当你的银河麒麟V10服务器开始频繁出现连接拒绝、客户端超时,或是“Cannot assign requested address”这种让人头大的错误时,通常不是什么玄学——十有八九就是系统默认的并发连接能力被锁死了。特别是在运行Nginx、达梦数据库,或者一堆Ja va微服务相互调用的场景下,默认参数那点“家底”根本扛不住生产压力。
我们先看看为什么会出这类问题。一个TCP连接在抵达应用进程之前,在内核层面要经历三个关键关卡:TCP连接的排队队列、临时端口的可用范围,以及每个进程能打开的文件描述符上限。这三层参数但凡有一个短板,都会直接导致新连接被丢弃。问题在于,麒麟V10的默认配置对这些高并发场景并不友好,所以三板斧必须同步砍下去:调大TCP队列、扩展临时端口上限、放行文件描述符限制。少一个,效果都会打折。

扩大TCP全连接与半连接队列
内核管理新连接依赖两个队列:半连接队列存的是尚未完成三次握手的SYN请求,全连接队列则存放已完成握手、等待应用程序调用accept()取走的连接。这两个队列过小的话,内核会直接丢掉SYN包,客户端那边看到的不是超时就是RST复位,简直防不胜防。
那么,该怎么调?其实很简单,但步骤不能省。
第一步:编辑内核参数配置文件,追加两行关键设置:
sudo nano /etc/sysctl.conf
在文件末尾加上:
net.ipv4.tcp_max_syn_backlog = 65535
net.core.somaxconn = 65535
第二步:立即加载新配置生效:
sudo sysctl -p
第三步:验证是否写入成功:
sudo sysctl net.ipv4.tcp_max_syn_backlog net.core.somaxconn
输出值必须都是65535,少一个就说明某行格式写错了或者路径没写对。
第四步:也是很多人容易忽略的一步——应用层面的监听配置必须同步匹配。Nginx需要在listen指令后面显式加上backlog=65535;Tomcat则要在server.xml里把acceptCount设为65535。否则内核队列调得再大,应用自己没开口接,结果还是一样。
扩展本地临时端口范围并缩短TIME_WAIT
如果你的服务器充当高频发起连接的角色,比如API网关或微服务之间的调用方,那临时端口池就格外重要。可用端口数量由ip_local_port_range决定。麒麟V10默认给的范围是32768到65535,算下来也就3.2万个端口。放在短连接密集的生产环境里,用光只是早晚的事——然后“Cannot assign requested address”就来了。
方法一:扩大端口范围
向/etc/sysctl.conf再追加一行:
net.ipv4.ip_local_port_range = 1024 65535
执行sudo sysctl -p立即生效。
方法二:让端口复用得更快些
TIME_WAIT状态持续时间默认是60秒,短连接一多,端口会被卡死一大片。把tcp_fin_timeout设为30秒能明显提速复用:
echo "net.ipv4.tcp_fin_timeout = 30" | sudo tee -a /etc/sysctl.conf && sudo sysctl -p
真正该警惕的其实是ip_local_port_range的下限——不能设成1,必须≥1024,否则部分服务启动时会直接失败。这条属于经验教训,别问我是怎么知道的。
提升文件描述符系统限制
每个TCP连接至少消耗一个文件描述符。如果系统级或进程级的文件描述符限制设得太低,即便内核参数都调高了,连接仍然会在用户态被拒绝,报的就是“Too many open files”。
① 编辑用户级限制配置:
sudo nano /etc/security/limits.conf
在末尾追加四行:
* soft nofile 65535
* hard nofile 65535
* soft noproc 65535
* hard noproc 65535
② 确认PAM模块已启用此配置:
grep -q "pam_limits.so" /etc/pam.d/common-session || echo "session required pam_limits.so" | sudo tee -a /etc/pam.d/common-session
③ 重新登录用户或新建一个SSH会话,然后执行ulimit -n确认软限制已变成65535。
④ 别忘了调高内核全局上限——用户级限制再大也翻不过这个天花板:
echo "fs.file-max = 1048576" | sudo tee -a /etc/sysctl.conf && sudo sysctl -p
为systemd托管的服务单独加固
麒麟V10默认用systemd管理服务,而limits.conf那一套对systemd派生出来的服务完全不生效——因为这些服务走的是另外一条路,不经过PAM登录流程。所以得单独宣告一次。
方法一:全局设置,影响所有service
编辑/etc/systemd/system.conf,取消注释并修改为:
DefaultLimitNOFILE=65535
DefaultLimitNPROC=65535
执行sudo systemctl daemon-reload。
方法二:单服务精准控制,更推荐用于达梦、PostgreSQL这类关键服务
运行sudo systemctl edit DmService.service,在打开的编辑器中输入:
[Service]
LimitNOFILE=65535
保存后执行sudo systemctl daemon-reload && sudo systemctl restart DmService。
简单总结一下,给各位画个重点:TCP队列、临时端口范围、文件描述符限制,这三个维度缺一不可。单一方向的调整往往只解决了局部问题,真正的稳定承载能力,来自这三层的协同释放。想在生产环境中让Nginx、达梦或微服务集群扛住高并发,这套组合拳值得完整走一遍。
