tid=66248& 本帖最後由 IT_man 於 2017-8-29 14:56 編輯 : {5 ?. n: J5 |- `6 l6 T, i' u; B
6 \1 _ u5 Y. w( e- r% Y: E
Linux 預設是沒有下述的調整,因此我們必須進行最佳化的調整:
( i7 k: D% \8 t& C2 m' q
' a: L; u" e8 @7 R |) I9 e#vi /etc/sysctl.conf3 H+ a2 L4 n0 j4 \1 o9 B/ f/ z
### 改進系統記憶體管理 ###" {( I% o" E4 O7 R6 x2 i4 C
" p. w) e/ Z/ y) @' N; l+ B+ d2 r" c+ @4 N+ e
# 加大檔案處理及inode快取9 T6 ]9 K1 E; {) w8 ?
fs.file-max = 20971520 W& g: X: Y- |/ h( v
* b2 [1 Z2 v' |5 v! _3 y
6 j6 z4 g/ V$ U$ j8 _% F8 E# 較少的交換8 d1 H! |0 m1 h4 Q; Y
vm.swappiness = 10 `- k2 [: ]: S, Z
vm.dirty_ratio = 60
' b' C' a8 z1 N. yvm.dirty_background_ratio = 2$ @! M1 e% ~ p5 _
, q, f; D& l+ I$ U8 W5 |
' N: p; f8 o9 Y, B$ G" p( _# @# x### 一般的網路安全選項 ###
- a$ s/ G8 U; S% ]4 s% R- G: ]5 J4 T5 f: o; X6 z
$ {* F" Y) v+ v1 b% L( e2 |
# 被動(passive)TCP連接的SYNACKs次數 |! Z- L1 I3 v# j! H) n6 T
net.ipv4.tcp_synack_retries = 27 J- s) B# H6 z% H9 t
4 x" u( P% \7 b& K* P
/ \7 ?) l: o9 E/ r# 允許本機網路連接阜範圍
( G* G. r+ U7 A f& Unet.ipv4.ip_local_port_range = 2000 655358 l# v7 e/ p& J
2 {- m& K! z! E" s& u2 P
3 @# n2 D k9 j- J' v( v
# 反制TCP Time-Wait的保護
1 C/ Q6 r+ H& b4 C* \& e$ Knet.ipv4.tcp_rfc1337 = 1
+ A; n' E) X& w0 j( i. o+ S. f- `; B& G+ P) G1 ?, j2 `0 T1 a' T
1 P; Z2 y, U8 y& M5 ?
# 降低對 tcp_fin_timeout connection 時間的預設值7 C5 x6 [3 b: V6 k" Y
net.ipv4.tcp_fin_timeout = 15
. [( A6 M, d) K, g. G8 Q
: F+ ?; u! |; m4 ?( B- `
; @& `- X' M* X7 n3 H1 _# 降低連線存活時間的預設值4 B' d! b) ` u* P' x
net.ipv4.tcp_keepalive_time = 300
9 V; q" F" s# k; R# u6 O, Tnet.ipv4.tcp_keepalive_probes = 5
3 k8 G8 n5 X" y, S2 _0 Bnet.ipv4.tcp_keepalive_intvl = 15
7 Q! `! _# E6 Z3 f7 X6 P! P& f8 w$ }8 K
' f4 O0 x9 g7 Y! ]7 i5 P- ~9 P### 調整網路效能 ###/ r4 M$ }% t$ E) D
6 e* i$ k0 U* F, f" j6 i0 w
( s; J9 E6 Y1 S# 預設的Socket接收緩存
9 c3 x# V3 r6 u. \3 k/ G2 lnet.core.rmem_default = 31457280( d' @9 q k0 Z
4 T, v7 n* h+ N6 ]4 d2 w; `0 p# P, v3 m( t; i
# 最大的Socket接收緩存5 x1 `8 z1 [" n7 @4 |% [
net.core.rmem_max = 12582912- P" p h( L3 C4 b8 q9 q% x- H
9 O0 G9 b" P6 f! P# P, l
% N+ O' l( e" _( }% n \, q& }! c
# 預設的Socket傳送緩存
( T0 j, `3 M! D9 ]( f/ Mnet.core.wmem_default = 31457280& Y7 p) P6 K4 }$ N) G; S
. L2 @- e& d& [
' k, V* D& {6 ]' l/ P# 最大的Socket傳送緩存
4 |" W8 u0 V. I; G7 B% p3 jnet.core.wmem_max = 12582912
7 ]1 }9 O6 p, e1 ]2 @ l' Y3 e, H
0 U9 w8 D5 Y1 L5 O: E, X
! H* L& @: a8 c* H2 a0 o# 加大網路連入數
9 y/ S3 s4 L& |* J6 ^1 L- W/ h( F( f _net.core.somaxconn = 40964 u$ X" ?: N4 M$ ^/ H) v
9 g; X2 i r- h; }4 z7 y
) }! m+ ]3 I) z# 加大網路連入的backlog
" o. k+ B N7 l( n# ?. V$ h& Y+ S5 Z& Qnet.core.netdev_max_backlog = 65536- Z% y2 p9 K8 U, f
& M9 a9 H- }* |) f' J
1 p6 o; W5 [0 k9 w& m
# 加大記憶體緩存的最大量
- ~3 j5 z+ X0 Q" a# T" @1 ^/ pnet.core.optmem_max = 25165824, o; {" `9 j/ s7 Y3 s3 |8 ~
/ y) n O Y- U. A# q
* n9 }; [/ N1 C, a2 ]( u
# Increase the maximum total buffer-space allocatable加大可定址緩存空間的最大總量
( j/ y$ Y) {5 h+ B$ ?7 f2 q( U# This is measured in units of pages (4096 bytes)! Q: ?' g8 @( ?9 x% r
net.ipv4.tcp_mem = 65536 131072 2621445 [, |! f* Y; n$ X5 b( d5 N( ]
net.ipv4.udp_mem = 65536 131072 2621441 Y% [5 E3 V2 h" r$ {' L$ }
5 F' J+ r/ r& g* w2 K6 _2 g
* w" R8 `9 k" K0 m
# 加大讀取緩存可定址空間 B/ b) m! I; R$ U% ]+ J
net.ipv4.tcp_rmem = 8192 87380 16777216
8 E( C/ O3 G4 j- t: R; V# gnet.ipv4.udp_rmem_min = 16384/ Y2 d; V) {0 }/ x( @) L
( l+ v% B7 J' E% d" `
, Y% R) Z' f7 y# z( K
# 加大寫入緩存可定址空間
- m) `7 r% a. v# |% }+ M. tnet.ipv4.tcp_wmem = 8192 65536 16777216
0 v: Q; P" s" c0 y! Mnet.ipv4.udp_wmem_min = 163846 e, e6 T1 |* i3 I
: ?7 [, q4 h! t) j8 E5 s, M6 A0 G. q
- T; S( t c' \. @8 `# 加大tcp-time-wait桶子池區數量以預防簡易的DOS攻擊8 ?6 k5 G! `6 t! H$ `* q: F% C
net.ipv4.tcp_max_tw_buckets = 14400001 X( B8 t0 @- Y/ z: T, d( Z
net.ipv4.tcp_tw_recycle = 1
* s0 B! P) s# v# C9 `net.ipv4.tcp_tw_reuse = 12 \ g! O3 r& L2 `
; D. @4 B& a( c k" V6 z6 _* Q z
7 t( @# _5 u5 `( K. A: `
存檔以生效
. E% b! Z% c3 X0 }5 N#sysctl -p 載入已變更1 r" [7 [1 N# m
3 i' A- |6 Z( y8 Q
~; j! j. q _6 O參考來源:
/ z( L+ s: I' p
7 C5 z/ a- g6 C& |* x
. B4 A# Q8 N6 y4 Z: |https://easyengine.io/tutorials/linux/sysctl-conf/- ]; X9 t0 g8 ]8 ~
6 S" P! P e- b. ]$ S9 x* j7 n) Z
% R4 _2 S W: x7 | @
+ ^, t8 b8 m* R- ^' r% G
% G! w5 _, i( f# W( b |
發表於 2017-8-28 11:01:58
