Linux内核无原生内核级限流,仅通过调优连接队列、TIME_WAIT、文件描述符及缓冲区等资源约束来间接抗大流量冲击。
Linux系统本身不提供“内核级限流”功能,它没有像应用层网关那样的QoS或速率限制模块。所谓“针对大流量Socket并发连接的内核限流”,实际是通过限制连接建立速率、控制连接队列行为、约束资源占用来间接实现抗冲击能力——本质是防打满、防耗尽,而非主动限速。
调整连接请求队列长度
当大量SYN包涌入,内核会把未完成三次握手的连接暂存在SYN队列中。若队列溢出,新SYN会被丢弃,表现为客户端连接超时或重传失败。
- 设置最大SYN队列长度:net.ipv4.tcp_max_syn_backlog = 65535
- 增大全连接队列上限(accept队列):net.core.somaxconn = 65535
- 确保应用调用listen()时传入的backlog参数 ≤ somaxconn,否则会被截断
控制TIME_WAIT连接堆积
短连接服务容易因大量TIME_WAIT状态占满本地端口(尤其作为客户端发起连接时),导致“address already in use”错误或端口枯竭。
- 启用端口复用:net.ipv4.tcp_tw_reuse = 1(仅对客户端有效,且需开启timestamps)
- 禁用不安全的快速回收:net.ipv4.tcp_tw_recycle = 0(NAT环境下必须关闭,已从5.10+内核移除)
- 缩短FIN等待时间:net.ipv4.tcp_fin_timeout = 30(默认60秒,慎调过低)
- 扩大可用端口范围:net.ipv4.ip_local_port_range = 1024 65535
限制单进程文件描述符与系统总资源
每个Socket连接占用一个fd,fd耗尽则无法新建连接。这不是内核“限流”,而是资源硬约束,必须提前放开。
- 用户级限制:在/etc/security/limits.conf中添加
* soft nofile 65536
* hard nofile 65536 - 确认PAM加载生效:检查/etc/pam.d/common-session或/etc/pam.d/sshd是否含
session required pam_limits.so - 系统级总fd上限(通常无需改):cat /proc/sys/fs/file-max,如需调高可写入/etc/sysctl.conf:
fs.file-max = 2097152
避免缓冲区打爆与丢包
突发流量可能填满TCP接收/发送缓冲区,触发丢包或RST,表现类似“连接被拒绝”,实为拥塞响应。
- 增大单连接缓冲区上限:
net.core.rmem_max = 16777216(16MB)
net.core.wmem_max = 16777216 - 启用自动调优(推荐):
net.ipv4.tcp_rmem = 4096 65536 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216 - 降低背压敏感度(可选):net.core.netdev_max_backlog = 5000(网卡软中断队列)
