前言

• 众所周知在默认参数情况下Linux对高并发支持并不好，主要受限于单进程最大打开文件数限制、内核TCP参数方面和IO事件分配机制等。下面就从几方面来调整使Linux系统能够支持高并发环境。

1. Iptables相关

• 如非必须，关掉或卸载iptables防火墙，并阻止kernel加载iptables模块。这些模块会影响并发性能。

2. 单进程最大打开文件数限制

• 一般的发行版，限制单进程最大可以打开1024个文件，这是远远不能满足高并发需求的，调整过程如下：

• 将root启动的单一进程的最大可打开的文件数设为65535个。如果系统回显类似于“Operationnotpermitted”之类的话，说明上述限制修改失败，实际上是因为在中指定的数值超过了Linux系统对该用户打开文件数的软限制或硬限制。因此，需修改Linux系统对用户的关于打开文件数的软限制和硬限制。

• 第一步，修改limits.conf文件，并添加：

• 其中’*'号表示修改所有用户的限制；soft或hard指定要修改软限制还是硬限制；65536则指定了想要修改的新的限制值，即最大打开文件数(请注意软限制值要小于或等于硬限制)。修改完后保存文件。

• 第二步，修改/etc/pam.d/login文件，在文件中添加如下行：

• 这告诉Linux在用户完成系统登录后，应调用pam_limits.so模块来设置系统对该用户可用的各种资源数量的最大限制(包括用户可打开的最大文件数限制)，而pam_limits.so模块会从/etc/security/limits.conf文件中读取配置来设置这些限制值。修改完后保存此文件。

• 第三步，查看Linux系统级的最大打开文件数限制，使用如下命令：

• 表明这台Linux系统最多允许同时打开(即包含所有用户打开文件数总和)32568个文件，是Linux系统级硬限制，所有用户级的打开文件数限制都不应超过该数值。通常这个系统级硬限制是Linux系统在启动时根据系统硬件资源状况计算出的最佳的最大同时打开文件数限制，如无特殊需要，不应该修改此限制，除非想为用户级打开文件数限制设置超过此限制的值。修改此硬限制的方法是修改 /etc/sysctl.conf 文件内 fs.file-max= 131072

• 这是让Linux在启动完成后强行将系统级打开文件数硬限制设为131072。

• 完成上述步骤后重启系统，一般可将Linux系统对指定用户的单一进程允许同时打开的最大文件数限制设为指定值。如重启后 ulimit -n命令查看用户可打开文件数仍低于上步设的最大值，可能是因在用户登录脚本 /etc/profile 中用 ulimit -n 命令已将用户同时打开的文件数做了限制。由于通过 ulimit -n 修改系统对用户可同时打开文件的最大数限制，新修改值只能小于或等于上次 ulimit -n 设置值，因此想用此命令增大这个限制值是不可能。所以如有上述问题，就只能去打开 /etc/profile 脚本文件，在文件中查找是否用了 ulimit -n 限制了用户可同时打开的最大文件数量，如找到则删除，或将其设为合适值，然后保存文件，用户退出并重新登录系统即可。

• 通过上述步骤，就为支持高并发TCP连接处理的通讯处理程序解除关于打开文件数量方面的系统限制。

【文章福利】小编推荐自己的Linux内核技术交流群:【891587639】整理了一些个人觉得比较好的学习书籍、视频资料共享在群文件里面，有需要的可以自行添加哦！！！前100名进群领取，额外赠送一份价值699的内核资料包（含视频教程、电子书、实战项目及代码)  

3. 内核TCP参数方面

• Linux系统下，TCP连接断开后，会以 TIME_WAIT 状态保留一定时间，然后才释放端口。当并发请求过多时，会产生大量 TIME_WAIT 状态连接，无法及时断开会占用大量的端口资源和服务器资源。这时可优化TCP内核参数，及时将TIME_WAIT状态的端口清理掉。

• 下面方法只对大量 TIME_WAIT 状态的连接导致系统资源消耗有效，如不是这种情况，效果可能不明显。可用 netstat 命令查 TIME_WAIT 状态，输入下面命令，

• 查看当前TCP连接的状态和对应的连接数量：

• 只用关心 TIME_WAIT 个数，看到有18000多个 TIME_WAIT，这就占了18000多个端口。端口数量只有65535个，占一个少一个，严重影响到新连接。这时，有必要调整下Linux的TCP内核参数，让系统更快的释放TIME_WAIT连接。

• 编辑配置文件:/etc/sysctl.conf，在这个文件中，加入下面几行内容：

• 经过这样调整后，除进一步提升服务器的负载能力外，还能防御小流量程度的DoS、CC和SYN攻击。

• 此外，如果连接数本身就很多，可再优化TCP 的可用端口范围，进一步提升服务器的并发能力。依然是往上面的参数文件中，加入下面配置：

• 这几个参数，建议在流量非常大的服务器上开启，会有显著效果。一般的流量小的服务器上，没必要去设这几个参数。

4. 内核其他TCP参数说明

同时还涉及到 TCP 拥塞算法问题，可用下面命令查看本机的拥塞算法控制模块：

5. IO事件分配机制

• 在Linux启用高并发TCP连接，必须确认应用程序是否用了合适的网络 I/O 技术和 I/O 事件分派机制。可用的 I/O 技术有同步 I/O ，非阻塞式同步I/O ，以及异步I/O。在高TCP并发情形下，如果用同步I/O，会严重阻塞程序运转，除非为每个TCP连接的I/O创建个线程。但过多的线程又会因系统对线程的调度造成巨大开销。

• 因此，在高TCP并发的情形下用同步I/O不可取，这时可考虑用非阻塞式同步I/O或异步I/O。非阻塞式同步I/O的技术包括使用select()，poll()，epoll等机制。异步I/O技术就是用AIO。

• 从I/O事件分派机制来看，用select()不合适，因为它所支持的并发连接数有限(通常在1024个以内)。如果考虑性能，poll()也不合适，尽管它可支持的较高的TCP并发数，但由于其采用“轮询”机制，当并发数较高时，其运行效率相当低，并可能存在I/O事件分派不均，导致部分TCP连接上的I/O出现“饥饿”现象。

• 而如果用epoll或AIO，则无上述问题(早期Linux内核的AIO技术实现是通过在内核中为每个I/O请求创建个线程来实现的，这种实现机制在高并发TCP连接的情形下使用其实也有严重的性能问题。但在最新的Linux内核中，AIO的实现已得到改进)。

• 综上所述，在开发支持高并发TCP连接的Linux应用程序时，应尽量用epoll或AIO技术来实现并发的TCP连接上的I/O控制，这将为提升程序对高并发TCP连接的支持提供有效的I/O保证。

• 经过这样优化配置后，服务器的TCP并发处理能力会显著提高。以上配置仅供参考，用于生产环境请根据自己的实际情况调整观察再调整。