Linux 系統內核參數調優實戰指南
作者:運維李哥
Linux 內核參數調優并非“設置越大越好”,而是基于業務場景、負載模型與服務類型的科學調整。
今天分享一下sysctl.conf配置文件的調優。
1. 什么是 sysctl.conf?
sysctl.conf 是 Linux 系統中用于配置內核參數的文件,通常位于 /etc/sysctl.conf。這些參數控制著內核層面網絡、內存、進程資源、安全策略等多個關鍵方面。
命令動態設置:
sysctl -w 參數名=值也可以寫入 /etc/sysctl.conf 并用如下命令永久生效:
sysctl -p
2. 網絡性能調優
高并發服務、微服務網關或負載均衡器對 TCP/IP 棧有更高要求。以下參數可有效提升網絡吞吐與連接性能:
# 開啟 IP 轉發(容器/路由場景必備)
net.ipv4.ip_forward = 1
# 防止 SYN Flood 攻擊
net.ipv4.tcp_syncookies = 1
# TIME_WAIT 優化:開啟端口重用
net.ipv4.tcp_tw_reuse = 1
# TCP連接關閉延遲時間
net.ipv4.tcp_fin_timeout = 15
# 增加TCP隊列長度,應對突發高連接數
net.core.somaxconn = 32768
net.ipv4.tcp_max_syn_backlog = 8192
# Socket緩沖區優化
net.core.rmem_default = 262144
net.core.rmem_max = 16777216
net.core.wmem_default = 262144
net.core.wmem_max = 16777216適用場景:
- Nginx、HAProxy、Traefik 等網關
- 大量客戶端短連接的微服務
- TCP 粘連/連接池優化
3. 內存管理優化
合理的內存策略對系統穩定性至關重要:
# 控制交換空間使用傾向(建議調低)
vm.swappiness = 10
# 降低 dirty 頁面回寫延遲
vm.dirty_writeback_centisecs = 500
# 控制系統使用多少內存做緩存
vm.dirty_ratio = 10
vm.dirty_background_ratio = 5
# 限制進程申請超出物理內存的能力
vm.overcommit_memory = 1
vm.overcommit_ratio = 80適用場景:
- Redis、MySQL、PostgreSQL 等對物理內存要求嚴格的服務
- 防止 OOM 殺手頻繁觸發
4. 文件句柄與并發連接限制
Linux 默認最多只能打開 1024 個文件,對于高并發服務遠遠不夠。
fs.file-max = 2097152此外,修改用戶級別限制:
編輯 /etc/security/limits.conf:
* soft nofile 65535
* hard nofile 65535并在 /etc/pam.d/common-session 或 /etc/pam.d/login 添加:
session required pam_limits.so
適用場景: 高并發 API 服務、反向代理、WebSocket 長連接系統
5. 安全性與穩定性設置
強化內核層安全,防止被動攻擊或意外干擾。
# 禁止接受 ICMP 重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
# 禁止發送重定向包
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# 防止 IP 偽造攻擊
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# 禁止源路由包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 06. 一鍵應用配置方法
查看當前內核參數:
sysctl -a | grep tcp立即生效配置:
sysctl -p推薦保存位置: 所有參數寫入 /etc/sysctl.conf 或分模塊寫入 /etc/sysctl.d/99-custom.conf 更具維護性。
7. 推薦完整 sysctl.conf 模板
這個是建議的配置,可以直接使用:
# 文件句柄
fs.file-max = 2097152
# 網絡優化
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 10
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_max_syn_backlog = 8192
net.core.somaxconn = 65535
net.core.netdev_max_backlog = 16384
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.ip_forward = 1
# 內存優化
vm.swappiness = 10
vm.overcommit_memory = 1
vm.overcommit_ratio = 80
vm.dirty_ratio = 10
vm.dirty_background_ratio = 5
vm.dirty_writeback_centisecs = 500
# 安全強化
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0Linux 內核參數調優并非“設置越大越好”,而是基于業務場景、負載模型與服務類型的科學調整。
責任編輯:趙寧寧
來源:
運維李哥不背鍋
