linux内核优化参数

作为高性能WEB服务器，只调整Nginx本身的参数是不行的，因为Nginx服务依赖于高性能的 *** 作系统。

以下为常见的几个Linux内核参数优化方法。

net.ipv4.tcp_max_tw_buckets

对于tcp连接，服务端和客户端通信完后状态变为timewait，假如某台服务器非常忙，连接数特别多的话，那么这个timewait数量就会越来越大。

毕竟它也是会占用一定的资源，所以应该有一个最大值，当超过这个值，系统就会删除最早的连接，这样始终保持在一个数量级。

这个数值就是由net.ipv4.tcp_max_tw_buckets这个参数来决定的。

CentOS7系统，你可以使用sysctl -a |grep tw_buckets来查看它的值，默认为32768，

你可以适当把它调低，比如调整到8000，毕竟这个状态的连接太多也是会消耗资源的。

但你不要把它调到几十、几百这样，因为这种状态的tcp连接也是有用的，

如果同样的客户端再次和服务端通信，就不用再次建立新的连接了，用这个旧的通道，省时省力。

net.ipv4.tcp_tw_recycle = 1

该参数的作用是快速回收timewait状态的连接。上面虽然提到系统会自动删除掉timewait状态的连接，但如果把这样的连接重新利用起来岂不是更好。

所以该参数设置为1就可以让timewait状态的连接快速回收，它需要和下面的参数配合一起使用。

net.ipv4.tcp_tw_reuse = 1

该参数设置为1，将timewait状态的连接重新用于新的TCP连接，要结合上面的参数一起使用。

net.ipv4.tcp_syncookies = 1

tcp三次握手中，客户端向服务端发起syn请求，服务端收到后，也会向客户端发起syn请求同时连带ack确认，

假如客户端发送请求后直接断开和服务端的连接，不接收服务端发起的这个请求，服务端会重试多次，

这个重试的过程会持续一段时间（通常高于30s），当这种状态的连接数量非常大时，服务器会消耗很大的资源，从而造成瘫痪，

正常的连接进不来，这种恶意的半连接行为其实叫做syn flood攻击。

设置为1，是开启SYN Cookies，开启后可以避免发生上述的syn flood攻击。

开启该参数后，服务端接收客户端的ack后，再向客户端发送ack+syn之前会要求client在短时间内回应一个序号，

如果客户端不能提供序号或者提供的序号不对则认为该客户端不合法，于是不会发ack+syn给客户端，更涉及不到重试。

net.ipv4.tcp_max_syn_backlog

该参数定义系统能接受的最大半连接状态的tcp连接数。客户端向服务端发送了syn包，服务端收到后，会记录一下，

该参数决定最多能记录几个这样的连接。在CentOS7，默认是256，当有syn flood攻击时，这个数值太小则很容易导致服务器瘫痪，

实际上此时服务器并没有消耗太多资源（cpu、内存等），所以可以适当调大它，比如调整到30000。

net.ipv4.tcp_syn_retries

该参数适用于客户端，它定义发起syn的最大重试次数，默认为6，建议改为2。

net.ipv4.tcp_synack_retries

该参数适用于服务端，它定义发起syn+ack的最大重试次数，默认为5，建议改为2，可以适当预防syn flood攻击。

net.ipv4.ip_local_port_range

该参数定义端口范围，系统默认保留端口为1024及以下，以上部分为自定义端口。这个参数适用于客户端，

当客户端和服务端建立连接时，比如说访问服务端的80端口，客户端随机开启了一个端口和服务端发起连接，

这个参数定义随机端口的范围。默认为32768 61000，建议调整为1025 61000。

net.ipv4.tcp_fin_timeout

tcp连接的状态中，客户端上有一个是FIN-WAIT-2状态，它是状态变迁为timewait前一个状态。

该参数定义不属于任何进程的该连接状态的超时时间，默认值为60，建议调整为6。

net.ipv4.tcp_keepalive_time

tcp连接状态里，有一个是established状态，只有在这个状态下，客户端和服务端才能通信。正常情况下，当通信完毕，

客户端或服务端会告诉对方要关闭连接，此时状态就会变为timewait，如果客户端没有告诉服务端，

并且服务端也没有告诉客户端关闭的话（例如，客户端那边断网了），此时需要该参数来判定。

比如客户端已经断网了，但服务端上本次连接的状态依然是established，服务端为了确认客户端是否断网，

就需要每隔一段时间去发一个探测包去确认一下看看对方是否在线。这个时间就由该参数决定。它的默认值为7200秒，建议设置为30秒。

net.ipv4.tcp_keepalive_intvl

该参数和上面的参数是一起的，服务端在规定时间内发起了探测，查看客户端是否在线，如果客户端并没有确认，

此时服务端还不能认定为对方不在线，而是要尝试多次。该参数定义重新发送探测的时间，即第一次发现对方有问题后，过多久再次发起探测。

默认值为75秒，可以改为3秒。

net.ipv4.tcp_keepalive_probes

第10和第11个参数规定了何时发起探测和探测失败后再过多久再发起探测，但并没有定义一共探测几次才算结束。

该参数定义发起探测的包的数量。默认为9，建议设置2。

设置和范例

在Linux下调整内核参数，可以直接编辑配置文件/etc/sysctl.conf，然后执行sysctl -p命令生效

一、准备工作

a) 首先，你要有一台PC（这不废话么^_^），装好了Linux。

b) 安装好GCC(这个指的是host gcc，用于编译生成运行于pc机程序的)、make、ncurses等工具。

c) 下载一份纯净的Linux内核源码包，并解压好。

注意，如果你是为当前PC机编译内核，最好使用相应的Linux发行版的源码包。

不过这应该也不是必须的，因为我在我的Fedora 13上(其自带的内核版本是2.6.33.3)，就下载了一个标准的内核linux-2.6.32.65.tar.xz，并且顺利的编译安装成功了，上电重启都OK的。不过，我使用的.config配置文件，是Fedora 13自带内核的配置文件，即/lib/modules/`uname -r`/build/.config

d) 如果你是移植Linux到嵌入式系统，则还要再下载安装交叉编译工具链。

例如，你的目标单板CPU可能是arm或mips等cpu，则安装相应的交叉编译工具链。安装后，需要将工具链路径添加到PATH环境变量中。例如，你安装的是arm工具链，那么你在shell中执行类似如下的命令，假如有类似的输出，就说明安装好了。

[root@localhost linux-2.6.33.i686]# arm-linux-gcc --version

arm-linux-gcc (Buildroot 2010.11) 4.3.5

Copyright (C) 2008 Free Software Foundation, Inc.

This is free softwaresee the source for copying conditions. There is NO

warrantynot even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

注：arm的工具链，可以从这里下载:回复“ARM”即可查看。

二、设置编译目标

在配置或编译内核之前，首先要确定目标CPU架构，以及编译时采用什么工具链。这是最最基础的信息，首先要确定的。

如果你是为当前使用的PC机编译内核，则无须设置。

否则的话，就要明确设置。

这里以arm为例，来说明。

有两种设置方法()：

a) 修改Makefile

打开内核源码根目录下的Makefile，修改如下两个Makefile变量并保存。

ARCH := arm

CROSS_COMPILE := arm-linux-

注意，这里cross_compile的设置，是假定所用的交叉工具链的gcc程序名称为arm-linux-gcc。如果实际使用的gcc名称是some-thing-else-gcc，则这里照葫芦画瓢填some-thing-else-即可。总之，要省去名称中最后的gcc那3个字母。

b) 每次执行make命令时，都通过命令行参数传入这些信息。

这其实是通过make工具的命令行参数指定变量的值。

例如

配置内核时时，使用

make ARCH=arm CROSS_COMPILE=arm-linux- menuconfig

编译内核时使用

make ARCH=arm CROSS_COMPILE=arm-linux-

注意，实际上，对于编译PC机内核的情况，虽然用户没有明确设置，但并不是这两项没有配置。因为如果用户没有设置这两项，内核源码顶层Makefile(位于源码根目录下)会通过如下方式生成这两个变量的值。

SUBARCH := $(shell uname -m | sed -e s/i.86/i386/ -e s/sun4u/sparc64/ \

-e s/arm.*/arm/ -e s/sa110/arm/ \

-e s/s390x/s390/ -e s/parisc64/parisc/ \

-e s/ppc.*/powerpc/ -e s/mips.*/mips/ \

-e s/sh[234].*/sh/ )

ARCH?= $(SUBARCH)

CROSS_COMPILE ?=

经过上面的代码，ARCH变成了PC编译机的arch，即SUBARCH。因此，如果PC机上uname -m输出的是ix86，则ARCH的值就成了i386。

而CROSS_COMPILE的值，如果没配置，则为空字符串。这样一来所使用的工具链程序的名称，就不再有类似arm-linux-这样的前缀，就相当于使用了PC机上的gcc。

最后再多说两句，ARCH的值还需要再进一步做泛化。因为内核源码的arch目录下，不存在i386这个目录，也没有sparc64这样的目录。

因此顶层makefile中又构造了一个SRCARCH变量，通过如下代码，生成他的值。这样一来，SRCARCH变量，才最终匹配到内核源码arch目录中的某一个架构名。

SRCARCH := $(ARCH)

ifeq ($(ARCH),i386)

SRCARCH := x86

endif

ifeq ($(ARCH),x86_64)

SRCARCH := x86

endif

ifeq ($(ARCH),sparc64)

SRCARCH := sparc

endif

ifeq ($(ARCH),sh64)

SRCARCH := sh

endif

三、配置内核

内核的功能那么多，我们需要哪些部分，每个部分编译成什么形式（编进内核还是编成模块），每个部分的工作参数如何，这些都是可以配置的。因此，在开始编译之前，我们需要构建出一份配置清单，放到内核源码根目录下，命名为.config文件，然后根据此.config文件，编译出我们需要的内核。

但是，内核的配置项太多了，一个一个配，太麻烦了。而且，不同的CPU架构，所能配置的配置项集合，是不一样的。例如，某种CPU的某个功能特性要不要支持的配置项，就是与CPU架构有关的配置项。所以，内核提供了一种简单的配置方法。

以arm为例，具体做法如下。

a) 根据我们的目标CPU架构，从内核源码arch/arm/configs目录下，找一个与目标系统最接近的配置文件(例如s3c2410_defconfig)，拷贝到内核源码根目录下，命名为.config。

注意，如果你是为当前PC机编译内核，最好拷贝如下文件到内核源码根目录下，做为初始配置文件。这个文件，是PC机当前运行的内核编译时使用的配置文件。

/lib/modules/`uname -r`/build/.config

这里顺便多说两句，PC机内核的配置文件，选择的功能真是多。不编不知道，一编才知道。Linux发行方这样做的目的，可能是想让所发行的Linux能够满足用户的各种需求吧。

b) 执行make menuconfig对此配置做一些需要的修改，退出时选择保存，就将新的配置更新到.config文件中了。

注

---