linux内核参数优化（七）

1、Linux内核参数优化

     内核参数是用户和系统内核之间交互的一个接口，通过这个接口，用户可以在系统运行的同时动态更新内核配置，而这些内核参数是通过Linux Proc文件系统存在的。因此，可以通过调整Proc文件系统达到优化Linux性能的目的。

一、sysctl命令

sysctl命令用来配置与显示在/proc/sys目录中的内核参数．如果想使参数长期保存，可以通过编辑/etc/sysctl.conf文件来实现。

 

 命令格式：

 sysctl [-n] [-e] -w variable=value

 sysctl [-n] [-e] -p (default /etc/sysctl.conf)

 sysctl [-n] [-e] –a

 

常用参数的意义：

 -w  临时改变某个指定参数的值，如

        # sysctl -w net.ipv4.ip_forward=1

 -a  显示所有的系统参数

 -p从指定的文件加载系统参数,默认从/etc/sysctl.conf 文件中加载，如：

# echo 1 > /proc/sys/net/ipv4/ip_forward

# sysctl -w net.ipv4.ip_forward=1

 以上两种方法都可能立即开启路由功能，但如果系统重启，或执行了

     # service network restart

命令，所设置的值即会丢失，如果想永久保留配置，可以修改/etc/sysctl.conf文件，将 net.ipv4.ip_forward=0改为net.ipv4.ip_forward=1

 

二、linux内核参数调整：linux 内核参数调整有两种方式

 

方法一：修改/proc下内核参数文件内容，不能使用编辑器来修改内核参数文件，理由是由于内核随时可能更改这些文件中的任意一个，另外，这些内核参数文件都是虚拟文件，实际中不存在，因此不能使用编辑器进行编辑，而是使用echo命令，然后从命令行将输出重定向至 /proc 下所选定的文件中。如：将 timeout_timewait 参数设置为30秒：

# echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

参数修改后立即生效，但是重启系统后，该参数又恢复成默认值。因此，想永久更改内核参数，需要修改/etc/sysctl.conf文件

 

   方法二．修改/etc/sysctl.conf文件。检查sysctl.conf文件，如果已经包含需要修改的参数，则修改该参数的值，如果没有需要修改的参数，在sysctl.conf文件中添加参数。如：

   net.ipv4.tcp_fin_timeout=30

保存退出后，可以重启机器使参数生效，如果想使参数马上生效，也可以执行如下命令：

   # sysctl  -p
三、sysctl.conf

 文件中参数设置及说明

1、常见配置

1.  net.ipv4.ip_local_port_range = 1024 65536    

2.  net.core.rmem_max=16777216   

3.  net.core.wmem_max=16777216   

4.  net.ipv4.tcp_rmem=4096 87380 16777216    

5.  net.ipv4.tcp_wmem=4096 65536 16777216    

6.  net.ipv4.tcp_fin_timeout = 30   

7.  net.core.netdev_max_backlog = 30000   

8.  net.ipv4.tcp_no_metrics_save=1   

9.  net.core.somaxconn = 262144   

10. net.ipv4.tcp_syncookies = 1   

11. net.ipv4.tcp_max_orphans = 262144   

12. net.ipv4.tcp_max_syn_backlog = 262144   

13. net.ipv4.tcp_synack_retries = 2   

14. net.ipv4.tcp_syn_retries = 2   

 

net.ipv4.ip_local_port_range：用来指定外部连接的端口范围，默认是32 768到61 000，这里设置为1024到65 536。

net.core.rmem_max：指定接收套接字缓冲区大小的最大值，单位是字节。

net.core.wmem_max：指定发送套接字缓冲区大小的最大值，单位是字节。

net.ipv4.tcp_rmem：此参数与net.ipv4.tcp_wmem都是用来优化TCP接收/发送缓冲区的，包含3个整数值，分别是min、default、max。

对于tcp_rmem，min表示为TCP socket预留的用于接收缓存的最小内存数量，default表示为TCP socket预留的用于接收缓存的默认的内存值，max表示用于TCP socket接收缓存的内存最大值。

对于tcp_wmem，min表示为TCP socket预留的用于发送缓存的内存最小值，default表示为TCP socket预留的用于发送缓存的默认的内存值，max表示用于TCP socket发送缓存的内存最大值。

net.ipv4.tcp_fin_timeout：此参数用于减少处于FIN-WAIT-2连接状态的时间，使系统可以处理更多的连接。此参数值为整数，单位为秒。

例如，在一个tcp会话过程中，在会话结束时，A首先向B发送一个fin包，在获得B的ack确认包后，A就进入FIN-WAIT-2状态等待B的fin包，然后给B发ack确认包。net.ipv4.tcp_fin_timeout参数用来设置A进入FIN-WAIT-2状态等待对方fin包的超时时间。如果时间到了仍未收到对方的fin包就主动释放该会话。

net.core.netdev_max_backlog：该参数表示当在每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许发送到队列的数据包的最大数量。

net.ipv4.tcp_syncookies：表示是否打开SYN Cookie。tcp_syncookies是一个开关，该参数的功能有助于保护服务器免受SyncFlood攻击。默认值为0，这里设置为1。

net.ipv4.tcp_max_orphans：表示系统中最多有多少TCP套接字不被关联到任何一个用户文件句柄上。如果超过这里设置的数字，连接就会复位并输出警告信息。这个限制仅仅是为了防止简单的DoS攻击。此值不能太小。这里设置为262 144。

net.ipv4.tcp_max_syn_backlog：表示SYN队列的长度，预设为1024，这里设置队列长度为262 144，以容纳更多的等待连接。

net.ipv4.tcp_synack_retries：这个参数用于设置内核放弃连接之前发送SYN+ACK包的数量。

net.ipv4.tcp_syn_retries：此参数表示在内核放弃建立连接之前发送SYN包的数量。

 

四、Linux内核优化之TCP/IP相关参数

　　所有的TCP/IP调优参数都位于/proc/sys/net/目录。 例如， 下面是最重要的一些调优参数， 后面是它们的含义：
　　1. /proc/sys/net/core/rmem_max — 最大的TCP数据接收缓冲
　　2. /proc/sys/net/core/wmem_max — 最大的TCP数据发送缓冲
　　3. /proc/sys/net/ipv4/tcp_timestamps — 时间戳在(请参考RFC 1323)TCP的包头增加12个字节
　　4. /proc/sys/net/ipv4/tcp_sack — 有选择的应答
　　5. /proc/sys/net/ipv4/tcp_window_scaling — 支持更大的TCP窗口。 如果TCP窗口最大超过65535(64K)， 必须设置该数值为1
　　6. rmem_default — 默认的接收窗口大小
　　7. rmem_max — 接收窗口的最大大小
　　8. wmem_default — 默认的发送窗口大小
　　9. wmem_max — 发送窗口的最大大小
　　/proc目录下的所有内容都是临时性的， 所以重启动系统后任何修改都会丢失。
　　建议在系统启动时自动修改TCP/IP参数：

　　把下面代码增加到/etc/rc.local文件， 然后保存文件， 系统重新引导的时候会自动修改下面的TCP/IP参数：
　　echo 256960 > /proc/sys/net/core/rmem_default
　　echo 256960 > /proc/sys/net/core/rmem_max
　　echo 256960 > /proc/sys/net/core/wmem_default
　　echo 256960 > /proc/sys/net/core/wmem_max
　　echo 0 > /proc/sys/net/ipv4/tcp_timestamps
　　echo 1 > /proc/sys/net/ipv4/tcp_sack
　　echo 1 > /proc/sys/net/ipv4/tcp_window_scaling

　　TCP/IP参数都是自解释的， TCP窗口大小设置为256960, 禁止TCP的时间戳(取消在每个数据包的头中增加12字节)， 支持更大的TCP窗口和TCP有选择的应答。
　　上面数值的设定是根据互连网连接和最大带宽/延迟率来决定。
　　注： 上面实例中的数值可以实际应用， 但它只包含了一部分参数。

　　另外一个方法： 使用 /etc/sysctl.conf 在系统启动时将参数配置成您所设置的值：
　　net.core.rmem_default = 256960
　　net.core.rmem_max = 256960
　　net.core.wmem_default = 256960
　　net.core.wmem_max = 256960
　　net.ipv4.tcp_timestamps = 0
　　net.ipv4.tcp_sack =1
　　net.ipv4.tcp_window_scaling = 1

=========================================================================

 

tcp_syn_retries：INTEGER
默认值是5
对于一个新建连接，内核要发送多少个 SYN 连接请求才决定放弃。不应该大于255，默认值是5，对应于180秒左右时间。(对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2.这个值仅仅是针对对外的连接,对进来的连接,是由tcp_retries1决定的)


tcp_synack_retries：INTEGER
默认值是5
对于远端的连接请求SYN，内核会发送SYN ＋ ACK数据报，以确认收到上一个 SYN连接请求包。这是所谓的三次握手( threewayhandshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的 SYN+ACK 数目。不应该大于255，默认值是5，对应于180秒左右时间。(可以根据上面的tcp_syn_retries来决定这个值)


tcp_keepalive_time：INTEGER
默认值是7200(2小时)
当keepalive打开的情况下，TCP发送keepalive消息的频率。(由于目前网络攻击等因素,造成了利用这个进行的攻击很频繁,曾经也有cu的朋友提到过,说如果2边建立了连接,然后不发送任何数据或者rst/fin消息,那么持续的时间是不是就是2小时,空连接攻击?tcp_keepalive_time就是预防此情形的.我个人在做nat服务的时候的修改值为1800秒)


tcp_keepalive_probes：INTEGER
默认值是9
TCP发送keepalive探测以确定该连接已经断开的次数。(注意:保持连接仅在SO_KEEPALIVE套接字选项被打开是才发送.次数默认不需要修改,当然根据情形也可以适当地缩短此值.设置为5比较合适)


tcp_keepalive_intvl：INTEGER
默认值为75
探测消息发送的频率，乘以tcp_keepalive_probes就得到对于从开始探测以来没有响应的连接杀除的时间。默认值为75秒，也就是没有活动的连接将在大约11分钟以后将被丢弃。(对于普通应用来说,这个值有一些偏大,可以根据需要改小.特别是web类服务器需要改小该值,15是个比较合适的值)


tcp_retries1：INTEGER
默认值是3
放弃回应一个TCP连接请求前﹐需要进行多少次重试。RFC 规定最低的数值是3﹐这也是默认值﹐根据RTO的值大约在3秒 - 8分钟之间。(注意:这个值同时还决定进入的syn连接)


tcp_retries2：INTEGER
默认值为15
在丢弃激活(已建立通讯状况)的TCP连接之前﹐需要进行多少次重试。默认值为15，根据RTO的值来决定，相当于13-30分钟(RFC1122规定，必须大于100秒).(这个值根据目前的网络设置,可以适当地改小,我的网络内修改为了5)


tcp_orphan_retries：INTEGER
默认值是7
在近端丢弃TCP连接之前﹐要进行多少次重试。默认值是7个﹐相当于 50秒 - 16分钟﹐视 RTO 而定。如果您的系统是负载很大的web服务器﹐那么也许需要降低该值﹐这类 sockets 可能会耗费大量的资源。另外参的考tcp_max_orphans。(事实上做NAT的时候,降低该值也是好处显著的,我本人的网络环境中降低该值为3)


tcp_fin_timeout：INTEGER
默认值是60
对于本端断开的socket连接，TCP保持在FIN-WAIT-2状态的时间。对方可能会断开连接或一直不结束连接或不可预料的进程死亡。默认值为60秒。过去在2.2版本的内核中是 180 秒。您可以设置该值﹐但需要注意﹐如果您的机器为负载很重的web服务器﹐您可能要冒内存被大量无效数据报填满的风险﹐FIN-WAIT-2 sockets 的危险性低于 FIN-WAIT-1 ﹐因为它们最多只吃 1.5K 的内存﹐但是它们存在时间更长。另外参考tcp_max_orphans。(事实上做NAT的时候,降低该值也是好处显著的,我本人的网络环境中降低该值为30)


tcp_max_tw_buckets：INTEGER
默认值是180000
系统在同时所处理的最大 timewaitsockets 数目。如果超过此数的话﹐time-wait socket 会被立即砍除并且显示警告信息。之所以要设定这个限制﹐纯粹为了抵御那些简单的 DoS 攻击﹐千万不要人为的降低这个限制﹐不过﹐如果网络条件需要比默认值更多﹐则可以提高它(或许还要增加内存)。(事实上做NAT的时候最好可以适当地增加该值)


tcp_tw_recycle：BOOLEAN
默认值是0
打开快速 TIME-WAITsockets 回收。除非得到技术专家的建议或要求﹐请不要随意修改这个值。(做NAT的时候，建议打开它)
 
tcp_tw_reuse：BOOLEAN
默认值是0
该文件表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接(这个对快速重启动某些服务,而启动后提示端口已经被使用的情形非常有帮助)
tcp_max_orphans：INTEGER
缺省值是8192
系统所能处理不属于任何进程的TCP sockets

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/30129545/viewspace-1549231/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/30129545/viewspace-1549231/