Linux内核参数优化
1.系统默认最大连接数过低,无法支撑高并发/压测场景;2. TCP连接关闭后TIME_WAIT状态堆积,导致端口耗尽、JMeter压测无可用连接。
一、核心优化目标
- 提升系统全局最大文件句柄数(对应最大TCP连接数),突破默认限制;
- 缩短TIME_WAIT连接超时时间,开启连接复用与快速回收,避免连接不释放;
- 确保配置后,JMeter压测、高并发访问场景下无「无可用连接」报错。
二、第一步:修改系统最大连接数
Linux系统中,每一个TCP连接都会占用一个文件句柄,默认的文件句柄限制(通常为1024或4096)远无法满足高并发/压测需求,需通过修改/etc/security/limits.conf文件全局提升限制。
操作步骤
# 1. 编辑配置文件(使用vi编辑器,可替换为nano等熟悉的编辑器)
vi /etc/security/limits.conf
# 2. 在文件末尾添加以下两行配置(无需修改其他内容,直接追加)
* soft nofile 1000000
* hard nofile 1000000
# 3. 保存并退出vi编辑器
# 按ESC键,输入:wq,回车即可保存退出
配置说明
*:表示对系统中所有用户(包括root用户、普通用户、各类服务进程)均生效;soft nofile 1000000:软限制,当文件句柄数接近该值时,系统会给出警告提示,不强制阻止;hard nofile 1000000:硬限制,系统强制生效的最大文件句柄数,无法突破该阈值;1000000:配置值,可满足超高并发(如10万+连接)、JMeter大规模压测场景,无需调整。
生效验证
该配置无需重启系统,仅需重新打开终端(或重启应用进程)即可生效,验证命令如下:
# 查看当前生效的最大文件句柄数
ulimit -n
# 若输出结果为1000000,说明配置生效;若未生效,重启终端或执行source /etc/security/limits.conf
三、第二步:优化TCP内核参数
高并发/压测场景下,TCP连接关闭后会进入TIME_WAIT状态(默认超时60秒),大量TIME_WAIT连接堆积会占用端口资源,导致JMeter无法创建新连接。需修改/etc/sysctl.conf内核配置,加快连接释放、提升端口复用率。
操作步骤
# 1. 编辑内核配置文件
vi /etc/sysctl.conf
# 2. 在文件末尾添加以下4个核心TCP优化参数(直接追加,不改动原有内容)
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
# 3. 保存并退出vi编辑器(ESC + :wq + 回车)
核心参数详解(必看)
| 参数名称 | 参数值 | 具体作用 |
|---|---|---|
| net.ipv4.tcp_syncookies | 1 | 启用SYN Cookie验证机制,防止SYN洪水攻击,避免半连接队列满导致新连接被拒绝,保障压测/高并发时连接稳定性。 |
| net.ipv4.tcp_tw_reuse | 1 | 允许复用处于TIME_WAIT状态的TCP连接,直接将空闲端口分配给新连接,大幅提升端口复用率。 |
| net.ipv4.tcp_tw_recycle | 1 | 开启TIME_WAIT连接快速回收机制,主动清理超时的TIME_WAIT连接,避免连接堆积占用端口。 |
| net.ipv4.tcp_fin_timeout | 30 | 将TIME_WAIT状态的超时时间从默认60秒缩短为30秒,连接释放速度提升1倍,快速释放端口资源。 |
配置立即生效
TCP内核参数修改后,执行以下命令,无需重启系统即可立即生效(若报错,检查参数拼写是否正确):
/sbin/sysctl -p
生效验证
执行以下命令,验证单个参数是否生效(以tcp_fin_timeout为例,其他参数同理):
# 查看tcp_fin_timeout参数当前值
sysctl net.ipv4.tcp_fin_timeout
# 若输出结果为30,说明参数生效;其他参数验证命令:
sysctl net.ipv4.tcp_tw_reuse
sysctl net.ipv4.tcp_tw_recycle
sysctl net.ipv4.tcp_syncookies
四、一键实操命令
若不想手动编辑文件,可直接复制以下命令,依次执行,即可完成所有配置(执行过程中无报错即正常):
# 1. 配置最大文件句柄数(追加到limits.conf)
echo "* soft nofile 1000000" >> /etc/security/limits.conf
echo "* hard nofile 1000000" >> /etc/security/limits.conf
# 2. 配置TCP内核优化参数(追加到sysctl.conf)
echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
echo "net.ipv4.tcp_tw_reuse = 1" >> /etc/sysctl.conf
echo "net.ipv4.tcp_tw_recycle = 1" >> /etc/sysctl.conf
echo "net.ipv4.tcp_fin_timeout = 30" >> /etc/sysctl.conf
# 3. 使TCP参数立即生效
/sbin/sysctl -p
五、注意事项
- 生效范围:
limits.conf的配置,对已启动的进程无效,需重启应用进程(如JMeter、Web服务)或重新打开终端,才能让进程继承新的限制值; - NAT网络兼容:若服务器处于NAT网络环境(如云服务器、容器集群),
tcp_tw_recycle = 1可能导致连接异常,此时可将其改为0,仅保留tcp_tw_reuse = 1即可满足需求; - 内核版本:本文所有参数支持Linux 3.10及以上版本,可通过
uname -r查看内核版本,低版本内核需升级后再配置; - 效果验证:优化后,可通过
netstat -ant | grep TIME_WAIT | wc -l统计TIME_WAIT连接数,正常情况下会大幅降低,且不会持续堆积; - 备份建议:若服务器为生产环境,修改配置前,建议先备份原有文件(
cp /etc/security/limits.conf /etc/security/limits.conf.bak、cp /etc/sysctl.conf /etc/sysctl.conf.bak),避免配置错误导致系统异常。
六、常见问题排查
问题1:执行ulimit -n,输出仍为默认值(未生效)
解决方案:重启终端,或重启应用进程;若仍未生效,执行source /etc/security/limits.conf强制加载配置,再验证。
问题2:执行/sbin/sysctl -p报错,提示参数无效
解决方案:检查参数拼写是否正确(区分大小写),确认内核版本是否支持该参数,低版本内核需升级。
问题3:配置后,JMeter仍提示无可用连接
解决方案:1. 验证ulimit -n是否为1000000;2. 验证TCP参数是否全部生效;3. 执行netstat -ant | grep 端口号,查看是否有端口耗尽情况,若有,追加配置net.ipv4.ip_local_port_range = 1024 65535(扩大端口池),再执行/sbin/sysctl -p。
浙公网安备 33010602011771号