Linux性能优化思路和方法

一、性能优化需求

1）性能不足现象的产生：

a）前台访问很慢，请帮忙分析优化

b）用户对性能很不满意，再不解决就要投诉

c）数据库负载很重，请帮忙分析一下

d）XXX功能打开需要1分钟，请帮忙分析一下。     

2）在接到这些性能优化要求的时候，运维工程师希望能够了解下面的信息以判断问题的类型，而通常情况下，大部分提出性能需求者都给不出这样的信息：

a）系统性的问题？ 比如CPU利用率，SWAP利用率或者IO过高导致的整体性能下降？

b）功能性问题？ 整体性能良好，个别功能时延很长

c）新出现问题？什么时候开始的，之前系统有哪些变动？（升级或者管理的资源大量增加）

d）不规律问题？有时候快，有时候慢，没有特定规律     

还有性能快慢的衡量标准是什么？ 原来多少秒，现在多少秒，目标是多少秒？只有上述问题得到了准确的回答，优化工作才能开始。

二、Linux性能分析

1、Linux性能分析的目的

1. 找出系统性能瓶颈（包括硬件瓶颈和软件瓶颈）；

2. 提供性能优化的方案（升级硬件？改进系统系统结构？）；

3. 达到合理的硬件和软件配置；

4. 使系统资源使用达到最大的平衡；

一般情况下系统良好运行的时候恰恰各项资源达到了一个平衡体，任何一项资源的过渡使用都会造成平衡体系破坏，从而造成系统负载极高或者响应迟缓。     

比如CPU过渡使用会造成大量进程等待CPU资源，系统响应变慢，等待会造成进程数增加，进程增加又会造成内存使用增加，内存耗尽又会造成虚拟内存使用，使用虚拟内存又会造成磁盘IO增加和CPU开销增加）。

2、性能分析的步骤

1）需要系统监控工具和性能分析工具

① 对资源的使用状况进行长期的监控和数据采集（nagios、cacti、ganglia、zabbix）

② 使用常见的性能分析工具（vmstat、top、htop、iotop、free、iostat等)

③ 实战技能和经验积累。

2）出现性能问题的可能原因

① 应用程序设计的缺陷和数据库查询的滥用最有可能导致性能问题 。

② 性能瓶颈可能是因为程序差/内存不足/磁盘瓶颈，但最终表现出的结果就是CPU耗尽，系统负载极高，响应迟缓，甚至暂时失去响应 。

③ 物理内存不够时会使用交换内存，使用swap会带来磁盘I0和cpu的开销。

④ 可能造成cpu瓶颈的问题：频繁执Perl，php，java程序生成动态web；数据库查询大量的where子句、order by/group by排序……

⑤ 可能造成内存瓶颈问题：高并发用户访问、系统进程多，java内存泄露……

⑥ 可能造成磁盘IO瓶颈问题：生成cache文件，数据库频繁更新，或者查询大表……

3、影响Linux性能的因素

1）CPU

CPU是操作系统稳定运行的根本，CPU的速度与性能在很大程度上决定了系统整体的性能，因此，CPU数量越多、主频越高，服务器性能也就相对越好。但事实并非完全如此。 目前大部分CPU在同一时间内只能运行一个线程，超线程的处理器可以在同一时间运行多个线程，因此，可以利用处理器的超线程特性提高系统性能。另外，Linux内核会把多核的处理器当作多个单独的CPU来识别，例如两个4核的CPU，在Lnux系统下会被当作8个单核CPU。但是从性能角度来讲，两个4核的CPU和8个单核的CPU并不完全等价，根据权威部门得出的测试结论，前者的整体性能要比后者低25％~30％。   

可能出现CPU瓶颈的应用有邮件服务器、动态Web服务器等，对于这类应用，要把CPU的配置和性能放在主要位置。

2）内存     

内存的大小也是影响Linux性能的一个重要的因素，内存太小，系统进程将被阻塞，应用也将变得缓慢，甚至失去响应；内存太大，导致资源浪费。Linux系统采用了物理内存和虚拟内存两种方式，虚拟内存虽然可以缓解物理内存的不足，但是占用过多的虚拟内存，应用程序的性能将明显下降，要保证应用程序的高性能运行，物理内存一定要足够大.     

可能出现内存性能瓶颈的应用有redis内存数据库服务器、cache服务器、静态Web服务器等，对于这类应用要把内存大小放在主要位置。

3）磁盘I/O性能     

磁盘的I/O性能直接影响应用程序的性能，在一个有频繁读写的应用中，如果磁盘I/O性能得不到满足，就会导致应用停滞。好在现今的磁盘都采用了很多方法来提高I/O性能，比如常见的磁盘RAID技术。     

根据磁盘组合方式的不同，RAID可以分为RAID0，RAID1、RAID2、RAID3、RAID4、RAID5、RAID6、RAID7、RAID0+1、RAID10等级别，常用的RAID级别有RAID0、RAID1、RAID5、RAID0+1，这里进行简单介绍。     

RAID 0：这种方式成本低，没有容错和数据修复功能，因而只能用在对数据安全性要求不高的环境中。     

RAID 1：也就是磁盘镜像，通过把一个磁盘的数据镜像到另一个磁盘上，最大限度地保证磁盘数据的可靠性和可修复性，具有很高的数据冗余能力，但磁盘利用率只有50%，因而，成本最高，多用在保存重要数据的场合。   

 RAID5：采用了磁盘分段加奇偶校验技术，从而提高了系统可靠性，RAID5读出效率很高，写入效率一般，至少需要3块盘。允许一块磁盘故障，而不影响数据的可用性。     

RAID0+1：把RAID0和RAID1技术结合起来就成了RAID0+1，至少需要4个硬盘。此种方式的数据除分布在多个盘上外，每个盘都有其镜像盘，提供全冗余能力，同时允许一个磁盘故障，而不影响数据可用性，并具有快速读/写能力。          

通过了解各个RAID级别的性能，可以根据应用的不同特性，选择适合自身的RAID级别，从而保证应用程序在磁盘方面达到最优性能。     

目前常用的磁盘类型有STAT、SAS、SSD磁盘， STAT、SAS是普通磁盘，读写效率一般，如果要保证高性能的写操作，可采用SSD固态磁盘，读写速度可达600MB/s。    

4）网络带宽     

网络带宽也是影响性能的一个重要因素，低速的、不稳定的网络将导致网络应用程序的访问阻塞，而稳定、高速的网络带宽，可以保证应用程序在网络上畅通无阻地运行。幸运的是，现在的网络一般都是千兆带宽或光纤网络，带宽问题对应用程序性能造成的影响也在逐步降低。     

组建网络时，如果局域网内有大量数据传输需求（hadoop大数据业务、数据库业务），可采用千兆、万兆网络接口，针对每个服务器，如果单网卡效率不够，可采用双网卡绑定技术，提高网卡数据传输带宽和性能。

5）系统安装

系统优化可以从安装操作系统开始，当安装Linux系统时，磁盘的划分，SWAP内存的分配都直接影响以后系统的运行性能，例如，磁盘分配可以遵循应用的需求：对于对写操作频繁而对数据安全性要求不高的应用，可以把磁盘做成RAID 0；而对于对数据安全性较高，对读写没有特别要求的应用，可以把磁盘做成RAID 1；对于对读操作要求较高，而对写操作无特殊要求，并要保证数据安全性的应用，可以选择RAID 5；对于对读写要求都很高，并且对数据安全性要求也很高的应用，可以选择RAID 01。这样通过不同的应用需求设置不同的RAID级别，在磁盘底层对系统进行优化操作。     

随着内存价格的降低和内存容量的日益增大，对虚拟内存SWAP的设定，现在已经没有了所谓虚拟内存是物理内存两倍的要求，但是SWAP的设定还是不能忽略，根据经验，如果内存较小（物理内存小于4GB），一般设置SWAP交换分区大小为内存的2倍；如果物理内存大于8GB小于16GB，可以设置SWAP大小等于或略小于物理内存即可；如果内存大小在16GB以上，原则上可以设置SWAP为0，但并不建议这么做，因为设置一定大小的SWAP还是有一定作用的。

6）内核参数  

系统安装完成后，优化工作并没有结束，接下来还可以对系统内核参数进行优化，不过内核参数的优化要和系统中部署的应用结合起来整体考虑。例如，如果系统部署的是Oracle数据库应用，那么就需要对系统共享内存段（kernel.shmmax、kernel.shmmni、kernel.shmall）、系统信号量（kernel.sem）、文件句柄（fs.file-max）等参数进行优化设置；如果部署的是Web应用，那么就需要根据Web应用特性进行网络参数的优化，例如修改net.ipv4.ip_local_port_range、net.ipv4.tcp_tw_reuse、net.core.somaxconn等网络内核参数。

7）文件系统     

文件系统的优化也是系统资源优化的一个重点，在Linux下可选的文件系统有ext3、ext4、xfs，根据不同的应用，选择不同的文件系统。     

Linux标准文件系统是从VFS开始的，然后是ext，接着就是ext2，应该说，ext2是Linux上标准的文件系统，ext3是在ext2基础上增加日志形成的，从VFS到ext4，其设计思想没有太大变化，都是早期UNIX家族基于超级块和inode的设计理念。

4、性能分析标准

性能调优的主要目的是使系统能够有效的利用各种资源，最大的发挥应用程序和系统之间的性能融合，使应用高效、稳定的运行。但是，衡量系统资源利用率好坏的标准没有一个严格的定义，针对不同的系统和应用也没有一个统一的说法，因此，这里提供的标准其实是一个经验值，下面给出了判定系统资源利用状况的一般准则：

其中：     

%user：表示CPU处在用户模式下的时间百分比。     
%sys：表示CPU处在系统模式下的时间百分比。    
%iowait：表示CPU等待输入输出完成时间的百分比。     
swap in：即si，表示虚拟内存的页导入，即从SWAP DISK交换到RAM。     
swap out：即so，表示虚拟内存的页导出，即从RAM交换到SWAP DISK。

三、系统性能评估与分析工具

1、性能分析工具简介

1）vmstat 

vmstat是Virtual Meomory Statistics（虚拟内存统计）的缩写，很多linux发行版本都默认安装了此命令工具，利用vmstat命令可以对操作系统的内存信息、进程状态、CPU活动等进行监视，不足之处是无法对某个进程进行深入分析。

vmstat使用语法如下：

vmstat [-V] [-n] [delay [count]] 

各个选项及参数含义如下：     

-V：表示打印出版本信息，是可选参数。     
-n：表示在周期性循环输出时，输出的头部信息仅显示一次。     
delay：表示两次输出之间的间隔时间。     
count：表示按照“delay”指定的时间间隔统计的次数。默认为1。
例如：
vmstat 3：表示每3秒钟更新一次输出信息，循环输出，按ctrl+c停止输出。 
vmstat 3 5：表示每3秒更新一次输出信息，统计5次后停止输出。

2）iostat命令     

iostat是I/O statistics（输入/输出统计）的缩写，主要的功能是对系统的磁盘I/O操作进行监视。它的输出主要显示磁盘读写操作的统计信息，同时也会给出CPU使用情况。同vmstat一样，iostat也不能对某个进程进行深入分析，仅对系统的整体情况进行分析。     

iostat一般都不随系统安装，要使用iostat工具，需要在系统上安装一个Sysstat的工具包，Sysstat是一个开源软件，官方地址为http://pagesperso-orange.fr/sebastien.godard 安装完毕，系统会多出3个命令：iostat、sar和mpstat。然后就可以直接在系统下运行iostat命令了。

iostat使用语法如下：

iostat [ -c | -d ] [ -k ] [ -t ] [ -x [ device ] ] [ interval  [ count ] ] 

各个选项及参数含义如下：     

-c：显示CPU的使用情况。     
-d：显示磁盘的使用情况。     
-k：每秒以k bytes为单位显示数据。     
-t：打印出统计信息开始执行的时间。     
-x device：指定要统计的磁盘设备名称，默认为所有的磁盘设备。    
interval：指定两次统计间隔的时间；     
count：按照“interval”指定的时间间隔统计的次数。

3）sar命令     

sar命令很强大，是分析系统性能的重要工具之一，通过sar指令，可以全面的获取系统的CPU、运行队列、磁盘I/O、分页（交换区）、内存、CPU中断、网络等性能数据。

sar使用格式为：

sar [options]  [-o filename] [interval [count] ] 

各个选项及参数含义如下：

options 为命令行选项，sar命令的选项很多，下面只列出常用选项：

-A：显示系统所有资源设备（CPU、内存、磁盘）的运行状况。 
-u：显示系统所有CPU在采样时间内的负载状态。
-P：显示当前系统中指定CPU的使用情况。
-d：显示系统所有硬盘设备在采样时间内的使用状况。 
-r：显示系统内存在采样时间内的使用状况。 
-b：显示缓冲区在采样时间内的使用情况。 
-v：显示进程、文件、I节点和锁表状态。 
-n：显示网络运行状态。参数后面可跟DEV、EDEV、SOCK和FULL。DEV显示网络接口信息，EDEV显示网络错误的统计数据，SOCK显示套接字信息，FULL显示三个所有的信息。它们可以单独或者一起使用。 
interval：表示采样间隔时间，是必须有的参数。 
count：表示采样次数，是可选参数，默认值是1。

2、CPU性能评估

1）vmstat

该命令可以显示关于系统各种资源之间相关性能的简要信息，这里我们主要用它来看CPU的一个负载情况。

对上面每项的输出解释如下：

Procs： r列表示运行和等待cpu时间片的进程数，这个值如果长期大于系统CPU的核数的2-4倍，说明CPU不足，需要增加CPU。 b列表示在等待资源的进程数，比如正在等待I/O、或者内存交换等
Memory： swpd列表示切换到内存交换区的内存数量（以k为单位）。如果swpd的值不为0，或者比较大，只要si、so的值长期为0，这种情况下一般不用担心，不会影响系统性能。 free列表示当前空闲的物理内存数量（以k为单位） buff列表示buffers cache的内存数量，一般对块设备的读写才需要缓冲。 cache列表示page cached的内存数量，一般作为文件系统cached，频繁访问的文件都会被cached，如果cache值较大，说明cached的文件数较多，如果此时IO中bi比较小，说明文件系统效率比较好。 
swap：si列表示由磁盘调入内存，也就是内存进入内存交换区的数量。 so列表示由内存调入磁盘，也就是内存交换区进入内存的数量。 一般情况下，si、so的值都为0，如果si、so的值长期不为0，则表示系统内存不足。需要增加系统内存。 
IO项显示磁盘读写状况：Bi列表示从块设备读入数据的总量（即读磁盘）（每秒kb）。 Bo列表示写入到块设备的数据总量（即写磁盘）（每秒kb） 这里我们设置的bi+bo参考值为1000，如果超过1000，而且wa值较大，则表示系统磁盘IO有问题，应该考虑提高磁盘的读写性能。 
system： 显示采集间隔内发生的中断数，in列表示在某一时间间隔中观测到的每秒设备中断数。 cs列表示每秒产生的上下文切换次数。 上面这2个值越大，会看到由内核消耗的CPU时间会越多。
CPU项显示了CPU的使用状态：此列是我们关注的重点，us列显示了用户进程消耗的CPU 时间百分比。us的值比较高时，说明用户进程消耗的cpu时间多，但是如果长期大于50%，就需要考虑优化程序或算法。 sy列显示了内核进程消耗的CPU时间百分比。Sy的值较高时，说明内核消耗的CPU资源很多。 根据经验，us+sy的参考值为80%，如果us+sy大于 80%说明可能存在CPU资源不足。 id 列显示了CPU处在空闲状态的时间百分比。 wa列显示了IO等待所占用的CPU时间百分比。wa值越高，说明IO等待越严重，根据经验，wa的参考值为20%，如果wa超过20%，说明IO等待严重，引起IO等待的原因可能是磁盘大量随机读写造成的，也可能是磁盘或者磁盘控制器的带宽瓶颈造成的（主要是块操作）。 

综上所述，在对CPU的评估中，需要重点注意的是procs项r列的值和CPU项中us、sy和id列的值。

2）sar

下面是sar命令对某个系统的CPU统计输出：

[root@webserver ~]# sar -u 3 5 
Linux 2.6.9-42.ELsmp (webserver)        11/28/2008      _i686_  (8 CPU) 
11:41:24 AM     CPU     %user     %nice   %system   %iowait    %steal     %idle 
11:41:27 AM     all      0.88      0.00      0.29      0.00      0.00     98.83 
11:41:30 AM     all      0.13      0.00      0.17      0.21      0.00     99.50 
11:41:33 AM     all      0.04      0.00      0.04      0.00      0.00     99.92 

对上面每项的输出解释如下：

%user列显示了用户进程消耗的CPU 时间百分比。 
%nice列显示了运行正常进程所消耗的CPU 时间百分比。 
%system列显示了系统进程消耗的CPU时间百分比。 
%iowait列显示了IO等待所占用的CPU时间百分比。
%steal列显示了在内存相对紧张的环境下pagein强制对不同的页面进行的steal操作。 
%idle列显示了CPU处在空闲状态的时间百分比。     

这个输出是对系统整体CPU使用状况的统计，每项的输出都非常直观，并且最后一行Average是个汇总行，是上面统计信息的一个平均值。     

需要注意的一点是：第一行的统计信息中包含了sar本身的统计消耗，所以%user列的值会偏高一点，不过，这不会对统计结果产生多大影响。   

在一个多CPU的系统中，如果程序使用了单线程，会出现这么一个现象，CPU的整体使用率不高，但是系统应用却响应缓慢，这可能是由于程序使用单线程的原因，单线程只使用一个CPU，导致这个CPU占用率为100%，无法处理其它请求，而其它的CPU却闲置，这就导致了整体CPU使用率不高，而应用缓慢现象的发生。

3）iostat

 iostat指令主要用于统计磁盘IO状态，但是也能查看CPU的使用信息，它的局限性是只能显示系统所有CPU的平均信息，看下面的一个输出：

[root@webserver ~]# iostat  -c 
Linux 2.6.9-42.ELsmp (webserver)        11/29/2008      _i686_  (8 CPU) 
avg-cpu:  %user   %nice   %system  %iowait  %steal   %idle                    
          2.52    0.00    0.30     0.24     0.00     96.96 

在这里，我们使用了“-c”参数，只显示系统CPU的统计信息，输出中每项代表的含义与sar命令的输出项完全相同。

4）uptime

uptime是监控系统性能最常用的一个命令，主要用来统计系统当前的运行状况，输出的信息依次为：系统现在的时间、系统从上次开机到现在运行了多长时间、系统目前有多少登陆用户、系统在一分钟内、五分钟内、十五分钟内的平均负载。

看下面的一个输出：

[root@webserver ~]# uptime  
18:52:11 up 27 days, 19:44,  2 users,  load average: 0.12, 0.08, 0.08

这里需要注意的是load average这个输出值，这三个值的大小一般不能大于系统CPU的核数，例如，本输出中系统有8个CPU,如果load average的三个值长期大于8时，说明CPU很繁忙，负载很高，可能会影响系统性能，但是偶尔大于8时，倒不用担心，一般不会影响系统性能。相反，如果load average的输出值小于CPU的个数，则表示CPU还有空闲的时间片，比如本例中的输出，CPU是非常空闲的。

5）htop

它类似于 top 命令，但可以让你在垂直和水平方向上滚动，所以你可以看到系统上运行的所有进程，以及他们完整的命令行。可以不用输入进程的 PID 就可以对此进程进行相关的操作。     

Htop的安装，既可以通过源码包编译安装，也可以配置好yum源后网络下载安装，推荐yum方式安装，但是要下载一个epel源，因为htop包含在epel源中。安装很简单，命令如下：

yum install -y htop

安装完成后，命令行中直接敲击htop命令，即可进入htop的界面。

各项从上至下分别说明如下：     

左边部分从上至下，分别为，cpu、内存、交换分区的使用情况，右边部分为：Tasks为进程总数，当前运行的进程数、Load average为系统1分钟，5分钟，10分钟的平均负载情况、Uptime为系统运行的时间。

3、内存性能评估与分析工具

1）free

free是监控linux内存使用状况最常用的指令，看下面的一个输出：

 “free –m”表示以M为单位查看内存使用情况。     

一般有这样一个经验公式：应用程序可用内存/系统物理内存>70%时，表示系统内存资源非常充足，不影响系统性能，应用程序可用内存/系统物理内存<20%时，表示系统内存资源紧缺，需要增加系统内存，20%<应用程序可用内存/系统物理内存<70%时，表示系统内存资源基本能满足应用需求，暂时不影响系统性能。

2）vmstat

vmstat命令在监控系统内存方面功能强大，请看下面的一个输出：

procs  -----------memory----------  	---swap--  -----io---- --system--   ----cpu----
 r  b   swpd    free buff    cache   	si   so    	bi    bo    in    cs    	us sy id   wa
 0  0  906440  22796 155616 1325496  	340  180    2     4     1     4    	80  0  10  10
 0  0  906440  42796 155616 1325496  	320  289    0    54    1095  287   70  15  0  15
 0  0  906440  42884 155624 1325748  	236  387    2   102    1064   276  78  2   5  15

对于内存的监控，在vmstat中重点关注的是swpd、si和so行，从这个输出可以看出，此系统内存资源紧缺，swpd占用了900M左右内存，si和so占用很大，而由于系统内存的紧缺，导致出现15%左右的系统等待，此时增加系统的内存是必须要做的。

3）Smem

Smem是一款命令行下的内存使用情况报告工具，它能够给用户提供 Linux 系统下的内存使用的多种报告。和其它传统的内存报告工具不同的是，它有个独特的功能，可以报告 PSS。

Linux使用到了虚拟内存（virtual memory），因此要准确的计算一个进程实际使用的物理内存就不是那么简单。只知道进程的虚拟内存大小也并没有太大的用处，因为还是无法获取到实际分配的物理内存大小。

RSS（Resident set size），使用top命令可以查询到，是最常用的内存指标，表示进程占用的物理内存大小。但是，将各进程的RSS值相加，通常会超出整个系统的内存消耗，这是因为RSS中包含了各进程间共享的内存。

PSS（Proportional set size）所有使用某共享库的程序均分该共享库占用的内存时。显然所有进程的PSS之和就是系统的内存使用量。它会更准确一些，它将共享内存的大小进行平均后，再分摊到各进程上去。

USS(Unique set size )进程独自占用的内存，它只计算了进程独自占用的内存大小，不包含任何共享的部分。

安装Smem

首先启用 EPEL (Extra Packages for Enterprise Linux)软件源，然后按照下列步骤操作：

yum install smem python-matplotlib python-tk 

以百分比的形式报告内存使用情况：  

smem -p

每一个用户的内存使用情况：  

smem -u

查看某个进程占用内存大小：

smem -P nginx 
smem -k -P nginx

4、磁盘I/O性能评估与分析工具

1）iostat

在对磁盘I/O性能做评估之前，必须知道的几个方面是：

（1）尽可能用内存的读写代替直接磁盘I/O，使频繁访问的文件或数据放入内存中进行操作处理，因为内存读写操作比直接磁盘读写的效率要高千倍。

（2）将经常进行读写的文件与长期不变的文件独立出来，分别放置到不同的磁盘设备上。

（3）对于写操作频繁的数据，可以考虑使用裸设备代替文件系统。

iostat -d 命令组合：

对上面每项的输出解释如下：

Blk_read/s表示每秒读取的数据块数。 
Blk_wrtn/s表示每秒写入的数据块数。 
Blk_read表示读取的所有块数。
Blk_wrtn表示写入的所有块数。    

这里需要注意的一点是：上面输出的第一项是系统从启动以来到统计时的所有传输信息，从第二次输出的数据才代表在检测的时间段内系统的传输值。     

可以通过Blk_read/s和Blk_wrtn/s的值对磁盘的读写性能有一个基本的了解，如果Blk_wrtn/s值很大，表示磁盘的写操作很频繁，可以考虑优化磁盘或者优化程序，如果Blk_read/s值很大，表示磁盘直接读取操作很多，可以将读取的数据放入内存中进行操作。对于这两个选项的值没有一个固定的大小，根据系统应用的不同，会有不同的值，但是有一个规则还是可以遵循的：长期的、超大的数据读写，肯定是不正常的，这种情况一定会影响系统性能。

2）iotop

iotop是一个用来监视磁盘I/O使用状况的top类工具，可监测到哪一个程序使用的磁盘IO的实时信息，可直接执行yum在线安装：

yum -y install iotop

常用选项：

-p 指定进程ID，显示该进程的IO情况。 
-u 指定用户名，显示该用户所有的进程IO情况。 
-P, --processes，只显示进程，默认为显示所有的线程。 
-k, --kilobytes，以千字节显示。 
-t, --time，在每一行前添加一个当前的时间。

输出详情：

交互模式下的排序按键：

o键是只显示有IO输出的进程。 

左右箭头改变排序方式，默认是按IO排序。 

p键，可进行线程、进程切换。

5、网络性能评估与分析工具

1）ping

如果发现网络反应缓慢，或者连接中断，可以通过ping来测试网络的连通情况，请看下面的一个输出：

在这个输出中，time值显示了两台主机之间的网络延时情况，如果此值很大，则表示网络的延时很大，单位为毫秒。在这个输出的最后，是对上面输出信息的一个总结，packet loss表示网络的丢包率，此值越小，表示网络的质量越高。

2）netstat

netstat命令提供了网络接口的详细信息，请看下面的输出：

输出项说明：

Iface表示网络设备的接口名称。 
MTU表示最大传输单元，单位字节。 
RX-OK/TX-OK表示已经准确无误的接收/发送了多少数据包。 
RX-ERR/TX-ERR表示接收/发送数据包时产生了多少错误。 
RX-DRP/TX-DRP表示接收/发送数据包时丢弃了多少数据包。 
RX-OVR/TX-OVR表示由于误差而遗失了多少数据包。 

Flg表示接口标记，其中：

L：表示该接口是个回环设备。
B：表示设置了广播地址。
M：表示接收所有数据包。
R：表示接口正在运行。
U：表示接口处于活动状态。 
O：表示在该接口上禁用arp。
P：表示一个点到点的连接。

正常情况下，RX-ERR/TX-ERR、RX-DRP/TX-DRP和RX-OVR/TX-OVR的值都应该为0，如果这几个选项的值不为0，并且很大，那么网络质量肯定有问题，网络传输性能也一定会下降。 

3）tcpdump

tcpdump 可以将网络中传送的数据包的header完全截获下来进行分析，它支持对网络层(net  IP 段)、协议(TCP/UDP)、主机(src/dst host)、网络或端口(prot)的过滤，并提供and、or、not等逻辑语句来去掉无用的信息。

tcpdump的常用选项如下：

-i ：指定网卡 默认是 eth0。   
-n ：线上ip，而不是hostname。
-c ：指定抓到多个包后推出。 
-A：以ASCII方式线上包的内容，这个选项对文本格式的协议包很有用。 
-x：以16进制显示包的内容。
-vvv：显示详细信息。 
-s ：按包长截取数据；默认是60个字节；如果包大于60个字节，则抓包会出现丢数据；所以一般会设置 -s 0 。这样会按照包的大小截取数据；抓到的是完整的包数据。
-r：从文件中读取【与 -w 对应，/usr/sbin/tcpdump -r test.out  读取 tcpdump -w  test.out 】。 
-w：指定一个文件，保存抓包信息到此文件中，推荐使用这个选项，-w t.out ，然后用 -r t.out 来看抓包信息，否则，数据包信息太多，可读性很差。 

 抓取所有经过eth0的网络数据：

tcpdump -i eth0 
tcpdump -n -i eth0 

抓取所有经过eth0的5个数据包：

tcpdump -c 5 -i eth0 

抓取所有经过 eth0，基于tcp协议的网络数据：

tcpdump -i eth0 tcp 

抓取所有经过 eth0，目的或源端口是22的网络数据：

tcpdump -i eth0 port 22

抓取所有经过 eth0，源地址是192.168.0.2的网络数据：

tcpdump -i eth0 src 192.168.0.2 

抓取所有经过eth0，目的地址是50.116.66.139的网络数据：

tcpdump -i eth0 dst 50.116.66.139 

将抓取所有经过eth0网卡的数据写到0001.pcap文件中：

tcpdump -w 0001.pcap -i eth0 

从0001.pcap文件中读取抓取的数据包：

tcpdump -r 0001.pcap

tcpmdump抓包出来后要分析包的具体含义，常见的包携带的标志有：

S：S=SYC  ：发起连接标志。 
P：P=PUSH：传送数据标志。 
F：F=FIN：关闭连接标志。 
ack：表示确认包。 
RST=RESET：异常关闭连接 . 表示没有任何标志。    

6、Web应用性能优化案例

1）动态网站优化案例

硬件环境：两台IBM x3850服务器, 两个双核Intel(R) Xeon(R) CPU E5620，64GB内存，2块1TB STAT磁盘做系统盘。两块2TB磁盘做数据盘。

操作系统：CentOS6.9  x86_64。

网站架构：Web应用是基于J2EE架构的电子商务应用，Web端应用服务器是Tomcat，采用MySQL数据库，Web和数据库独立部署在两台服务器上。

现象描述：网站访问高峰时，网页无法打开，重启tomcat服务后，网站可以正常运行一段时间，但过一会又变得响应缓慢，最后网页彻底无法打开。

检查配置：首先检查系统资源状态，发现服务出现故障时系统负载极高，CPU满负荷运行，Java进程占用了系统99%的CPU资源，但内存资源占用不大；接着检查应用服务器信息，发现只有一个Tomcat在运行Java程序；接着查看Tomcat配置文件server.xml，发现server.xml文件中的参数都是默认配置，没有进行任何优化。

处理措施：server.xml文件的默认参数需要根据应用的特性进行适当的修改，例如可以修改“connectionTimeout“、“maxKeepAliveRequests”、“maxProcessors”等几个Tmcat配置文件的参数，适当加大这几个参数值。

修改参数值后，继续观察发现，网站服务宕机时间间隔加长了，不像以前那么频繁，但是Java进程消耗CPU资源还是很严重，网页访问速度极慢。 

Tomcat JVM参数优化

修改TOMCAT_HOME/bin/catalina.sh，增加如下内容：

JAVA_OPTS=“-server -Xms3550m -Xmx3550m  -Xmn1g -XX:PermSize=256M -XX:MaxPermSize=512m” 
export JAVA_OPTS 

整个堆内存大小 = 年轻代大小 + 年老代大小 + 持久代大小

-Xmx3550m：设置JVM最大堆内存 为3550M。 

-Xms3550m：设置JVM初始堆内存 为3550M。 

-Xmn1g：设置堆内存年轻代 大小为1G。

整个堆内存大小 = 年轻代大小 + 年老代大小 + 持久代大小。 

持久代一般固定大小为64m，所以增大年轻代后，将会减小年老代大小，此值对系统性能影响较大 。

-XX:PermSize=256M：设置堆内存持久代初始值为256M。

-XX:MaxPermSize=512M：设置持久代最大值为512M。

原因分析：   

既然Java进程消耗CPU资源严重，那么需要查看到底是什么导致Java消耗资源严重，通过lsof、netstat命令发现有大量的Java请求等待信息，然后查看Tomcat日志，发现大量报错信息、日志提示和数据库连接超时，最终无法连接到数据库，同时，访问网站静态资源，也无法访问。

于是得出如下结论：     

Tomcat本身就是一个Java容器，是使用连接/线程模型处理业务请求的，主要用于处理Jsp、servlet等动态应用，虽然它也能当作HTTP服务器，但是处理静态资源的效率很低，远远比不上Apache或Nginx。从前面观察到的现象分析，可以初步判断是Tomcat无法及时响应客户端的请求，进而导致请求队列越来越多，直到Tomcat彻底崩溃。

处理措施：   

要优化Tomcat性能，需要从结构上进行重构，首先，加入Apache支持，由Apache处理静态资源，由Tomcat处理动态请求，Apache服务器和Tomcat服务器之间使用Mod_JK模块进行通信。

第二次分析优化

经过前面的优化措施，Java资源偶尔会增高，但是一段时间后又会自动降低，这属于正常状态，而在高并发访问情况下，Java进程有时还会出现资源上升无法下降的情况。

通过查看Tomcat日志，综合分析得出如下结论：     

要获得更高、更稳定的性能，单一的Tomcat应用服务器有时会无法满足需求，因此要结合Mod_JK模块运行基于Tomcat的负载均衡系统，这样前端由Apache负责用户请求的调度，后端又多个Tomcat负责动态应用的解析操作，通过将负载均分配给多个Tomcat服务器，网站的整体性能会有一个质的提升。

2）Tomcat占用CPU超高的解决思路与方法

java中进程与线程的概念     

进程是程序的一次动态执行，它对应着从代码加载，执行至执行完毕的一个完整的过程，是一个动态的实体，它有自己的生命周期。它因创建而产生，因调度而运行，因等待资源或事件而被处于等待状态，因完成任务而被撤消。     

线程是进程的一个实体,是CPU调度和分派的基本单位,它是比进程更小的能独立运行的基本单位。一个线程可以创建和撤销另一个线程，同一个进程中的多个线程之间可以并发执行。

进程和线程的关系：

（1）一个线程只能属于一个进程，而一个进程可以有多个线程，但至少有一个线程。

（2）进程作为资源分配的最小单位，资源是分配给进程的，同一进程的所有线程共享该进程的所有资源。

（3）真正在处理机上运行的是线程。 进

程与线程的区别：

（1）调度：线程作为调度和分配的基本单位，进程作为拥有资源的基本单位。

（2）并发性：不仅进程之间可以并发执行，同一个进程的多个线程之间也可并发执行。

（3）拥有资源：进程是拥有资源的一个独立单位，线程不拥有系统资源，但可以访问隶属于进程的资源。

（4）系统开销：在创建或撤消进程时，由于系统都要为之分配和回收资源，导致系统的开销明显大于创建或撤消线程时的开销。     

Tomcat底层是通过JVM运行的，JVM在操作系统中是作为一个进程存在的，而java中的所有线程在JVM进程中，但是CPU调度的是进程中的线程。因此，java是支持多线程的，体现在操作系统中，就是java进程可以使用CPU的多核资源。

现象描述：

排查java进程占用CPU过高的思路：

（1）提取占用CPU过高的进程

方法一：使用top或htop命令查找到占用CPU高的进程的pid： 

top -d 1 

方法二：使用ps查找到tomcat运行的进程pid：     

ps -ef | grep tomcat 

（2）、定位有问题的线程的pid

根据上面第一步拿到的pid号，执行“top -H -p pid”命令 。然后按下shift+p，查找出cpu利用率最厉害的线程号。

（3）将线程的pid转换为16进制数 printf ‘%x\n’ pid 注意，此处的pid为上一步找到的占CPU高的线程的PID。

（4）使用jstack工具将进程信息打印输出 用jstack打印线程信息 ，将信息重定向到文件中。

执行如下操作：

jstack pid |grep tid 

例如：

jstack 30116 | grep -A 20 75cf 

或

jstack 30116 |grep 75cf >> jstack.out

这里的“75cf “就是线程的pid转换为16进制数的结果。

（5）根据输出信息进行具体分析

四、CPU-内存-IO-网络调优

1、CPU性能调优

1）CPU处理方式

1. 批处理，顺序处理请求。(切换次数少，吞吐量大)。

批处理 - 以前的大型机（Mainframe）上所采用的系统，需要把一批程序事先写好（打孔纸带），然后计算得出结果 。

2. 分时处理。(如同"独占"，吞吐量小)(时间片，把请求分为一个一个的时间片，一片一片的分给CPU处理)我们现在使用x86就是这种架构。

分时 - 现在流行的PC机和服务器都是采用这种运行模式，即把CPU的运行分成若干时间片分别处理不同的运算请求。

3. 实时处理

实时 - 一般用于单片机上，比如电梯的上下控制，对于按键等动作要求进行实时处理。

2）查看CPU一分钟有多个切换多少次

查看内核一秒钟中断CPU次数：

[root@localhost ~]# grep HZ /boot/config-3.10.0-693.el7.x86_64 
CONFIG_NO_HZ=y
# CONFIG_HZ_100 is not set
# CONFIG_HZ_250 is not set
# CONFIG_HZ_300 is not set
CONFIG_HZ_1000=y
CONFIG_HZ=1000   #1秒钟有1000次中断

此文件/boot/config-3.10.0-693.el7.x86_64 是编译内核的参数文件。

3）调整进程优先级使用更多CPU

调整进程nice值，让进程使用更多的CPU。

nice值范围：-20 ~ 19越小优先级越高，普通用户0－19。

nice作用：以什么优先级运行进程 。默认优先级是0。

语法：

nice -n 优先级数字

例如：

# nice -n -5 vim a.txt   # vim进程以-5级别运行

查看：

ps -axu | grep a.txt

[root@localhost ~]# ps -axu | grep a.txt
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root     24318  0.0  0.2 143624  3280 pts/4    S+   17:00   0:00 vim b.txt

[root@localhost ~]# top -p 24318
PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                        
24129 root      15  -5  140m 3336 2200 S  0.0  0.3   0:00.08 vim   

renice修改正在运行的进程的优先级：

#renice -n 5 PID   #修改进程优先级

例如：

#renice -n 5 24318

[root@xuegod63 ~]# top -p   24318

PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                        
24129 root      15  5  140m 3336 2200 S  0.0  0.3   0:00.08 vim   

检测一下范围：-20-19：

[root@xuegod63 ~]# renice -n -21 24129
24129: old priority 5, new priority -20
[root@xuegod63 ~]# renice -n 20 24129
24129: old priority -20, new priority 19

4）CPU亲和力

taskset 作用：在多核情况下，可以认为指定一个进程在哪颗CPU上执行程序，减少进程在不同CPU之前切换的开销。

安装：

[root@localhost ~]# rpm -qf `which taskset `
util-linux-2.23.2-43.el7.x86_64

语法：

taskset  -c N 命令

本机是4核CPU ，指定vim命令在第一个CPU上运行：

[root@localhost ~]# taskset -c 0 vim a.txt    #1号CPU ID是0

[root@localhost ~]# ps -axu | grep vim
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root      2614  1.3  0.2 143696  3332 pts/0    S+   18:39   0:00 vim a.txt

[root@localhost ~]# taskset -p  2614    #  -p 要查看的进程ID
pid 2614's current affinity mask: 1    #CPU亲和力掩码，1代表第一个CPU核心

查sshd进程运行在哪几个CPU上：

[root@localhost ~]# ps -axu | grep sshd
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root      2030  0.0  0.0  64068  1140 ?        Ss   18:26   0:00 /usr/sbin/sshd

[root@localhost ~]# taskset -p 2030
pid 2030's current affinity mask: f   #说明sshd在4颗CPU上随机进行切换。

cpu ID号码，对应的16进制数为：

CPU ID：              7      6      5      4      3      2      1      0
对应的10数为：        128    64      32    16      8      4      2      1

当前, 我的系统中cpu ID的为（0、1、2、3） 。pid 2030's current affinity mask： f的值为cpu ID 16进制的值的和（1+2+4+8=f),转换成二进制为：1111。

这个说明了（pid=2030)的这个sshd进程工作在cpu ID 分别为0,1,2,3这个四个cpu上面的切换。 

我们的CPU是4核心，所以taskset -c后可以跟 0、1、2、3。

指定vim c.txt  程序运行在第2和第4个CPU上：

[root@localhost ~]#  taskset -c 1,3 vim b.txt
[root@localhost ~]#  ps -axu | grep vim
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root      6314  1.5  0.2 143612  3280 pts/1    S+   14:41   0:00 vim b.txt
root      6317  0.0  0.0 103300   848 pts/2    S+   14:41   0:00 grep vim
[root@localhost ~]# taskset -p    6314 
pid 6314's current affinity mask: a  
# a为十进制的10=2+8   

注：在哪个CPU上运行，那一位就赋为1 。

5）CPU 性能监控

理解运行队列，利用率，上下文切换对怎样CPU 性能最优化之间的关系，早期提及到性能是相对于基准线数据的，在一些系统中，通常预期所达到的性能包括：

Run Queues ­ 每个处理器应该运行队列不超过1­3个线程

比如一个双核处理器应该运行队列不要超过6 个。

注：有两个特殊的进程永远在运行队列中待着，当前进程和空进程idle。

6）CPU 利用率比例分配

如果一个CPU 被充分使用，利用率分类之间均衡的比例应该是：

65% ­ 70% User Time   #用户态
30% ­ 35% System Time #内核态
0% ­ 5% Idle Time   #空闲
Context Switches ­  #上下文切换的数目直接关系到CPU 的使用率，如果CPU 利用率保持在上述均衡状态时，有大量的上下文切换是正常的。

实例1：持续的CPU 利用率：

[root@localhost ~]# vmstat  1 10  # 本机为单核CPU，执行vmstat显示以下内容
procs    --------memory----------      ---swap--  -----io----   --system--  -----cpu-----
r  b      swpd  free   buff  cache    si   so     bi    bo   in     cs     us sy  id  wa st
3  0      0  130644  86244 609860    0    0     4     1    531   25      0  0  20  0   0
4  0      0  130620  86244 609860    0    0     0     0    638   62      0  0  14  0   0
2  0      0  130620  86244 609860    0    0     0     0     658   62      0  0  13  0   0
4  0      0  130620  86244 609860    0    0     0     0     688   62      0  0  11  0   0

在这个例子中，这个系统的CPU被充分利用。

根据观察值，我们可以得到以下结论：

1、有大量的中断(in) 和较少的上下文切换(cs)。这意味着一个单一的进程正在大量使用cpu
2、进一步显示某单个应用，user time(us) 经常在86%或者更多。
执行top -》按P-》查看使用CPU最多的进程
3、运行队列还在可接受的性能范围内，其中有2个地方，是超出了允许限制.

实例2：超负荷调度：

# vmstat 1   #通过查看vmstat输出结果，分析当前系统中出现的问题
procs memory swap io system cpu
r b swpd    free   buff   cache si so bi   bo      in   cs   us sy  wa  id
2 1 207740 98476 81344 180972 0 0 2496 0      900 2883  4 12  57  27
0 1 207740 96448 83304 180984 0 0 1968 328    810 2559  8 9   83   0
0 1 207740 94404 85348 180984 0 0 2044 0      829 2879   9 6   78  7
0 1 207740 92576 87176 180984 0 0 1828 0      689 2088   3 9   78  10
2 0 207740 91300 88452 180984 0 0 1276 0      565 1282   7 6   83  4
3 1 207740 90124 89628 180984 0 0 1176 0      551 1229   2 7   91  0

在这个例子中，内核调度中的上下文切换处于饱和。 

根据观察值,我们可以得到以下结论：

1、上下文切换数目高于中断数目，说明kernel中相当数量的时间都开销在：上下文切换线程。
2、大量的上下文切换将导致CPU 利用率不均衡，很明显实际上等待io 请求的百分比(wa)非常高,以及user time百分比非常低(us).  说明磁盘比较慢，磁盘是瓶颈。
3、因为CPU 都阻塞在IO请求上，所以运行队列里也有相当数个的可运行状态线程在等待执行。

2、内存性能调优

1）内存调优相关内容

关于内存，一般情况不用调优，我们在这里分析一些情况：

BUFFER inode节点索引缓存 缓存  写时用，先写入到内存
CACHE  block块/页缓存    快取  读时用，先读入到内存

buffers #缓存从磁盘读出的内容，这种理解是片面的
cached #缓存需要写入磁盘的内容，这种理解是片面的

buffer：

free -h
Or
vmstat
终端2：find /   
终端1: free -m #查看buffer增长

cache：

free -m
Or
vmstat
终端2：grep aaaa / -R
终端1: free  -m  #查看CAHCE增长

说明：

CACHE：页缓存，内存页 一页尺寸 4KB
对象文件系统块block： 1kB 2kB 4kB
扇区sectors： 512b

2）手动清空buffer+cache 

[root@localhost ~]# cat /proc/sys/vm/drop_caches   #默认是 0
0
[root@localhost ~]# free -m
[root@localhost ~]# free 
              total        used        free      shared  buff/cache   available
Mem:         999720      290728   367972    7396      341020      495424
Swap:       2097148           0     2097148
[root@apache ~]# sync  # 把内存中的数据写入磁盘
[root@localhost ~]# echo 1 > /proc/sys/vm/drop_caches
[root@localhost ~]# free -m
           total        used        free      shared  buff/cache   available
Mem:       976          283         484         7       208         495
Swap:      2047         0           2047

3、磁盘I/O性能调优

1）资源限制

限制用户资源配置文件：

vim /etc/security/limits.conf

每行的格式：

用户名/@用户组名    类型(软限制/硬限制)   选项     值        

永久修改一个进程可以打开的最大文件数：

vim /etc/security/limits.conf   #在最添加：
*               soft   nofile            1024000
*               hard   nofile           1024000

reboot   #永久生效的缺点，必须重启系统

soft是一个警告值，而hard则是一个真正意义的阀值，超过就会报错。soft一定要比hard小，最大打开的文件数(以文件描叙符，file descripter计数。

检查：

root@localhost ~]# ulimit -n
1024000
[root@localhost ~]# useradd kill   #以普通用户登录，测试
[root@localhost ~]# su - kill
[mkkk@localhost ~]$ ulimit -n
1024000

方法二：#临时修改
[root@localhost ~]# ulimit -n  10000   
[root@localhost ~]# ulimit -n
10000

/etc/security/limits.conf是模块pam_limits.so的配置文件。

pam相关配置文件：

/lib64/security/    #pam模块所在目录
/etc/security/   #pam每个模块的配置文件
/etc/pam.d/   #使用pam功能的服务和应用程序的配置文件

通过pam_limits.so 模块查看系统中哪些应用程序和服务使用了：

[root@localhost ~]# grep pam_limits.so /etc/pam.d/ -R
...
/etc/pam.d/system-auth:session     required      pam_limits.so

用户可以打开的最大进程数：

[root@localhost ~]# vim /etc/security/limits.d/90-nproc.conf    #RHEL6 必须这个文件中配置
改：
*          soft    nproc     10240
为：
*          soft    nproc     66666
*          hard    nproc     66666 
[root@localhost ~]# reboot    #最好重启一下
[root@localhost ~]# ulimit -u
66666

临时：

[root@localhost ~]# ulimit -u 60000
[root@localhost ~]# ulimit -u
60000

默认用户可用的最大进程数量1024.这样以apache用户启动的进程就数就不能大于1024了。

[root@apache ~]# ulimit -a
core file size          (blocks, -c) 0      kdump转储功能打开后产生的core file大小限制
data seg size           (kbytes, -d) unlimited   数据段大小限制
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited    文件大小限制
pending signals                 (-i) 27955
max locked memory       (kbytes, -l) 32
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024  打开的文件个数限制
pipe size            (512 bytes, -p) 8   管道大小的限制
POSIX message queues     (bytes, -q) 819200   消息队列大小
real-time priority              (-r) 0
stack size              (kbytes, -s) 10240  栈大小
cpu time               (seconds, -t) unlimited  CPU时间使用限制
max user processes              (-u) 27955   最大的用户进程数限制
virtual memory          (kbytes, -v) unlimited    虚拟内存限制 
file locks                      (-x) unlimited   

2）测试硬盘速度

安装：

[root@localhost ~]# yum -y install hdparm
[root@localhost ~]# hdparm -T -t /dev/sda
/dev/sda:
Timing cached reads:   3850 MB in  2.00      seconds = 1926.60 MB/sec
#2秒中直接从内存的 cache读取数据的速度读   3850 MB。  平均1926.60 MB/sec
Timing buffered disk reads:   50 MB in     seconds =  13.17 MB/sec
#3.80秒中从硬盘缓存中读   50 MB。 seconds =  13.17 MB/sec

参数：

-t   perform device read timings   #不使用预先的数据缓冲, 标示了Linux下没有任何文件系统开销时磁盘可以支持多快的连续数据读取。
-T   perform cache read timings  #直接从内存的 cache读取数据的速度。实际上显示出被测系统的处理器缓存和内存的吞吐量。

3）测试硬盘写

命令： dd

在使用前首先了解两个特殊设备：

/dev/null 伪设备，回收站.写该文件不会产生IO开销
/dev/zero 伪设备，会产生空字符流，读该文件不会产生IO开销

测试磁盘的IO写速度：

[root@localhost ~]# dd if=/dev/zero of=/test.dbf bs=8k count=3000
3000+0 records in
3000+0 records out
24576000 bytes (25 MB) copied, 1.04913 s, 23.4 MB/s

可以看到，在1.1秒的时间里，生成25M的一个文件，IO写的速度约为122.6MB/sec；
当然这个速度可以多测试几遍取一个平均值，符合概率统计。

执行命令并计时：

[root@localhost ~]# time dd if=/dev/zero of=/test.dbf bs=8k count=3000
3000+0 records in
3000+0 records out
24576000 bytes (25 MB) copied, 1.04913 s, 23.4 MB/s
real    0m1.061s  12:00 出去吃饭
user    0m0.002s  路上 20分
sys    0m0.770s  吃10分钟

说明：

1) 实际时间(real time): 从command命令行开始执行到运行终止的消逝时间；
2) 用户CPU时间(user CPU time): 命令执行完成花费的用户CPU时间，即命令在用户态中执行时间总和；
3) 系统CPU时间(system CPU time): 命令执行完成花费的系统CPU时间，即命令在核心态中执行时间总和。

其中，用户CPU时间和系统CPU时间之和为CPU时间，即命令占用CPU执行的时间总和。实际时间要大于CPU时间，因为Linux是多任务操作系统，往往在执行一条命令时，系统还要处理其它任务。排队时间没有算在里面。

另一个需要注意的问题是即使每次执行相同命令，但所花费的时间也是不一样，其花费时间是与系统运行相关的。

4、网络性能调优

1）网卡绑定技术 /双线冗余

网卡绑定及简单原理：

网卡绑定也称作"网卡捆绑"，就是使用多块物理网卡虚拟成为一块网卡，以提供负载均衡或者冗余，增加带宽的作用。当一个网卡坏掉时，不会影响业务。这个聚合起来的设备看起来是一个单独的以太网接口设备，也就是这几块网卡具有相同的IP地址而并行链接聚合成一个逻辑链路工作。这种技术在Cisco等网络公司中，被称为Trunking和Etherchannel 技术，在Linux的内核中把这种技术称为bonding。

2）技术分类

1. 负载均衡

对于bonding的网络负载均衡是我们在文件服务器中常用到的，比如把三块网卡，当做一块来用，解决一个IP地址，流量过大，服务器网络压力过大的问题。为了解决同一个IP地址，突破流量的限制，毕竟网线和网卡对数据的吞吐量是有限制的。如果在有限的资源的情况下，实现网络负载均衡，最好的办法就是 bonding。

2. 网络冗余

对于服务器来说，网络设备的稳定也是比较重要的，特别是网卡。在生产型的系统中，网卡的可靠性就更为重要了。在生产型的系统中，大多通过硬件设备的冗余来提供服务器的可靠性和安全性，比如电源。bonding 也能为网卡提供冗余的支持。把多块网卡绑定到一个IP地址，当一块网卡发生物理性损坏的情况下，另一块网卡自动启用，并提供正常的服务，即：默认情况下只有一块网卡工作，其它网卡做备份。

3）配置多网卡绑定

配置两双网卡，网卡ens33和ens37都桥接。

添加网卡：

[root@localhost ~]# cd /etc/sysconfig/network-scripts/
   
[root@localhost network-scripts]# ls ifcfg-ens3*
ifcfg-ens33  ifcfg-ens37

网卡绑定模式：active-backup - 主备模式。

一个网卡处于活跃状态，另一个处于备份状态，所有流量都在主链路上处理，当活跃网卡down掉时，启用备份网卡。

绑定网卡：ens33+ens37=bond0

设置网卡ens33为主网卡(优先处于活跃状态)，ens37为辅网卡(备份状态，主网卡链路正常时，辅网卡处于备份状态)。

查看物理网卡信息：

[root@localhost ~]# nmcli device
设备        类型      状态    连接   
virbr0      bridge    连接的  virbr0 
ens33       ethernet  连接的  ens33  
ens37       ethernet  连接的  ens37

[root@localhost ~]# nmcli connection show
名称    UUID                                  类型            设备   
ens33   7cd11800-7199-4cae-8927-ec49303cfe52  802-3-ethernet  ens33  
ens37   605551ec-6f72-368f-a5f5-cf2ae3fedd45  802-3-ethernet  ens37

删除网卡连接信息：本次Network bonding配置中，需要将ens33和ens37绑定为bond0，并且设置ens33为主网卡，首先需要这两块网卡现有的配置信息，否则team0创建完成后，未删除的网卡配置信息会影响bond0的正常工作。

如果nmcli connection show命令输出中无将要进行配置的网卡连接信息，则无需进行删除操作。

[root@localhost network-scripts]# nmcli connection delete ens33
成功删除连接 'ens33'（7cd11800-7199-4cae-8927-ec49303cfe52）。

[root@localhost network-scripts]# nmcli connection delete ens37
成功删除连接 'ens37'（605551ec-6f72-368f-a5f5-cf2ae3fedd45）。

[root@localhost network-scripts]# nmcli connection show
名称        UUID                                  类型            设备   
virbr0      0c6bda20-636e-4555-a5eb-10ebffc43c38  bridge          virbr0 
有线连接 1  33136afd-2e13-310d-9c9d-cf4858545cf0  802-3-ethernet  ens33  
有线连接 2  3b9c673a-53eb-3f0c-91ae-1b63015ec734  802-3-ethernet  ens37

网卡连接信息删除成功，这里删除的其实就是/etc/sysconfig/network-scripts目录下两块网卡的配置文件。

[root@localhost network-scripts]# pwd
/etc/sysconfig/network-scripts
[root@localhost network-scripts]# ls ifcfg-*
ifcfg-lo
[root@localhost network-scripts]# nmcli connection add type bond ifname bond0 con-name bond0 miimon 100 mode active-backup primary ens33 ip4 192.168.1.63/24

连接“bond0”(d558d571-3171-4a8d-b71c-2ff04aca68c1) 已成功添加。

说明：

primary ens33：指定主网卡为ens33
mode active-backup：指定bonding模式为active-backup（主动备份）
miimon 100：以毫秒为单位指定 MII 链接监控的频率(默认为0，即关闭此功能；配置miimon参数时，最好从100开始)。
bonding内核模块必须在ifcfg-bondN中的BONDING_OPTS="bonding parameters"中指定，各参数间使用空格分隔，不要在/etc/modprobe.d/bonding.conf和已经弃用的/etc/modprobe.conf文件中指定bonding配置选项。

配置完成后，此时会在/etc/sysconfig/network-scripts目录下生成ifcfg-bond0的配置文件：

[root@localhost network-scripts]# cat ifcfg-bond0
DEVICE=bond0
BONDING_OPTS="miimon=100 mode=active-backup primary=ens33"
TYPE=Bond
BONDING_MASTER=yes
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
IPADDR=192.168.0.63
PREFIX=24
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=bond0
UUID=d558d571-3171-4a8d-b71c-2ff04aca68c1
ONBOOT=yes

将网卡ens33和ens37创建为bond0的子接口：

 添加网卡ens33：设备类型：bond-slave；连接名称：bond0-p1；master：bond0。

[root@localhost network-scripts]# nmcli connection add type bond-slave ifname ens33 con-name bond0-p1 master bond0
连接“bond0-p1”(fd76468d-a644-4f5f-855f-fbbc859f440a) 已成功添加

添加网卡ens37：设备类型：bond-slave；连接名称：bond0-p2；master：bond0

[root@localhost network-scripts]# nmcli connection add type bond-slave ifname ens37 con-name bond0-p2 master bond0
连接“bond0-p2”(39d983d3-1549-4fc0-bc4b-392d52a8e24e) 已成功添加

[root@localhost network-scripts]# cat ifcfg-bond0-p1
TYPE=Ethernet
NAME=bond0-p1
UUID=fd76468d-a644-4f5f-855f-fbbc859f440a
DEVICE=ens33
ONBOOT=yes
MASTER=bond0
SLAVE=yes

[root@localhost network-scripts]# cat ifcfg-bond0-p2
TYPE=Ethernet
NAME=bond0-p2
UUID=39d983d3-1549-4fc0-bc4b-392d52a8e24e
DEVICE=ens37
ONBOOT=yes
MASTER=bond0
SLAVE=yes

查看当前已激活的网络接口：

[root@localhost network-scripts]# nmcli connection show --active
名称        UUID                                  类型            设备   
bond0       d558d571-3171-4a8d-b71c-2ff04aca68c1  bond            bond0  
virbr0      0c6bda20-636e-4555-a5eb-10ebffc43c38  bridge          virbr0 
有线连接 1  33136afd-2e13-310d-9c9d-cf4858545cf0  802-3-ethernet  ens33  
有线连接 2  3b9c673a-53eb-3f0c-91ae-1b63015ec734  802-3-ethernet  ens37

如果bond0-p1、bond0-p2、bond0没有激活，可使用下面命令进行激活：

[root@localhost network-scripts]# nmcli connection up bond0-p1
连接已成功激活（D-Bus：/org/freedesktop/NetworkManager/ActiveConnection/9）

[root@localhost network-scripts]# nmcli connection up bond0-p2
连接已成功激活（D-Bus：/org/freedesktop/NetworkManager/ActiveConnection/10）

root@localhost network-scripts]# nmcli connection up bond0
成功激活（主服务器等待从服务器）连接（/org/freedesktop/NetworkManager/ActiveConnection/11）

查看bond0当前状态：

[root@localhost network-scripts]# cd /proc/net/bonding/
[root@localhost bonding]# ls
bond0
[root@localhost bonding]# cat bond0 
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

Bonding Mode: fault-tolerance (active-backup)
Primary Slave: ens33 (primary_reselect always)
Currently Active Slave: ens33        //当前所使用的接口
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0

Slave Interface: ens33        //从接口
MII Status: up        //状态为开启
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 00:0c:29:72:33:db
Slave queue ID: 0

Slave Interface: ens37        //从接口
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 00:0c:29:72:33:e5
Slave queue ID: 0

bonding切换测试：

[root@localhost bonding]# ping 192.168.1.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=2.35 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=1.41 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=1.01 ms

[root@localhost bonding]# nmcli connection down bond0-p1
成功取消激活连接 'bond0-p1'（D-Bus：/org/freedesktop/NetworkManager/ActiveConnection/12）

[root@localhost bonding]# ping 192.168.1.1     //停止了bond0-p1，仍然可以Ping通过
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.922 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.604 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=0.551 ms

停止bond0-p1网卡，再次查看bond0状态：

[root@localhost bonding]# cat bond0 
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

Bonding Mode: fault-tolerance (active-backup)
Primary Slave: None
Currently Active Slave: ens37    //原来的接口为ens33，目前变为ens37
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0

Slave Interface: ens37
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 00:0c:29:72:33:e5
Slave queue ID: 0

以上是直接停止bond0-p1接口，如果是直接在虚拟机中断开网卡的连接，那么在bond0信息中则会看到bond0-p1为down的信息。

[root@localhost bonding]# nmcli connection up bond0-p1  //再次启动bond0-p1接口
连接已成功激活（D-Bus：/org/freedesktop/NetworkManager/ActiveConnection/15）
[root@localhost bonding]# cat bond0
Ethernet Channel Bonding Driver: v3.7.1 (April 27, 2011)

Bonding Mode: fault-tolerance (active-backup)
Primary Slave: ens33 (primary_reselect always)
Currently Active Slave: ens33  //此时的ens33成为了当前使用的接口
MII Status: up
MII Polling Interval (ms): 100
Up Delay (ms): 0
Down Delay (ms): 0

Slave Interface: ens37
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 00:0c:29:72:33:e5
Slave queue ID: 0

Slave Interface: ens33
MII Status: up
Speed: 1000 Mbps
Duplex: full
Link Failure Count: 0
Permanent HW addr: 00:0c:29:72:33:db
Slave queue ID: 0

添加网关：    

[root@localhost network-scripts]# vim ifcfg-bond0
GATEWAY=192.168.0.1

[root@localhost network-scripts]# service network restart
Restarting network (via systemctl):                        [  确定  ]

[root@localhost network-scripts]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    300    0        0 bond0
192.168.0.0     0.0.0.0         255.255.255.0   U     300    0        0 bond0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

添加DNS：

[root@localhost bonding]# vim /etc/resolv.conf
nameserver 114.114.114.114
[root@localhost network-scripts]# curl -I www.baidu.com
HTTP/1.1 200 OK
Server: bfe/1.0.8.18
Date: Thu, 18 Jan 2018 17:00:30 GMT
Content-Type: text/html
Content-Length: 277
Last-Modified: Mon, 13 Jun 2016 02:50:04 GMT
Connection: Keep-Alive
ETag: "575e1f5c-115"
Cache-Control: private, no-cache, no-store, proxy-revalidate, no-transform
Pragma: no-cache
Accept-Ranges: bytes

5、内核参数性能调优

1）抵御SYN

SYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包，但不实际建立连接，最终导致被攻击服务器的网络队列被占满，无法被正常用户访问。

SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，常用假冒的IP或IP段发来海量的请求连接的第一个握手包（SYN包），被攻击服务器回应第二个握手包（SYN+ACK包），因为对方是假冒IP，对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”，并且会重试默认5次回应第二个握手包，塞满TCP等待连接队列，资源耗尽（CPU满负荷或内存不足），让正常的业务请求连接不进来。

解决：

[root@localhost ~]# vim /etc/sysctl.conf  #在文件最后添加以下内容
net.ipv4.tcp_synack_retries = 0
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_max_syn_backlog = 20480
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 10
fs.file-max = 819200
net.core.somaxconn = 65536
net.core.rmem_max = 1024123000
net.core.wmem_max = 16777126
net.core.netdev_max_backlog = 165536
net.ipv4.ip_local_port_range = 10000 65535

每台服务器上线之前，都应该配置以上内核参数。

最重要参数：

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_synack_retries   #最关键参数，默认为5，修改为0 表示不要重发                  
net.ipv4.tcp_synack_retries = 0

表示回应第二个握手包（SYN+ACK包）给客户端IP后，如果收不到第三次握手包（ACK包）后，不进行重试，加快回收“半连接”，不要耗光资源。

作为服务端。回应时，如果连接失败，达到对应的失败数后，停止发送synack包

第一个参数tcp_synack_retries = 0是关键，表示回应第二个握手包（SYN+ACK包）给客户端IP后，如果收不到第三次握手包（ACK包）后，不进行重试，加快回收“半连接”，不要耗光资源。
不修改这个参数，模拟攻击，10秒后被攻击的80端口即无法服务，机器难以ssh登录； 用命令netstat -na |grep SYN_RECV检测“半连接”hold住180秒。

修改这个参数为0，再模拟攻击，持续10分钟后被攻击的80端口都可以服务，响应稍慢些而已，只是ssh有时也登录不上；检测“半连接”只hold住3秒即释放掉。

修改这个参数为0的副作用：网络状况很差时，如果对方没收到第二个握手包，可能连接服务器失败，但对于一般网站，用户刷新一次页面即可。这些可以在高峰期或网络状况不好时tcpdump抓包验证下。

根据以前的抓包经验，这种情况很少，但为了保险起见，可以只在被tcp洪水攻击时临时启用这个参数。

tcp_synack_retries默认为5，表示重发5次，每次等待30~40秒，即“半连接”默认hold住大约180秒。

我们之所以可以把tcp_synack_retries改为0，因为客户端还有tcp_syn_retries参数，默认是5，即使服务器端没有重发SYN+ACK包，客户端也会重发SYN握手包。

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_syn_retries  

tcp_syn_retries参数，默认是5，当没有收到服务器端的SYN+ACK包时，客户端重发SYN握手包的次数，注意：在rhel 7中，此项不能调为0。

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_max_syn_backlog 
20480

半连接队列长度，增加SYN队列长度到20480：加大SYN队列长度可以容纳更多等待连接的网络连接数，具体多少数值受限于内存。

接下来辅助参数：

#系统允许的文件句柄的最大数目，因为连接需要占用文件句柄。
fs.file-max = 819200
#用来应对突发的大并发connect 请求
net.core.somaxconn = 65536
#最大的TCP 数据接收缓冲（字节）
net.core.rmem_max = 1024123000
#最大的TCP 数据发送缓冲（字节）
net.core.wmem_max = 16777126
#网络设备接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目
net.core.netdev_max_backlog = 165536
#本机主动连接其他机器时的端口分配范围，比如说，在vsftpd主动模式会用到
net.ipv4.ip_local_port_range = 10000 65535

如果只是开启22端口，是不会使用到ip_local_port_range这个功能

[root@localhost ~]# netstat -antup | grep :22
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN     1993/sshd           
tcp        0      0 192.168.1.63:22             192.168.1.23:51855          ESTABLISHED 9316/sshd           
tcp        0      0 192.168.1.63:22             192.168.1.23:51861          ESTABLISHED 10878/sshd 

为了处理大量连接，还需限制用户资源配置文件：

[root@localhost ~]#vim /etc/security/limits.conf   #在最添加：
*               soft   nofile            1024000
*               hard   nofile           1024000
用户可以打开的最大进程数：

[root@localhost ~]# vim /etc/security/limits.d/90-nproc.conf    #RHEL6 必须这个文件中配置
改：
*          soft    nproc     10240
为：
*          soft    nproc     66666
*          hard    nproc     66666 
[root@localhost ~]# reboot    #最好重启一下

次要辅助参数，以上还无法解决syn洪水攻击，把以下内核参数关闭：    

#当出现 半连接 队列溢出时向对方发送syncookies，调大半连接队列后没必要
net.ipv4.tcp_syncookies = 0
#TIME_WAIT状态的连接重用功能
net.ipv4.tcp_tw_reuse = 0
#时间戳选项，与前面net.ipv4.tcp_tw_reuse参数配合
net.ipv4.tcp_timestamps = 0
#TIME_WAIT状态的连接回收功能
net.ipv4.tcp_tw_recycle = 0

注意，以下参数面对外网时，不要打开，因为副作用很明显。 

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_syncookies 
1

表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_tw_reuse 
1

表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭，现在开启，改为1

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_tw_recycle 
1

表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。现在改为1，表示开启

[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_fin_timeout 
10

默认值是 60，对于本端断开的socket连接，TCP保持在FIN_WAIT_2状态的时间。

调整MTU最大传输单元：

[root@localhost ~]# ifconfig ens33 mtu 9000

MTU，即Maximum Transmission Unit(最大传输单元)，此值设定TCP/IP协议传输数据报时的最大传输单元。

系统与ISP之间MTU的不符就会直接导致数据在网络传输过程中不断地进行分包、组包，浪费了宝贵的传输时间，也严重影响了宽带的工作效率。