CPU、IO、网络与内核参数调优

前言

  在当今数字化时代，无论是企业级服务器还是个人高性能计算机，系统性能的优化都是确保业务高效运行、用户体验流畅的关键所在。CPU、磁盘I/O、网络以及内核参数，作为影响系统性能的核心要素，对其进行科学、合理的调优，能够显著提升系统的整体表现，挖掘硬件潜在能力，有效应对高负载、高并发等各种复杂场景。本文将围绕这几个关键方面，详细展开调优方法与策略的探讨，为您提供全面且具有实践指导意义的调优指南。

一、CPU 资源调优

1.1 调整进程优先级（nice 值）

  在多任务操作系统中，多个进程同时竞争CPU资源，而nice值就是调节进程获取CPU资源优先级的重要手段。nice值的取值范围为 -20（最高优先级）到 19（最低优先级），默认值是 0。
 相关命令及示例：

• 启动时设置优先级：使用 nice 命令，例如 nice -n -5 vim a.txt 。其中，nice 用于给新进程设置 “nice 值” ，-n -5 表示指定 nice 值为 -5 ，数值越小，优先级越高，意味着系统会优先分配 CPU 资源给该进程，所以在这个例子中，启动的 vim 进程会获得较高的 CPU 优先级，在系统繁忙时，它能抢到更多 CPU 时间，操作更流畅。
• 修改运行中进程的优先级：使用 renice 命令，例如 renice -n 6 24318 。这里，renice 用于修改已有进程的 nice 值，-n 6 是将 nice 值设为 6 ，数值较大，优先级较低，系统会减少对它的 CPU 分配，24318 是目标进程的 PID（进程 ID，可通过 ps 或 top 命令查看），通过此命令，PID 为 24318 的运行中进程，优先级会降低，在系统繁忙时，它会 “谦让” CPU 资源给其他优先级更高的进程。

关键规律与注意要点：

• 一般规律是 nice 值越小（甚至负数）→ 优先级越高 → 系统越 “照顾” 这个进程；nice 值越大 → 优先级越低 → 系统越 “冷落” 这个进程。
• 需要注意，nice 值无法超出 -20~19 的范围。通常，这种调优方式用于让重要程序（如服务器进程）优先级更高，让耗资源但不紧急的程序（如后台备份）优先级更低，从而合理分配 CPU 资源，保障系统关键业务的顺利运行。

1.2 设置 CPU 亲和力（taskset）

  CPU亲和力，简单来说，就是将进程绑定到指定的CPU核心上运行，这样做的好处是可以减少进程在不同CPU核心之间迁移所带来的上下文切换开销，提升进程的运行效率。
相关命令及示例：

• 安装工具：首先需要安装 util-linux ，使用命令 yum install util-linux （适用于基于yum包管理器的系统）。
• 绑定到单个CPU核心：例如 taskset -c 0 vim a.txt ，taskset 是Linux中用于设置进程CPU亲和力（绑定CPU核心）的工具，-c 0 表示指定CPU核心编号为 0 （从 0 开始编号），这里就是将vim进程绑定到第 0 号CPU核心上运行，该进程不会被调度到其他核心，适合需要稳定占用单一核心的场景，比如某些对CPU缓存依赖较强、对运行稳定性要求极高的应用程序。
• 查看进程的CPU绑定情况：使用 taskset -cp 20146 ，其中 -c 表示显示CPU核心编号（更易读），-p 表示操作对象是已存在的进程（通过PID指定），20146 是目标进程的PID 。通过这个命令可以查看已运行进程的CPU绑定情况，例如输出 pid 20146’s current affinity list: 0 ，就表明该进程当前绑定在 0 号CPU核心上。
• 绑定到多个CPU核心：例如 taskset -c 1,3 vim b.txt ，-c 1,3 指定进程只能在CPU1和CPU3上运行（核心编号用逗号分隔），这个vim进程会在CPU1和CPU3之间被调度，但不会跑到其他核心（如CPU0、CPU2），适合需要限制进程使用特定核心组的场景，比如在多核心服务器上，为了平衡不同核心的负载或者满足特定应用的运行需求，将进程限制在部分核心上运行。

1.3 cpu命令描述（查看CPU硬件信息：cat /proc/cpuinfo）

  cat /proc/cpuinfo是Linux系统中用于查看CPU硬件信息的重要命令，它通过读取 /proc 虚拟文件系统中的 cpuinfo 文件，能够展示当前系统中CPU的详细参数，这些信息对于了解系统硬件配置、评估系统性能以及进行针对性的调优都有着重要意义。
输出内容的核心信息（以常见的多核CPU为例）：

• 核心数量相关：
  • 通过查看 processor 条目数量，可以得知总逻辑核心数（包含超线程）。例如，如果显示有 8 个 processor 条目，那么就表示系统有 8 个逻辑核心。
  • cpu cores 则表示单个物理CPU的物理核心数，比如 cpu cores : 4 就意味着该物理CPU有 4 个物理核心。通常情况下，如果存在超线程技术，逻辑核心数会是物理核心数的一定倍数（比如 4 物理核 + 超线程 = 8 逻辑核，此时会显示 8 个 processor 条目，编号从 0 到 7）。
• 型号和主频相关：
  • model name 直接显示CPU的型号（如 Intel® Core™ i7 - 7700HQ CPU @ 2.80GHz ）以及基础主频（如这里的 2.80GHz ）。
  • cpu MHz 显示当前实时频率，对于支持睿频技术的CPU，这个频率会根据系统负载等情况动态变化。
• 厂商和功能相关：
  • vendor_id 用于区分CPU的厂商，比如常见的Intel、AMD等，通过这个信息可以快速知道CPU的品牌来源。
  • flags 列出了CPU支持的指令集，例如 avx2 加速多媒体处理，vmx 支持虚拟化等功能，了解这些指令集有助于判断CPU是否具备运行某些特定应用或进行特定功能优化（如虚拟化、硬件加速等）的能力。
• 其他信息：
  • stepping 是步进（硬件版本号），它会影响硬件的稳定性和兼容性。
  • microcode 是微代码版本，属于CPU内置的底层程序版本。
  • cache size 表示缓存大小（如L3缓存），缓存大小对数据访问速度有着重要影响，较大的缓存通常能提升数据的读取和处理效率。
  • physical id 用于在多物理CPU时区分不同的物理CPU，对于单CPU系统通常为 0 。
  • siblings 表示单个物理CPU的逻辑核心数（包含超线程）。
  • core id 是物理核心编号（同一物理CPU内的核心编号）。
  • apicid 用于多核通信的APIC编号。
  • initial apicid 是初始APIC编号。
  • fpu 表示是否支持浮点运算单元（FPU），fpu_exception 表示是否支持FPU异常处理。
  • cpuid level 是CPUID指令支持的级别，用于查询CPU功能。
  • wp 表示是否支持写保护（内存安全特性）。
  • bogomips 是伪性能指标（早期用于粗略衡量CPU速度，不过现在参考意义不大）。
  • clflush size 是CLFLUSH指令一次能刷新的缓存大小（字节）。
  • cache_alignment 是缓存对齐粒度（字节），它会影响内存访问效率。
  • address sizes 表示支持的物理/虚拟地址位数（决定最大内存支持）。
  • power management 是电源管理相关特性（如节能、调频技术）。
  • bugs 列出了已知的硬件漏洞（如熔断、幽灵等）。

常用场景：

• 可以通过查看 processor 条目数量快速确认服务器的CPU核心数，从而判断系统的并行处理能力，为后续是否需要进行多进程、多线程优化等提供依据。
• 检查CPU是否支持特定功能（如虚拟化、硬件加速指令），以便在部署相关应用时，能够充分利用CPU的硬件特性，提升应用性能。
• 当遇到硬件相关问题时，比如怀疑CPU型号与预期不一致，或者排查是否存在已知硬件漏洞影响系统稳定性时，通过查看该命令输出的相关信息，能够辅助进行问题的诊断和解决。

操作指令补充：

• 查看物理CPU数量（实际服务器中插槽上的CPU个数）：使用命令cat /proc/cpuinfo | grep "physical id" | sort |uniq。
• 查看逻辑CPU数量（操作系统可以使用的逻辑CPU来模拟出真实CPU的效果）：使用命令 cat /proc/cpuinfo | grep "processor" | sort -u | wc -l 。
• 查看CPU核数（一块CPU上面能处理数据的芯片组的数量）：使用命令 cat /proc/cpuinfo | grep "cpu cores" | sort | uniq。
  

1.4 使用 vmstat 分析系统瓶颈

  vmstat 是一个功能强大的系统性能监测工具，通过它可以获取系统整体的运行状态信息，其中关键指标的分析能够帮助我们快速定位系统存在的瓶颈问题。
关键指标及含义：

• r（等待运行的进程数）：如果该值持续大于CPU核心数×3，那就说明CPU处于繁忙状态，系统中的进程在大量等待CPU资源来进行调度执行，可能存在CPU资源不足或者进程调度不合理的情况。
• us（用户态CPU时间）：该值高表示应用程序在用户态消耗的CPU时间较多，意味着应用程序本身的计算任务较重，可能是应用程序存在性能问题，比如算法复杂度高、数据处理量大等，导致大量占用CPU的用户态时间。
• sy（系统态CPU时间）：当这个值较高时，说明内核消耗的CPU时间较多，可能是内核在进行大量的系统调用处理、中断处理等操作，反映出内核层面的资源消耗较大，有可能是系统配置不合理或者内核模块存在性能瓶颈。
• wa（等待I/O的CPU时间）：如果wa值高，通常表示磁盘I/O存在瓶颈，进程在进行I/O操作（如读写磁盘）时，CPU需要等待I/O操作完成，从而导致CPU时间被浪费在等待上，影响整体系统性能。
• id（空闲CPU时间）：该值反映了CPU处于空闲状态的时间比例，通过与其他指标结合分析，可以更全面地了解CPU的使用情况。

实战场景分析：

• 上传大文件场景：当出现上传大文件操作时，如果观察到 wa 高，bo （块设备写入量，通常也会伴随较大数值）大，这就说明写磁盘繁忙，磁盘I/O成为当前系统性能的瓶颈点，可能需要考虑优化磁盘写入策略、升级磁盘硬件或者调整文件系统参数等。
• 复制文件场景：在复制文件过程中，如果 bi （块设备读取量）和 bo 都高，同时 wa 高，这表明读写磁盘都繁忙，磁盘的双向I/O操作都面临较大压力，需要对磁盘的读写性能进行综合优化，比如检查磁盘的缓存设置、优化文件复制的并发策略等。
• 高并发HTTP请求场景：当系统面临高并发HTTP请求时，如果 r 高，us 高，说明CPU处理不过来，大量的HTTP请求导致进程排队等待CPU资源，应用程序在处理这些请求时消耗大量用户态CPU时间，可能需要考虑增加服务器的CPU资源、优化应用程序的请求处理逻辑或者采用负载均衡等方式来分担压力。

二、磁盘 I/O 调优

2.1 ulimit 资源限制

  ulimit 命令在系统资源管理中起着重要作用，它用于限制系统用户的进程资源使用上限，避免因某个用户或进程过度占用资源而导致系统出现性能问题甚至崩溃。
配置文件相关：
  主要的资源限制配置文件是 /etc/security/limits.conf ，当然，/etc/security/limits.d/ 目录下的配置文件也可能会包含相关的设置，这些设置共同作用于限制系统用户的进程资源使用。
常用设置及含义：

• 示例配置：
  • soft nofile 1024000
  • hard nofile 1024000
  • soft nproc 65535
  • hard nproc 65535
  • ：表示对所有用户生效（当然，也可以指定具体用户名，如 root 或 www 等特定用户）。
  • soft ：软限制，也就是警告线，当用户使用的资源超过软限制时，系统会发出警告，但允许临时超过该限制，直到进程结束。
  • hard ：硬限制，由内核强制执行，是绝对不能超过的限制，软限制不能高于硬限制。
  • nofile ：限制打开文件描述符的数量，这里的文件描述符包括文件、网络连接、管道等，在Linux系统中，由于 “一切皆文件” 的特性，所以对文件描述符数量的限制很关键，它影响着系统能够同时处理的文件和连接的数量。
  • nproc ：限制用户能创建的进程 / 线程数量，防止某个用户创建过多的进程或线程，导致系统资源耗尽。

具体配置含义详细解释：

• soft nofile 1024000 ：表示所有用户的软限制是最多可打开 1024000 个文件描述符，当超过这个数量时，系统会给出警告提示。
• hard nofile 1024000 ：表示所有用户的硬限制是绝对不能打开超过 1024000 个文件描述符，一旦超过这个限制，内核将不允许再继续增加文件描述符的打开数量。
• soft nproc 65535 ：表示所有用户的软限制是最多可创建 65535 个进程 / 线程，超过时会有警告。
• hard nproc 65535 ：表示所有用户的硬限制是绝对不能创建超过 65535 个进程 / 线程。

相关查看命令：

• ulimit -n ：用于查看 nofile 的软限制，即当前用户可打开文件描述符数量的软限制数值。
• ulimit -Hn ：用于查看 nofile 的硬限制，明确系统对该用户可打开文件描述符数量的硬性上限。
• ulimit -u ：用于查看 nproc 的软限制，了解当前用户可创建进程 / 线程数量的软限制情况。

临时修改示例：
  可以使用 ulimit -n 10000 来临时修改当前会话中的 nofile 软限制为 10000 ，不过这种临时修改只在当前会话中有效，当会话结束后，限制将恢复到配置文件中的设定值。

2.2 测试磁盘速度

  磁盘I/O速度是衡量磁盘性能的重要指标，通过测试磁盘的读写速度，可以了解磁盘的实际性能表现，为后续的磁盘优化、存储规划等提供数据支持。
读速度测试：
  使用 hdparm 命令进行读速度测试，例如 hdparm -t --direct /dev/sda 。其中，hdparm 是Linux下用于查看和调整硬盘参数的工具，-t 表示测试硬盘的缓存读取速度，这里读取数据时会利用硬盘缓存和系统缓存，而 --direct 则启用 “直接IO” 模式，跳过系统缓存，直接从硬盘读取原始数据，这样得到的结果更接近真实的物理读取速度，/dev/sda 是指定要测试的硬盘设备（通常sda是系统的第一个硬盘，当然，根据实际情况也可能是其他硬盘设备）。

写速度测试：
  使用 dd 命令进行写速度测试，例如 dd if=/dev/zero of=/test.dbf bs=1M count=2000 oflag=direct 。这里，dd 是Linux下用于复制和转换文件的工具，常被用来测试磁盘性能。具体参数含义如下：

• if=/dev/zero ：if 表示 “输入文件”，/dev/zero 是一个特殊设备文件，会不断生成二进制的 0 数据，可理解为 “无限的空数据来源”，作为写入数据的来源。
• of=/test.dbf ：of 表示 “输出文件”，即把数据写入到 /test.dbf 这个文件中，也就是我们要进行写入测试的目标文件。
• bs=1M ：bs 表示 “块大小”，这里设置为 1MB ，即每次读写的数据块大小为 1MB 。
• count=2000 ：count 表示 “块数量”，这里生成 2000 个 1MB 的块，总文件大小为 2000MB （约 2GB ）。
• oflag=direct ：oflag 表示 “输出标志”，direct 启用直接IO模式，跳过系统缓存，直接写入物理硬盘，这样得到的写入速度更能真实反映硬盘的写入性能。

时间测试（综合测试并查看执行时间）：
  使用 time 命令结合 dd 命令来测试，例如 time dd if=/dev/zero of=/test.dbf bs=1M count=200 。其中，time 用于统计后续命令的执行时间，包括实际耗时（real）、用户态耗时（user）和内核态耗时（sys）。具体来说：

• dd 部分的输出会确认写入了 200MB 数据，并且会给出一个计算出的写入速度（如 652 MB/s ，这里是总数据量 ÷ 实际耗时得到的结果），不过需要注意的是，这里没有使用 oflag=direct ，所以写入速度会包含系统缓存的加速效果，可能比硬盘真实物理速度快（尤其是写入小文件时）。
• time 部分的输出中，real 表示实际总耗时（从命令开始到结束的墙钟时间，例如 0.322 秒），user 表示命令在用户态运行的时间（几乎为 0 ，因为主要是IO操作），sys 表示命令在内核态运行的时间（例如 0.320 秒，主要是磁盘IO的内核处理时间）。

  通过这些磁盘速度测试方法，我们可以全面了解磁盘的读写性能，为磁盘调优、存储系统优化等工作提供准确的数据依据，确保磁盘能够满足系统和应用的需求。

三、内核参数调优

3.1 防御 SYN 洪水攻击

  在网络环境中，SYN洪水攻击是一种常见且具有较大危害的拒绝服务攻击方式，攻击者通过发送大量的SYN请求，耗尽服务器的半连接队列资源，使得服务器无法正常处理合法的连接请求。为了有效防御此类攻击，可以通过修改 /etc/sysctl.conf 文件中的相关内核参数来实现。

相关配置示例：
net.ipv4.tcp_synack_retries = 0
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_max_syn_backlog = 20480
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 10
fs.file-max = 819200
net.core.somaxconn = 65535
net.core.rmem_max = 1024123000
net.core.wmem_max = 16777216
net.core.netdev_max_backlog = 165536
net.ipv4.ip_local_port_range = 10000 65535

生效方式：
  修改完 /etc/sysctl.conf 文件后，需要使用 sysctl -p 命令使配置生效，让系统加载新的内核参数设置。
关键参数说明及作用：

• tcp_synack_retries = 0 ：不重发SYN+ACK包，这样可以快速释放半连接，减少半连接队列的占用时间，避免攻击者通过大量发送SYN请求后，利用服务器重发SYN+ACK包的机制来耗尽资源。
• tcp_syncookies = 1 ：启用SYN Cookie机制，当半连接队列满时，服务器可以通过SYN Cookie来验证后续的ACK包，从而在不占用过多半连接队列资源的情况下，处理合法的连接请求，有效防御少量的SYN洪水攻击。
• tcp_max_syn_backlog = 20480 ：增大半连接队列的大小，使得服务器能够容纳更多的半连接请求，提高服务器在面对大量SYN请求时的处理能力，减少因半连接队列溢出而导致合法连接被拒绝的情况。
• fs.file-max = 819200 ：定义了系统最大文件句柄数，文件句柄是系统用于管理打开文件、网络连接等的资源标识，适当增大这个值可以防止系统因文件句柄耗尽而无法正常处理新的连接或文件操作。
• net.core.somaxconn = 65535 ：定义了最大连接队列长度，对于服务器接收和处理连接请求非常重要，较大的连接队列长度可以保证在高并发连接请求时，服务器有足够的空间来暂存等待处理的连接，避免连接请求因队列满而被丢弃。
• 其他参数（简要说明） ：
  • net.core.rmem_max 和 net.core.wmem_max 分别定义了网络接收和发送缓冲区的最大大小，合理设置可以优化网络数据传输性能。
  • net.core.netdev_max_backlog 定义了网络设备接收数据包的队列最大长度，对于网络高负载情况下的数据包处理有重要影响。
  • net.ipv4.ip_local_port_range 定义了本地端口范围，合适的端口范围可以满足高并发连接时对端口资源的需求。

3.2 关键参数说明（补充）

内核参数的合理调整对于系统的性能和安全性有着深远的影响，除了上述防御SYN洪水攻击涉及到的参数外，还有许多其他关键参数也需要根据实际系统需求进行优化。

例如，fs.file-max 参数直接关系到系统能够同时打开的文件数量上限，对于文件密集型应用或者高并发连接场景下的系统非常重要；net.core.somaxconn 参数则影响着服务器处理连接请求的能力，特别是在面对大量并发连接请求时，合适的参数值能够确保连接的顺利建立和处理。通过对这些关键内核参数的合理设置，可以优化系统的网络性能、资源管理以及安全防护能力，使系统在各种复杂环境下都能稳定、高效地运行。

四、总结与建议

  系统调优是一个综合性的工作，涉及到系统的多个方面，每个方面的调优都需要根据实际的系统环境、业务需求以及硬件配置等因素进行综合考虑。在实际操作中，建议遵循以下原则：
  首先，要充分了解系统的现状，通过各种监测工具和分析手段，准确找出系统存在的性能瓶颈和潜在问题，比如通过 vmstat 分析CPU瓶颈，通过磁盘速度测试了解磁盘I/O性能等。
  然后，根据找出的问题，有针对性地选择合适的调优手段，比如如果是CPU资源分配不合理，可以考虑使用nice值调整进程优先级或者通过taskset设置CPU亲和力；如果是磁盘I/O性能不佳，可以检查ulimit设置、优化磁盘硬件或者调整文件系统参数等。
  最后，每次进行调优操作后，都要进行充分的测试和验证，观察系统在调优后的性能表现，确保调优效果符合预期，并且没有引入新的问题，比如系统稳定性下降、其他性能指标恶化等情况。
  通过本文对CPU、IO、网络与内核参数调优的详细介绍，希望能帮助您全面掌握系统调优的方法和技巧，为您的系统保驾护航，使其在面对各种复杂业务场景和高负载压力时，依然能够保持高效、稳定的运行状态，满足业务发展的需求，提升整体的用户体验和业务价值。

结语

  系统调优是一个持续演进的过程，随着信息技术的不断发展，新的应用场景、硬件技术和软件架构不断涌现，对系统性能的要求也越来越高。我们不能期望通过一次调优就能让系统达到完美的性能状态，而是需要不断地学习、实践和探索，根据系统的实际运行情况和业务需求的变化，灵活调整调优策略。
  本文详细阐述了CPU、磁盘I/O、网络和内核参数等关键方面的调优方法，旨在为您提供一个系统调优的知识框架和实践指南。希望您在实际的系统管理和优化工作中，能够将这些知识运用起来，不断优化您的系统，挖掘系统的最大潜力，为用户提供更优质的服务和体验。祝愿您在系统调优的道路上不断取得新的突破，让您的系统始终保持在高效、稳定、安全的运行状态，助力您的业务蓬勃发展。