服务器配置是运维工作中最基础也最容易被忽视的环节。很多开发者习惯直接使用默认参数,或者照搬网上的配置模板,结果上线后频繁出现性能瓶颈、安全漏洞甚至服务中断。实际上,一次扎实的服务器配置,能让你在后续的运维中省去大量排错时间。本文结合真实项目经验,分享一些经过验证的实战技巧与最佳实践,帮助你从“能用”走向“好用”。
操作系统层面的基础调优
内核参数与文件描述符优化
大多数Linux发行版默认的内核参数针对通用桌面环境设计,作为服务器运行时,需要调整网络栈和文件句柄限制。首先,修改/etc/security/limits.conf,增加用户可打开的最大文件数:
* soft nofile 65535
* hard nofile 65535接着,调整/etc/sysctl.conf中的网络参数,以应对高并发连接:
net.core.somaxconn = 1024
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 0这里特别说明:tcp_tw_recycle在NAT环境下会导致丢包,建议关闭(设为0)。执行sysctl -p使配置生效。这些调优能显著减少TIME_WAIT状态的连接堆积,是服务器配置中提升并发能力的关键步骤。
磁盘I/O调度器选择
对于SSD硬盘,推荐使用none(或noop)调度器,避免不必要的I/O重排;对于机械硬盘,deadline调度器能平衡读写延迟。临时切换命令如下:
echo deadline > /sys/block/sda/queue/scheduler若要永久生效,需在grub内核启动参数中添加elevator=deadline。很多运维人员忽略这一步,导致数据库服务器在大量随机读写时响应变慢。合理的调度器选择是服务器配置中性价比极高的优化点。
安全加固:从入口到纵深
SSH安全配置
SSH是服务器最常用的入口,也是最容易被暴力破解的通道。建议修改默认端口(如2222),并禁用root密码登录:
Port 2222
PermitRootLogin prohibit-password
PasswordAuthentication no同时,配置Fail2ban自动封禁频繁失败的IP:
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo systemctl enable fail2ban在jail.local中,可以针对SSH、Web服务等设置不同的封禁规则。这些措施能将暴力破解的成功率降低99%以上。记住,安全不是一次性配置,而是持续监控的过程。
防火墙与最小权限原则
使用iptables或ufw实现白名单访问控制。以ufw为例:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable对于Web服务器,建议只开放80和443端口,其他管理端口(如数据库3306)只允许内网访问。如果必须开放,可以使用SSH隧道或VPN。很多安全事件都源于端口过度暴露,因此服务器配置中务必遵循最小权限原则。
应用服务的高效部署
Web服务器(Nginx)配置要点
Nginx作为反向代理和静态资源服务器,性能调优空间很大。工作进程数建议等于CPU核心数,连接数根据内存调整:
worker_processes auto;
events {
worker_connections 1024;
multi_accept on;
}
http {
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
gzip on;
gzip_types text/plain text/css application/json application/javascript;
}对于PHP应用,推荐使用Unix Socket连接PHP-FPM,避免TCP开销:
location ~ \.php$ {
fastcgi_pass unix:/var/run/php/php8.1-fpm.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}此外,开启缓存能大幅提升静态资源响应速度:
location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
expires 30d;
add_header Cache-Control "public, no-transform";
}数据库(MySQL/MariaDB)配置优化
数据库是很多应用的性能瓶颈。首先检查my.cnf中的InnoDB缓冲池大小,建议设置为物理内存的70%-80%(纯数据库服务器):
[mysqld]
innodb_buffer_pool_size = 4G
innodb_log_file_size = 512M
innodb_flush_log_at_trx_commit = 2
query_cache_type = 0注意:query_cache在MySQL 8.0中已被移除,旧版本也建议关闭,因为在高并发下它反而会降低性能。另外,innodb_flush_log_at_trx_commit=2能在保证数据安全的前提下提升写入性能。如果对数据一致性要求极高,可设为1(但性能会下降约50%)。
慢查询日志是排查性能问题的利器,建议开启:
slow_query_log = 1
slow_query_log_file = /var/log/mysql/mysql-slow.log
long_query_time = 2监控与日志管理
系统资源监控
安装htop、iotop、iftop等工具实时查看资源占用。更专业的监控方案推荐Prometheus + Node Exporter或Netdata。Netdata安装简单,开箱即用:
bash <(curl -Ss https://my-netdata.io/kickstart.sh)它会自动收集CPU、内存、磁盘、网络等指标,并提供Web界面。对于生产环境,建议设置告警规则,如CPU使用率超过90%持续5分钟时发送邮件通知。
日志轮转与清理
日志文件会无限增长,最终撑爆磁盘。配置logrotate按天或按大小切割日志:
/var/log/nginx/*.log {
daily
rotate 30
compress
delaycompress
missingok
notifempty
postrotate
[ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
endscript
}同样为MySQL、系统日志等配置轮转策略。建议保留30天日志,既满足排查需求,又避免磁盘浪费。服务器配置中,日志管理常被忽略,但关键时刻能救命。
总结
服务器配置不是一劳永逸的工作,而是一个持续迭代的过程。本文从操作系统调优、安全加固、应用服务部署到监控日志,梳理了一套经过实战检验的配置思路。核心要点包括:根据硬件和业务场景调整内核参数、最小化开放端口并强化SSH安全、针对Web和数据库做针对性优化、建立完善的监控和日志体系。建议你在部署新服务器时,先对照本文清单逐一检查,再根据实际压力测试结果微调。记住,好的服务器配置能让你的应用跑得更稳、更快、更安全。 作者:大佬虾 | 专注实用技术教程
评论框