配置項(xiàng)

值

說明

net.ipv4.tcp_timeout_init

1000

TCP超時(shí)重傳初始值。

最小值為2 HZ。

net.ipv4.tcp_synack_timeout_init

1000

SYN-ACK初始超時(shí)時(shí)間。

最小值為2 HZ。

第一次重傳后，超時(shí)時(shí)間將加倍。

net.ipv4.tcp_synack_timeout_max

120000

SYN-ACK超時(shí)時(shí)間最大值。

最小值為2 HZ。

tcp_synack_timeout_init在重傳SYN-ACK報(bào)文時(shí)RTO會成倍增加，但最大不能超過tcp_synack_timeout_max。

net.ipv4.tcp_ato_min

40

ACK超時(shí)時(shí)間。

通過修改sysctl參數(shù)靈活地控制ACK超時(shí)時(shí)間。

取值范圍：4 ms～200 ms。

net.ipv4.tcp_init_cwnd

10

TCP初始擁塞窗口大小。

net.ipv4.tcp_synack_retries

2

服務(wù)端響應(yīng)SYN-ACK后未收到最終的ACK時(shí)需要重試的次數(shù)。

網(wǎng)絡(luò)質(zhì)量良好情況下，進(jìn)行3次重試大約需要7秒。

net.ipv4.tcp_slow_start_after_idle

0

TCP接收數(shù)據(jù)空閑之后是否需要重新慢啟動。取值范圍：

• 1：是。

• 0：否。

/sys/kernel/mm/transparent_hugepage/hugetext_enabled

0

控制代碼大頁特性。取值范圍：

• 0：關(guān)閉代碼大頁。

• 1：僅打開二進(jìn)制和動態(tài)庫大頁。

• 2：僅打開可執(zhí)行匿名大頁。

• 3：同時(shí)打開以上兩類大頁。

開啟代碼大頁可以降低程序的iTLB miss，提升數(shù)據(jù)庫、大型應(yīng)用程序等大代碼段業(yè)務(wù)場景性能。具體操作，請參見代碼大頁。

配置項(xiàng)

值

說明

net.ipv4.tcp_tw_timeout

60

socket在TIME_WAIT狀態(tài)的超時(shí)時(shí)間。

取值范圍：1秒～600秒。

具體操作，請參見修改TCP TIME-WAIT超時(shí)時(shí)間。

net.ipv4.tcp_max_tw_buckets

5000

允許最多timewait狀態(tài)的TCP連接數(shù)。

TIME_WAIT狀態(tài)的連接會占用客戶端與同一服務(wù)端建立連接的端口范圍（客戶端與同一服務(wù)端ip:port連接的最大端口數(shù)由net.ipv4.ip_local_port_range確定）。當(dāng)大量TIME_WAIT狀態(tài)的連接占用客戶端端口時(shí)，會導(dǎo)致客戶端在調(diào)用connect()時(shí)分配端口失敗，最終導(dǎo)致客戶端建立連接失敗。更多信息，請參見為什么Linux系統(tǒng)的ECS實(shí)例中出現(xiàn)大量“TCP: time wait bucket table overflow”錯(cuò)誤？。

配置項(xiàng)

值

說明

net.ipv4.conf.all.rp_filter

0

當(dāng)前所有網(wǎng)卡的反向路由校驗(yàn)控制。取值范圍：

• 0：關(guān)閉反向路由校驗(yàn)。

• 1：開啟嚴(yán)格的反向路由校驗(yàn)。開啟后，網(wǎng)卡會對每一個(gè)傳入的數(shù)據(jù)包進(jìn)行校驗(yàn)，如果數(shù)據(jù)包的反向路由與接收接口不匹配，校驗(yàn)失敗后將丟棄數(shù)據(jù)包。

• 2：不嚴(yán)謹(jǐn)?shù)姆聪蚵酚尚ｒ?yàn)。網(wǎng)卡對每個(gè)進(jìn)來的數(shù)據(jù)包校驗(yàn)源地址是否可達(dá)，如果反向路由可以通過任何接口到達(dá)，那么校驗(yàn)成功，否則校驗(yàn)失敗后將丟棄數(shù)據(jù)包。

net.ipv4.conf.default.rp_filter

0

新建網(wǎng)卡的反向路由校驗(yàn)控制。取值范圍：

• 0：關(guān)閉反向路由校驗(yàn)。

• 1：開啟嚴(yán)格的反向路由校驗(yàn)。開啟后，網(wǎng)卡會對每一個(gè)傳入的數(shù)據(jù)包進(jìn)行校驗(yàn)，如果數(shù)據(jù)包的反向路由與接收接口不匹配，校驗(yàn)失敗后將丟棄數(shù)據(jù)包。

• 2：不嚴(yán)謹(jǐn)?shù)姆聪蚵酚尚ｒ?yàn)。網(wǎng)卡對每個(gè)進(jìn)來的數(shù)據(jù)包校驗(yàn)源地址是否可達(dá)，如果反向路由可以通過任何接口到達(dá)，那么校驗(yàn)成功，否則校驗(yàn)失敗后將丟棄數(shù)據(jù)包。

net.ipv4.conf.default.arp_announce

2

當(dāng)前所有網(wǎng)卡影響ARP請求中源IP地址的選擇。取值范圍：

• 0：默認(rèn)行為。在默認(rèn)情況下，系統(tǒng)將使用任意可用的源IP地址作為接口的首選地址。在這種模式下，當(dāng)發(fā)送ARP請求時(shí)，內(nèi)核不會嚴(yán)格限制ARP請求中使用的源IP地址，而是可能選擇任何可用的本地地址作為源IP。

• 1：嚴(yán)格模式。盡量避免使用不相關(guān)的源IP地址。內(nèi)核在選擇源IP地址時(shí)，會嘗試使用與目標(biāo)地址在同一子網(wǎng)內(nèi)的地址。如果沒有這樣的地址，它還是會使用接口的主地址。

• 2：最嚴(yán)格模式。必須使用發(fā)送接口上的IP地址。內(nèi)核首先按照arp_announce=1的方式查找，若沒有查找到，則強(qiáng)制要求ARP請求使用的源IP地址必須是發(fā)送ARP請求的接口的IP地址。如果在這個(gè)接口上沒有合適的IP地址，則不會發(fā)送ARP請求。

net.ipv4.conf.all.arp_announce

2

新增網(wǎng)卡影響ARP請求中源IP地址的選擇。取值范圍：

• 0：默認(rèn)行為。在默認(rèn)情況下，系統(tǒng)將使用任意可用的源IP地址作為接口的首選地址。在這種模式下，當(dāng)發(fā)送ARP請求時(shí)，內(nèi)核不會嚴(yán)格限制ARP請求中使用的源IP地址，而是可能選擇任何可用的本地地址作為源IP。

• 1：嚴(yán)格模式。盡量避免使用不相關(guān)的源IP地址。內(nèi)核在選擇源IP地址時(shí)，會嘗試使用與目標(biāo)地址在同一子網(wǎng)內(nèi)的地址。如果沒有這樣的地址，它還是會使用接口的主地址。

• 2：最嚴(yán)格模式。必須使用發(fā)送接口上的IP地址。內(nèi)核首先按照arp_announce=1的方式查找，若沒有查找到，則強(qiáng)制要求ARP請求使用的源IP地址必須是發(fā)送ARP請求的接口的IP地址。如果在這個(gè)接口上沒有合適的IP地址，則不會發(fā)送ARP請求。

net.ipv4.tcp_syncookies

1

SYN Flood防護(hù)控制。取值范圍：

• 1：開啟TCP內(nèi)核防護(hù)，防止SYN Flood攻擊。

• 2：無條件開啟TCP內(nèi)核防護(hù)，防止SYN Flood攻擊，用于測試場景。

• 0：關(guān)閉TCP內(nèi)核SYN Flood防護(hù)功能。

配置項(xiàng)

默認(rèn)值

說明

net.ipv4.ip_local_port_range

32768 60999

端口號范圍。

在客戶端建立連接時(shí)，TCP/UDP協(xié)議允許根據(jù)實(shí)際需求修改本地端口號。當(dāng)該范圍內(nèi)的端口號大部分被占用完時(shí)，內(nèi)核線性搜索新端口可能導(dǎo)致CPU占用率升高。

net.ipv4.tcp_rmem

4096 131072 6291456

單個(gè)tcp socket的recvbuf的大小。單位：字節(jié)。

初始值與實(shí)例規(guī)格無關(guān)。第一個(gè)是最小值，第二個(gè)是默認(rèn)大小，第三個(gè)是最大值。推薦將其調(diào)大，但需考慮實(shí)例的內(nèi)存使用情況。

net.ipv4.tcp_wmem

4096 16384 4194304

單個(gè)tcp socket的sendbuf的大小。單位：字節(jié)。

初始值與實(shí)例規(guī)格無關(guān)。第一個(gè)是最小值，第二個(gè)是默認(rèn)大小，第三個(gè)是最大值。推薦將其調(diào)大，但需考慮實(shí)例的內(nèi)存使用情況。

net.core.netdev_max_backlog

1000

percpu用來保存skb隊(duì)列的長度。

主要用于RPS或者同一主機(jī)內(nèi)部通信的緩存隊(duì)列，比如loopback或veth。

net.core.somaxconn

4096

單個(gè)socket最大的Listen backlog隊(duì)列長度。

nginx這類處理大量短連接的應(yīng)用，建議將其值調(diào)大。

net.core.rmem_max

212992

單個(gè)socket上允許的最大recvbuf的大小。

主要用于處理大量連接在單個(gè)udp socket的場景。

在TCP中，這個(gè)選項(xiàng)僅在用戶調(diào)用setsockopt()配置SO_RCVBUF時(shí)使用，用戶設(shè)置的recvbuf不能超過該值。若用戶沒有調(diào)用setsockopt()，則tcp recvbuf只受net.ipv4.tcp_rmem的限制。

net.core.wmem_max

212992

單個(gè)socket上允許的最大sendbuf的大小。

主要用于處理大量連接在單個(gè)udp socket的場景。

在TCP中，這個(gè)選項(xiàng)僅在用戶調(diào)用setsockopt()配置SO_SNDBUF時(shí)使用，用戶設(shè)置的sendbuf不能超過該值。若用戶沒有調(diào)用setsockopt()，則tcp sendbuf只受net.ipv4.tcp_rmem的限制。

/sys/block/<device>/queue/nomerges

0

設(shè)備是否關(guān)閉merge特性。取值范圍：

• 0：打開任意類型的merge。

• 1：關(guān)閉復(fù)雜的merge檢查，打開簡單的one-shot merge。

• 2：關(guān)閉所有類型的merge。

IO的讀寫地址連續(xù)的情況下，內(nèi)核IO協(xié)議棧會將多個(gè)讀寫地址連續(xù)的IO合并為一個(gè)大IO（即merge特性），再統(tǒng)一發(fā)送給硬件處理，極大地提升了硬件的IO性能。

IO的讀寫地址隨機(jī)的情況下，IO之間發(fā)生合并的幾率較小。然而，檢查是否可以執(zhí)行合并操作會消耗一定的CPU周期，從而影響性能。用戶可以通過關(guān)閉設(shè)備的merge特性來提升性能。

/sys/block/<device>/queue/read_ahead_kb

4096

設(shè)備文件系統(tǒng)的read-ahead size。

內(nèi)核默認(rèn)值為128 KB，tuned服務(wù)將值調(diào)整為4096 KB。

如果用戶下發(fā)的IO負(fù)載大部分是隨機(jī)IO，建議調(diào)低該值（比如128 KB）以提升業(yè)務(wù)性能。

/sys/block/<device>/queue/rq_affinity

1

IO完成中斷要發(fā)送給哪個(gè)CPU進(jìn)行處理。取值范圍：

• 0：IO完成中斷會在當(dāng)前觸發(fā)中斷的CPU上進(jìn)行處理。

• 1：IO完成中斷發(fā)送給提交IO request的CPU所在的group。group一般指的是同一個(gè)socket，同一個(gè)socket上的CPU共享cache，在該設(shè)置下IO完成中斷實(shí)際是發(fā)送給該group的第一個(gè)CPU。這樣設(shè)置的優(yōu)點(diǎn)是cache友好，處理更快；缺點(diǎn)是IO頻繁時(shí)，group的第一個(gè)CPU壓力會很大。

• 2：IO完成中斷會發(fā)送給提交IO request的CPU。這樣設(shè)置的優(yōu)點(diǎn)是CPU的負(fù)載比較均衡；缺點(diǎn)是效率較上述設(shè)置低。

建議根據(jù)系統(tǒng)的IO壓力情況調(diào)整發(fā)送方式。

/sys/block/<device>/queue/scheduler

mq-deadline（單個(gè)隊(duì)列）或

none（多個(gè)隊(duì)列）

IO設(shè)備調(diào)度器。

Alibaba Cloud Linux 3支持的調(diào)度器mq-deadline、kyber、bfq、none。

針對blk-mq設(shè)備，如果只有一個(gè)隊(duì)列，默認(rèn)使用mq-deadline；如果有多個(gè)隊(duì)列，默認(rèn)使用none。

通常情況下，保持默認(rèn)值。如果有特殊要求，比如對讀時(shí)延性，可以切換到kyber，并配置相應(yīng)的時(shí)延目標(biāo)。

/sys/kernel/mm/pagecache_limit/enabled

0

是否啟用Linux內(nèi)核中的頁面緩存Page Cache大小限制功能。取值范圍：

• 0：禁用全部Page Cache限制功能。

• 1：啟用Page Cache限制功能。

更多信息，請參見Page Cache限制功能。

/sys/fs/cgroup/memory/memory.pagecache_limit.enable

0

memcg是否啟用Page Cache限制功開關(guān)。取值范圍：

• 0：當(dāng)前memcg禁用Page Cache限制功能。

• 1：當(dāng)前memcg啟用Page Cache限制功能。

更多信息，請參見Page Cache限制功能。

/sys/fs/cgroup/memory/memory.pagecache_limit.size

0

限制當(dāng)前memcg的Page Cache使用量。單位：字節(jié)。

取值范圍：0～當(dāng)前memcg的memory.limit_in_bytes值（memory.limit_in_bytes值由您自定義設(shè)置）。

• 0：即使全局開關(guān)和memcg開關(guān)都打開，當(dāng)前memcg也會禁用Page Cache限制功能。

• 非0：當(dāng)前memcg tree的Page Cache的使用量的上限。

更多信息，請參見Page Cache限制功能。

配置項(xiàng)

默認(rèn)值

說明

fs.aio-max-nr

65536

Linux aio并發(fā)請求的最大值。

該值的設(shè)定取決于系統(tǒng)對Linux aio的使用程度，例如數(shù)據(jù)庫和搜索場景，需要一個(gè)較大的aio-max-nr。

aio-max-nr與aio-nr配合，aio-nr是通過累加系統(tǒng)調(diào)用io_setup(unsigned nr_events, aio_context_t *ctx_idp)的第一個(gè)參數(shù)得到的。當(dāng)aio-nr + nr_events > aio-max-nr時(shí)，io_setup()將返回-EAGAIN錯(cuò)誤。因此，通過觀察aio-nr的值合理設(shè)置業(yè)務(wù)環(huán)境的aio-max-nr。

fs.file-max

根據(jù)系統(tǒng)初始化預(yù)留內(nèi)存大小設(shè)置。

系統(tǒng)允許的文件句柄的最大數(shù)量。

系統(tǒng)初始化時(shí)最多10%的預(yù)留內(nèi)存可以用于文件句柄，但是該參數(shù)的默認(rèn)值最小不應(yīng)小于NR_FILE即8192。

建議無特殊需求，使用默認(rèn)值即可。

fs.nr_open

1048576

一個(gè)進(jìn)程允許的最大打開文件句柄數(shù)量。

實(shí)際應(yīng)用的限制取決于resource limit和RLIMIT_NOFILE。通常我們通過ulimit -n來設(shè)置nr_open的值，但無法設(shè)置超過fs.nr_open的數(shù)值。

配置項(xiàng)

默認(rèn)值

說明

net.netfilter.nf_conntrack_max

262144

nf_conntrack模塊中哈希表支持存放的最大連接數(shù)。

默認(rèn)等于4 * net.netfilter.nf_conntrack_buckets。

具體操作，請參見ECS實(shí)例中的應(yīng)用偶爾出現(xiàn)丟包現(xiàn)象并且內(nèi)核日志（dmesg）存在kernel: nf_conntrack: table full, dropping packet的報(bào)錯(cuò)信息。

net.netfilter.nf_conntrack_tcp_timeout_time_wait

120

nf_conntrack模塊中保存TIME_WAIT狀態(tài)的TCP連接時(shí)間。單位：秒。

net.netfilter.nf_conntrack_tcp_timeout_established

432000

已經(jīng)建立的連接如果沒有活動，被iptables清除的超時(shí)時(shí)間。單位：秒。

fs.inotify.max_queued_events

16384

inotify機(jī)制的最大待處理事件隊(duì)列長度。

inotify是內(nèi)核提供的一種基礎(chǔ)設(shè)施，既可以監(jiān)控文件，也可以監(jiān)控目錄。當(dāng)目錄被監(jiān)控時(shí)，inotify可以監(jiān)控目錄自身和目錄中文件的文件系統(tǒng)事件。

建議無特殊需求，使用默認(rèn)值即可。

fs.inotify.max_user_instances

128

用戶能創(chuàng)建的最大inotify實(shí)例數(shù)目。

該參數(shù)的主要目的是防止用戶因創(chuàng)建了過多的inotify實(shí)例而導(dǎo)致系統(tǒng)資源（如內(nèi)存）被過度消耗。

建議無特殊需求，使用默認(rèn)值即可。

fs.inotify.max_user_watches

8192

用戶能添加的最大watch數(shù)量。

watch是inotify中的一種術(shù)語，用來描述用戶需要監(jiān)控的一個(gè)對象。一個(gè)watch通常包含兩個(gè)組件，一個(gè)是路徑名，指向需要監(jiān)控的文件或者目錄；另一個(gè)是對路徑名指向的文件或者目錄所要監(jiān)控的事件組合，比如文件訪問事件，用一個(gè)掩碼描述各種事件組合。

/sys/block/<device>/queue/hang_threshold

5000

檢測系統(tǒng)運(yùn)行過程中長時(shí)間沒有返回的IO。單位：ms。

可以根據(jù)具體業(yè)務(wù)場景進(jìn)行修改。具體操作，請參考檢測文件系統(tǒng)和塊層的IO hang。