kernel.shmmax、kernel.shmall、net.ipv4.tcp_mem根据实际服务器内存大小进行调整
echo "net.ipv4.ip_forward = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 8589934591
kernel.shmall = 2097152
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
fs.file-max = 6553560
###内存资源使用相关设定
vm.vfs_cache_pressure = 100000
vm.swappiness = 10
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_rmem = 4096 8192 4194304
net.ipv4.tcp_wmem = 4096 8192 4194304
net.ipv4.tcp_mem = 196608 262144 393216
##应对DDOS攻击,TCP连接建立设置
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_max_syn_backlog = 262144
##应对timewait过高,TCP连接断开设置
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_fin_timeout = 30
net.ipv4.ip_local_port_range = 1024 65000
###TCP keepalived 连接保鲜设置
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.tcp_keepalive_intvl = 15
net.ipv4.tcp_keepalive_probes = 5
###其他TCP相关调节
net.core.somaxconn = 8192
net.core.netdev_max_backlog = 262144
net.ipv4.tcp_max_orphans = 3276800
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1" >> /etc/sysctl.conf
#使配置生效
sysctl -p各参数说明(红色部分根据实际服务器内存大小进行调整)
| net.ipv4.ip_forward = 1 | 开启IP转发功能 |
| net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 | "告诉"kernel加强入站过滤(ingress filtering)和出站过滤 |
| net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 | 是否接受含有源路由信息的ip包。参数值为布尔值,1表示接受,0表示不接受。 在充当网关的linux主机上缺省值为1,在一般的linux主机上缺省值为0。 从安全性角度出发,建议你关闭该功能。 |
| kernel.sysrq = 0 | 使用sysrq组合键是了解系统目前运行情况,为安全起见设为0关闭 |
| kernel.core_uses_pid = 1 | 控制core文件的文件名是否添加pid作为扩展,用于调试多线程应用程序 |
| kernel.msgmnb = 65536 | 所有在消息队列中的消息总和的最大值(msgmnb=64k) |
| kernel.msgmax = 65536 | 指定内核中消息队列中消息的最大值(msgmax=64k) |
| kernel.shmmax = 8589934591 | 是核心参数中最重要的参数之一,用于定义单个共享内存段的最大值,64位linux系统:可取的最大值为物理内存值-1byte,建议值为多于物理内存的一半,一般取值大于SGA_MAX_SIZE即可,可以取物理内存-1byte。例如,如果为8GB物理内存,可取8*1024*1024*1024-1=8589934591 |
| kernel.shmall = 2097152 | 该参数控制可以使用的共享内存的总页数。Linux共享内存页大小为4KB,共享内存段的大小都是共享内存页大小的整数倍。一个共享内存段的最大大小是 8G,那么需要共享内存页数是8GB/4KB=8388608KB /4KB=2097152(页),也就是64Bit系统下8GB物理内存,设置kernel.shmall = 2097152才符合要求 |
| net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 | 关闭IPv6 |
| fs.file-max = 6553560 | 系统级别的能够打开的文件句柄的数量 |
| vm.vfs_cache_pressure = 100000 | 该文件表示内核回收用于directory和inode cache内存的倾向;缺省值100表示内核将根据pagecache和swapcache,把directory和inode cache保持在一个合理的百分比;降低该值低于100,将导致内核倾向于保留directory和inode cache;增加该值超过100,将导致内核倾向于回收directory和inode cache |
| vm.swappiness = 10 | swappiness的值的大小对如何使用swap分区是有着很大的联系的。swappiness=0的时候表示最大限度使用物理内存,然后才是 swap空间,swappiness=100的时候表示积极的使用swap分区,并且把内存上的数据及时的搬运到swap空间里面。linux的基本默认设置为60 |
| net.core.wmem_default = 8388608 | 为TCP socket预留用于发送缓冲的内存默认值(单位:字节) |
| net.core.rmem_default = 8388608 | 为TCP socket预留用于接收缓冲的内存默认值(单位:字节) |
| net.core.rmem_max = 16777216 | 为TCP socket预留用于接收缓冲的内存最大值(单位:字节) |
| net.core.wmem_max = 16777216 | 为TCP socket预留用于发送缓冲的内存最大值(单位:字节) |
| net.ipv4.tcp_rmem = 4096 8192 4194304 net.ipv4.tcp_wmem = 4096 8192 4194304 | 为每个TCP连接分配的读、写缓冲区内存大小,单位是字节。 第一个数字表示,为TCP连接分配的最小内存 第二个数字表示,为TCP连接分配的缺省内存 第三个数字表示,为TCP连接分配的最大内存 一般按照缺省值分配,这个例子就是读写均为8KB,共16KB 1.6GB TCP内存能容纳的连接数,约为 1600MB/16KB = 100K = 10万 4.0GB TCP内存能容纳的连接数,约为 4000MB/16KB = 250K = 25万 |
| net.ipv4.tcp_mem = 196608 262144 393216 | 第一个数字表示,当 tcp 使用的 page 少于 196608 时,kernel 不对其进行任何的干预 第二个数字表示,当 tcp 使用了超过 262144 的 pages 时,kernel 会进入 “memory pressure” 压力模式 第三个数字表示,当 tcp 使用的 pages 超过 393216 时(相当于1.6GB内存),就会报:Out of socket memory 以上数值适用于4GB内存机器,对于8GB内存机器,建议用以下参数: net.ipv4.tcp_mem = 524288 699050 1048576 (TCP连接最多约使用4GB内存) |
| net.ipv4.tcp_syncookies = 1 | 只有在内核编译时选择了CONFIG_SYNCOOKIES时才会发生作用。当出现syn等候队列出现溢出时象对方发送syncookies。目的是为了防止syn flood攻击。 |
| net.ipv4.tcp_synack_retries = 1 | 为了打开对端的连接,内核需要发送一个SYN 并附带一个回应前面一个SYN 的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK 包的数量。减少系统SYN连接重试次数,为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。 |
| net.ipv4.tcp_syn_retries = 1 | 在内核放弃建立连接之前发送SYN包的数量 |
| net.ipv4.tcp_max_syn_backlog = 262144 | 表示那些尚未收到客户端确认信息的连接(SYN消息)队列的长度,默认为1024,加大队列长度为262144,可以容纳更多等待连接的网络连接数,系统可以处理更多的并发连接 |
| net.ipv4.tcp_max_tw_buckets = 6000 | timewait 的数量,默认是180000。表示系统同时保持TIME_WAIT的最大数量,如果超过这个数字,TIME_WAIT将立刻被清除并打印警告信息 |
| net.ipv4.tcp_tw_recycle = 1 | 表示开启TCP连接中TIME-WAIT sockets的快速收回功能,默认为 0 ,表示关闭 |
| net.ipv4.tcp_tw_reuse = 1 | 开启TCP连接复用功能,允许将time_wait sockets重新用于新的TCP连接(主要针对time_wait连接),默认为 0 表示关闭。 |
| net.ipv4.tcp_timestamps = 0 | 时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉。 |
| net.ipv4.tcp_fin_timeout = 30 | 减少处于FIN-WAIT-2连接状态的时间,使系统可以处理更多的连接。缺省值是60秒。 |
| net.ipv4.ip_local_port_range = 1024 65000 | 表示允许系统打开向外连接的端口范围 |
| net.ipv4.tcp_keepalive_time = 1200 | 这个参数表示当keepalive启用时,TCP发送keepalive消息的频度(单位:秒)。默认是2小时,若将其设置得小一些,可以更快地清理无效的连接 |
| net.ipv4.tcp_keepalive_intvl = 15 | 当探测没有确认时,重新发送探测的频度。缺省是75秒。 |
| net.ipv4.tcp_keepalive_probes = 5 | 在认定连接失效之前,发送多少个TCP的keepalive探测包。缺省值是9。这个值乘以tcp_keepalive_intvl之后决定了一个连接发送了keepalive之后可以有多少时间没有回应 |
| net.core.somaxconn = 8192 | listen(函数)的默认参数,挂起请求的最大数量限制。web 应用中listen 函数的backlog 默认会给我们内核参数的net.core.somaxconn 限制到128,而nginx 定义的NGX_LISTEN_BACKLOG 默认为511,所以有必要调整这个值 |
| net.core.netdev_max_backlog = 262144 | 当网卡接收数据包的速度大于内核处理的速度时,会有一个队列保存这些数据包。这个参数表示该队列的最大值 |
| net.ipv4.tcp_max_orphans = 3276800 | 表示系统中最多有多少TCP连接不被关联到任何一个用户文件句柄上。如果超过这里设置的数字,连接就会复位并输出警告信息。这个限制仅仅是为了防止简单的DoS攻击。此值不能太小 |
| net.ipv4.tcp_sack = 1 | 启用有选择的应答(Selective Acknowledgment), 这可以通过有选择地应答乱序接收到的报文来提高性能(这样可以让发送者只发送丢失的报文段); (对于广域网通信来说)这个选项应该启用,但是这会增加对 CPU 的占用 |
| net.ipv4.tcp_window_scaling = 1 | 支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1 |
扫一扫
4117
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
