nginx反向代理、优化

本优化适合apache,nginx,squid多种等web应用，特殊的业务也可能需要略作调。
生产环境linux的内核优化

net.ipv4.tcp_fin_timeout =
net.ipv4.tcp_tw_reuse =
net.ipv4.tcp_tw_recycle =
net.ipv4.tcp_syncookies =
net.ipv4.tcp_keepalive_time =
net.ipv4.ip_local_port_range =
net.ipv4.tcp_max_syn_backlog =
net.ipv4.tcp_max_tw_bucklog =
net.ipv4.route.gc_timeout =
net.ipv4.tcp_syn_retries =
net.ipv4.tcp_synack_retries =
net.core.somaxconn =
net.core.netdev_max_backlog =
net.ipv4.tcp_max_orphans = 

以下参数是对iptables防火墙的优化，防火墙不开会提示，可以忽略不理。

net.ipv4.ip_conntrack_max =
net.ipv4.netfilter.ip_conntrack_max =
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established =
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait =
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait =
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 

将上面的内核参数值加入/etc/sysctl.conf文件中，然后执行如下命令使之生效：sysctl -p

下面是对sysctl.conf内核文件中的参数含义进行介绍：

net.ipv4.tcp_fin_timeout = 

表示如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间，默认值是60秒。该参数对应系统路径为：/proc/sys/net/ipv4/tcp_fin_timeout 60

net.ipv4.tcp_tw_reuse = 

表示开启重用。允许将TIME-WAIT sockets 重新用于新的TCP连接，默认值为0，
表示关闭。该参数对应系统路径为：/proc/sys/net/ipv4/tcp_tw_reuse 0

net.ipv4.tcp_tw_recycle = 

表示开启TCP连接中TIME-WAIT sockets的快速回收。该参数对应系统路径为:/proc/sys/net/ipv4/tcp_tw_recycle 默认为0，表示关闭。
提示：reuse和recycle两个参数为了防止生产环境下web，squid等time_wait过设置的。

net.ipv4.tcp_syncookies = 

表示开启SYN Cookies功能。当出现SYN等待队列溢出时，启用cookies来处理，防范少量SYN攻击，centos5系列默认值为1，表示开启，因此这个参数也可以不加；该参数对应系统路径为：/proc/sys/net/ipv4/tcp_syncookies 默认为1。

net.ipv4.tcp_keepalive_time = 

表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为10分钟。该参数对应系统路径为：/proc/sys/net/ipv4/tcp_keepalive_time认为7200秒。

net.ipv4.ip_local_port_range =    

选项用来设定允许系统打开的端口范围。即用于向外连接的端口范围。
该参数对应系统路径为：/proc/sys/net/ipv4/ip_local_port_range 32768 61000

net.ipv4.tcp_max_syn_backlog = 

表示SYN队列的长度，默认为1024，加大队列长度为8192，可以容纳更多等待连的网络连接数。选项为服务器端用于记录那些尚未收到客户端确认信息的连接请求的最大值。
该参数对应系统路径为：/proc/sys/net/ipv4/tcp_max_syn_backlog

net.ipv4.tcp_max_tw_buckets = 

表示系统同时保持TIME_WAIT套接字的最大数量，如果超过这个数字，TIME_WAIT套接字将立刻被清除并打印警告信息。默认为180000，对于Apache、Nginx等服器来说可以调整低一点，如；改为5000-30000，不同业务的服务器也可以给大一点，比如lvs,squid。

上几行的参数可以很好地减少TIME_WAIT套接字数量，但是对于squid，效果却不大。
此项参数可以控制TIME_WAIT套接字的最大数量，避免squid服务器被大量的TIME_WAIT套接字拖死。该参数对应系统路径为：/proc/sys/net/ipv4/tcp_max_tw_buckets

net.ipv4.tcp_syn_retries

表示在内核放弃建立连接之前发送SYN包的数量。该参数对应系统路径为：/proc/sys/net/ipv4/tcp_syn_retries 5

net.ipv4.tcp_max_orphans

选项用于设定系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄。如果超过这个数字，孤立连接将立即被复位并打印出警告信息。这个限制只是为了防止简单的Dos攻击。不能过分依靠这个限制甚至认为减小这个值，更多的况是为了增加这个值。该参数对应系统路径为：/proc/sys/net/ipv4/tcp_max_orphans 65536

net.core.somaxconn

选项默认值是128.这个参数用于调节系统同时发起的TCP连接数，在高并发的请中，默认的值可能会导致链接超时或者重传，因此，需要结合并发请求数来调节此值。该参数对应系统路径为：/proc/sys/net/core/somaxconn 128

net.core.netdev_max_backlog

选项表示当每个网络接口接受数据包的速率比内核处理这些包的速率快时，允许发送到队列的数据包的最大数目。该参数对应系统路径为：/proc/sys/net/core/netdev_max_backlog默认值1000。