linux内核参数优化

一、背景

线上a服务响应时间很慢，该服务使用了es和pg，我们从服务本身、es、pg、服务器网络等各方面排查后依然没发现原因。抱着试一试的心态修改了服务器tcp内核参数后，服务响应速度提高了10倍！

api调用流程.jpg

二、内核参数调优

1、ubuntu 16.04

参考：
https://blog.csdn.net/qq_32360995/article/details/90739043
https://www.cnblogs.com/cjsblog/p/9367043.html
https://blog.csdn.net/weinnan/article/details/95640537

1.1 进程打开文件数（句柄数）优化

• cat /proc/sys/fs/file-max 查看系统级的最大限制
• ulimit -n　　查看用户级的限制（一般是1024，向阿里云华为云这种云主机一般是65535）

临时修改用户级的限制（仅在当前打开的终端窗口才有效，新(旧)打开的无效）

ulimit -n 65535

永久修改所有用户的限制

cat /etc/sysctl.conf

重启操作系统

1.2 tcp参数优化

编辑内核参数配置文件

vi /etc/sysctl.conf

### 关闭SYN洪水攻击保护，当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭； 1表示开启
## 此参数是为了防止洪水攻击的，但对于大并发系统，要禁用此设置
net.ipv4.tcp_syncookies = 0
 
#一个布尔类型的标志，控制着当有很多的连接请求时内核的行为。启用的话，如果服务超载，内核将主动地发送RST包。
net.ipv4.tcp_abort_on_overflow = 1
 
#表示系统同时保持TIME_WAIT的最大数量，如果超过这个数字，TIME_WAIT将立刻被清除并打印警告信息。
#默认为180000，改为6000。对于Apache、Nginx等服务器，此项参数可以控制TIME_WAIT的最大数量,服务器被大量的TIME_WAIT拖死
net.ipv4.tcp_max_tw_buckets = 6000
 
#有选择的应答
net.ipv4.tcp_sack = 1
 
#该文件表示设置tcp/ip会话的滑动窗口大小是否可变。参数值为布尔值，为1时表示可变，为0时表示不可变。tcp/ip通常使用的窗口最大可达到65535 字节，对于高速网络.
#该值可能太小，这时候如果启用了该功能，可以使tcp/ip滑动窗口大小增大数个数量级，从而提高数据传输的能力。
net.ipv4.tcp_window_scaling = 1
 
#TCP接收缓冲区
net.ipv4.tcp_rmem = 4096        87380  4194304
 
#TCP发送缓冲区
net.ipv4.tcp_wmem = 4096        66384  4194304
 
#Out of socket memory
net.ipv4.tcp_mem = 94500000 915000000 927000000
 
#该文件表示每个套接字所允许的最大缓冲区的大小。
net.core.optmem_max = 81920
 
#该文件指定了发送套接字缓冲区大小的缺省值（以字节为单位）。
net.core.wmem_default = 8388608
 
#指定了发送套接字缓冲区大小的最大值（以字节为单位）。
net.core.wmem_max = 16777216
 
#指定了接收套接字缓冲区大小的缺省值（以字节为单位）。
net.core.rmem_default = 8388608
 
 
#指定了接收套接字缓冲区大小的最大值（以字节为单位）。
net.core.rmem_max = 16777216
 
 
#表示SYN队列的长度,默认为1024,加大队列长度为10200000,可以容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_syn_backlog = 1020000
 
 
#每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目。
net.core.netdev_max_backlog = 862144
 
 
#web 应用中listen 函数的backlog 默认会给我们内核参数的net.core.somaxconn 限制到128，而nginx 定义的NGX_LISTEN_BACKLOG 默认为511，所以有必要调整这个值。
net.core.somaxconn = 262144
 
 
#系统中最多有多少个TCP 套接字不被关联到任何一个用户文件句柄上。如果超过这个数字，孤儿连接将即刻被复位并打印出警告信息。
#这个限制仅仅是为了防止简单的DoS 攻击，不能过分依靠它或者人为地减小这个值，更应该增加这个
net.ipv4.tcp_max_orphans = 327680
 
#时间戳可以避免序列号的卷绕。一个1Gbps 的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉。
net.ipv4.tcp_timestamps = 0
 
 
#为了打开对端的连接，内核需要发送一个SYN 并附带一个回应前面一个SYN 的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK 包的数量。
net.ipv4.tcp_synack_retries = 1
 
 
#在内核放弃建立连接之前发送SYN 包的数量。
net.ipv4.tcp_syn_retries = 1
 
#表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；
net.ipv4.tcp_tw_reuse = 1
 
#修改系統默认的 TIMEOUT 时间。
net.ipv4.tcp_fin_timeout = 15
 
#表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，建议改为20分钟。
net.ipv4.tcp_keepalive_time = 30
 
#表示用于向外连接的端口范围。缺省情况下很小：32768到61000，改为1024到65535。（注意：这里不要将最低值设的太低，否则可能会占用掉正常的端口！）
net.ipv4.ip_local_port_range = 1024    65535
 
#以下可能需要加载ip_conntrack模块 modprobe ip_conntrack ,有文档说防火墙开启情况下此模块失效
#縮短established的超時時間
net.netfilter.nf_conntrack_tcp_timeout_established = 180
 
 
#CONNTRACK_MAX 允许的最大跟踪连接条目，是在内核内存中netfilter可以同时处理的“任务”（连接跟踪条目）
net.netfilter.nf_conntrack_max = 1048576
net.nf_conntrack_max = 1048576

重新加载内核参数

modprobe nf_conntrack
/sbin/sysctl -p /etc/sysctl.conf
/sbin/sysctl -w net.ipv4.route.flush=1

2、centos 7.6

参考：
https://xiaohost.com/3708.html

2.1 进程打开文件数（句柄数）优化

2.2 tcp参数优化

编辑内核参数配置文件

vi /etc/sysctl.conf

#关闭ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
##决定检查过期多久邻居条目
net.ipv4.neigh.default.gc_stale_time=120
##使用arp_announce / arp_ignore解决ARP映射问题
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.ipv4.conf.lo.arp_announce=2
## 避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1
## 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1
##开启路由转发
net.ipv4.ip_forward = 1
#net.ipv4.conf.all.send_redirects = 0
#net.ipv4.conf.default.send_redirects = 0
##开启反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
##处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0
##关闭sysrq功能
kernel.sysrq = 0
##core文件名中添加pid作为扩展名
kernel.core_uses_pid = 1
## 关闭SYN洪水攻击保护，当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭； 1表示开启
## 此参数是为了防止洪水攻击的，但对于大并发系统，要禁用此设置
net.ipv4.tcp_syncookies = 0
##修改消息队列长度
kernel.msgmnb = 65536
kernel.msgmax = 65536
##设置最大内存共享段大小bytes
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
##timewait的数量，默认180000
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_rmem = 4096        87380   4194304
net.ipv4.tcp_wmem = 4096        16384   4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
##每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 262144
##限制仅仅是为了防止简单的DoS 攻击
net.ipv4.tcp_max_orphans = 3276800
##未收到客户端确认信息的连接请求的最大值
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_timestamps = 0
##内核放弃建立连接之前发送SYNACK 包的数量
net.ipv4.tcp_synack_retries = 1
##内核放弃建立连接之前发送SYN 包的数量
net.ipv4.tcp_syn_retries = 1
##开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_fin_timeout = 1
##当keepalive 起用的时候，TCP 发送keepalive 消息的频度。缺省是2 小时
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 15
##允许系统打开的端口范围
net.ipv4.ip_local_port_range = 1024    65000
##修改防火墙表大小，默认65536
net.netfilter.nf_conntrack_max=655350
net.netfilter.nf_conntrack_tcp_timeout_established=1200
## 确保无人能修改路由表
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
#其他
kernel.printk = 5
kernel.threads-max = 1060863
fs.file-max = 5242880
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 16384

重新加载内核参数

sysctl -p