nginx的高并發(fā)配置

Joom潮流購跨境電商2024-08-27670

一、nginx 服務(wù)配置優(yōu)化：

1.nginx進(jìn)程數(shù)，建議按照cpu數(shù)目來指定，一般為它的倍數(shù)。worker_processes 定義了nginx對外提供web服務(wù)時(shí)的worker進(jìn)程數(shù)。最優(yōu)值取決于許多因素，包括（但不限于）CPU核的數(shù)量、存儲(chǔ)數(shù)據(jù)的硬盤數(shù)量及負(fù)載模式。不能確定的時(shí)候，將其設(shè)置為可用的CPU內(nèi)核數(shù)將是一個(gè)好的開始（可以設(shè)置為“auto”將嘗試自動(dòng)檢測它）。

worker_processes 8;

2.為每個(gè)進(jìn)程分配cpu，上例中將8個(gè)進(jìn)程分配到8個(gè)cpu，當(dāng)然可以寫多個(gè)，或者將一個(gè)進(jìn)程分配到多個(gè)cpu。

worker_cpu_affinity 00000001 00000010 00000100 00001000 00010000 00100000 01000000 10000000;

3. 指定worker 進(jìn)程能夠打開的最大句柄數(shù)，默認(rèn)選擇與 ulimit -n 的值一致。通過ulimit 修改配置文件。

4.nginx 使用epoll 模型。

use epoll;

5.單個(gè)worker 進(jìn)程連接數(shù)限制，理論上每臺(tái)nginx服務(wù)器的最大連接數(shù)為worker_processes*worker_connections。

worker_connections 102400;

6.keepalive超時(shí)時(shí)間設(shè)置，建議為60s 不要設(shè)置太大。

keepalive_timeout 60;

7.客戶端請求頭部的緩沖區(qū)大小，這個(gè)可以根據(jù)你的系統(tǒng)分頁大小來設(shè)置，一般一個(gè)請求的頭部大小不會(huì)超過1k，不過由于一般系統(tǒng)分頁都要大于1k，所以這里設(shè)置為分頁大小。分頁大小可以用命令getconf PAGESIZE取得。

client_header_buffer_size 4k;

[root@localhost ~]# getconf PAGESIZE

4096

[root@localhost ~]#

8. 這個(gè)將為打開文件指定緩存，默認(rèn)是沒有啟用的，max指定緩存數(shù)量，建議和打開文件數(shù)一致，inactive是指經(jīng)過多長時(shí)間文件沒被請求后刪除緩存。

open_file_cache max=102400 inactive=20s;

9. 指定多長時(shí)間檢查一次緩存的有效性。

open_file_cache_valid 30s;

10. open_file_cache指令中的inactive參數(shù)時(shí)間內(nèi)文件的最少使用次數(shù)，如果超過這個(gè)數(shù)字，文件描述符一直是在緩存中打開的，如上例，如果有一個(gè)文件在inactive時(shí)間內(nèi)一次沒被使用，它將被移除。

open_file_cache_min_uses 1;

二、內(nèi)核參數(shù)的優(yōu)化：

1. 表示系統(tǒng)同時(shí)保持TIME_WAIT狀態(tài)的socket數(shù)量, 如果超過這個(gè)值, TIME_WAIT狀態(tài)的socket會(huì)被清除, 同時(shí)打印警告日志，默認(rèn)18000 ，減少這個(gè)值可以加快無效連接的回收

net.ipv4.tcp_max_tw_buckets = 6000

2. 允許打開的端口范圍

net.ipv4.ip_local_port_range = 1024 65000

3. timewait 快速回收，tcp_tw_recycle參數(shù)使處于TIME_WAIT狀態(tài)的的socket被快速回收(默認(rèn)是2msl時(shí)間).

tcp_tw_recycle參數(shù)想要正常工作, 還依賴于tcp_timestamp選項(xiàng), 它要求數(shù)據(jù)包的時(shí)間戳嚴(yán)格順序. 所以在公網(wǎng)環(huán)境下, 如果多client在同一NAT中, 上行包的timestamp無法保證順序, 會(huì)出現(xiàn)嚴(yán)重問題. 所以tcp_tw_recycle參數(shù)一般不建議打開, 保持默認(rèn)為0.

net.ipv4.tcp_tw_recycle = 1

4.開啟處于TIME_WAIT狀態(tài)下的socket快速重用, 用于新的tcp連接

net.ipv4.tcp_tw_reuse = 1

5.開啟SYN Cookies ,當(dāng)出現(xiàn)SYN等待隊(duì)列溢出時(shí)，啟用cookies來處理

net.ipv4.tcp_syncookies = 1

6.web應(yīng)用中l(wèi)isten函數(shù)的backlog默認(rèn)會(huì)給我們內(nèi)核參數(shù)的net.core.somaxconn限制到128，而nginx定義的NGX_LISTEN_BACKLOG默認(rèn)為511，所以有必要調(diào)整這個(gè)值。

net.core.somaxconn = 262144

7.當(dāng)網(wǎng)卡接受數(shù)據(jù)包的速率, 比kernel處理來的快時(shí), 即kernel處理跟不上包率時(shí), cache這些數(shù)據(jù)包的隊(duì)列長度.

默認(rèn)值是1k, 可以適當(dāng)調(diào)大到2k或者4k, 再大的意義不是很大, kernel都忙不過來了, cache再多也只能治標(biāo)不治本.

net.core.netdev_max_backlog = 4096

8. 表示沒有任何handle的socket的最大數(shù)量, 通俗一點(diǎn)說, 即不屬于任何進(jìn)程的tcp socket最大數(shù)量. 超過這個(gè)數(shù)量的socket會(huì)被reset, 并同時(shí)告警.

這個(gè)參數(shù)是為了防御簡單的DDOS攻擊, 一般系統(tǒng)給的默認(rèn)大多是8k或者16k, 某些防火墻會(huì)把它改成2k.

在網(wǎng)絡(luò)特別繁忙時(shí), 為了避免大量的告警信息, 也有將這個(gè)參數(shù)調(diào)大的, 例如256k.

建議這個(gè)參數(shù)保持默認(rèn)就好.

net.ipv4.tcp_max_orphans = 262144

9.記錄的那些尚未收到客戶端確認(rèn)信息的連接請求的最大值。對于有128M內(nèi)存的系統(tǒng)而言，缺省值是1024，小內(nèi)存的系統(tǒng)則是128。

net.ipv4.tcp_max_syn_backlog = 262144

10. 時(shí)間戳可以避免序列號的卷繞。一個(gè)1Gbps的鏈路肯定會(huì)遇到以前用過的序列號。時(shí)間戳能夠讓內(nèi)核接受這種“異?！钡臄?shù)據(jù)包。這里需要將其關(guān)掉。

net.ipv4.tcp_timestamps = 0

11. tcp_syn_retries, 顧名思義, 即握手時(shí)syn的最大重發(fā)次數(shù), 默認(rèn)是6. 這是一個(gè)客戶端行為, 默認(rèn)值是5, 在網(wǎng)絡(luò)情況良好的情況下可以調(diào)小到 2.

tcp_synack_retries, 是指握手時(shí)server重發(fā)ack的最大次數(shù), 默認(rèn)是5. 這個(gè)值也可以設(shè)置到 2, 來提高server的效率.

net.ipv4.tcp_synack_retries = 2net.ipv4.tcp_syn_retries = 2

12. tcp連接保持在FIN_WAIT_2的時(shí)間, 默認(rèn)值是60, 這個(gè)參數(shù)可以適當(dāng)調(diào)低: 30乃至更低都可以, 從而減少內(nèi)存的消耗.

net.ipv4.tcp_fin_timeout = 30

13. 當(dāng)keepalive選項(xiàng)開啟時(shí), tcp連接的超時(shí)時(shí)間, 默認(rèn)是7200. 為了提高效率及更高的安全性, 可以調(diào)整這個(gè)參數(shù)到 1800.

但是業(yè)務(wù)不應(yīng)該只依賴于tcp的超時(shí)機(jī)制, 特別是長連接的業(yè)務(wù), 應(yīng)該保證自己的心跳超時(shí)機(jī)制, 來防止惡意空連接.

net.ipv4.tcp_keepalive_time = 300

14. 一個(gè)完整的內(nèi)核優(yōu)化配置

net.ipv4.ip_forward = 0

net.ipv4.conf.default.rp_filter = 1

net.ipv4.conf.default.accept_source_route = 0

kernel.sysrq = 0

kernel.core_uses_pid = 1

net.ipv4.tcp_syncookies = 1

kernel.msgmnb = 65536

kernel.msgmax = 65536

kernel.shmmax = 68719476736

kernel.shmall = 4294967296

net.ipv4.tcp_max_tw_buckets = 6000

net.ipv4.tcp_sack = 1

net.ipv4.tcp_window_scaling = 1

net.ipv4.tcp_rmem = 4096 87380 4194304

net.ipv4.tcp_wmem = 4096 16384 4194304

net.core.wmem_default = 8388608

net.core.rmem_default = 8388608

net.core.rmem_max = 16777216

net.core.wmem_max = 16777216

net.core.netdev_max_backlog = 262144

net.core.somaxconn = 262144

net.ipv4.tcp_max_orphans = 3276800

net.ipv4.tcp_max_syn_backlog = 262144

net.ipv4.tcp_timestamps = 0

net.ipv4.tcp_synack_retries = 1

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_mem = 94500000 915000000 927000000

net.ipv4.tcp_fin_timeout = 1

net.ipv4.tcp_keepalive_time = 30

net.ipv4.ip_local_port_range = 1024 65000

15 .配置修改 /etc/sysctl.conf 配置文件添加如上內(nèi)容

[root@nginx sbin]# sysctl -p #配置生效

sysctl命令用于運(yùn)行時(shí)配置內(nèi)核參數(shù)，這些參數(shù)位于/proc/sys目錄下。sysctl配置與顯示在/proc/sys目錄中的內(nèi)核參數(shù)．可以用sysctl來設(shè)置或重新設(shè)置聯(lián)網(wǎng)功能，如IP轉(zhuǎn)發(fā)、IP碎片去除以及源路由檢查等。用戶只需要編輯/etc/sysctl.conf文件，即可手工或自動(dòng)執(zhí)行由sysctl控制的功能。

命令格式：

sysctl [-n] [-e] -w variable=value

sysctl [-n] [-e] -p <filename> (default /etc/sysctl.conf)

sysctl [-n] [-e] -a

常用參數(shù)的意義：

-w 臨時(shí)改變某個(gè)指定參數(shù)的值，如

sysctl -w net.ipv4.ip_forward=1

-a 顯示所有的系統(tǒng)參數(shù)

-p 從指定的文件加載系統(tǒng)參數(shù)，如不指定即從/etc/sysctl.conf中加載

如果僅僅是想臨時(shí)改變某個(gè)系統(tǒng)參數(shù)的值，可以用兩種方法來實(shí)現(xiàn),例如想啟用IP路由轉(zhuǎn)發(fā)功能：

1) #echo 1 > /proc/sys/net/ipv4/ip_forward

2) #sysctl -w net.ipv4.ip_forward=1