32.8. 大量のリクエストを受信するアプリケーションのチューニング

手順

1. チューニングが必要かどうかを確認するには、影響を受けるポートの統計を表示します。

   # ss -ntl '( sport = :443 )'
   State    Recv-Q   Send-Q   Local Address:Port   Peer Address:Port  Process
   LISTEN   650      500      192.0.2.1:443        0.0.0.0:*

   バックログ (Recv-Q) 内の現在の接続数がソケットバックログ (Send-Q) より大きい場合、リッスンバックログはまだ十分大きくないため、チューニングが必要です。

2. オプション: 現在の TCP リッスンバックログ制限を表示します。

   # sysctl net.core.somaxconn
   net.core.somaxconn = 4096

3. /etc/sysctl.d/10-socket-backlog-limit.conf ファイルを作成し、り大きなリッスンバックログ制限を設定します。

   net.core.somaxconn = 8192

   アプリケーションは net.core.somaxconn カーネルパラメーターで指定したよりも多くのリッスンバックログを要求することができますが、カーネルはこのパラメーターで設定した番号にアプリケーションを制限することに注意してください。

4. /etc/sysctl.d/10-socket-backlog-limit.conf ファイルから設定をロードします。

   # sysctl -p /etc/sysctl.d/10-socket-backlog-limit.conf

5. 新しいリッスンバックログ制限を使用するようにアプリケーションを再設定します。

   • アプリケーションが制限の config オプションを提供している場合は、それを更新します。たとえば、Apache HTTP サーバーには、このサービスのリッスンバックログ制限を設定するための ListenBacklog 設定オプションが用意されています。
   • 制限を設定できない場合は、アプリケーションを再コンパイルします。
   重要

   net.core.somaxconn カーネル設定とアプリケーションの設定の両方を常に更新する必要があります。

6. アプリケーションを再起動します。

検証

1. Systemd ジャーナルを監視して、possible SYN flooding on port <port_number> エラーメッセージがさらに発生していないかどうかを確認します。

2. バックログ内の現在の接続数を監視し、ソケットバックログと比較します。

   # ss -ntl '( sport = :443 )'
   State    Recv-Q   Send-Q   Local Address:Port   Peer Address:Port  Process
   LISTEN   0        500      192.0.2.1:443        0.0.0.0:*

   バックログ (Recv-Q) 内の現在の接続数がソケットバックログ (Send-Q) より大きい場合、リッスンバックログが十分に大きくないため、さらなるチューニングが必要です。