LoginSignup
249

More than 5 years have passed since last update.

nginx - カーネルパラメーターのチューニング

Last updated at Posted at 2016-02-01

概要

  • L7ロードバランサーやAPサーバで使うnginxを設計する際に、パラメーターチューニング大事だなと思ったので書き残します。
  • 大体この辺り本番に合わせて適値を見つけて設定していくのが良いかなぁと思いました。
  • CentOS 6系です
  • ipv6の設定は無視してます。。

チューニング

パラメーター 内容 default値
net.core.rmem_max = 16777216 TCPとUDPの受信バッファのデフォルトサイズと最大サイズ。 124928
net.core.wmem_max = 16777216 TCPとUDPの送信バッファのデフォルトサイズと最大サイズ。 124928
net.nf_conntrack_max = 1053616 ESTABLISHEDのリストの最大数(OS側の管理数) 可変
net.ipv4.conf.default.accept_source_route = 0 ソースルートが指定されたパケットを拒否。本来は経路のテストを行う目的であるのでoffにする 1
net.ipv4.tcp_rmem = 4096 349520 16777216 データ受信バッファ サイズ 可変
net.ipv4.tcp_timestamps = 0 NAT環境下で、複数ホストがクライアントのときに、WAN側のサーバに接続が切られる対策 1
net.ipv4.tcp_fin_timeout = 5 FINのタイムアウト時間 60
net.ipv4.tcp_syn_retries = 3 tcpのSYNを送信するリトライ回数。
この回数SYNを送ってもダメなら諦める
5
net.ipv4.tcp_synack_retries = 3 接続を受付側としてオープンするとき、 カーネルは SYN に ACK を詰め込んで送り、先に受けとった SYN を確認する。 5
net.ipv4.tcp_syncookies = 1 SYN flood攻撃対策 1
net.ipv4.ip_local_port_range = 10000 65535 TCP/IPの送信時に使用するポートの範囲
可能なら 1024-65535が良いが、iptablesやAWSだとNetworkACLとかで
同様に必要に応じて開放しておかないとパケットが途中で止まってハマるから注意。
$ cat /proc/sys/net/ipv4/ip_local_port_rangeで確認できる
32768 61000
net.ipv4.tcp_tw_reuse = 1 自分からの接続を使い回す。tcp_tw_recycleは相手からの接続を使い回す。 0
net.ipv4.tcp_tw_recycle = 0 相手からの接続を使い回す。 0
net.ipv4.tcp_rfc1337 = 1 RFC1337に準拠させる。TIME_WAIT状態のときにRSTを受信した場合、TIME_WAIT期間の終了を待たずにそのソケットをクローズする 0
net.ipv4.tcp_fin_timeout = 5 タイムアウトはできる限り短いほうがいい 60
net.ipv4.tcp_max_tw_buckets = 65536 システムが同時に保持するtime-waitソケットの最大数。
DoS攻撃を防げるため、低くするのはやめたほうが良い。
動的
net.ipv4.tcp_orphan_retries = 0 こちらからクローズしたTCPコネクションを終了する前の再送回数。
webサーバだとリソースを消費する可能性があるため、低くしたほうが良い
0
net.ipv4.tcp_keepalive_probes = 5 TCP が keepalive プローブを送る数。この数に達すると、 その接続が壊れたとみなす。
9
net.ipv4.tcp_slow_start_after_idle = 0 keepaliveしててもしばらく通信がなかったらcongestion window sizeをresetする。
keepaliveを利用しており、かつ輻輳が少ない環境ではoffが良い。
1
net.core.netdev_max_backlog = 65536 パケット受信時にキューに繋ぐことができるパケットの最大数 1000
net.ipv4.tcp_max_syn_backlog = 65536 ソケット当たりのSYNを受け付けてACKを受け取っていない状態のコネクションの保持可能数。
この値を超えたものに関してはOSはSYNパケットを拒否することになる。
溢れたパケットはnetstatで確認できる。
ただし、この値はnet.core.somaxconnより大きかった場合、net.core.somaxconnの値を優先する。
1024
net.ipv4.conf.eth180.arp_ignore = 1 ぶら下がってるAPサーバ群にarpに応答させない(MACアドレスを覚えさせない)
IPとmacアドレスが関係ずけられると、送りたい機器に通信できなくなる。
0
net.ipv4.conf.eth180.arp_announce = 2 ぶら下がってるAPサーバ群にarpに応答させない(MACアドレスを覚えさせない)
IPとmacアドレスが関係ずけられると、送りたい機器に通信できなくなる。
0
net.core.somaxconn = 65535 一度に受け入れられるTCPセッションのキューの数。
TCPのセッション数をbacklogで管理し、それを超えたものはキューに格納される。
このキューの数をここで設定する
128
vm.swappiness = 0 実メモリがある状態でスワップを使用しない 0
vm.overcommit_memory = 2 実メモリ以上にプロセスにメモリを割り当てない 0
vm.overcommit_ratio = 99 OOM killerで勝手にkillするくらいだったら、メモリ不足を検出してエラー処理をさせる。
vm.overcommit_memory = 2のときに設定する
50
kernel.shmmax = メモリのByte数 共有メモリの最大サイズ。サーバーの搭載メモリ(1GB)に合わせて変更するので 動的?
kernel.shmall = 68719476736 システム全体の共有メモリ・ページの最大数 68719476736
kernel.msgmnb = 65536 1つのメッセージキューに保持できるメッセージの最大値 65536
kernel.msgmax = 65536 メッセージキューIDの最大値 65536
kernel.sysrq = 0 SysRqとは、サーバでキーボード操作ができなくなったとき、カーネルが昨日してれば特定のキー(Alt + PrintScreen)で割り込める。使わないので0 0
kernel.core_uses_pid = 1 コアダンプ時、".PID"をコアファイル名に追加しない 0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
249