probes = 3
#當keepalive啓用時，若是對方不予應答，探測包的發送次數。

net.ipv4.tcp_keepalive_intvl = 15 
#當keepalive啓用時，keepalive探測包的發送間隔，單位爲秒。

net.ipv4.tcp_fin_timeout = 30 
#當服務器主動關閉連接時，socket保持在FIN_WAIT_2狀態的最長時間，單位爲秒。

net.ipv4.tcp_syn_retries = 1 
#在內核放棄創建鏈接以前發送SYN包的數量

net.ipv4.tcp_syncookies = 1 
#與性能無關，用於解決TCP的SYN攻擊。1表示開啓TCP SYN Cookies。當出現SYN等待隊列溢出時，啓用cookies來處理，可防範少許SYN攻擊，默認爲0，表示關閉。

net.ipv4.icmp_echo_ignore_broadcasts = 1 
#忽略icmp ping廣播包,避免放大攻擊。

net.ipv4.icmp_ignore_bogus_error_responses = 1 
#開啓惡意icmp錯誤消息保護

net.inet.udp.checksum=1 
#防止不正確的udp包的攻擊

net.ipv4.conf.default.accept_source_route = 0 
#是否接受含有源路由信息的ip包。參數值爲布爾值，1表示接受，0表示不接受。在充當網關的linux主機上缺省值應爲1，在通常的linux主機上缺省值應爲0。從安全性角度出發，建議關閉該功能。

net.ipv4.tcp_slow_start_after_idle = 0 
#關閉tcp的鏈接傳輸的慢啓動，即先休止一段時間，再初始化擁塞窗口。

net.ipv4.route.gc_timeout = 100 
#路由緩存刷新頻率，當一個路由失敗後多長時間跳到另外一個路由，默認是300秒。

net.ipv4.tcp_max_tw_buckets = 5000 
#表示操做系統容許保持TIME_WAIT套接字數量的最大值，如超過此值，TIME_WAIT套接字將馬上被清除並打印警告信息,默認爲8000，過多的TIME_WAIT套接字會使服務器響應變慢。

net.ipv4.ip_local_port_range = 1024 65000 
#定義UDP和TCP連接的本地端口的取值範圍。

net.ipv4.tcp_rmem = 10240 87380 12582912 
#定義了TCP接受socket請求緩存的內存最小值、默認值、最大值。

net.ipv4.tcp_wmem = 10240 87380 12582912 
#定義TCP發送緩存的最小值、默認值、最大值。該值爲自動調優定義每一個 socket 使用的內存。
#第一個值是爲 socket 的發送緩衝區分配的最少字節數。
#第二個值是默認值（該值會被 wmem_default 覆蓋），緩衝區在系統負載不重的狀況下能夠增加到這個值。
#第三個值是發送緩衝區空間的最大字節數（該值會被 wmem_max 覆蓋）。

net.core.netdev_max_backlog = 8096 
#當網卡接收數據包的速度大於內核處理速度時，會有一個緩衝隊列保存這些數據包。這個參數表示該列隊的最大值。

net.core.somaxconn=262114 
#選項默認值是128，表示socket監聽的backlog(監聽隊列)上限。這個參數用於調節系統同時發起的TCP鏈接數，在高併發的請求中，默認的值可能會致使連接超時或者重傳，所以須要結合高併發請求數來調節此值。

net.core.optmem_max = 10000000 
#該參數指定了每一個套接字所容許的最大緩衝區的大小（以字節爲單位）

net.core.rmem_default = 6291456 
#表示內核接收套接字緩衝區默認大小（以字節爲單位）。該參數定義了默認的發送窗口大小，對於更大的 BDP 來講，這個大小也應該更大。

net.core.wmem_default = 6291456 
#表示內核發送套接字緩衝區默認大小（以字節爲單位）

net.core.rmem_max = 12582912 
#表示內核接收套接字緩衝區最大大小（以字節爲單位）。該參數定義了默認的發送窗口大小，對於更大的 BDP 來講，這個大小也應該更大。

net.core.wmem_max = 12582912 
#表示內核發送套接字緩衝區最大大小（以字節爲單位）

net.ipv4.tcp_mem
#肯定 TCP 棧應該如何反映內存使用；每一個值的單位都是內存頁（一般是 4KB）。
#第一個值是內存使用的下限。
#第二個值是內存壓力模式開始對緩衝區使用應用壓力的上限。
#第三個值是內存上限。在這個層次上能夠將報文丟棄，從而減小對內存的使用。對於較大的 BDP 能夠增大這些值（其單位是內存頁，而不是字節）。

net.ipv4.tcp_max_syn_backlog = 8192 
#這個參數表示TCP三次握手創建階段接受SYN請求列隊的較大長度，默認1024，將其設置的大一些可以使出現服務器程序繁忙來不及accept新鏈接時，能夠容納更多等待鏈接的網絡鏈接數，Linux不至於丟失客戶端發起的連接請求。

net.ipv4.tcp_max_orphans=262114 
#選項用於設定系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上。若是超過這個數字，孤立連接將當即被複位並輸出警告信息。這個限制指示爲了防止簡單的DOS攻擊，不用過度依靠這個限制甚至認爲的減少這個值，更多的狀況是增長這個值。

net.ipv4.netfilter.ip_conntrack_max=204800 
#設置系統開始iptables防火牆對TCP鏈接進行狀態跟蹤的最大隊列長度限制，超過此限定值，將會發生數據表溢出丟棄，對於高併發業務一般也可使用iptables的raw表設置免跟蹤處理。

net.ipv4.conf.all.rp_filter = 1 
#用於控制系統是否開啓對數據包源地址的校驗，1爲嚴謹模式  (推薦)，0爲鬆散模式。默認爲1開啓。

net.ipv4.conf.default.rp_filter = 1 
#用於控制系統是否開啓對數據包源地址的校驗，1爲嚴謹模式  (推薦)，0爲鬆散模式。默認爲1開啓。

net.ipv4.tcp_congestion_control = cubic 
#TCP擁塞控制算法，centos7默認設置是cubic。Linux內核中提供了若干套TCP擁塞控制算法，已加載進內核的能夠經過內核參數net.ipv4.tcp_available_congestion_control看到：sudo sysctl net.ipv4.tcp_available_congestion_control 沒有加載進內核的通常是編譯成了模塊，能夠用modprobe加載。這些算法各自適用於不一樣的環境。reno是最基本的擁塞控制算法，也是TCP協議的實驗原型。bic適用於rtt較高但丟包極爲罕見的狀況，好比北美和歐洲之間的線路，這是2.6.8到2.6.18之間的Linux內核的默認算法。cubic是修改版的bic，適用環境比bic普遍一點，它是2.6.19以後的linux內核的默認算法。hybla適用於高延時、高丟包率的網絡，好比衛星鏈路——一樣適用於中美之間的鏈路。多人實驗代表，TCP擁塞控制算法對TCP傳輸速率的影響可很大。修改TCP擁塞控制算法須要修改內核參數net.ipv4.tcp_congestion_control=xxx

net.ipv4.tcp_window_scaling = 0 
#關閉tcp_window_scaling，啓用 RFC 1323 定義的 window scaling；要支持超過64KB的窗口，必須啓用該值。

net.ipv4.tcp_ecn = 0 
#關閉TCP的直接擁塞通告(tcp_ecn)

net.ipv4.tcp_sack = 1 
#關閉tcp_sack，啓用有選擇的應答（Selective Acknowledgment），這能夠經過有選擇地應答亂序接收到的報文來提升性能（這樣可讓發送者只發送丟失的報文段），（對於廣域網通訊來講）這個選項應該啓用，可是這會增長對CPU的佔用。