33.8. 使用大量传入请求调整应用程序

流程

1. 要验证是否需要调整，请显示受影响的端口的统计信息：

   # ss -ntl '( sport = :443 )'
   State    Recv-Q   Send-Q   Local Address:Port   Peer Address:Port  Process
   LISTEN   650      500      192.0.2.1:443        0.0.0.0:*

   Copy to Clipboard Toggle word wrap

   如果积压 (Recv-Q)中的当前连接数大于套接字积压(Send-Q)，则侦听积压仍然不够大，需要调优。

2. 可选：显示当前 TCP 侦听积压限制：

   # sysctl net.core.somaxconn
   net.core.somaxconn = 4096

   Copy to Clipboard Toggle word wrap

3. 创建 /etc/sysctl.d/10-socket-backlog-limit.conf 文件，并设置更大的侦听积压限制：

   net.core.somaxconn = 8192

   Copy to Clipboard Toggle word wrap

   请注意，应用程序可以请求比 net.core.somaxconn 内核参数中指定的更大的侦听积压，但内核会将应用程序限制为您在此参数中设置的数值。

4. 从 /etc/sysctl.d/10-socket-backlog-limit.conf 文件载入设置：

   # sysctl -p /etc/sysctl.d/10-socket-backlog-limit.conf

   Copy to Clipboard Toggle word wrap

5. 重新配置应用程序，以使用新的侦听积压限制：

   • 如果应用程序为限制提供了配置选项，请更新它。例如，Apache HTTP 服务器提供了 ListenBacklog 配置选项，来为该服务设置侦听积压限制。
   • 如果无法配置限制，请重新编译应用程序。
   重要

   您必须始终更新 net.core.somaxconn 内核设置和应用程序的设置。

6. 重新启动应用程序。

验证

1. 监控 Systemd 日志，以确认以后是否有possible SYN flooding on port <port_number> 错误消息出现。

2. 监控积压中当前连接的数量，并将其与套接字积压进行比较：

   # ss -ntl '( sport = :443 )'
   State    Recv-Q   Send-Q   Local Address:Port   Peer Address:Port  Process
   LISTEN   0        500      192.0.2.1:443        0.0.0.0:*

   Copy to Clipboard Toggle word wrap

   如果当前积压 (Recv-Q)中的连接数大于套接字积压(Send-Q)，则侦听积压不够大，需要进一步调优。