本文Linux系統:
[root@xxxxxx~]# cat /etc/issue
Red Hat Enterprise Linux Server release 5.8 (Tikanga)
[root@xxxxxx ~]# uname -a
Linux xxxxxx 2.6.18-308.el5 #1 SMP Fri Jan 27 17:17:51 EST 2012 x86_64 x86_64 x86_64 GNU/Linux
優化一、/etc/security/limits.conf
優化二、/etc/sysctl.conf
1、/etc/security/limits.conf
limits.conf的後端是這樣工作的:limits.conf是pam_limits.so的配置文件,然後/etc/pam.d/下的應用程序調 用pam_***.so模塊。譬如說,當用戶訪問服務器,服務程序將請求發送到PAM模塊,PAM模塊根據服務名稱在/etc/pam.d目錄下選擇一個 對應的服務文件,然後根據服務文件的內容選擇具體的PAM模塊進行處理。
Tips:當用戶登錄主機,會調用pam_limits.so
cat /etc/pam.d/login
session required /lib64/security/pam_limits.so
1.1、
pam_limits.so模塊的主要功能是限制用戶會話過程中對各種系統資源的使用情況。缺省情況下該模塊的配置文件是/etc/security/limits.conf。而該配置文件的基本格式實際上是由4個字段組成的表,其中具體限制格式:
username|@groupname type resource limit
username|@groupname:設置需要被限制的用戶名,組名前面加@和用戶名區別。也可以用通配符*來做所有用戶的限制。
type:有 soft,hard 和 -,
soft 指的是當前系統生效的設置值。
hard 表明系統中所能設定的最大值。
soft 的限制不能比har 限制高。
用 - 就表明同時設置了 soft 和 hard 的值。
resource:
- core - 限制內核文件的大小
- date - 最大數據大小
- fsize - 最大文件大小
- memlock - 最大鎖定內存地址空間
- nofile - 打開文件的最大數目
- rss - 最大持久設置大小
- stack - 最大棧大小
- cpu - 以分鐘為單位的最多 CPU 時間
- noproc - 進程的最大數目
- as - 地址空間限制
- maxlogins - 此用戶允許登錄的最大數目
- maxsyslogins - 用戶登入最大數目
- priority - 用戶進程優先級(負數值)
- locks - 最大locks文件最值
- sigpending - 最大數量的等待信號
- msgqueue - postfix消息隊列最大內存使用空間
- nice - 允許使用最大“好心值”
- rtprio - 無特權進程中最大實際優及級
Tips:
要使 limits.conf 文件配置生效,必須要確保 pam_limits.so 文件被加入到啟動文件中。
查看 /etc/pam.d/login 文件中有:
session required /lib/security/pam_limits.so
1.2、主機參考配置:
#<domain> <type> <item> <value>
#
#* soft core 0
#* hard rss 10000
#@student hard nproc 20
#@faculty soft nproc 20
#@faculty hard nproc 50
#ftp hard nproc 0
#@student - maxlogins 4
* soft core unlimited
* hard core unlimited
* soft fsize unlimited
* hard fsize unlimited
* soft data unlimited
* hard data unlimited
* soft nproc 1048756
* hard nproc 1048756
* soft stack unlimited
* hard stack unlimited
* soft nofile 1048576
* hard nofile 1048576
* hard sigpending 1056639
* soft sigpending 1056639
# End of file
1.2、
Ulimit命令
設置限制 可以把命令加到profile文件裡,也可以在/etc/security/limits.conf文件中定義
限制。
命令參數
-a 顯示所有限制
-c core文件大小的上限
-d 進程數據段大小的上限
-f shell所能創建的文件大小的上限
-m 駐留內存大小的上限
-s 堆棧大小的上限
-t 每秒可占用的CPU時間上限
-p 管道大小
-n 打開文件數的上限
-u 進程數的上限
-v 虛擬內存的上限
2、/etc/sysctl.conf
Sysctl是一個允許您改變正在運行中的Linux系統的接口。它包含一些 TCP/IP 堆棧和虛擬內存系統的高級選項, 這可以讓有經驗的管理員提高引人注目的系統性能。用sysctl可以讀取設置超過五百個系統變量。基於這點,sysctl(8) 提供兩個功能:讀取和修改系統設置。
調優的內核變量存在兩種主要接口:sysctl命令和/proc文件系統;二者是相對應的關系;
proc中與進程無關的所有信息都被移植到sysfs中。
IPV4協議棧的 sysctl參數主要是sysctl.net.core、sysctl.net.ipv4,對應的/proc文件系統是/proc/sys/net /ipv4和/proc/sys/net/core。只有內核在編譯時包含了特定的屬性,該參數才會出現在內核中。
對於內核參數應該謹慎調節,這些參數通常會影響到系統的整體性能。內核在啟動時會根據系統的資源情況來初始化特定的變量,這種初始化的調節一般會滿足通常的性能需求。
應用程序通過socket系統調用和遠程主機進行通訊,每一個socket都有一個讀寫緩沖區。讀緩沖區保存了遠程主機發送過來的數據,如果緩沖區已滿, 則數據會被丟棄,寫緩沖期保存了要發送到遠程主機的數據,如果寫緩沖區已慢,則系統的應用程序在寫入數據時會阻塞。可知,緩沖區是有大小的。
socket緩沖區默認大小:
/proc/sys/net/core/rmem_default 對應net.core.rmem_default
/proc/sys/net/core/wmem_default 對應net.core.wmem_default
上面是各種類型socket的默認讀寫緩沖區大小,然而對於特定類型的socket則可以設置獨立的值覆蓋默認值大小。例如tcp類型的socket就可以用/proc/sys/net/ipv4/tcp_rmem和tcp_wmem來覆蓋。
socket緩沖區最大值:
/proc/sys/net/core/rmem_max 對應net.core.rmem_max
/proc/sys/net/core/wmem_max 對應net.core.wmem_max
/proc/sys/net/core/netdev_max_backlog 對應 net.core.netdev_max_backlog
該參數定義了當接口收到包的速率大於內核處理包的速率時,設備的輸入隊列中的最大報文數。
/proc/sys/net/core/somaxconn 對應 net.core.somaxconn
通過listen系統調用可以指定的最大accept隊列backlog,當排隊的請求連接大於該值時,後續進來的請求連接會被丟棄。
/proc/sys/net/core/optmem_max 對應 net.core.optmem_max
每個socket的副緩沖區大小。
TCP/IPV4內核參數:
在創建socket的時候會指定socke協議和地址類型。TCP socket緩沖區大小是他自己控制而不是由core內核緩沖區控制。
/proc/sys/net/ipv4/tcp_rmem 對應net.ipv4.tcp_rmem
/proc/sys/net/ipv4/tcp_wmem 對應net.ipv4.tcp_wmem
以上是TCP socket的讀寫緩沖區的設置,每一項裡面都有三個值,第一個值是緩沖區最小值,中間值是緩沖區的默認值,最後一個是緩沖區的最大值,雖然緩沖區的值不受core緩沖區的值的限制,但是緩沖區的最大值仍舊受限於core的最大值。
/proc/sys/net/ipv4/tcp_mem
該內核參數也是包括三個值,用來定義內存管理的范圍,第一個值的意思是當page數低於該值時,TCP並不認為他為內存壓力,第二個值是進入內存的壓力區 域時所達到的頁數,第三個值是所有TCP sockets所允許使用的最大page數,超過該值後,會丟棄後續報文。page是以頁面為單位的,為系統中socket全局分配的內存容量。
/proc/sys/net/ipv4/tcp_window_scaling 對應net.ipv4.tcp_window_scaling
管理TCP的窗口縮放特性,因為在tcp頭部中聲明接收緩沖區的長度為26位,因此窗口不能大於64K,如果大於64K,就要打開窗口縮放。
/proc/sys/net/ipv4/tcp_sack 對應net.ipv4.tcp_sack
管理TCP的選擇性應答,允許接收端向發送端傳遞關於字節流中丟失的序列號,減少了段丟失時需要重傳的段數目,當段丟失頻繁時,sack是很有益的。
/proc/sys/net/ipv4/tcp_dsack 對應net.ipv4.tcp_dsack
是對sack的改進,能夠檢測不必要的重傳。
/proc/sys/net/ipv4/tcp_fack 對應net.ipv4.tcp_fack
對sack協議加以完善,改進tcp的擁塞控制機制。
TCP的連接管理:
/proc/sys/net/ipv4/tcp_max_syn_backlog 對應net.ipv4.tcp_max_syn_backlog
每一個連接請求(SYN報文)都需要排隊,直至本地服務器接收,該變量就是控制每個端口的 TCP SYN隊列長度的。如果連接請求多余該值,則請求會被丟棄。
/proc/sys/net/ipv4/tcp_syn_retries 對應net.ipv4.tcp_syn_retries
控制內核向某個輸入的SYN/ACK段重新發送相應的次數,低值可以��好的檢測到遠程主機的連接失敗。可以修改為3
/proc/sys/net/ipv4/tcp_retries1 對應net.ipv4.tcp_retries1
該變量設置放棄回應一個tcp連接請求前,需要進行多少次重試。
/proc/sys/net/ipv4/tcp_retries2 對應net.ipv4.tcp_retries2
控制內核向已經建立連接的遠程主機重新發送數據的次數,低值可以更早的檢測到與遠程主機失效的連接,因此服務器可以更快的釋放該連接,可以修改為5
TCP連接的保持:
/proc/sys/net/ipv4/tcp_keepalive_time 對應net.ipv4.tcp_keepalive_time
如果在該參數指定的秒數內連接始終處於空閒狀態,則內核向客戶端發起對該主機的探測
/proc/sys/net/ipv4/tcp_keepalive_intvl 對應net.ipv4.tcp_keepalive_intvl
該參數以秒為單位,規定內核向遠程主機發送探測指針的時間間隔
/proc/sys/net/ipv4/tcp_keepalive_probes 對應net.ipv4.tcp_keepalive_probes
該參數規定內核為了檢測遠程主機的存活而發送的探測指針的數量,如果探測指針的數量已經使用完畢仍舊沒有得到客戶端的響應,即斷定客戶端不可達,關閉與該客戶端的連接,釋放相關資源。
/proc/sys/net/ipv4/ip_local_port_range 對應net.ipv4.ip_local_port_range
規定了tcp/udp可用的本地端口的范圍。
更多詳情見請繼續閱讀下一頁的精彩內容: http://www.linuxidc.com/Linux/2014-11/109461p2.htm