直接改 net.ipv4.ip_local_port_range 就能扩大可用临时端口,但必须避开 1–1023 的特权端口,也不能和业务监听端口重叠,否则可能引发连接失败或服务冲突。
怎么看当前端口范围是否够用
先确认系统正在用什么范围,再结合连接数判断是否真缺端口:
运行 sysctl net.ipv4.ip_local_port_range 或 cat /proc/sys/net/ipv4/ip_local_port_range,输出形如 32768 61000 用 ss -s 查看当前 TCP 连接总数,重点关注 timewait 数量;如果它接近端口总数(比如 61000 − 32768 + 1 ≈ 28233),就容易耗尽 注意:ss -s 输出里的 ports 行(如 ports 30347)是内核已分配过的端口计数,不是剩余数,别误读
临时扩容:立刻生效但重启失效
适合调试、压测或紧急扩容,不写磁盘,风险低:
执行命令:sudo sysctl -w net.ipv4.ip_local_port_range="10240 65535" 或者更底层一点:echo "10240 65535" | sudo tee /proc/sys/net/ipv4/ip_local_port_range 改完立刻验证:sysctl net.ipv4.ip_local_port_range,必须看到新值 ⚠️ 注意:该操作不影响已建立的连接所用端口,只影响后续新建连接
永久生效:生产环境必须走这步
否则重启后打回原形。推荐用 /etc/sysctl.d/ 下的独立配置文件,避免污染主配置:
创建专用配置片段:sudo nano /etc/sysctl.d/99-ephemeral-ports.conf 在文件中写入:net.ipv4.ip_local_port_range = 10240 65535(等号两边空格可选,值之间必须有空格) 加载配置:sudo sysctl –system(比 sysctl -p 更可靠,会自动扫描 /etc/sysctl.d/) ⚠️ 注意:如果 /etc/sysctl.d/ 里有多个同名参数,按文件名 ASCII 顺序加载,后加载的覆盖前加载的
配套调优不能少
单靠扩端口只是治标,高并发下还需配合连接管理策略:
启用 TIME-WAIT 复用:sudo sysctl -w net.ipv4.tcp_tw_reuse=1 缩短 FIN 超时时间(默认 60 秒):sudo sysctl -w net.ipv4.tcp_fin_timeout=30 检查 TIME-WAIT 占比:当它超过总连接数的 30%,就得综合调整端口范围和回收策略 应用层建议配置连接池,例如 MaxIdle 设为 CPU 核心数 × 2,MinEvictableIdleTime 设为 30000ms
评论(0)