黄沙百战穿金甲,不破楼兰终不还。这篇文章主要讲述CentOS 8初始化相关的知识,希望能为你提供帮助。
1. 修改def源
#1.备份原来项目
mkdir /etc/yum.repos.d/bak
mv /etc/yum.repos.d/CentOS-* /etc/yum.repos.d/bak
#2.安装阿里源
curl -o /etc/yum.repos.d/CentOS-Base-aliyun.repo https://mirrors.aliyun.com/repo/Centos-8.repo
sed -i -e /mirrors.cloud.aliyuncs.com/d -e /mirrors.aliyuncs.com/d /etc/yum.repos.d/CentOS-Base-aliyun.repo
#3.安装epel源
dnf install -y https://mirrors.aliyun.com/epel/epel-release-latest-8.noarch.rpm
sed -i s|^#baseurl=https://download.fedoraproject.org/pub|baseurl=https://mirrors.aliyun.com| /etc/yum.repos.d/epel*
sed -i s|^metalink|#metalink| /etc/yum.repos.d/epel*
#4.配置nginx源
cat > /etc/yum.repos.d/nginx.repo < < EOF
[nginx-stable]
name=nginx stable repo
baseurl=http://nginx.org/packages/centos/$releasever/$basearch/
gpgcheck=1
enabled=1
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true
[nginx-mainline]
name=nginx mainline repo
baseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/
gpgcheck=1
enabled=0
gpgkey=https://nginx.org/keys/nginx_signing.key
module_hotfixes=true
EOF
#5.清理重新生成缓存
dnf clean all
dnf makecache
2. 安装常用软件包,关闭防火墙和SELinux
dnf -y update
dnf -y install vim unzip net-tools iotop tree nmap dos2unix lrzsz nc lsof wget tcpdump iftop \\
sysstat nethogs psmisc dsniff dstat yum-utils chrony telnet nfs-utils glances rsync
#关闭selinux
sudo setenforce 0
sudo sed -i s/^SELINUX=enforcing$/SELINUX=permissive/ /etc/selinux/config
#关闭防火墙
systemctl disable firewalld
systemctl stop firewalld
#时间同步服务启动,设置自启
systemctl restart chronyd
systemctl enable chronyd
#校验时间
chronyc sources -v
timedatectl
#设置历史记录显示带时间
echo export HISTTIMEFORMAT="[%F %T] " > > /etc/profile
#重载profile
source /etc/profile
#关闭sshd的DNS解析
sed -i s/^#UseDNS yes/UseDNS no/ /etc/ssh/sshd_config
#ssh允许root远程
sed -i s/^#PermitRootLogin prohibit-password/PermitRootLogin yes/ /etc/ssh/sshd_config
systemctl restart sshd
3. 修改文件数内存数限制vim /etc/security/limits.conf 追加:
* soft nofile 32768
* hard nofile 65536
* soft nproc 32768
* hard nproc 65536
* soft memlock unlimited
* hard memlock unlimited
临时生效:
#用户可以打开文件的最大数目
ulimit -n 65536
#用户可以开启进程/线程的最大数目
ulimit -u 65535
ulimit -l unlimited
4. 内核调优vim /etc/sysctl.conf
# open file(s) kernel 级别有 2 个配置
# fs.nr_open,进程级别,默认设置的上限是1048576,所以用户的open file(s)不可能超过这个上限。fs.nr_open总是应该小于等于fs.file-max。
# fs.file-max,系统级别
fs.nr_open = 10000000
fs.file-max = 11000000
#表示同一用户同时可以添加的watch数目(watch一般是针对目录,决定了同时同一用户可以监控的目录数量)
fs.inotify.max_user_watches=11000000
#如果你的系统是持续地写入动作,那么实际上还是降低这个数值比较好,这样可以把尖峰的写操作削平成多次写操作。
#如果你的系统是短期地尖峰式的写操作,并且写入数据不大(几十M/次)且内存有比较多富裕,那么应该增大此数值
vm.dirty_writeback_centisecs=100
#指定脏数据存活时间
#对于特别重载的写操作来说,这个值适当缩小也是好的,但也不能缩小太多,因为缩小太多也会导致IO提高太快。建议设置为 1500,也就是15秒算旧。
#当然,如果你的系统内存比较大,并且写入模式是间歇式的,并且每次写入的数据不大(比如几十M),那么这个值还是大些的好。
vm.dirty_expire_centisecs=100
#0 表示内核将检查是否有足够的可用内存供应用进程使用;如果有足够的可用内存,内存申请允许;否则,内存申请失败,并把错误返回给应用进程。
#1 表示内核允许分配所有的物理内存,而不管当前的内存状态如何。
#2 表示内核允许分配超过所有物理内存和交换空间总和的内存
vm.overcommit_memory=1
#max_map_count文件包含限制一个进程可以拥有的VMA(虚拟内存区域)的数量
vm.max_map_count=655360
#对外连接端口范围
net.ipv4.ip_local_port_range=1000065001
#系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量,那么不属于任何进程的连接会被立即reset,并同时显示警告信息。
#为了抵御简单的 DoS 攻击﹐千万不要依赖这个或是人为的降低这个限制,更应增加这个值(如果增加了内存之后)。每个孤儿套接字最多能够吃掉你64K不可交换的内存。
net.ipv4.tcp_max_orphans=4000000
#时间戳可以避免序列号的卷绕。一个 1Gbps 的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异常” 的数据包。这里需要将其关掉
net.ipv4.tcp_timestamps=0
#定义了系统中每一个端口最大的监听队列的长度,这是个全局的参数,默认值为128,限制了接收新 TCP 连接侦听队列的大小。
#对于一个经常处理新连接的高负载 web服务环境来说,默认的128太小了。大多数环境这个值建议增加到 1024 或者更多。
#服务进程会自己限制侦听队列的大小(例如 sendmail(8) 或者 Apache),常在它们配置文件中有设置队列大小选项。大的侦听队列对防止拒绝服务 DoS 攻击也会有所帮助。
net.core.somaxconn=2048
#最大跟踪连接数,是在内核内存中netfilter可以同时处理的“任务”(连接跟踪条目) ,默认 nf_conntrack_buckets * 4 = 65536
net.netfilter.nf_conntrack_max=1048576
sysctl -p
5. 关闭透明大页【CentOS 8初始化】vim /etc/rc.d/rc.local 追加:
#关闭Transparent Huge Pages(THP)
if test -f /sys/kernel/mm/transparent_hugepage/enabled; then
echo never > /sys/kernel/mm/transparent_hugepage/enabled
fi
if test -f /sys/kernel/mm/transparent_hugepage/defrag; then
echo never > /sys/kernel/mm/transparent_hugepage/defrag
fi
chmod +x /etc/rc.d/rc.local
#临时关闭
echo never > /sys/kernel/mm/transparent_hugepage/enabled
echo never > /sys/kernel/mm/transparent_hugepage/defrag
#检查THP的启用状态
cat /sys/kernel/mm/transparent_hugepage/enabled
cat /sys/kernel/mm/transparent_hugepage/defrag
6. 设置时区
date -R 查看时区
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 时区改为东八区
推荐阅读
- (服务运维)负载均衡LVS实战(轮询算法和DR模式)
- linux部署zipkin
- 重定向和文件的查找
- (服务运维)负载均衡LVS实战(轮询算法和tunnel模式)
- LVS-Keepalived群集
- 喜报!东方证券携手博睿数据荣获《金融电子化》2021科技赋能金融业务突出贡献奖
- 磁盘管理与文件系统
- jackson学习之二(jackson-core)
- 硬盘介绍与磁盘管理