Debian LNMP如何实现资源限制

Debian LNMP资源限制实施指南

一 系统层限制

• 文件句柄与进程数

  • 提升进程可打开文件数，编辑 /etc/security/limits.conf：

    * soft nofile 65535
    * hard nofile 65535
    

    使登录会话生效（重新登录或重启服务），并在服务单元中声明上限（以 Nginx 为例）：在 /etc/nginx/nginx.conf 的顶层加入：

    worker_rlimit_nofile 65535;
    

    说明：最大并发连接数受“内核 > 系统 > 应用”层层限制，Nginx 侧可用 worker_connections 与 worker_processes 共同决定服务能力。一般建议 worker_processes=CPU核心数，worker_connections 依据业务并发与文件句柄上限综合设定。

• 网络与内核参数

  • 适度放宽连接与端口范围，编辑 /etc/sysctl.conf 或运行时 sysctl：

    net.core.somaxconn = 65535
    net.ipv4.ip_local_port_range = 1024 65535
    net.ipv4.tcp_fin_timeout = 30
    net.ipv4.tcp_slow_start_after_idle = 0
    net.ipv4.tcp_fastopen = 3
    net.ipv4.tcp_syncookies = 1
    net.core.netdev_max_backlog = 65535
    net.nf_conntrack_max = 2097152
    

    应用：sysctl -p。这些参数有助于在高并发下减少连接排队与端口枯竭，但应与实际内存与网络栈调优配合，避免过度放宽。

二 Nginx层限制

• 请求与连接限速
  • 在 http{} 中定义共享内存区，在 server{} 或 location{} 中应用：

    # 每个IP最多10个并发连接
    limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
    limit_conn conn_limit_per_ip 10;
    
    # 每秒5个请求，突发5个，不延迟
    limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=5r/s;
    limit_req zone=req_limit_per_ip burst=5 nodelay;
    
    # 请求体大小与超时
    client_max_body_size 2M;
    client_body_timeout 10s;
    
    # 隐藏版本信息
    server_tokens off;
    

    作用：抑制暴力请求、慢速攻击与超大请求带来的资源占用，同时降低信息暴露面。

三 PHP-FPM层限制

• 进程模型与数量

  • 编辑 /etc/php/8.2/fpm/pool.d/www.conf（版本号以实际为准）：

    ; 动态进程管理
    pm = dynamic
    pm.max_children = 50
    pm.start_servers = 5
    pm.min_spare_servers = 2
    pm.max_spare_servers = 8
    
    ; 单请求最大执行时间（秒）
    request_terminate_timeout = 300
    

    计算参考：若每个 PHP-FPM 子进程常驻内存约 20MB，则 50 个子进程约需 1GB 内存（不含业务数据与缓存）。请根据实例内存与业务并发谨慎设定，避免 OOM 或 502 错误。

• PHP运行时限制

  • 编辑 /etc/php/8.2/fpm/php.ini（版本号以实际为准）：

    memory_limit = 128M
    max_execution_time = 30
    max_input_time = 60
    post_max_size = 8M
    upload_max_filesize = 2M
    display_errors = Off
    log_errors = On
    error_log = /var/log/php_errors.log
    

    说明：上述设置限制脚本内存、执行时长与上传大小，防止异常脚本耗尽资源。

四 MySQL MariaDB层限制

• 内存与会话
  • 编辑 /etc/mysql/mariadb.conf.d/50-server.cnf（路径以实际为准），在 [mysqld] 段：

    ; InnoDB缓冲池：建议为物理内存的50%-80%
    innodb_buffer_pool_size = 2G
    
    ; 最大并发连接数
    max_connections = 150
    
    ; 单包上限
    max_allowed_packet = 64M
    

    提示：连接数过高会占用更多内存与CPU上下文切换，需结合实例规格与业务峰值调优，并配合慢查询日志进行SQL优化。

五 验证与维护

• 配置校验与热重载
  • Nginx：nginx -t && systemctl reload nginx
  • PHP-FPM：php-fpm8.2 -t && systemctl reload php8.2-fpm（版本号以实际为准）
  • MariaDB：mysqladmin --silent ping && systemctl reload mariadb
• 运行时观测
  • 连接与文件句柄：ss -s、netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'、ulimit -n
  • PHP-FPM 进程：systemctl status php8.2-fpm、ps -eLf | grep php-fpm
  • MySQL 连接与缓冲：mysql -e "SHOW STATUS LIKE 'Threads_connected';" -e "SHOW ENGINE INNODB STATUS\G"

以上分层限制可按需裁剪与组合，先设定安全边界（连接、速率、内存与执行时长），再结合监控逐步微调，确保稳定性与可用性。