TCP內核參數的簡單驗證

原創 濟南小老虎 2023-01-31 13:30

前言

春節假期時學習了下內核參數與nginx的調優
最近因爲同事遇到問題一直沒有解,自己利用晚上時間再次進行驗證.
這裏將幾個參數的理解和驗證結果簡單總結一下.
希望能夠在學習的過程中將問題解決掉. 

其實很後悔沒有好好學習代碼.現在很多問題都已經到了瓶頸期
無法深入的研究下去.

參數一

  • net.ipv4.tcp_max_tw_buckets
先說一下基本的結論:
CentOS默認的值: 262144
阿里雲虛擬機的默認值: 5000
華爲雲虛擬機的默認值: 5000
騰訊雲虛擬機的默認值: 131072

在簡單描述一下這個參數的作用: 
在 TIME_WAIT 數量等於 tcp_max_tw_buckets 時,
不會有新的 TIME_WAIT 產生。

類似 Nginx 之類的中間代理一定要關注這個值,因爲它對你的系統起到一個保護的作用,
一旦端口全部被佔用,服務就異常了。 
tcp_max_tw_buckets 能幫你降低這種情況的發生概率,爭取補救時間。
學習來源: https://www.jianshu.com/p/b7e991be0909

我這邊理解就類似於 JVM裏面GC over limited的處理機制相仿. 
能夠快速重用部分端口, 避免無端口可用無法建立新連接.

參數二

  • net.ipv4.ip_local_port_range
這個參數 雲計算和CentOS的默認值出奇的一致: 
32768    60999
第一個參數代表隨機端口的下限
第二個參數代表建立TCP連接時端口的上限
C10K甚至是C100K的很多優化裏面都是需要改這個參數的

TCP是有四元素 local_ip local_port remote_ip remote_port 
來唯一確認一個TCP連接的.
理論上一個TCP的LISTEN的監聽端口可以建立很多個TCP連接的.

參數三

  • net.ipv4.tcp_tw_reuse
個人感覺這個參數其實是存在一定風險的
可能會導致錯誤的TCP連接.
但是理論上 linux內核有TCP狀態的檢驗還有TCP的序列號進行串行化處理
幾乎零可能性的出現嚴重的數據問題.

一個簡單的進行驗證的腳本

echo "443:" `netstat -anop |grep tcp |grep -v LISTEN |grep -v 637 |grep -v 884 |grep -v 1521 |grep -v tcp6 |grep -v :22 |grep :443 |awk '{++state[$6]} END {for(key in state) print key,state[key]}'`
echo "5000:" `netstat -anop |grep tcp |grep -v LISTEN |grep -v 637 |grep -v 884 |grep -v 1521 |grep -v tcp6 |grep -v :22 |grep :5000 |awk '{++state[$6]} END {for(key in state) print key,state[key]}'`
echo "5200:" `netstat -anop |grep tcp |grep -v LISTEN |grep -v 637 |grep -v 884 |grep -v 1521 |grep -v tcp6 |grep -v :22 |grep :520 |awk '{++state[$6]} END {for(key in state) print key,state[key]}'`

可以定量分析不同端口的連接信息.

內核參數的驗證-1

修改內核參數
sysctl -w "net.ipv4.tcp_max_tw_buckets=50000"
登錄系統進行分析查看time wait的TCP數量. 
[root@openeuler2203 ~]#  netstat -anop |grep tcp |grep -v LISTEN |grep -v :637 |grep -v :884 |grep -v :1521 |grep -v tcp6 |grep -v :22 |grep :5200
tcp        0      0 10.110.139.230:5200     10.110.136.50:57506     TIME_WAIT   -                    timewait (0.71/0/0)
tcp        0      0 10.110.139.230:5200     10.110.136.50:37506     TIME_WAIT   -                    timewait (57.65/0/0)
tcp        0      0 10.110.139.230:5200     10.110.136.50:37604     TIME_WAIT   -                    timewait (57.94/0/0)
tcp        0      0 10.110.139.230:5200     10.110.136.50:57490     TIME_WAIT   -                    timewait (0.70/0/0)
tcp        0      0 10.110.139.230:5200     10.110.136.50:37708     TIME_WAIT   -                    timewait (58.02/0/0)
tcp        0      0 10.110.139.230:5200     10.110.136.50:37696     TIME_WAIT   -                    timewait (58.02/0/0)
tcp        0      0 10.110.139.230:5200     10.110.136.50:37630     TIME_WAIT   -                    timewait (57.96/0/0)
tcp        0      0 10.110.139.230:5200     10.110.136.50:57538     TIME_WAIT   -                    timewait (0.75/0/0)

發現會有40條 time wait的 tcp連接. 
最後一列是等待終結的time wait的tcp連接 等到所有的連接都停止後再次修改內核參數
sysctl -w "net.ipv4.tcp_max_tw_buckets=10"
# 注意我這種修改僅是驗證問題, 沒有生產適用性. 
# 注意每次測試至少要等待60秒等待之前的tcp連接終結. 

再次執行登錄簡單測試,效果爲:
[root@openeuler2203 ~]#  netstat -anop |grep tcp |grep -v LISTEN |grep -v :637 |grep -v :884 |grep -v :1521 |grep -v tcp6 |grep -v :22 |grep :5200
tcp        0      0 10.110.139.230:5200     10.110.136.50:59150     ESTABLISHED 716321/nginx: worke  off (0.00/0/0)

發現沒有再次生成 time wait的連接
# 注意這個參數是整個操作系統所有的time_wait的連接數 不單純是一個端口的. 所以10個肯定是不夠用的.

內核參數驗證-2

直接修改參數: 
sysctl -w "net.ipv4.ip_local_port_range=3000 4000"
# 注意結果可以與內核參數驗證-1 裏面的結果進行對照. 
# 注意需要修改回 bucket的數據避免測試失效. 
[root@KylinV10SP3ARM64 nginx]# netstat -anop |grep tcp |grep -v LISTEN |grep -v 637 |grep -v 8848 |grep -v 1521 |grep -v tcp6 |grep -v :22 |grep 10.110.139.230
tcp        0      0 10.110.136.50:3508      10.110.139.230:5200     ESTABLISHED 3872246/nginx: work  off (0.00/0/0)
tcp        0      0 10.110.136.50:31062     10.110.139.230:5200     TIME_WAIT   -                    timewait (51.06/0/0)
注意可以再次修改一下 端口信息再次進行驗證
sysctl -w "net.ipv4.ip_local_port_range=5000 5100"
測試結果爲: 
[root@KylinV10SP3ARM64 nginx]# netstat -anop |grep tcp |grep -v LISTEN |grep -v 637 |grep -v 8848 |grep -v 1521 |grep -v tcp6 |grep -v :22 |grep 10.110.139.230
tcp        0      0 10.110.136.50:5096      10.110.139.230:5200     ESTABLISHED 3872246/nginx: work  off (0.00/0/0)
tcp        0      0 10.110.136.50:3508      10.110.139.230:5200     TIME_WAIT   -                    timewait (55.94/0/0)
僅僅是執行了一下刷新動作. 
就會看到上面一個3508 local 的本地端口開始進入time_wait狀態
新建立的連接的local_port 就是 5096  
sysctl -w "net.ipv4.ip_local_port_range=5000 5050"
效果也是完全一致符合猜測. 
[root@KylinV10SP3ARM64 nginx]# netstat -anop |grep tcp |grep -v LISTEN |grep -v 637 |grep -v 8848 |grep -v 1521 |grep -v tcp6 |grep -v :22 |grep 10.110.139.230
tcp        0      0 10.110.136.50:5096      10.110.139.230:5200     TIME_WAIT   -                    timewait (56.10/0/0)
tcp        0      0 10.110.136.50:5008      10.110.139.230:5200     ESTABLISHED 3872246/nginx: work  off (0.00/0/0)

# 需要注意 修改改端口僅影響 第四列的本地連接信息, 不會影響第五列的外部連接信息
# 外部的需要是一個 監聽端口爲主.
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Qt/C++音視頻開發71-指定mjpeg/h264格式採集本地攝像頭/存儲文件到mp4/設備推流/採集推流

一、前言 用ffmpeg採集本地攝像頭,如果不指定格式的話,默認小分辨率比如640x480使用rawvideo格式,大分辨率比如1280x720使用mjpeg格式,當然前提是這個攝像頭設備要支持這些格式。目前市面上有一些廠家做的本地設備支持

飛揚青雲 2024-04-25 14:40:54

git命令下,mac環境下載依賴相關報錯問題解決方案

1.安裝fundry框架curl -L https://foundry.paradigm.xyz | bash 2.寫入環境變量source /Users/xx/.bashrc 3.foundryup 問題1報錯:致命錯誤:無法訪問 'h

西紅柿愛喫馬鈴薯 2024-04-25 14:40:34

Python函數參數爲列表問題

def ADD(a): print(3,a,hex(id(a))) a.remove(2) print(3,a,hex(id(a))) a=a.append(10)

Danlis 2024-04-25 14:39:54

使用 NestJS 和 qrcode.js 創建 QR 碼生成器 API

前言 QR碼(Quick Response Code)是一種二維碼,於1994年開發。它能快速存儲和識別數據,包含黑白方塊圖案,常用於掃描獲取信息。QR碼具有高容錯性和快速讀取的優點,廣泛應用於廣告、支付、物流等領域。通過掃描QR碼,用戶可

葡萄城技術團隊 2024-04-25 14:39:44

ebpf在Android安全上的應用:ebpf的一些基礎知識(上篇)

ebpf在Android安全上的應用:ebpf的一些基礎知識(上篇) 一、ebpf介紹 eBPF 是一項革命性的技術,起源於 Linux 內核,它可以在特權上下文中(如操作系統內核)運行沙盒程序。它用於安全有效地擴展內核的功能,而無需通過更

windy_2 2024-04-25 14:36:53

CIRCLEQ_INSERT_AFTER, C語言循環隊列

  CMakeLists.txt # CMakeList.txt : CMake project for llist, include source and define # project specific logic here. #

mingzhanghui 2024-04-25 14:34:32

[MDP.BlazorCore] 快速建立跨Web、App執行的BlazorApp專案

團隊資源受限的時候,使用Blazor開發應用系統,只需開發一份程式碼及使用一種程式語言,就同時產出Web跟App應用系統。 本篇文章,紀錄使用MDP.BlazorCore所提供的樣板,快速建立跨Web、App執行的BlazorApp專案。為

Clark159 2024-04-25 14:32:42

Hessian矩陣以及在血管增強中的應用——OpenCV實現【2024年更新】

有別於廣爲人知的Sobel、Canny等一階算法,基於Hessian矩陣能夠得到圖像二階結果,這將幫助我們深入分析圖像本質。 Hessian矩陣在圖像處理中有着廣泛的應用:其中在圖像分割領域,包括邊緣檢測、紋理分析等;在圖像增強領域,包括邊

jsxyhelu 2024-04-25 14:32:02

七天.NET 8操作SQLite入門到實戰 - (2)第七天Blazor班級管理頁面編寫和接口對接

前言 上一章節我們引入BootstrapBlazor UI組件完成了EasySQLite後臺界面的基本架子的搭建,本章節的主要內容是Blazor班級管理頁面編寫和接口對接。 七天.NET 8 操作 SQLite 入門到實戰詳細教程 第一天

追逐時光 2024-04-25 14:30:41

WPF開源輕便、快速的桌面啓動器

前言 今天大姚給大家分享一款WPF開源、簡單、輕便、快速的桌面啓動器(支持多主題、多語言:簡體中文、繁體中文、英文等):CurvaLauncher。 WPF介紹 WPF 是一個強大的桌面應用程序框架,用於構建具有豐富用戶界面的 Window

追逐時光 2024-04-25 14:30:41

MySQL 分庫分表方案,總結太全了。。

來源:https://www.cnblogs.com/405845829qq/p/7552736.html 前言 公司最近在搞服務分離,數據切分方面的東西,因爲單張包裹表的數據量實在是太大,並且還在以每天60W的量增長。 之前瞭解過數據庫的

Java技術棧 2024-04-25 14:30:11

公司來了個新同事,把 DDD 運用得爐火純青!

前言 我們生活中都聽說了DDD,也瞭解了DDD,那麼怎麼將一個新項目從頭開始按照DDD的過程進行劃分與架構設計呢? 一、專業術語 各種服務 IAAS:基礎設施服務,Infrastructure-as-a-service PAAS:平臺服務

Java技術棧 2024-04-25 14:30:11

抖音的倒水問題, 計算機bfs求解

暴力求解 bfs方法.並且找到的一定是最少步驟 問題: 抖音上面又來了一個倒水遊戲 例子: 3個杯子, 容量12, 9, 5 上來12是滿的. 然後都沒有刻度只能倒到一個滿這種倒法, 然後最後希望倒出2個6ml的. # 抖音上面又來了一個倒

張博的博客 2024-04-25 14:28:41

tar和zip包加密解密壓縮

    1、概述 嗯,最近有些機密文件無處安放,因爲太機密了,後來確定加密後放到服務器上。研究一番後發現tar和zip命令都能實現,所以在此記錄一下。 壓縮:tar -zcvf - ./packageTest | openssl des3

馬昌偉 2024-04-25 14:22:40

解決mysql 事務死鎖的方法

使用以下命令查看引擎的狀態 SHOW ENGINE INNODB STATUS;   如果有事務死鎖可以看到如下圖的關鍵字   找到上圖的線程id 使用 kill 57763 .解決問題。 問題回放,事務死鎖如何產生? 本地調試

雨V幕 2024-04-25 14:22:00