/etc/sysctl.conf 调优 & 优化Linux内核参数

最新推荐文章于 2022-09-15 22:48:00 发布

weixin_33819479

最新推荐文章于 2022-09-15 22:48:00 发布

阅读量824

点赞数 1

文章标签：网络数据库开发工具

原文链接：https://my.oschina.net/u/3773235/blog/1615968

版权

2019独角兽企业重金招聘Python工程师标准>>>

Linux如何在系统运行时修改内核参数(/proc/sys 与 /etc/sysctl.conf)

RedHat向员提供了非常好的方法，使我们可以在系统运行时更改内核参数，而不需要重新引导系统。这是通过/proc虚拟文件系统实现的。/proc/sys目录下存放着大多数的内核参数，并且设计成可以在系统运行的同时进行更改, 不过重新启动机器后会失效，可以通过更改/proc/sys中内核参数对应的文件 /etc/sysctl.conf 的内核参数来永久更改。下面我们以打开内核的 ip转发功能为例说明在系统运行时修改内核参数的两种方法。IP转发是指允许系统对来源和目的地都不是本机的数据包通过网络，RedHat默认屏蔽此功能，在需要用本机作为路由器、NAT等情况下需要开启此功能。

　　方法一：修改/proc下内核参数文件内容

　　直接修改内核参数ip_forward对应在/proc下的文件/proc/sys/net/ipv4/ip_forward。用下面命令查看ip_forward文件内容：
　　# cat /proc/sys/net/ipv4/ip_forward
　　该文件默认值0是禁止ip转发，修改为1即开启ip转发功能。修改命令如下：
　　# echo 1 >/proc/sys/net/ipv4/ip_forward
　　修改过后就马上生效，即内核已经打开ip转发功能。但如果系统重启后则又恢复为默认值0，如果想永久打开需要通过修改/etc/sysctl.conf文件的内容来实现。

　　方法二．修改/etc/sysctl.conf文件
　　默认sysctl.conf文件中有一个变量是
　　net.ipv4.ip_forward = 0
　　将后面值改为1，然后保存文件。因为每次系统启动时初始化脚本/etc/rc.d/rc.sysinit会读取/etc/sysctl.conf文件的内容，所以修改后每次系统启动时都会开启ip转发功能。但只是修改sysctl文件不会马上生效，如果想使修改马上生效可以执行下面的命令：
　　# sysctl –p

　　在修改其他内核参数时可以向/etc/sysctl.conf文件中添加相应变量即可，下面介绍/proc/sys下内核文件与配置文件 sysctl.conf中变量的对应关系，由于可以修改的内核参数都在/proc/sys目录下，所以sysctl.conf的变量名省略了目录的前面部分（/proc/sys）。

　　将/proc/sys中的文件转换成sysctl中的变量依据下面两个简单的规则：

　　1．去掉前面部分/proc/sys

　　2．将文件名中的斜杠变为点

　　这两条规则可以将/proc/sys中的任一文件名转换成sysctl中的变量名。

　　例如：

　　/proc/sys/net/ipv4/ip_forward ＝》 net.ipv4.ip_forward

　　/proc/sys/kernel/hostname ＝》 kernel.hostname

　　可以使用下面命令查询所有可修改的变量名

　　# sysctl –a

　　下面例举几个简单的内核参数：

　　1．/proc/sys/kernel/shmmax
　　该文件指定内核所允许的最大共享内存段的大小。

　　2．/proc/sys/kernel/threads-max
　　该文件指定内核所能使用的线程的最大数目。

　　3．/proc/sys/kernel/hostname
　　该文件允许您配置网络主机名。

　　4．/proc/sys/kernel/domainname
　　该文件允许您配置网络域名

1、net.ipv4.tcp_max_syn_backlog = 65536

记录的那些尚未收到客户端确认信息的连接请求的最大值。对于超过128M内存的系统而言，缺省值是1024，低于128M小内存的系统则是128。

SYN Flood攻击利用TCP协议散布握手的缺陷，伪造虚假源IP地址发送大量TCP-SYN半打开连接到目标系统，最终导致目标系统Socket队列资源耗尽而无法接受新的连接。为了应付这种攻击，现代Unix系统中普遍采用多连接队列处理的方式来缓冲(而不是解决)这种攻击，是用一个基本队列处理正常的完全连接应用(Connect()和Accept() )，是用另一个队列单独存放半打开连接。

这种双队列处理方式和其他一些系统内核措施(例如Syn-Cookies/Caches)联合应用时，能够比较有效的缓解小规模的SYN Flood攻击(事实证明<1000p/s)加大SYN队列长度可以容纳更多等待连接的网络连接数，一般遭受SYN Flood攻击的网站，都存在大量SYN_RECV状态，所以调大tcp_max_syn_backlog值能增加抵抗syn攻击的能力。

2、net.core.netdev_max_backlog = 32768

每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。

3、net.core.somaxconn = 32768

调整系统同时发起并发TCP连接数，可能需要提高连接储备值，以应对大量突发入局连接请求的情况。如果同时接收到大量连接请求，使用较大的值会提高受支持的暂挂连接的数量，从而可减少连接失败的数量。大的侦听队列对防止DDoS攻击也会有所帮助。挂起请求的最大数量默认是128。

4、net.core.wmem_default = 8388608

该参数指定了发送套接字缓冲区大小的缺省值(以字节为单位)

5、net.core.rmem_default = 8388608

该参数指定了接收套接字缓冲区大小的缺省值(以字节为单位)

6、net.core.rmem_max = 16777216

该参数指定了接收套接字缓冲区大小的最大值(以字节为单位)

7、net.core.wmem_max = 16777216

该参数指定了发送套接字缓冲区大小的最大值(以字节为单位)

8、net.ipv4.tcp_timestamps = 0

Timestamps可以防范那些伪造的sequence号码。一条1G的宽带线路或许会重遇到带out-of-line数值的旧sequence号码(假如它是由于上次产生的)。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉,以提高性能。

9、net.ipv4.tcp_synack_retries = 2

对于远端的连接请求SYN，内核会发送SYN＋ACK数据报，以确认收到上一个SYN连接请求包。这是所谓的三次握手(threeway handshake)机制的第二个步骤。这里决定内核在放弃连接之前所送出的SYN+ACK数目。不应该大于255，默认值是5，对应于180秒左右时间。(可以根据tcp_syn_retries来决定这个值)

10、net.ipv4.tcp_syn_retries = 2

对于一个新建连接，内核要发送多少个SYN连接请求才决定放弃。不应该大于255，默认值是5，对应于180秒左右时间。(对于大负载而物理通信良好的网络而言,这个值偏高,可修改为2.这个值仅仅是针对对外的连接,对进来的连接,是由tcp_retries1 决定的)

11、net.ipv4.tcp_tw_recycle = 1

表示开启TCP连接中TIME-WAIT Sockets的快速回收，默认为0，表示关闭。

#net.ipv4.tcp_tw_len = 1

12、net.ipv4.tcp_tw_reuse = 1

表示开启重用，允许将TIME-WAIT Sockets重新用于新的TCP连接，默认为0，表示关闭。这个对快速重启动某些服务,而启动后提示端口已经被使用的情形非常有帮助。

13、net.ipv4.tcp_mem = 94500000 915000000 927000000

tcp_mem有3个INTEGER变量：low, pressure, high

low：当TCP使用了低于该值的内存页面数时，TCP没有内存压力，TCP不会考虑释放内存。(理想情况下，这个值应与指定给tcp_wmem的第2个值相匹配。这第2个值表明，最大页面大小乘以最大并发请求数除以页大小 (131072*300/4096)

pressure：当TCP使用了超过该值的内存页面数量时，TCP试图稳定其内存使用，进入pressure模式，当内存消耗低于low值时则退出pressure状态。(理想情况下这个值应该是TCP可以使用的总缓冲区大小的最大值(204800*300/4096)

high：允许所有TCP Sockets用于排队缓冲数据报的页面量。如果超过这个值，TCP连接将被拒绝，这就是为什么不要令其过于保守(512000*300/4096)的原因了。在这种情况下，提供的价值很大，它能处理很多连接，是所预期的2.5倍；或者使现有连接能够传输2.5倍的数据。