Linux系统能够支持高并发环境

iptables相关

如非必须，关掉或卸载iptables防火墙，并阻止kernel加载iptables模块。这些模块会影响并发性能。

单进程最大打开文件数限制

一般的发行版，限制单进程最大可以打开1024个文件，这是远远不能满足高并发需求的，调整过程如下：在#号提示符下敲入：

1. # ulimit –n 65535 

将root启动的单一进程的最大可以打开的文件数设置为65535个。如果系统回显类似于“Operationnotpermitted”之类的话，说明上述限制修改失败，实际上是因为在中指定的数值超过了Linux系统对该用户打开文件数的软限制或硬限制。因此，就需要修改Linux系统对用户的关于打开文件数的软限制和硬限制。

•  第一步，修改limits.conf文件，并添加： 

1. # vim /etc/security/limits.conf  
2. * soft nofile 65535  
3. * hard nofile 65535 

其中'*'号表示修改所有用户的限制；soft或hard指定要修改软限制还是硬限制；65536则指定了想要修改的新的限制值，即最大打开文件数(请注意软限制值要小于或等于硬限制)。修改完后保存文件。

•  第二步，修改/etc/pam.d/login文件，在文件中添加如下行： 

1. # vim /etc/pam.d/login  
2. sessionrequired /lib/security/pam_limits.so 

这是告诉Linux在用户完成系统登录后，应该调用pam_limits.so模块来设置系统对该用户可使用的各种资源数量的最大限制(包括用户可打开的最大文件数限制)，而pam_limits.so模块就会从/etc/security/limits.conf文件中读取配置来设置这些限制值。修改完后保存此文件。

•  第三步，查看Linux系统级的最大打开文件数限制，使用如下命令： 

1. # cat/proc/sys/fs/file-max  
2. 32568 

这表明这台Linux系统最多允许同时打开(即包含所有用户打开文件数总和)32568个文件，是Linux系统级硬限制，所有用户级的打开文件数限制都不应超过这个数值。

通常这个系统级硬限制是Linux系统在启动时根据系统硬件资源状况计算出来的最佳的最大同时打开文件数限制，如果没有特殊需要，不应该修改此限制，除非想为用户级打开文件数限制设置超过此限制的值。修改此硬限制的方法是修改/etc/sysctl.conf文件内fs.file-max= 131072 这是让Linux在启动完成后强行将系统级打开文件数硬限制设置为131072。修改完后保存此文件。

完成上述步骤后重启系统，一般情况下就可以将Linux系统对指定用户的单一进程允许同时打开的最大文件数限制设为指定的数值。

如果重启后用ulimit-n命令查看用户可打开文件数限制仍然低于上述步骤中设置的最大值，这可能是因为在用户登录脚本/etc/profile中使用ulimit-n命令已经将用户可同时打开的文件数做了限制。

由于通过ulimit-n修改系统对用户可同时打开文件的最大数限制时，新修改的值只能小于或等于上次ulimit-n设置的值，因此想用此命令增大这个限制值是不可能的。

所以，如果有上述问题存在，就只能去打开/etc/profile脚本文件，在文件中查找是否使用了ulimit-n限制了用户可同时打开的最大文件数量，如果找到，则删除这行命令，或者将其设置的值改为合适的值，然后保存文件，用户退出并重新登录系统即可。

通过上述步骤，就为支持高并发TCP连接处理的通讯处理程序解除关于打开文件数量方面的系统限制。

内核TCP参数方面

Linux系统下，TCP连接断开后，会以TIME_WAIT状态保留一定的时间，然后才会释放端口。当并发请求过多的时候，就会产生大量的TIME_WAIT状态的连接，无法及时断开的话，会占用大量的端口资源和服务器资源。这个时候我们可以优化TCP的内核参数，来及时将TIME_WAIT状态的端口清理掉。

下面介绍的方法只对拥有大量TIME_WAIT状态的连接导致系统资源消耗有效，如果不是这种情况下，效果可能不明显。可以使用netstat命令去查TIME_WAIT状态的连接状态，输入下面的组合命令，查看当前TCP连接的状态和对应的连接数量：

1. # netstat-n | awk ‘/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}’  
2. #这个命令会输出类似下面的结果：  
3. LAST_ACK16  
4. SYN_RECV348  
5. ESTABLISHED70  
6. FIN_WAIT1229  
7. FIN_WAIT230  
8. CLOSING33  
9. TIME_WAIT18098 

我们只用关心TIME_WAIT的个数，在这里可以看到，有18000多个TIME_WAIT，这样就占用了18000多个端口。要知道端口的数量只有65535个，占用一个少一个，会严重的影响到后继的新连接。这种情况下，我们就有必要调整下Linux的TCP内核参数，让系统更快的释放TIME_WAIT连接。

编辑配置文件:/etc/sysctl.conf，在这个文件中，加入下面的几行内容：

1. # vim /etc/sysctl.conf  
2. net.ipv4.tcp_syncookies= 1  
3. net.ipv4.tcp_tw_reuse= 1  
4. net.ipv4.tcp_tw_recycle= 1  
5. net.ipv4.tcp_fin_timeout= 30 

输入下面的命令，让内核参数生效：

1. # sysctl-p 

简单的说明上面的参数的含义：

1. net.ipv4.tcp_syncookies= 1  
2. #表示开启SYNCookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；  
3. net.ipv4.tcp_tw_reuse= 1  
4. #表示开启重用。允许将TIME-WAITsockets重新用于新的TCP连接，默认为0，表示关闭；  
5. net.ipv4.tcp_tw_recycle= 1  
6. #表示开启TCP连接中TIME-WAITsockets的快速回收，默认为0，表示关闭；  
7. net.ipv4.tcp_fin_timeout  
8. #修改系統默认的TIMEOUT 时间。 

在经过这样的调整之后，除了会进一步提升服务器的负载能力之外，还能够防御小流量程度的DoS、CC和SYN攻击。

 

（编辑：三门峡站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!