生产环境linux的sysctl.conf调优需依据实际负载特征,聚焦net/core与net/ipv4/tcp子系统,剔除过时或高风险参数,每项标注适用场景、风险及典型值,强调内存水位设置、time_wait处理、拥塞控制算法选择、连接队列配置等核心实践。
生产环境 Linux 的 sysctl.conf 调优不是堆参数,而是围绕实际负载特征(高并发短连接、长连接吞吐、突发流量、低延迟要求等)做有依据的收敛。以下清单聚焦 net/core、net/ipv4/tcp 等核心网络子系统,剔除过时、副作用大或需配套内核/应用改造才生效的项,每项标注适用场景、风险提示和典型值参考。
内存与缓冲区:避免 OOM 与自动缩放失灵
内核 TCP 内存管理若配置不当,易在流量突增时触发 OOM Killer 或因自动调优滞后导致丢包。
- net.ipv4.tcp_mem = 262144 524288 786432:三元组分别对应 low、pressure、high 水位(单位:页)。建议设为固定比例(如 1:2:3),且 high 值 ≤ 物理内存的 10%(例如 64G 内存,786432 页 ≈ 3G)。避免使用 "0 0 0" 依赖自动计算,生产环境需明确上限。
-
net.core.rmem_max = 16777216(16MB)、net.core.wmem_max = 16777216:单 socket 最大收发缓冲区。需 ≥ 应用设置的
SO_RCVBUF/SO_SNDBUF,否则被截断。SSD 存储网关或 RDMA 场景可提至 32M。 - net.core.rmem_default = 262144、net.core.wmem_default = 262144:默认缓冲区大小(单位字节)。比内核默认(212992)略高,减少小包拷贝开销,不影响大流量吞吐。
TCP 连接行为:适配服务类型(短连接/长连接)
短连接服务(如 HTTP API)关注 TIME_WAIT 处理与端口复用;长连接服务(如数据库代理)需抑制重传与保活干扰。
- net.ipv4.tcp_fin_timeout = 30:FIN_WAIT_2 状态超时。默认 60 秒,短连接服务可降至 30,加速端口回收。注意:若对端不发 FIN,此值无效。
-
net.ipv4.tcp_tw_reuse = 1:允许 TIME_WAIT socket 用于新连接(仅客户端有效)。Web 服务器作为下游调用方时启用;反向代理或 Nginx 作为服务端时禁用(
=0),避免 TIME_WAIT 端口被误复用引发 RST。 - net.ipv4.tcp_slow_start_after_idle = 0:禁用空闲后慢启动。长连接(如 Redis/MQ 连接池)持续传输时,避免因空闲超时重置 cwnd 导致吞吐骤降。
- net.ipv4.tcp_keepalive_time = 600、net.ipv4.tcp_keepalive_intvl = 60、net.ipv4.tcp_keepalive_probes = 3:保活探测(10分钟无数据→每60秒探1次→3次无响应断连)。数据库连接池必须启用,防止中间设备(NAT/防火墙)静默断链。
拥塞控制与丢包恢复:平衡吞吐与延迟
默认 cubic 在高带宽低延迟网络表现好,但高丢包率(>1%)或 RTT > 100ms 环境需切换算法。
-
net.ipv4.tcp_congestion_control = bbr:BBR v2 推荐用于公网长肥管道(BDP > 10MB)。需内核 ≥ 5.4 且确认业务无重传敏感逻辑(如某些旧版 Kafka 客户端)。替代方案:
reno(兼容性最好)、westwood(高丢包场景)。 - net.ipv4.tcp_sack = 1:启用选择性确认(SACK)。必须开启,大幅提升丢包恢复效率。禁用会导致单个丢包触发整窗口重传。
- net.ipv4.tcp_fack = 0:FACK 已废弃,强制关闭。与 SACK 共存会引发不可预测重传行为。
- net.ipv4.tcp_reordering = 3:报文乱序阈值。默认 3,高丢包链路可增至 6–12,避免误判丢包触发快速重传。但过高会增加延迟。
连接队列与 SYN 处理:抵御 SYN Flood 与连接积压
连接建立阶段是 DDoS 和瞬时并发的瓶颈点,需兼顾防护与性能。
-
net.core.somaxconn = 65535:listen() 队列最大长度。必须 ≥ 应用层设置(如 Nginx
listen ... backlog=65535)。低于此值将被内核截断。 -
net.ipv4.tcp_max_syn_backlog = 65535:SYN 半连接队列长度。与
somaxconn同量级。若日志频繁出现"possible SYN flooding",先检查此值是否不足,再考虑启用 SYN Cookie。 -
net.ipv4.tcp_syncookies = 1:仅当半连接队列满时启用 SYN Cookie。**生产环境慎用**:破坏 TCP 时间戳选项(影响 RTT 测量)、禁用 SACK、增加 CPU 开销。优先扩容
tcp_max_syn_backlog,仅在无法扩容且确认攻击真实时开启。 - net.ipv4.ip_local_port_range = 1024 65535:本地端口范围。避免默认的 32768–65535(仅 32K 端口),短连接密集型服务(如爬虫、API 网关)必须扩至 1024 起始,释放 64K 可用端口。
所有修改后执行 sysctl -p 生效,并用 sysctl -a | grep 'your_param' 核验。关键参数需配合监控(如 /proc/net/snmp 中 TCP 的 RetransSegs、EstabResets)验证效果。不复杂但容易忽略。
