今天線上遇到了TIME_WAIT過多的報警。檢視TIME_WAIT埠發現，大部分是來自我們的管理後臺Web請求，其他服務基本正常。而這部分請求正好是經過Nginx代理的。所以猜想Nginx的代理導致了這一現象。經過Google得知Nginx作為Proxy確實存在此問題。轉載下文，分析得很好我就不再羅嗦了，感謝作者。

原文地址：http://www.cnblogs.com/QLeelulu/p/3601499.html

我們的DSP系統目前基本非凌晨時段的QPS都在10W以上，我們使用Golang來處理這些HTTP請求，Web伺服器的前端用Nginx來做負載均衡，通過Nginx的proxy_pass來與Golang互動。

由於nginx代理使用了短連結的方式和後端互動的原因，使得系統TIME_WAIT的tcp連線很多：

shell> netstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}'
TIME_WAIT 250263
CLOSE_WAIT 57
FIN_WAIT2 3
ESTABLISHED 2463
SYN_RECV 8

ss 比 netstat 要快，所以也可以用下面的命令來檢視：

shell> ss -ant | awk 'NR>1 {++s[$1]} END {for(k in s) print k,s[k]}
 
'

這會佔用系統過多的埠，還浪費了系統資源，所以我們必須想辦法減少TIME_WAIT。

TIME_WAIT導致佔用過多埠的一個影響是會佔用我們需要使用到的埠，例如我們有個服務監聽的埠為8012，重啟的時候經常會提示埠被佔用。
通過檢視/proc/sys/net/ipv4/ip_local_port_range可以知道設定的Linux核心自動分配埠的埠範圍：

shell> cat /proc/sys/net/ipv4/ip_local_port_range
1025 65535

對於這個設定系統就會從1025~65535這個範圍內隨機分配埠來用於連線，而我們服務的8012埠剛好在這個範圍之內，所以如果8012剛好被系統分配出去使用了，則啟動我們服務的時候，就會提示埠被佔用。

所以我們需要設定/proc/sys/net/ipv4/ip_local_reserved_ports來告訴系統給我們預留哪些埠，不可以用於自動分配。

shell> vim /etc/sysctl.conf
net.ipv4.ip_local_reserved_ports = 8012,11211-11220

shell> sysctl -p

關於預留埠的更具體資訊可以參考：

上面我們解決了端口占用問題，但是我們還是需要解決TIME_WAIT過多的問題。
Nginx 1.1以上版本的upstream已經支援keep-alive的，所以我們可以開啟Nginx proxy的keep-alive來減少tcp連線：

upstream http_backend {
    server 127.0.0.1:8080;

    keepalive 16;
}

server {
    ...

    location /http/ {
        proxy_pass http://http_backend;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        ...
    }
}

開了keep-alive之後，TIME_WAIT明顯減少：

shell> netstat -n | awk '/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}'
TIME_WAIT 12612
CLOSE_WAIT 11
FIN_WAIT1 4
FIN_WAIT2 1
ESTABLISHED 7667
SYN_RECV 3

另外不少文章提到可以修改系統的/etc/sysctl.conf配置來減少TIME_WAIT的tcp連線：

net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1

不過開啟tcp_tw_recycle可能會帶來一些不穩定的網路問題，請參考：