|
|
第1行: |
第1行: |
− | =kernel optimization= | + | == start== |
− | =我的优化例子on lxtx= | + | ===首先是基本知识点=== |
− | [[Linux高并发优化配置]] | + | [http://www.ha97.com/5095.html 系统吞吐量(TPS)、用户并发量、性能测试概念和公式] |
| | | |
− | ==centos7 kernel optimization==
| |
− | <pre>
| |
− | cat /etc/sysctl.conf
| |
− |
| |
− | #CTCDN系统优化参数
| |
− |
| |
− | #关闭ipv6
| |
− |
| |
− | net.ipv6.conf.all.disable_ipv6 = 1
| |
− |
| |
− | net.ipv6.conf.default.disable_ipv6 = 1
| |
− |
| |
− | # 避免放大攻击
| |
− |
| |
− | net.ipv4.icmp_echo_ignore_broadcasts = 1
| |
− |
| |
− | # 开启恶意icmp错误消息保护
| |
− |
| |
− | net.ipv4.icmp_ignore_bogus_error_responses = 1
| |
− |
| |
− | #关闭路由转发
| |
− |
| |
− | net.ipv4.ip_forward = 0
| |
− |
| |
− | net.ipv4.conf.all.send_redirects = 0
| |
− |
| |
− | net.ipv4.conf.default.send_redirects = 0
| |
− |
| |
− | #开启反向路径过滤
| |
− |
| |
− | net.ipv4.conf.all.rp_filter = 1
| |
− |
| |
− | net.ipv4.conf.default.rp_filter = 1
| |
− |
| |
− | #处理无源路由的包
| |
− |
| |
− | net.ipv4.conf.all.accept_source_route = 0
| |
− |
| |
− | net.ipv4.conf.default.accept_source_route = 0
| |
− |
| |
− | #关闭sysrq功能
| |
− |
| |
− | kernel.sysrq = 0
| |
− |
| |
− | #core文件名中添加pid作为扩展名
| |
− |
| |
− | kernel.core_uses_pid = 1
| |
− |
| |
− | # 开启SYN洪水攻击保护
| |
− |
| |
− | net.ipv4.tcp_syncookies = 1
| |
− |
| |
− | #修改消息队列长度
| |
− |
| |
− | kernel.msgmnb = 65536
| |
− |
| |
− | kernel.msgmax = 65536
| |
| | | |
− | #设置最大内存共享段大小bytes
| + | ===这两个比较偏向web 测试=== |
| | | |
− | kernel.shmmax = 68719476736
| + | [http://wiki.linuxchina.net/index.php?title=%E7%BD%91%E7%AB%99%E8%BF%90%E7%BB%B4#chapter_5_.E6.B5.8B.E8.AF.95.E8.AF.84.E4.BC.B0 详情测试评估请见] |
| | | |
− | kernel.shmall = 4294967296
| + | ==并发承载== |
− | | |
− | #timewait的数量,默认180000
| |
− | | |
− | net.ipv4.tcp_max_tw_buckets = 6000
| |
− | | |
− | net.ipv4.tcp_sack = 1
| |
− | | |
− | net.ipv4.tcp_window_scaling = 1
| |
− | | |
− | net.ipv4.tcp_rmem = 4096 87380 4194304
| |
− | | |
− | net.ipv4.tcp_wmem = 4096 16384 4194304
| |
− | | |
− | net.core.wmem_default = 8388608
| |
− | | |
− | net.core.rmem_default = 8388608
| |
− | | |
− | net.core.rmem_max = 16777216
| |
− | | |
− | net.core.wmem_max = 16777216
| |
− | | |
− | #每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目
| |
− | | |
− | net.core.netdev_max_backlog = 262144
| |
− | | |
− | #限制仅仅是为了防止简单的DoS 攻击
| |
− | | |
− | net.ipv4.tcp_max_orphans = 3276800
| |
− | | |
− | #未收到客户端确认信息的连接请求的最大值
| |
− | | |
− | net.ipv4.tcp_max_syn_backlog = 262144
| |
− | | |
− | net.ipv4.tcp_timestamps = 0
| |
− | | |
− | #内核放弃建立连接之前发送SYNACK 包的数量
| |
− | | |
− | net.ipv4.tcp_synack_retries = 1
| |
− | | |
− | #内核放弃建立连接之前发送SYN 包的数量
| |
− | | |
− | net.ipv4.tcp_syn_retries = 1
| |
− | | |
− | #启用timewait 快速回收
| |
− | | |
− | net.ipv4.tcp_tw_recycle = 1
| |
− | | |
− | #开启重用。允许将TIME-WAIT sockets 重新用于新的TCP 连接
| |
− | | |
− | net.ipv4.tcp_tw_reuse = 1
| |
− | | |
− | net.ipv4.tcp_mem = 94500000 915000000 927000000
| |
− | | |
− | net.ipv4.tcp_fin_timeout = 1
| |
− | | |
− | #当keepalive 起用的时候,TCP 发送keepalive 消息的频度。缺省是2 小时
| |
− | | |
− | net.ipv4.tcp_keepalive_time = 30
| |
− | | |
− | #允许系统打开的端口范围
| |
− | | |
− | net.ipv4.ip_local_port_range = 1024 65000
| |
− | | |
− | #修改防火墙表大小,默认65536
| |
− | | |
− | #net.netfilter.nf_conntrack_max=655350
| |
− | | |
− | #net.netfilter.nf_conntrack_tcp_timeout_established=1200
| |
− | | |
− | # 确保无人能修改路由表
| |
− | | |
− | net.ipv4.conf.all.accept_redirects = 0
| |
− | | |
− | net.ipv4.conf.default.accept_redirects = 0
| |
− | | |
− | net.ipv4.conf.all.secure_redirects = 0
| |
− | | |
− | net.ipv4.conf.default.secure_redirects = 0
| |
− | | |
− | 不要启用 net.ipv4.tcp_tw_recycle
| |
− | 如果不小心启用了,那么在/etc/sysctl.conf中注释掉在用sysctl -p是不启作用的。两种办法:
| |
− | | |
− | 1. 把net.ipv4.tcp_tw_recycle=0 然后再sysctl -p
| |
− | 2. 去/proc/sys/net/ipv4/中找到tcp_tw_recycle的配置文件,然后改成0
| |
− | netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
| |
− | </pre>
| |
− | | |
− | [https://blog.csdn.net/xiegh2014/article/details/52132863 centos7优化内核参数详解]
| |
− | | |
− | == 优化Linux下的内核TCP参数以提高系统性能==
| |
| <pre> | | <pre> |
− | 内核的优化跟服务器的优化一样,应本着稳定安全的原则。下面以Squid服务器为例来说明,待客户端与服务器端建立 TCP/IP 连接后就会关闭Socket,服务器端连接的端口状态也就变为 TIME_WAIT 了。那是不是所有执行主动关闭的SOCket都会进入TIME_WAIT 状态呢?有没有什么情况可使主动关闭的Socket直接进入CLOSED状态呢?答案是主动关 闭的一方在发送最后一个ACK后就会进人 TIME_WAIT 状态,并停留2MSL(报文最大生存)时间,这是 TCP/IP 必不可少的,也就是说这一点是“解决”不了的。
| + | 10W 活跃用户 访问4个页面 一次页面加3次接口 |
− | | |
− | TCP/IP 护设计者如此设计,主要原因有两个:
| |
| | | |
− | 防止上一次连接中的包迷路后重新出现,影响新的连接经过 2MSL 时间后,上一次连接中所有重复的包都会消失。
| + | 10w*4*4 =160W |
− | 为了可靠地关闭TCP连接。主动关闭方发送的最后一个ACKFN有可能会丢失,如果丢失,被动方会重新发送Fm,这时如果主动方处于CLOSED状态,就会q 应RST而不是ACK。所以主动方要处于TIM巳吣IT状态,而不能是CLOSED」态。另外,TIME_WAIT 并不会占用很大的资源,除非受到攻击。
| |
− | // 在Squid服务器中可输入如下命令查看当前连接统计数:
| |
− | netstat -n | awk '/^tcp/ {++S[$NF]} END{for(a in S)} print a, S[a]}'
| |
| | | |
| + | 一般人睡觉8个小时 so 一天 24-8=16h |
| + | 10W日活 * 4次访问数*每次4个接口或者页面 = 160W |
| + | 16h*60min*60s= 57 600 s |
| + | 160w/57600=28QPS OR TPS |
| | | |
− | 命令显示结果如下所示:
| + | 真实情况下 |
| + | 5 分钟内的活跃用户为1000 |
| + | 100*4*4=1600 |
| + | 1600/(5*6)=53QPS |
| | | |
− | LAST_ACK 14
| + | 反来说 |
− | SYN_RECV 348
| + | 如果一个系统的qps 100 一天能顶的访问量为 100*60*60*24=8 640 000 也就是864W |
− | ESTABISHED 70
| |
− | FIN_WAIT1 229
| |
− | FIN_WAIT2 30
| |
− | CLOSING 33
| |
− | TIME_WAIT 18122
| |
| | | |
− | 命令中的含义分别如下。
| |
| | | |
− | CLOSED:无恬动的或正在进行的连接。
| + | ps |
− | LISTEN:服务器正在等待进入呼叫。
| + | TPS:Transactions Per Second(每秒传输的事物处理个数) |
− | SYN_RECV:一个连接请求已经到达,等待确认。
| |
− | SYN_SENT:应用已经开始,打开一个连接。
| |
− | ESTABLISHED;正常数据传输状态。
| |
− | FIN_WAT1:应用说它已经完成。
| |
− | FIN_WAT2:另一边己同意释放。
| |
− | ITMED_WAIT:等待所有分组死掉。
| |
− | CLOSING;两边尝试同时关闭。
| |
− | TIME_WAIT:另一边已初始化一个释放。
| |
− | LAST_ACK:等待所有分组死掉。
| |
− | 也就是说,这条命令可以把当前系统的网络连接状态分类汇总。
| |
− | 在 Linux 下高并发的 Squid 服务器中,TCP TIME_WAIT 套接字的数量经常可达到两三万,服务器很容易就会被拖死。不过,可以通过修改Linux 内核参数来减少 Squid 服务器的 TIME_WAIT 套接字数量,命令如下:
| |
− | | |
− | vim /etc/sysctl.conf
| |
− | // 然后,增加以下参数
| |
− | net.ipv4.tcp_fin_timeout = 30
| |
− | net.ipv4.tcp_keepalive_time = 1200
| |
− | net.ipv4.tcp_syncookies = 1
| |
− | net.ipv4.tcp_tw_reuse = 1
| |
− | net.ipv4.tcp_tw_recycle = 1
| |
− | net.ipv4.ip_local_port_range = 10000 65000
| |
− | net.ipv4.tcp_max_syn_backlog = 8192
| |
− | net.ipv4.tcp_max_tw_buckets = 5000
| |
− | | |
− | | |
− | 以下将简单说明上面各个参数的含义:
| |
− | | |
− | net.ipv4.tcp_syncookies = 1表示开启SYN Cookies。当出现SYN等待队列溢出时 启用 Cookie 旋来处理,可防范少量的SYN 攻击。该参数默认为0,表示关闭。
| |
− | net.ipv4.tcp_tw_reuse = 1表示开启重用,即允许将TIME-WAIT 套接字重新用于的TCP连接。该参数默认为 0,表示关闭。
| |
− | net.ipv4.tcp_tw_recycle = 1 表示开启TCP连接中TIME-WAIT 套接字的快速回收,该参数默认为0,表示关闭。
| |
− | net.ipv4.tcp_fin_timeout = 30 表示如果套接字由本端要求关闭,那么这个参数将决定保持在FlN-WAIT-2 状态的时间。
| |
− | net.ipv4.tcp_keepalive_time = 1200 表示当 Keepalived 启用时,TCP发送Keepalived 消息的频度改为20分钟,默认值是2小时。
| |
− | net.ipv4.ip_local_port_range = 10000 65000 表示CentOS 系统向外连接的端口范围。其默认值很小,这里改为10000到65000。建议不要将这里的最低值设得太低,否则可能会占用正常的端口。
| |
− | net.ipv4.tcp_max_syn_backlog = 8192 表示SYN队列的长度,默认值为1024,此处加大队列长度为8192,可以容纳更多等待连接的网络连接数。
| |
− | net.ipv4.tcp_max_tw_buckets = 5000 表示系统同时保持TIME_WAIT 套接字的最大数量,如果超过这个数字,TlME_WAIT 套接字将立刻被清除并打印警告信息,默认值为180000,此处改为5000。对于Apache、Nginx等服务器,前面介绍的几个参数已经可以很好地减少TIME_WAIT套接字的数量,但是对于Squid来说,效果却不大,有了此参数就可以控制TME_WAIT 套接字的最大数量,避免Squid 记服务器被大量的TIME_WAIT 套接字拖死。
| |
− | 执行以下命令使内核配置立马生效:
| |
− | | |
− | /sbin/sysctl -p
| |
− | | |
− | 如果是用于Apache 或 Nginx 等 Web 服务器,则只需要更改以下几项即可。
| |
− | | |
− | net.ipv4.tcp_syncookies = 1
| |
− | net.ipv4.tcp_tw_reuse = 1
| |
− | net.ipv4.tcp_tw_recycle = 1
| |
− | net.ipv4.ip_local_port_range = 10000 65000
| |
− | | |
− | // 执行以下命令使内核配置立马生效
| |
− | /sbin/sysctl -p
| |
| | | |
| + | QPS(TPS):每秒钟 request/事务 数量,在互联网领域,指每秒响应请求数(指http请求) |
| </pre> | | </pre> |
| + | ==常用的压力测试工具== |
| + | <pre> ab 参数有时比较 搞笑 |
| + | 10000 请求100并发 |
| + | ab -n 10000 -c 100 ip |
| | | |
− | [https://blog.csdn.net/kxwinxp/article/details/78895373 CentOS 7 运维优化] | + | Usage: ab [options] [http[s]://]hostname[:port]/path |
− | | + | ab -n 100 -c 10 http://192.168.88.173/index.html |
− | ==centos6 kernel optimization==
| |
− | <pre>
| |
− | | |
− | #dkm/dkmops/osinit/init.sh
| |
− | #dkm/init/init.sh
| |
− | | |
− | fs.file-max = 6553500
| |
− | net.ipv4.conf.eth0.accept_source_route = 0
| |
− | net.ipv4.conf.eth1.accept_source_route = 0
| |
− | net.ipv4.conf.lo.accept_source_route = 0
| |
− | net.ipv4.conf.default.accept_source_route = 0
| |
− | net.ipv4.conf.all.accept_source_route = 0
| |
− | net.ipv4.tcp_syncookies = 1
| |
− | net.ipv4.conf.eth0.secure_redirects = 1
| |
− | net.ipv4.conf.eth1.secure_redirects = 1
| |
− | net.ipv4.conf.lo.secure_redirects = 1
| |
− | net.ipv4.conf.default.secure_redirects = 1
| |
− | net.ipv4.conf.all.secure_redirects = 1
| |
− | net.ipv4.conf.eth0.accept_redirects = 0
| |
− | net.ipv4.conf.eth1.accept_redirects = 0
| |
− | net.ipv4.conf.lo.accept_redirects = 0
| |
− | net.ipv4.conf.default.accept_redirects = 0
| |
− | net.ipv4.conf.all.accept_redirects = 0
| |
− | net.ipv4.conf.eth0.send_redirects = 0
| |
− | net.ipv4.conf.eth1.send_redirects = 0
| |
− | net.ipv4.conf.lo.send_redirects = 0
| |
− | net.ipv4.conf.default.send_redirects = 0
| |
− | net.ipv4.conf.all.send_redirects = 0
| |
− | net.ipv4.icmp_echo_ignore_broadcasts = 1
| |
− | net.ipv4.icmp_ignore_bogus_error_responses = 1
| |
− | net.ipv4.tcp_tw_reuse = 1 # 开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭
| |
− | net.ipv4.tcp_tw_recycle = 1 # 开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭 注意 用clb 不能打开
| |
− | net.ipv4.tcp_fin_timeout = 30
| |
− | net.ipv4.tcp_keepalive_time = 1800 # 1200 表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为20分钟
| |
− | net.core.wmem_max = 8388608
| |
− | net.core.rmem_max = 8388608
| |
− | net.ipv4.tcp_rmem = "4096 873814 8738140"
| |
− | net.ipv4.tcp_wmem = "4096 873814 8738140"
| |
− | net.ipv4.tcp_max_syn_backlog = 4096 #表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数。
| |
− | net.ipv4.tcp_syn_retries = 1
| |
− | net.ipv4.tcp_synack_retries = 1
| |
− | | |
− | net.ipv4.ip_local_port_range = 1024 65000 #表示用于向外连接的端口范围。缺省情况下很小:32768到61000,改为1024到65000
| |
− | net.ipv4.tcp_max_tw_buckets = 5000 #表示系统同时保持TIME_WAIT套接字的最大数量,如果超过这个数字,TIME_WAIT套接字将立刻被清除并打印警告信息。默认为 180000,改为 5000。对于Apache、Nginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量,但是对于Squid,效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量,避免Squid服务器被大量的TIME_WAIT套接字拖死。
| |
− | | |
− | [[ ! -f /etc/security/limits.d/nofile.conf ]] && echo "* - nofile 8192" >> /etc/security/limits.d/nofile.conf
| |
− | | |
| | | |
− | #下面是纯净版本 没加注释
| |
| | | |
− | fs.file-max = 6553500
| + | ab -n 1000 -c 1000 http://192.168.88.173/index.html |
− | net.ipv4.conf.eth0.accept_source_route = 0
| |
− | net.ipv4.conf.eth1.accept_source_route = 0
| |
− | net.ipv4.conf.lo.accept_source_route = 0
| |
− | net.ipv4.conf.default.accept_source_route = 0
| |
− | net.ipv4.conf.all.accept_source_route = 0
| |
− | net.ipv4.tcp_syncookies = 1 # 表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;
| |
| | | |
− | net.ipv4.conf.eth0.secure_redirects = 1
| + | </pre> |
− | net.ipv4.conf.eth1.secure_redirects = 1
| + | ===siege === |
− | net.ipv4.conf.lo.secure_redirects = 1
| |
− | net.ipv4.conf.default.secure_redirects = 1
| |
− | net.ipv4.conf.all.secure_redirects = 1
| |
− | net.ipv4.conf.eth0.accept_redirects = 0
| |
− | net.ipv4.conf.eth1.accept_redirects = 0
| |
− | net.ipv4.conf.lo.accept_redirects = 0
| |
− | net.ipv4.conf.default.accept_redirects = 0
| |
− | net.ipv4.conf.all.accept_redirects = 0
| |
− | net.ipv4.conf.eth0.send_redirects = 0
| |
− | net.ipv4.conf.eth1.send_redirects = 0
| |
− | net.ipv4.conf.lo.send_redirects = 0
| |
− | net.ipv4.conf.default.send_redirects = 0
| |
− | net.ipv4.conf.all.send_redirects = 0
| |
− | net.ipv4.icmp_echo_ignore_broadcasts = 1
| |
− | net.ipv4.icmp_ignore_bogus_error_responses = 1
| |
− | net.ipv4.tcp_tw_reuse = 1
| |
− | net.ipv4.tcp_tw_recycle = 1
| |
− | net.ipv4.tcp_fin_timeout = 30 #表示如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。
| |
− | net.ipv4.tcp_keepalive_time = 1800
| |
− | net.core.wmem_max = 8388608
| |
− | net.core.rmem_max = 8388608
| |
− | net.ipv4.tcp_rmem = "4096 873814 8738140"
| |
− | net.ipv4.tcp_wmem = "4096 873814 8738140"
| |
− | net.ipv4.tcp_max_syn_backlog = 4096
| |
− | net.ipv4.tcp_syn_retries = 1
| |
− | net.ipv4.tcp_synack_retries = 1
| |
− | net.ipv4.ip_local_port_range = 1024 65000
| |
− | net.ipv4.tcp_max_tw_buckets = 5000
| |
− | | |
− | [[ ! -f /etc/security/limits.d/nofile.conf ]] && echo "* - nofile 8192" >> /etc/security/limits.d/nofile.conf
| |
− | | |
− | | |
− | </pre>
| |
− | | |
− | =调整 Linux 的最大文件打开数= | |
| <pre> | | <pre> |
− | 要调整一下 Linux 的最大文件打开数,否则运行 Squid 诅服务的机器在高负载时执行性能将会很差;另外,在 Linux 下部署应用时,有时候会遇上 “Too many open files” 这样的问题,这个值也会影响服务器的最大并发数。其实 Linux 是有文件句柄限制的。但默认值下是很高,一般是1024,生产服务器很容易就会达到这个值,所以需要改动此值。
| |
| | | |
− | vim /etc/security/limit.conf
| |
− | #// 在最后一行添加如下
| |
− | * soft nofile 65535
| |
− | * hard nofile 65535
| |
− | #// 再打开配置
| |
− | vim /etc/rc.local
| |
− | // 添加如下内容
| |
− | ulimit -SHn 65535
| |
| | | |
− | ulimit -n 命令并不能真正看到文件的最大文件打开数。可用如下脚本查看:
| + | 可能得修改一下配置 |
− | --------------------- | + | siege -c 2000 -t 60s http:192.168.88.173 |
− | #!/bin/bash
| |
− | for pid in `ps aux |grep nginx |grep -v grep|awk '{print $2}'`
| |
− | do
| |
− | cat /proc/${pid}/limits |grep 'Max open files'
| |
− | done
| |
| | | |
− | </pre>
| + | ================================================================ |
− | [https://www.jianshu.com/p/23ee9db2a620 使用ulimit 命令、/etc/security/limits.conf、proc 调整系统参数]
| + | WARNING: The number of users is capped at 255. To increase this |
| + | limit, search your .siegerc file for 'limit' and change |
| + | its value. Make sure you read the instructions there... |
| + | ================================================================ |
| | | |
− | [https://developer.aliyun.com/article/435650 ulimit设置不生效?]
| + | vim .siege/siege.conf |
| | | |
− | =Centos的网络内核参数优化来提高服务器并发处理能力= | + | # ex: limit = 1023 (default is 255) |
− | <pre>
| + | # |
− | netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
| + | limit = 2559 |
| | | |
− | TIME_WAIT 18098
| |
− | 我们只用关心TIME_WAIT的个数,在这里可以看到,有18000多个TIME_WAIT,这样就占用了18000多个端口。要知道端口的数量只有65535个,占用一个少一个,会严重的影响到后继的新连接。这种情况下,我们就有必要调整下Linux的TCP内核参数,让系统更快的释放TIME_WAIT连接。
| |
| | | |
− | 用vim打开配置文件:#vim /etc/sysctl.conf
| |
| | | |
− | 在这个文件中,加入下面的几行内容:
| |
− | net.ipv4.tcp_syncookies = 1
| |
− | net.ipv4.tcp_tw_reuse = 1
| |
− | net.ipv4.tcp_tw_recycle = 1
| |
− | net.ipv4.tcp_fin_timeout = 30
| |
| | | |
− | 输入下面的命令,让内核参数生效:#sysctl -p
| |
| | | |
− | 简单的说明上面的参数的含义:
| + | 100并发 30s |
| + | siege -c 100 -t 30s http:ip |
| + | |
| + | wrk 可以lua脚本 |
| + | 4个线程 |
| + | wrk -c 100 -d 30s -t 4 ip |
| | | |
− | net.ipv4.tcp_syncookies = 1
| |
− | #表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;
| |
− | net.ipv4.tcp_tw_reuse = 1
| |
− | #表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭;
| |
− | net.ipv4.tcp_tw_recycle = 1
| |
− | #表示开启TCP连接中TIME-WAIT sockets的快速回收,默认为0,表示关闭;
| |
− | net.ipv4.tcp_fin_timeout
| |
− | #修改系統默认的 TIMEOUT 时间。
| |
| | | |
− | 在经过这样的调整之后,除了会进一步提升服务器的负载能力之外,还能够防御小流量程度的DoS、CC和SYN攻击。
| + | </pre> |
| | | |
− | 此外,如果你的连接数本身就很多,我们可以再优化一下TCP的可使用端口范围,进一步提升服务器的并发能力。依然是往上面的参数文件中,加入下面这些配置:
| + | https://askubuntu.com/questions/932449/siege-cannot-perform-load-testing-for-more-than-255-tests |
− | net.ipv4.tcp_keepalive_time = 1200
| |
− | net.ipv4.ip_local_port_range = 10000 65000
| |
− | net.ipv4.tcp_max_syn_backlog = 8192
| |
− | net.ipv4.tcp_max_tw_buckets = 5000
| |
− | #这几个参数,建议只在流量非常大的服务器上开启,会有显著的效果。一般的流量小的服务器上,没有必要去设置这几个参数。
| |
| | | |
− | net.ipv4.tcp_keepalive_time = 1200
| |
− | #表示当keepalive起用的时候,TCP发送keepalive消息的频度。缺省是2小时,改为20分钟。
| |
− | net.ipv4.ip_local_port_range = 10000 65000
| |
− | #表示用于向外连接的端口范围。缺省情况下很小:32768到61000,改为10000到65000。(注意:这里不要将最低值设的太低,否则可能会占用掉正常的端口!)
| |
− | net.ipv4.tcp_max_syn_backlog = 8192
| |
− | #表示SYN队列的长度,默认为1024,加大队列长度为8192,可以容纳更多等待连接的网络连接数。
| |
− | net.ipv4.tcp_max_tw_buckets = 6000
| |
− | #表示系统同时保持TIME_WAIT的最大数量,如果超过这个数字,TIME_WAIT将立刻被清除并打印警告信息。默 认为180000,改为6000。对于Apache、Nginx等服务器,上几行的参数可以很好地减少TIME_WAIT套接字数量,但是对于Squid,效果却不大。此项参数可以控制TIME_WAIT的最大数量,避免Squid服务器被大量的TIME_WAIT拖死。
| |
| | | |
− | 内核其他TCP参数说明:
| + | [http://blog.linuxchina.net/?p=3150 介绍几款Web服务器性能压力测试工具ApacheBench(ab) Siege详解] |
− | net.ipv4.tcp_max_syn_backlog = 65536
| |
− | #记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言,缺省值是1024,小内存的系统则是128。
| |
− | net.core.netdev_max_backlog = 32768 | |
− | #每个网络接口接收数据包的速率比内核处理这些包的速率快时,允许送到队列的数据包的最大数目。
| |
| | | |
− | net.core.somaxconn =65535
| + | [https://www.vpser.net/opt/webserver-test.html Web服务器性能/压力测试工具http_load、webbench、ab、Siege使用教程] |
− | #net.core.somaxconn = 32768
| |
− | #web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而nginx定义的NGX_LISTEN_BACKLOG默认为511,所以有必要调整这个值。
| |
− | #net.core.somaxconn = 262144 # sysctl: setting key "net.core.somaxconn": Invalid argument because shouldn't exceed USHRT_MAX
| |
| | | |
− | net.core.wmem_default = 8388608
| + | ===如果你是 windows .net 请用 === |
− | net.core.rmem_default = 8388608
| |
− | net.core.rmem_max = 16777216 #最大socket读buffer,可参考的优化值:873200
| |
− | net.core.wmem_max = 16777216 #最大socket写buffer,可参考的优化值:873200
| |
− | net.ipv4.tcp_timestsmps = 0
| |
− | #时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常”的数据包。这里需要将其关掉。
| |
− | net.ipv4.tcp_synack_retries = 2
| |
− | #为了打开对端的连接,内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量。
| |
− | net.ipv4.tcp_syn_retries = 2 | |
− | #在内核放弃建立连接之前发送SYN包的数量。
| |
− | #net.ipv4.tcp_tw_len = 1
| |
− | net.ipv4.tcp_tw_reuse = 1
| |
− | # 开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接。
| |
| | | |
− | net.ipv4.tcp_wmem = 8192 436600 873200
| + | [http://zhang-ps.iteye.com/blog/2297318 如何测试一个网站的性能(并发数)] |
− | # TCP写buffer,可参考的优化值: 8192 436600 873200
| |
− | net.ipv4.tcp_rmem = 32768 436600 873200
| |
− | # TCP读buffer,可参考的优化值: 32768 436600 873200
| |
− | net.ipv4.tcp_mem = 94500000 91500000 92700000
| |
− | # 同样有3个值,意思是:
| |
− | net.ipv4.tcp_mem[0]:低于此值,TCP没有内存压力。
| |
− | net.ipv4.tcp_mem[1]:在此值下,进入内存压力阶段。
| |
− | net.ipv4.tcp_mem[2]:高于此值,TCP拒绝分配socket。
| |
− | 上述内存单位是页,而不是字节。可参考的优化值是:786432 1048576 1572864
| |
| | | |
− | net.ipv4.tcp_max_orphans = 3276800
| + | [http://www.cnblogs.com/zhili/articles/StreeTool.html ASP.NET压力测试] |
− | #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。
| |
− | 如果超过这个数字,连接将即刻被复位并打印出警告信息。
| |
− | 这个限制仅仅是为了防止简单的DoS攻击,不能过分依靠它或者人为地减小这个值,
| |
− | 更应该增加这个值(如果增加了内存之后)。
| |
− | net.ipv4.tcp_fin_timeout = 30
| |
− | #如果套接字由本端要求关闭,这个参数决定了它保持在FIN-WAIT-2状态的时间。对端可以出错并永远不关闭连接,甚至意外当机。缺省值是60秒。2.2 内核的通常值是180秒,你可以按这个设置,但要记住的是,即使你的机器是一个轻载的WEB服务器,也有因为大量的死套接字而内存溢出的风险,FIN- WAIT-2的危险性比FIN-WAIT-1要小,因为它最多只能吃掉1.5K内存,但是它们的生存期长些。
| |
− | | |
− | 经过这样的优化配置之后,你的服务器的TCP并发处理能力会显著提高。以上配置仅供参考
| |
− | </pre>
| |
| | | |
− | =applicastion 优化=
| + | [https://www.zhihu.com/question/40527273 如何对Asp.Net网站做并发测试?] |
− | == redis==
| |
| | | |
− | 4)降低fork操作的频率,如适度放宽AOF自动触发时机,避免不必要 | + | == 参考== |
− | 的全量复制等
| + | [https://segmentfault.com/q/1010000000588140 如何测试一个web网站的性能(并发数)?] |
| | | |
− | =see also=
| + | [http://wetest.qq.com/lab/view/177.html 早知道早幸福——从压测工具谈并发、压力、吞吐量] |
| | | |
− | [https://www.cnblogs.com/aquester/p/9891476.html 有很多优化项目的reids安装文档] | + | [https://www.cnblogs.com/zhengah/p/5160772.html 如何估算网站日承受最大访问PV] |
| | | |
− | [https://blog.csdn.net/shaobingj126/article/details/8549494 Linux(Centos )的网络内核参数优化来提高服务器并发处理能力] | + | [[category:ops]] |