nginx配置項(xiàng)優(yōu)化詳解

（1）nginx運(yùn)行工作進(jìn)程個(gè)數(shù)，一般設(shè)置cpu的核心或者核心數(shù)x2

如果不了解cpu的核數(shù)，可以top命令之后按1看出來，也可以查看/proc/cpuinfo文件 grep ^processor /proc/cpuinfo | wc -l 

[root@lx~]# vi/usr/local/nginx1.10/conf/nginx.conf

worker_processes  4;

[root@lx~]# /usr/local/nginx1.10/sbin/nginx-s reload

[root@lx~]# ps -aux | grep nginx |grep -v grep

root 9834  0.0  0.0 47556  1948 ?       Ss  22:36   0:00 nginx: master processnginx

www 10135  0.0 0.0  50088  2004 ?       S    22:58   0:00 nginx: worker process

www 10136  0.0  0.0 50088  2004 ?        S   22:58   0:00 nginx: worker process

www 10137  0.0  0.0 50088  2004 ?        S   22:58   0:00 nginx: worker process

www 10138  0.0  0.0 50088  2004 ?        S   22:58   0:00 nginx: worker process

Nginx運(yùn)行CPU親和力

比如4核配置

worker_processes  4;

worker_cpu_affinity 0001 0010 0100 1000

比如8核配置

worker_processes 8;

worker_cpu_affinity 00000001 00000010 00000100 0000100000010000 00100000 01000000 10000000;

worker_processes最多開啟8個(gè)，8個(gè)以上性能提升不會(huì)再提升了，而且穩(wěn)定性變得更低，所以8個(gè)進(jìn)程夠用了。

Nginx最多可以打開文件數(shù)

worker_rlimit_nofile 65535;

這個(gè)指令是指當(dāng)一個(gè)nginx進(jìn)程打開的最多文件描述符數(shù)目，理論值應(yīng)該是最多打開文件數(shù)（ulimit -n）與nginx進(jìn)程數(shù)相除，但是nginx分配請(qǐng)求并不是那么均勻，所以最好與ulimit -n的值保持一致。

注：

文件資源限制的配置可以在/etc/security/limits.conf設(shè)置，針對(duì)root/user等各個(gè)用戶或者*代表所有用戶來設(shè)置。

*    soft   nofile   65535

*    hard  nofile   65535

用戶重新登錄生效（ulimit -n）

（2）Nginx事件處理模型

events {

use epoll;

worker_connections 65535;

multi_accept on;

}

nginx采用epoll事件模型，處理效率高

work_connections是單個(gè)worker進(jìn)程允許客戶端最大連接數(shù)，這個(gè)數(shù)值一般根據(jù)服務(wù)器性能和內(nèi)存來制定，實(shí)際最大值就是worker進(jìn)程數(shù)乘以work_connections

實(shí)際我們填入一個(gè)65535，足夠了，這些都算并發(fā)值，一個(gè)網(wǎng)站的并發(fā)達(dá)到這么大的數(shù)量，也算一個(gè)大站了！

multi_accept 告訴nginx收到一個(gè)新連接通知后接受盡可能多的連接，默認(rèn)是on，設(shè)置為on后，多個(gè)worker按串行方式來處理連接，也就是一個(gè)連接只有一個(gè)worker被喚醒，其他的處于休眠狀態(tài)，設(shè)置為off后，多個(gè)worker按并行方式來處理連接，也就是一個(gè)連接會(huì)喚醒所有的worker，直到連接分配完畢，沒有取得連接的繼續(xù)休眠。當(dāng)你的服務(wù)器連接數(shù)不多時(shí)，開啟這個(gè)參數(shù)會(huì)讓負(fù)載有一定的降低，但是當(dāng)服務(wù)器的吞吐量很大時(shí)，為了效率，可以關(guān)閉這個(gè)參數(shù)。

（3）開啟高效傳輸模式

http {

include mime.types;

default_type application/octet-stream;

……

sendfile on;

tcp_nopush on;

……

Include mime.types; //媒體類型,include 只是一個(gè)在當(dāng)前文件中包含另一個(gè)文件內(nèi)容的指令

default_type application/octet-stream;   //默認(rèn)媒體類型足夠

sendfile on；//開啟高效文件傳輸模式，sendfile指令指定nginx是否調(diào)用sendfile函數(shù)來輸出文件，對(duì)于普通應(yīng)用設(shè)為 on，如果用來進(jìn)行下載等應(yīng)用磁盤IO重負(fù)載應(yīng)用，可設(shè)置為off，以平衡磁盤與網(wǎng)絡(luò)I/O處理速度，降低系統(tǒng)的負(fù)載。

注意：如果圖片顯示不正常把這個(gè)改成off。

tcp_nopush on；必須在sendfile開啟模式才有效，防止網(wǎng)路阻塞，積極的減少網(wǎng)絡(luò)報(bào)文段的數(shù)量（將響應(yīng)頭和正文的開始部分一起發(fā)送，而不一個(gè)接一個(gè)的發(fā)送。）

（4）連接超時(shí)時(shí)間

主要目的是保護(hù)服務(wù)器資源，CPU，內(nèi)存，控制連接數(shù)，因?yàn)榻⑦B接也是需要消耗資源的

keepalive_timeout 60;

tcp_nodelay on;

client_header_buffer_size 4k;

open_file_cache max=102400 inactive=20s;

open_file_cache_valid 30s;

open_file_cache_min_uses 1;

client_header_timeout 15;

client_body_timeout 15;

reset_timedout_connection on;

send_timeout 15;

server_tokens off;

client_max_body_size 10m;

keepalived_timeout客戶端連接保持會(huì)話超時(shí)時(shí)間，超過這個(gè)時(shí)間，服務(wù)器斷開這個(gè)鏈接

tcp_nodelay；也是防止網(wǎng)絡(luò)阻塞，不過要包涵在keepalived參數(shù)才有效

client_header_buffer_size 4k;
客戶端請(qǐng)求頭部的緩沖區(qū)大小，這個(gè)可以根據(jù)你的系統(tǒng)分頁大小來設(shè)置，一般一個(gè)請(qǐng)求頭的大小不會(huì)超過 1k，不過由于一般系統(tǒng)分頁都要大于1k，所以這里設(shè)置為分頁大小。分頁大小可以用命令getconf PAGESIZE取得。
open_file_cache max=102400 inactive=20s;
這個(gè)將為打開文件指定緩存，默認(rèn)是沒有啟用的，max指定緩存數(shù)量，建議和打開文件
數(shù)一致，inactive 是指經(jīng)過多長(zhǎng)時(shí)間文件沒被請(qǐng)求后刪除緩存。
open_file_cache_valid 30s;
這個(gè)是指多長(zhǎng)時(shí)間檢查一次緩存的有效信息。
open_file_cache_min_uses 1;
open_file_cache指令中的inactive 參數(shù)時(shí)間內(nèi)文件的最少使用次數(shù)，如果超過這個(gè)數(shù)字，文
件描述符一直是在緩存中打開的，如上例，如果有一個(gè)文件在inactive 時(shí)間內(nèi)一次沒被使用，它將被移除。

client_header_timeout設(shè)置請(qǐng)求頭的超時(shí)時(shí)間。我們也可以把這個(gè)設(shè)置低些，如果超過這個(gè)時(shí)間沒有發(fā)送任何數(shù)據(jù)，nginx將返回request time out的錯(cuò)誤

client_body_timeout設(shè)置請(qǐng)求體的超時(shí)時(shí)間。我們也可以把這個(gè)設(shè)置低些，超過這個(gè)時(shí)間沒有發(fā)送任何數(shù)據(jù)，和上面一樣的錯(cuò)誤提示

reset_timeout_connection 告訴nginx關(guān)閉不響應(yīng)的客戶端連接。這將會(huì)釋放那個(gè)客戶端所占有的內(nèi)存空間。

send_timeout響應(yīng)客戶端超時(shí)時(shí)間，這個(gè)超時(shí)時(shí)間僅限于兩個(gè)活動(dòng)之間的時(shí)間，如果超過這個(gè)時(shí)間，客戶端沒有任何活動(dòng)，nginx關(guān)閉連接

server_tokens  并不會(huì)讓nginx執(zhí)行的速度更快，但它可以關(guān)閉在錯(cuò)誤頁面中的nginx版本數(shù)字，這樣對(duì)于安全性是有好處的。

client_max_body_size上傳文件大小限制

（5）fastcgi調(diào)優(yōu)

fastcgi_connect_timeout     600;

fastcgi_send_timeout 600;

fastcgi_read_timeout 600;

fastcgi_buffer_size 64k;

fastcgi_buffers 4 64k;

fastcgi_busy_buffers_size 128k;

fastcgi_temp_file_write_size 128k;

fastcgi_temp_path/usr/local/nginx1.10/nginx_tmp;

fastcgi_intercept_errors on;

fastcgi_cache_path/usr/local/nginx1.10/fastcgi_cache levels=1:2 keys_zone=cache_fastcgi:128minactive=1d max_size=10g;

fastcgi_connect_timeout 600; #指定連接到后端FastCGI的超時(shí)時(shí)間。

fastcgi_send_timeout 600; #向FastCGI傳送請(qǐng)求的超時(shí)時(shí)間。

fastcgi_read_timeout 600; #指定接收FastCGI應(yīng)答的超時(shí)時(shí)間。

fastcgi_buffer_size 64k; #指定讀取FastCGI應(yīng)答第一部分需要用多大的緩沖區(qū)，默認(rèn)的緩沖區(qū)大小為fastcgi_buffers指令中的每塊大小，可以將這個(gè)值設(shè)置更小。

fastcgi_buffers 4 64k; #指定本地需要用多少和多大的緩沖區(qū)來緩沖FastCGI的應(yīng)答請(qǐng)求，如果一個(gè)php腳本所產(chǎn)生的頁面大小為256KB，那么會(huì)分配4個(gè)64KB的緩沖區(qū)來緩存，如果頁面大小大于256KB，那么大于256KB的部分會(huì)緩存到fastcgi_temp_path指定的路徑中，但是這并不是好方法，因?yàn)閮?nèi)存中的數(shù)據(jù)處理速度要快于磁盤。一般這個(gè)值應(yīng)該為站點(diǎn)中php腳本所產(chǎn)生的頁面大小的中間值，如果站點(diǎn)大部分腳本所產(chǎn)生的頁面大小為256KB，那么可以把這個(gè)值設(shè)置為“8 32K”、“4 64k”等。

fastcgi_busy_buffers_size 128k; #建議設(shè)置為fastcgi_buffers的兩倍，繁忙時(shí)候的buffer

fastcgi_temp_file_write_size 128k;   #在寫入fastcgi_temp_path時(shí)將用多大的數(shù)據(jù)塊，默認(rèn)值是fastcgi_buffers的兩倍，該數(shù)值設(shè)置小時(shí)若負(fù)載上來時(shí)可能報(bào)502BadGateway

fastcgi_temp_path #緩存臨時(shí)目錄

fastcgi_intercept_errors on;#這個(gè)指令指定是否傳遞4xx和5xx錯(cuò)誤信息到客戶端，或者允許nginx使用error_page處理錯(cuò)誤信息。

注：靜態(tài)文件不存在會(huì)返回404頁面，但是php頁面則返回空白頁！！

fastcgi_cache_path /usr/local/nginx1.10/fastcgi_cachelevels=1:2 keys_zone=cache_fastcgi:128minactive=1d max_size=10g;# fastcgi_cache緩存目錄，可以設(shè)置目錄層級(jí)，比如1:2會(huì)生成16*256個(gè)子目錄，cache_fastcgi是這個(gè)緩存空間的名字，cache是用多少內(nèi)存（這樣熱門的內(nèi)容nginx直接放內(nèi)存，提高訪問速度），inactive表示默認(rèn)失效時(shí)間，如果緩存數(shù)據(jù)在失效時(shí)間內(nèi)沒有被訪問,將被刪除，max_size表示最多用多少硬盤空間。

fastcgi_cache cache_fastcgi;  #表示開啟FastCGI緩存并為其指定一個(gè)名稱。開啟緩存非常有用，可以有效降低CPU的負(fù)載，并且防止502的錯(cuò)誤放生。cache_fastcgi為proxy_cache_path指令創(chuàng)建的緩存區(qū)名稱

fastcgi_cache_valid 200 302 1h; #用來指定應(yīng)答代碼的緩存時(shí)間，實(shí)例中的值表示將200和302應(yīng)答緩存一小時(shí)，要和fastcgi_cache配合使用

fastcgi_cache_valid 301 1d;     #將301應(yīng)答緩存一天

fastcgi_cache_valid any 1m;     #將其他應(yīng)答緩存為1分鐘

fastcgi_cache_min_uses 1;       #該指令用于設(shè)置經(jīng)過多少次請(qǐng)求的相同URL將被緩存。

fastcgi_cache_key http://$host$request_uri; #該指令用來設(shè)置web緩存的Key值,nginx根據(jù)Key值md5哈希存儲(chǔ).一般根據(jù)$host(域名)、$request_uri(請(qǐng)求的路徑)等變量組合成proxy_cache_key 。

fastcgi_pass #指定FastCGI服務(wù)器監(jiān)聽端口與地址，可以是本機(jī)或者其它

總結(jié)：

nginx的緩存功能有：proxy_cache / fastcgi_cache

proxy_cache的作用是緩存后端服務(wù)器的內(nèi)容，可能是任何內(nèi)容，包括靜態(tài)的和動(dòng)態(tài)。
fastcgi_cache的作用是緩存fastcgi生成的內(nèi)容，很多情況是php生成的動(dòng)態(tài)的內(nèi)容。
proxy_cache緩存減少了nginx與后端通信的次數(shù)，節(jié)省了傳輸時(shí)間和后端寬帶。
fastcgi_cache緩存減少了nginx與php的通信的次數(shù)，更減輕了php和數(shù)據(jù)庫(mysql)的壓力。

（6）gzip調(diào)優(yōu)

使用gzip壓縮功能，可能為我們節(jié)約帶寬，加快傳輸速度，有更好的體驗(yàn)，也為我們節(jié)約成本，所以說這是一個(gè)重點(diǎn)。

Nginx啟用壓縮功能需要你來ngx_http_gzip_module模塊，apache使用的是mod_deflate

一般我們需要壓縮的內(nèi)容有：文本，js，html，css，對(duì)于圖片，視頻，flash什么的不壓縮，同時(shí)也要注意，我們使用gzip的功能是需要消耗CPU的！

gzip on;

gzip_min_length 2k;

gzip_buffers    4 32k;

gzip_http_version 1.1;

gzip_comp_level 6;

gzip_typestext/plain text/css text/javascriptapplication/json application/javascript application/x-javascriptapplication/xml;

gzip_vary on;

gzip_proxied any;

gzip on;     #開啟壓縮功能

gzip_min_length 1k; #設(shè)置允許壓縮的頁面最小字節(jié)數(shù)，頁面字節(jié)數(shù)從header頭的Content-Length中獲取，默認(rèn)值是0，不管頁面多大都進(jìn)行壓縮，建議設(shè)置成大于1K，如果小與1K可能會(huì)越壓越大。

gzip_buffers 4 32k; #壓縮緩沖區(qū)大小，表示申請(qǐng)4個(gè)單位為32K的內(nèi)存作為壓縮結(jié)果流緩存，默認(rèn)值是申請(qǐng)與原始數(shù)據(jù)大小相同的內(nèi)存空間來存儲(chǔ)gzip壓縮結(jié)果。

gzip_http_version 1.1; #壓縮版本，用于設(shè)置識(shí)別HTTP協(xié)議版本，默認(rèn)是1.1，目前大部分瀏覽器已經(jīng)支持GZIP解壓，使用默認(rèn)即可

gzip_comp_level 6; #壓縮比例，用來指定GZIP壓縮比，1壓縮比最小，處理速度最快，9壓縮比最大，傳輸速度快，但是處理慢，也比較消耗CPU資源。

gzip_types text/css text/xml application/javascript; #用來指定壓縮的類型，‘text/html’類型總是會(huì)被壓縮。

默認(rèn)值: gzip_types text/html (默認(rèn)不對(duì)js/css文件進(jìn)行壓縮)
# 壓縮類型，匹配MIME類型進(jìn)行壓縮
# 不能用通配符 text/*
# (無論是否指定)text/html默認(rèn)已經(jīng)壓縮 
# 設(shè)置哪壓縮種文本文件可參考 conf/mime.types

gzip_vary on;  #varyheader支持，改選項(xiàng)可以讓前端的緩存服務(wù)器緩存經(jīng)過GZIP壓縮的頁面，例如用Squid緩存經(jīng)過nginx壓縮的數(shù)據(jù)

（7）expires緩存調(diào)優(yōu)

緩存，主要針對(duì)于圖片，css，js等元素更改機(jī)會(huì)比較少的情況下使用，特別是圖片，占用帶寬大，我們完全可以設(shè)置圖片在瀏覽器本地緩存365d，css，js，html可以緩存?zhèn)€10來天，這樣用戶第一次打開加載慢一點(diǎn)，第二次，就非?？炝?！緩存的時(shí)候，我們需要將需要緩存的拓展名列出來， Expires緩存配置在server字段里面

location ~* \.(ico|jpe?g|gif|png|bmp|swf|flv)$ {

   expires 30d;

   #log_not_found off;

   access_log off;

}

location ~* \.(js|css)$ {

   expires 7d;

   log_not_found off;

   access_log off;

}  

注：log_not_found off;是否在error_log中記錄不存在的錯(cuò)誤。默認(rèn)是。

總結(jié)：

expire功能優(yōu)點(diǎn) （1）expires可以降低網(wǎng)站購(gòu)買的帶寬，節(jié)約成本（2）同時(shí)提升用戶訪問體驗(yàn)（3）減輕服務(wù)的壓力，節(jié)約服務(wù)器成本，是web服務(wù)非常重要的功能。 expire功能缺點(diǎn)：被緩存的頁面或數(shù)據(jù)更新了，用戶看到的可能還是舊的內(nèi)容，反而影響用戶體驗(yàn)。解決辦法：第一個(gè)縮短緩存時(shí)間，例如：1天，但不徹底，除非更新頻率大于1天；第二個(gè)對(duì)緩存的對(duì)象改名。

網(wǎng)站不希望被緩存的內(nèi)容 1）網(wǎng)站流量統(tǒng)計(jì)工具2）更新頻繁的文件（google的logo）

（8）防盜鏈

防止別人直接從你網(wǎng)站引用圖片等鏈接，消耗了你的資源和網(wǎng)絡(luò)流量，那么我們的解決辦法由幾種： 1：水印，品牌宣傳，你的帶寬，服務(wù)器足夠 2：防火墻，直接控制，前提是你知道IP來源 3：防盜鏈策略下面的方法是直接給予404的錯(cuò)誤提示

location ~*^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {

     valid_referers noneblocked  www.benet.com benet.com;

     if($invalid_referer) {

       #return 302  https://cache.yisu.com/upload/information/20200309/32/43497.jpg;

       return 404;

        break;

     }

     access_log off;

 }

參數(shù)可以使如下形式：
none 意思是不存在的Referer頭(表示空的，也就是直接訪問，比如直接在瀏覽器打開一個(gè)圖片)
blocked 意為根據(jù)防火墻偽裝Referer頭，如：“Referer:XXXXXXX”。
server_names 為一個(gè)或多個(gè)服務(wù)器的列表，0.5.33版本以后可以在名稱中使用“*”通配符。

（9）內(nèi)核參數(shù)優(yōu)化

fs.file-max = 999999：這個(gè)參數(shù)表示進(jìn)程（比如一個(gè)worker進(jìn)程）可以同時(shí)打開的最大句柄數(shù)，這個(gè)參數(shù)直線限制最大并發(fā)連接數(shù)，需根據(jù)實(shí)際情況配置。

net.ipv4.tcp_max_tw_buckets = 6000 #這個(gè)參數(shù)表示操作系統(tǒng)允許TIME_WAIT套接字?jǐn)?shù)量的最大值，如果超過這個(gè)數(shù)字，TIME_WAIT套接字將立刻被清除并打印警告信息。該參數(shù)默認(rèn)為180000，過多的TIME_WAIT套接字會(huì)使Web服務(wù)器變慢。

注：主動(dòng)關(guān)閉連接的服務(wù)端會(huì)產(chǎn)生TIME_WAIT狀態(tài)的連接
net.ipv4.ip_local_port_range = 1024 65000 #允許系統(tǒng)打開的端口范圍。
net.ipv4.tcp_tw_recycle = 1#啟用timewait快速回收。
net.ipv4.tcp_tw_reuse = 1#開啟重用。允許將TIME-WAIT sockets重新用于新的TCP連接。這對(duì)于服務(wù)器來說很有意義，因?yàn)榉?wù)器上總會(huì)有大量TIME-WAIT狀態(tài)的連接。

net.ipv4.tcp_keepalive_time = 30：這個(gè)參數(shù)表示當(dāng)keepalive啟用時(shí)，TCP發(fā)送keepalive消息的頻度。默認(rèn)是2小時(shí)，若將其設(shè)置的小一些，可以更快地清理無效的連接。
net.ipv4.tcp_syncookies = 1#開啟SYN Cookies，當(dāng)出現(xiàn)SYN等待隊(duì)列溢出時(shí)，啟用cookies來處理。
net.core.somaxconn = 40960 #web 應(yīng)用中 listen 函數(shù)的 backlog 默認(rèn)會(huì)給我們內(nèi)核參數(shù)的 net.core.somaxconn 限制到128，而nginx定義的NGX_LISTEN_BACKLOG 默認(rèn)為511，所以有必要調(diào)整這個(gè)值。

注：對(duì)于一個(gè)TCP連接，Server與Client需要通過三次握手來建立網(wǎng)絡(luò)連接.當(dāng)三次握手成功后,我們可以看到端口的狀態(tài)由LISTEN轉(zhuǎn)變?yōu)镋STABLISHED,接著這條鏈路上就可以開始傳送數(shù)據(jù)了.每一個(gè)處于監(jiān)聽(Listen)狀態(tài)的端口,都有自己的監(jiān)聽隊(duì)列.監(jiān)聽隊(duì)列的長(zhǎng)度與如somaxconn參數(shù)和使用該端口的程序中l(wèi)isten()函數(shù)有關(guān)

somaxconn參數(shù):定義了系統(tǒng)中每一個(gè)端口最大的監(jiān)聽隊(duì)列的長(zhǎng)度,這是個(gè)全局的參數(shù),默認(rèn)值為128，對(duì)于一個(gè)經(jīng)常處理新連接的高負(fù)載 web服務(wù)環(huán)境來說，默認(rèn)的 128 太小了。大多數(shù)環(huán)境這個(gè)值建議增加到 1024 或者更多。大的偵聽隊(duì)列對(duì)防止拒絕服務(wù) DoS ***也會(huì)有所幫助。
net.core.netdev_max_backlog = 262144 #每個(gè)網(wǎng)絡(luò)接口接收數(shù)據(jù)包的速率比內(nèi)核處理這些包的速率快時(shí)，允許送到隊(duì)列的數(shù)據(jù)包的最大數(shù)目。
net.ipv4.tcp_max_syn_backlog = 262144 #這個(gè)參數(shù)標(biāo)示TCP三次握手建立階段接受SYN請(qǐng)求隊(duì)列的最大長(zhǎng)度，默認(rèn)為1024，將其設(shè)置得大一些可以使出現(xiàn)Nginx繁忙來不及accept新連接的情況時(shí)，Linux不至于丟失客戶端發(fā)起的連接請(qǐng)求。

net.ipv4.tcp_rmem = 10240 87380 12582912#這個(gè)參數(shù)定義了TCP接受緩存（用于TCP接受滑動(dòng)窗口）的最小值、默認(rèn)值、最大值。

net.ipv4.tcp_wmem = 10240 87380 12582912：這個(gè)參數(shù)定義了TCP發(fā)送緩存（用于TCP發(fā)送滑動(dòng)窗口）的最小值、默認(rèn)值、最大值。
net.core.rmem_default = 6291456：這個(gè)參數(shù)表示內(nèi)核套接字接受緩存區(qū)默認(rèn)的大小。

net.core.wmem_default = 6291456：這個(gè)參數(shù)表示內(nèi)核套接字發(fā)送緩存區(qū)默認(rèn)的大小。

net.core.rmem_max = 12582912：這個(gè)參數(shù)表示內(nèi)核套接字接受緩存區(qū)的最大大小。

net.core.wmem_max = 12582912：這個(gè)參數(shù)表示內(nèi)核套接字發(fā)送緩存區(qū)的最大大小。

net.ipv4.tcp_syncookies = 1：該參數(shù)與性能無關(guān)，用于解決TCP的SYN***。

下面貼一個(gè)完整的內(nèi)核優(yōu)化設(shè)置：

fs.file-max = 999999

net.ipv4.ip_forward = 0

net.ipv4.conf.default.rp_filter = 1

net.ipv4.conf.default.accept_source_route = 0

kernel.sysrq = 0

kernel.core_uses_pid = 1

net.ipv4.tcp_syncookies = 1

kernel.msgmnb = 65536

kernel.msgmax = 65536

kernel.shmmax = 68719476736

kernel.shmall = 4294967296

net.ipv4.tcp_max_tw_buckets = 6000

net.ipv4.tcp_sack = 1

net.ipv4.tcp_window_scaling = 1

net.ipv4.tcp_rmem = 10240 87380 12582912

net.ipv4.tcp_wmem = 10240 87380 12582912

net.core.wmem_default = 8388608

net.core.rmem_default = 8388608

net.core.rmem_max = 16777216

net.core.wmem_max = 16777216

net.core.netdev_max_backlog = 262144

net.core.somaxconn = 40960

net.ipv4.tcp_max_orphans = 3276800

net.ipv4.tcp_max_syn_backlog = 262144

net.ipv4.tcp_timestamps = 0

net.ipv4.tcp_synack_retries = 1

net.ipv4.tcp_syn_retries = 1

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_mem = 94500000 915000000 927000000

net.ipv4.tcp_fin_timeout = 1

net.ipv4.tcp_keepalive_time = 30

net.ipv4.ip_local_port_range = 1024 65000

執(zhí)行sysctl  -p使內(nèi)核修改生效

（10）關(guān)于系統(tǒng)連接數(shù)的優(yōu)化：

linux 默認(rèn)值 open files為1024

#ulimit -n

1024

說明server只允許同時(shí)打開1024個(gè)文件

使用ulimit -a 可以查看當(dāng)前系統(tǒng)的所有限制值，使用ulimit -n 可以查看當(dāng)前的最大打開文件數(shù)。

新裝的linux 默認(rèn)只有1024 ，當(dāng)作負(fù)載較大的服務(wù)器時(shí)，很容易遇到error: too many open files。因此，需要將其改大

在/etc/security/limits.conf最后增加：

*               soft    nofile          65535

*               hard    nofile          65535

*               soft    noproc          65535

*                hard    noproc          65535