2. 程式人生 > >linux系統最大TCP連線數限制

linux系統最大TCP連線數限制

阿新 發佈:2019-01-30

本部落格為轉載,原文請參見<a href="http://blog.51cto.com/jschu/1755279">http://blog.51cto.com/jschu/1755279</a>

web伺服器和cache伺服器,高併發下,socket最大連線數限制調整:

1,修改使用者程序可開啟最大檔案數限制。

    即時生效:ulimit -n xxx

    永久生效:

echo "ulimit -HSn 65536" >> /etc/rc.local

echo "ulimit -HSn 65536" >> /root/.bash_profile

ulimit -HSn 65536

2,修改網路核心對最大tcp連線數限制。

    /etc/sysctl.conf

一、

在Linux平臺上,無論編寫客戶端程式還是服務端程式,在進行高併發TCP連線處理時,最高的併發數量都要受到系統對使用者單一程序同時可開啟檔案數量的限制這是因為系統為每個TCP連線都要建立一個socket控制代碼,每個socket控制代碼同時也是一個檔案控制代碼)。例如:一個redis程式,只啟動一個程序,則只能開啟1024個檔案(預設1024)(1024個tcp連線=1024個socket連線控制代碼=1024個檔案控制代碼),

可使用ulimit命令檢視系統允許當前使用者程序開啟的檔案數限制:

$ ulimit -n

  1024

這表示當前使用者的每個程序最多允許同時開啟1024個檔案,這1024個檔案中還得除去每個程序必然開啟的標準輸入,標準輸出,標準錯誤,伺服器監聽 socket,程序間通訊的unix域socket等檔案,那麼剩下的可用於客戶端socket連線的檔案數就只有大概1024-10=1014個左右。也就是說預設情況下,基於Linux的通訊程式最多允許同時1014個TCP併發連線。

  對於想支援更高數量的TCP併發連線的通訊處理程式,就必須修改Linux對當前使用者的程序同時開啟的檔案數量:

軟限制(soft limit):是指Linux在當前系統能夠承受的範圍內進一步限制使用者同時開啟的檔案數;

硬限制(hardlimit):

是根據系統硬體資源狀況(主要是系統記憶體)計算出來的系統最多可同時開啟的檔案數量。

    通常軟限制小於或等於硬限制

修改單個程序開啟最大檔案數限制的最簡單的辦法就是使用ulimit命令:

  [[email protected] ~]$ ulimit -n

  上述命令中,在中指定要設定的單一程序允許開啟的最大檔案數。如果系統回顯類似於"Operation notpermitted"之類的話,說明上述限制修改失敗,實際上是因為在中指定的數值超過了Linux系統對該使用者開啟檔案數的軟限制或硬限制。因此,就需要修改Linux系統對使用者的關於開啟檔案數的軟限制和硬限制。

  第一步,修改/etc/security/limits.conf檔案,在檔案中新增如下行:

  speng soft nofile 10240

  speng hard nofile 10240

  其中speng指定了要修改哪個使用者的開啟檔案數限制,可用'*'號表示修改所有使用者的限制;

  soft或hard指定要修改軟限制還是硬限制;10240則指定了想要修改的新的限制值,即最大開啟檔案數(請注意軟限制值要小於或等於硬限制)。修改完後儲存檔案。

  第二步,修改/etc/pam.d/login檔案,在檔案中新增如下行:

  session required /lib/security/pam_limits.so 這是告訴Linux在使用者完成系統登入後,應該呼叫pam_limits.so模組來設定系統對該使用者可使用的各種資源數量的最大限制(包括使用者可開啟的最大檔案數限制),而pam_limits.so模組就會從/etc/security/limits.conf檔案中讀取配置來設定這些限制值。修改完後儲存此檔案。

  第三步,檢視Linux系統級的最大開啟檔案數限制,使用如下命令:

  [[email protected] ~]$ cat /proc/sys/fs/file-max

  12158

  這表明這臺Linux系統最多允許同時開啟(即包含所有使用者開啟檔案數總和)12158個檔案,是Linux系統級硬限制,所有使用者級的開啟檔案數限制都不應超過這個數值。通常這個系統級硬限制是Linux系統在啟動時根據系統硬體資源狀況計算出來的最佳的最大同時開啟檔案數限制,如果沒有特殊需要,不應該修改此限制,除非想為使用者級開啟檔案數限制設定超過此限制的值。

  修改此硬限制的方法是修改/etc/rc.local指令碼,在指令碼中新增如下行:

  echo 22158 > /proc/sys/fs/file-max

  這是讓Linux在啟動完成後強行將系統級開啟檔案數硬限制設定為22158.修改完後儲存此檔案。

  完成上述步驟後重啟系統,一般情況下就可以將Linux系統對指定使用者的單一程序允許同時開啟的最大檔案數限制設為指定的數值。如果重啟後用 ulimit-n命令檢視使用者可開啟檔案數限制仍然低於上述步驟中設定的最大值,這可能是因為在使用者登入指令碼/etc/profile中使用ulimit -n命令已經將使用者可同時開啟的檔案數做了限制。由於通過ulimit-n修改系統對使用者可同時開啟檔案的最大數限制時,新修改的值只能小於或等於上次 ulimit-n設定的值,因此想用此命令增大這個限制值是不可能的。

  所以,如果有上述問題存在,就只能去開啟/etc/profile指令碼檔案,在檔案中查詢是否使用了ulimit-n限制了使用者可同時開啟的最大檔案數量,如果找到,則刪除這行命令,或者將其設定的值改為合適的值,然後儲存檔案,使用者退出並重新登入系統即可。 通過上述步驟,就為支援高併發TCP連線處理的通訊處理程式解除關於開啟檔案數量方面的系統限制。

二、修改網路核心對TCP連線的有關限制

  在Linux上編寫支援高併發TCP連線的客戶端通訊處理程式時,有時會發現儘管已經解除了系統對使用者同時開啟檔案數的限制,但仍會出現併發TCP連線數增加到一定數量時,再也無法成功建立新的TCP連線的現象。出現這種現在的原因有多種。

  第一種原因可能是因為Linux網路核心對本地埠號範圍有限制。此時,進一步分析為什麼無法建立TCP連線,會發現問題出在connect()呼叫返回失敗,檢視系統錯誤提示訊息是"Can't assign requestedaddress".同時,如果在此時用tcpdump工具監視網路,會發現根本沒有TCP連線時客戶端發SYN包的網路流量。這些情況說明問題在於本地Linux系統核心中有限制。

  其實,問題的根本原因在於Linux核心的TCP/IP協議實現模組對系統中所有的客戶端TCP連線對應的本地埠號的範圍進行了限制(例如,核心限制本地埠號的範圍為1024~32768之間)。當系統中某一時刻同時存在太多的TCP客戶端連線時,由於每個TCP客戶端連線都要佔用一個唯一的本地埠號(此埠號在系統的本地埠號範圍限制中),如果現有的TCP客戶端連線已將所有的本地埠號佔滿,則此時就無法為新的TCP客戶端連線分配一個本地埠號了,因此係統會在這種情況下在connect()呼叫中返回失敗,並將錯誤提示訊息設為"Can't assignrequested address".

  有關這些控制邏輯可以檢視Linux核心原始碼,以linux2.6核心為例,可以檢視tcp_ipv4.c檔案中如下函式:

  static int tcp_v4_hash_connect(struct sock *sk)

  請注意上述函式中對變數sysctl_local_port_range的訪問控制。變數sysctl_local_port_range的初始化則是在tcp.c檔案中的如下函式中設定:

  void __init tcp_init(void)

  核心編譯時預設設定的本地埠號範圍可能太小,因此需要修改此本地埠範圍限制。

  第一步,修改/etc/sysctl.conf檔案,在檔案中新增如下行:

  net.ipv4.ip_local_port_range = 1024 65000

  這表明將系統對本地埠範圍限制設定為1024~65000之間。請注意,本地埠範圍的最小值必須大於或等於1024;而埠範圍的最大值則應小於或等於65535.修改完後儲存此檔案。

  第二步,執行sysctl命令:

  [[email protected] ~]$ sysctl -p

  如果系統沒有錯誤提示,就表明新的本地埠範圍設定成功。如果按上述埠範圍進行設定,則理論上單獨一個程序最多可以同時建立60000多個TCP客戶端連線。

  第二種無法建立TCP連線的原因可能是因為Linux網路核心的防火牆對最大跟蹤的TCP連線數有限制。此時程式會表現為在 connect()呼叫中阻塞,如同宕機,如果用tcpdump工具監視網路,也會發現根本沒有TCP連線時客戶端發SYN包的網路流量。由於防火牆在核心中會對每個TCP連線的狀態進行跟蹤,跟蹤資訊將會放在位於核心記憶體中的conntrackdatabase中,這個資料庫的大小有限,當系統中存在過多的TCP連線時,資料庫容量不足,IP_TABLE無法為新的TCP連線建立跟蹤資訊,於是表現為在connect()呼叫中阻塞。此時就必須修改核心對最大跟蹤的TCP連線數的限制,方法同修改核心對本地埠號範圍的限制是類似的:

  第一步,修改/etc/sysctl.conf檔案,在檔案中新增如下行:

  net.ipv4.ip_conntrack_max = 10240

  這表明將系統對最大跟蹤的TCP連線數限制設定為10240.請注意,此限制值要儘量小,以節省對核心記憶體的佔用。

  第二步,執行sysctl命令:

  [[email protected] ~]$ sysctl -p

  如果系統沒有錯誤提示,就表明系統對新的最大跟蹤的TCP連線數限制修改成功。如果按上述引數進行設定,則理論上單獨一個程序最多可以同時建立10000多個TCP客戶端連線。

三、

    使用支援高併發網路I/O的程式設計技術在Linux上編寫高併發TCP連線應用程式時,必須使用合適的網路I/O技術和I/O事件分派機制。可用的I/O技術有同步I/O,非阻塞式同步I/O(也稱反應式I/O),以及非同步I/O.在高TCP併發的情形下,如果使用同步I/O,這會嚴重阻塞程式的運轉,除非為每個TCP連線的I/O建立一個執行緒。

  但是,過多的執行緒又會因系統對執行緒的排程造成巨大開銷。因此,在高TCP併發的情形下使用同步 I/O是不可取的,這時可以考慮使用非阻塞式同步I/O或非同步I/O.非阻塞式同步I/O的技術包括使用select(),poll(),epoll等機制。非同步I/O的技術就是使用AIO.

  從I/O事件分派機制來看,使用select()是不合適的,因為它所支援的併發連線數有限(通常在1024個以內)。如果考慮效能,poll()也是不合適的,儘管它可以支援的較高的TCP併發數,但是由於其採用"輪詢"機制,當併發數較高時,其執行效率相當低,並可能存在I/O事件分派不均,導致部分TCP連線上的I/O出現"飢餓"現象。而如果使用epoll或AIO,則沒有上述問題(早期Linux核心的AIO技術實現是通過在核心中為每個 I/O請求建立一個執行緒來實現的,這種實現機制在高併發TCP連線的情形下使用其實也有嚴重的效能問題。但在最新的Linux核心中,AIO的實現已經得到改進)。

  綜上所述,在開發支援高併發TCP連線的Linux應用程式時,應儘量使用epoll或AIO技術來實現併發的TCP連線上的I/O控制,這將為提升程式對高併發TCP連線的支援提供有效的I/O保證。

核心引數sysctl.conf的優化

  /etc/sysctl.conf 是用來控制linux網路的配置檔案,對於依賴網路的程式(如web伺服器和cache伺服器)非常重要RHEL預設提供的最好調整

  推薦配置(把原/etc/sysctl.conf內容清掉,把下面內容複製進去):

cp /etc/sysctl.conf /etc/sysctl.conf.bak

echo ""> /etc/sysctl.conf

vim /etc/sysctl.conf

net.ipv4.ip_local_port_range = 1024 65535

net.core.rmem_max = 16777216

net.core.wmem_max = 16777216

net.ipv4.tcp_rmem = 4096 87380 16777216

net.ipv4.tcp_wmem = 4096 65536 16777216

net.ipv4.tcp_fin_timeout = 10

net.ipv4.tcp_tw_recycle = 1

net.ipv4.tcp_timestamps = 0

net.ipv4.tcp_window_scaling = 0

net.ipv4.tcp_sack = 0

net.core.netdev_max_backlog = 30000

net.ipv4.tcp_no_metrics_save = 1

net.core.somaxconn = 10240

net.ipv4.tcp_syncookies = 0

net.ipv4.tcp_max_orphans = 262144

net.ipv4.tcp_max_syn_backlog = 262144

net.ipv4.tcp_synack_retries = 2

net.ipv4.tcp_syn_retries = 2

  這個配置參考於cache伺服器varnish的推薦配置和SunOne伺服器系統優化的推薦配置。

  不過varnish推薦的配置是有問題的,實際執行表明"net.ipv4.tcp_fin_timeout = 3"的配置會導致頁面經常打不開;並且當網友使用的是IE6瀏覽器時,訪問網站一段時間後,所有網頁都會打不開,重啟瀏覽器後正常。可能是國外的網速快吧,我們國情決定需要調整"net.ipv4.tcp_fin_timeout = 10",在10s的情況下,一切正常(實際執行結論)。

  修改完畢後,執行:

sysctl -p /etc/sysctl.conf

sysctl -w net.ipv4.route.flush=1

  命令生效。為了保險起見,也可以reboot系統。

  調整開啟最大檔案控制代碼數(單個程序最大tcp連線數=單個程序最大socket連線數):

  linux系統優化完網路必須調高系統允許開啟的檔案數才能支援大的併發,預設1024是遠遠不夠的。

  執行命令:

  Shell程式碼

echo "ulimit -HSn 65536" >> /etc/rc.local

echo "ulimit -HSn 65536" >> /root/.bash_profile

ulimit -HSn 65535

相關推薦

linux系統TCP連線限制

本部落格為轉載,原文請參見<a href="http://blog.51cto.com/jschu/1755279">http://blog.51cto.com/jschu/1755279</a> web伺服器和cache伺服器,高併發下,socke

伺服器TCP連線及調優彙總 BIO,NIO,AIO的理解

啟動執行緒數: 啟動執行緒數=【任務執行時間/(任務執行時間-IO等待時間)】*CPU核心數 最佳啟動執行緒數和CPU核心數量成正比,和IO阻塞時間成反比。如果任務都是CPU計算型任務,那麼執行緒數最多不超過CPU核心數,因為啟動再多執行緒,CPU也來不及排程;相反如果是任務需要等待磁碟操作,網路響應,那

單機TCP連線

今天寫程式用到epoll的模型,翻出原先的程式碼跑了一下,看到原來define的最大的處理使用者上限,感覺有些不妥,所以決定測試一下我的ubuntu 16.04,1G記憶體的單機上究竟可以建立多少個連線。雖然網上有很多這方面的案例,但是我還是決定自己測試一下,印象深刻,對問題

Windows 下單機TCP連線

在做Socket 程式設計時,我們經常會要問,單機最多可以建立多少個 TCP 連線,本文將介紹如何調整系統引數來調整單機的最大TCP連線數。 Windows 下單機的TCP連線數有多個引數共同決定,下面一一介紹: 最大TCP連線數 [HKEY_LOCAL_MACHI

Linux執行緒限制

研發環境上的Linux專案啟動報錯:Caused by: java.lang.OutOfMemoryError: unable to create new native thread 開始以為是記憶體不足導致無法建立執行緒,把jvm的-Xms,-Xmx的2個引數都加大一倍:-Xms2048m -

Linux執行緒限制及當前執行緒查詢

1、總結系統限制有:     /proc/sys/kernel/pid_max #查系統支援的最大執行緒數,一般會很大,相當於理論值     /proc/sys/kernel/thread-max     max_user_process(ulimit -u) #系統限制某

Nginx限制訪問速率和併發連線模組--limit (防止DDOS攻擊)

Nginx限制訪問速率和最大併發連線數模組–limit (防止DDOS攻擊) Tengine版本採用http_limit_req_module進行限制 和官方nginx類似,不過支援多個變數,並且支援多個limit_req_zone的設定。比如:

問題:因為linux系統的控制代碼限制導致連不上mq的問題

在docker中模擬了數百臺客戶端連線執行在linux系統之上的mq,結果報連線不上的錯誤。 定位了好久,請教了一個前輩,在非常偶然的情況下發現了mq使用的控制代碼數為1021,而linux系統(沒有配置過)這個數值是1024,所以連線不上了 使用ulimit -n 655

關於linux系統程序數和單程序執行緒的測試

我的系統:RedHat企業7 64位 記憶體6G ulimit -a檢視用於shell啟動程序所佔用的資源預設設定 一.最大程序數 1.使用命令ulimit -u檢視軟限制,我的為7807 /etc/security/limits.conf檢視硬限制

Linux 修改線程

參考 ulimit -a vim https ger IT color www soft 查看線程數 ulimit -a 修改配置文件 vim /etc/security/limits.d/90-nproc.conf user soft npr

Linux進程文件數

second nice AI pre 添加記錄 cde sys 前言 over 前言 Linux系統中可以設置關於資源的使用限制,比如:進程數量,文件句柄數,連接數等等。 在日常的工作中應該遇到過: -bash: fork: retry: Resource tempora

修改RedHat 7.2 進程句柄限制

生效 max rep source red hat 登陸 nbsp pam 執行 RedHat對進程打開文件句柄數主要通過設置全局值和登陸用戶分別管理。其中/proc/sys/fs下設置全局最大文件句柄數和用戶進程能打開的最大文件句柄數,這兩個參數一般情況下不需要修改。

cenots 解除普通用戶的進程限制

但是 har conf entos 最大 etc 那是 soft its 一般我們在 /etc/security/limits.conf 這個文件設置用戶最大進程打開數,但是這個只對root用戶有效,即使加了* soft nproc 65535 hard nproc 65

IIS併發連線

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

nginx併發連線的思考:worker_processes、worker_connections、worker_rlimit_nofile

無論是看過的nginx有關書還是網上看到的有關nginx 配置說明的文章(http://wiki.nginx.org/EventsModule#worker_connections),無一例外,在講到 worker_connections 和 max_clients這兩個概念的關係時都一致的一筆帶過

MySQL檢視併發連線

MySQL檢視最大併發連線數 MySQL效能相關 最大併發連線數檢視 :show variables like ‘%max_connections%’; 重新設定最大併發連線數:set global max_connections=1000 修改/etc/my.cn

iis併發連線、佇列長度、併發執行緒工作程序數

最大併發連線數:  1、影響因素: a.網站html請求,html中的圖片資源,html中的指令碼資源,其他需要連線下載的資源等等,任何一個資源的請求即一次連線(雖然有的資源請求連線響應很快) b.如果網頁採用框架(框架內部巢狀網頁請求),那麼一個框架即一次連線 c.

Qt實用技巧:Qt併發伺服器通訊,受同一時刻執行緒限制(筆者本本同一時刻600多)

需求        預言專案需要寫個qt伺服器,終端與qt伺服器完成socket通訊,因存在多個裝置,單個傳輸檔案大小比較大,所以做多執行緒併發。實現原理        客戶端:固定client的執行緒數量,單個執行緒按照設定的間隔不斷髮送資料給伺服器,並接收伺服器的執行緒指

mysql併發連線設定

mysql > show variables like ’max_connections‘; +-----------------+-------+ | Variable_name   | Value | +-----------------+-------+ | max_connections |

Tomcat併發優化,修改service.xml效能調優 增加併發連線

可以在控制檯的啟動資訊裡看見,預設狀態下沒有被開啟nio配置,啟動時的資訊,如下: 2010-2-1 12:59:40 org.apache.coyote.http11.Http11Protocol init 資訊: Initializing Coyote HTTP/1.1 on http-8080 2010