Aujourd’hui, nous allons mettre quelques petites astuces qui permettent d’optimiser un peu le temps de réaction du serveur Apache.
Nous allons commencer par réduire le nombre de connexions TIME_WAIT des sockets TCP et nous verrons ensuite comment optimiser un peu la couche TCP.
Réduire le TIME_WAIT des sockets TCP
De temps à autre, on tombe sur un serveur Apache qui possède des tonnes de connexions TIME_WAIT qui semblent errer dans les limbes. Même si ces connexions ne prennent pas autant de ressources que des connexions ESTABLISHED, il n’est pas vraiment utile de les garder aussi longtemps.
Commençons par faire un petit état des lieux de nos connexions :
netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n
Code language: JavaScript (javascript)
Résultat :
1 established)
1 Foreign
2 ESTABLISHED
3 FIN_WAIT1
20 LISTEN
228 TIME_WAIT
Nous avons donc 228 connexions dans les limbes en TIME_WAIT, qui sont totalement inutiles. Voyons donc comment nous pouvons réduire ce nombre.
Vérifiez ces valeurs:
cat /proc/sys/net/ipv4/tcp_fin_timeout
cat /proc/sys/net/ipv4/tcp_tw_recycle
cat /proc/sys/net/ipv4/tcp_tw_reuse
Vous devriez obtenir, respectivement, les valeurs 60 pour le timeout, 0 pour le reyclage et 0 pour la réutilisation.
Nous allons modifier ces valeurs pour réduire le timeout à 30 secondes, et recycler et réutiliser nos connexions :
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle
echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse
Code language: JavaScript (javascript)
Pour que les changements soient persistants, il faut ajouter ces valeurs au fichier sysctl.conf
.
On vérifie d’abord que les directives ne sont pas présentes dans ce fichier:
egrep 'net.ipv4.tcp_(tw_(reuse|recycle)|fin_timeout)' /etc/sysctl.conf
Code language: JavaScript (javascript)
Si cette requête ne retourne aucun résultat, nous allons ajouter des directives. Autrement, il suffit d’éditer les valeurs déjà existantes dans le fichier sysctl.conf
. :
nano /etc/sysctl.conf
et à ajouter ou modifier les directives suivantes:
# Decrease TIME_WAIT seconds
# (default: 60)
net.ipv4.tcp_fin_timeout = 30
# Recycle and Reuse TIME_WAIT sockets faster
# (default: 0)
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
Code language: PHP (php)
Pour appliquer les changements de sysctl.conf
sans rebooter le serveur, on exécute:
sysctl -p
Il ne vous reste plus qu’à attendre une minute et relancer la première commande pour voir où en sont les connexions TIME_WAIT:
netstat -nat | awk '{print $6}' | sort | uniq -c | sort -n
Code language: JavaScript (javascript)
Résultat:
1 established)
1 FIN_WAIT2
1 Foreign
1 LAST_ACK
3 FIN_WAIT1
4 ESTABLISHED
20 LISTEN
24 TIME_WAIT
Les connexions TIME_WAIT sont maintenant plus limitées et vous pouvez les réutiliser et les recycler, ce qui est une bonne chose.
Autres optimisations : KeepAlive, timestamps, sack
Voici quelques optimisations supplémentaires mises en place sur le serveur, toujours dans le fichier sysctl.conf
:
nano /etc/sysctl.conf
Nous allons réduire l’interval KeepAlive, réduire le nombre de probes avant qu’un time-out se déclenche, désactiver les timestamps pour éviter de gonfler chaque entête TCP avec 12 octets supplémentaires, désactiver sack et activer le window scaling.
On ajoute/modifie donc:
# KeepAlive interval: determines the wait time between isAlive interval probes.
# (default: 75 seconds, recommended: 15-30 seconds)
net.ipv4.tcp_keepalive_intvl = 20
# KeepAlive probes: determines the number of probes before timing out
# (default: 9, recommended 5)
net.ipv4.tcp_keepalive_probes = 5
# Disable timestamps to avoid 12 byte TCP header overhead
# (default: 1)
net.ipv4.tcp_timestamps = 0
# Disable selective acknowledgements
# (default: 1)
net.ipv4.tcp_sack = 0
# Enable window scaling
# (default: 1)
net.ipv4.tcp_window_scaling = 1
Code language: PHP (php)
et on valide nos changements avec :
sysctl -p
Et voilà, le serveur est un petit peu plus optimisé au niveau TCP.
Synopsis » Monter un serveur dédié de A à Z
- Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
- Serveur dédié : créer la base de données MySQL et importer WordPress
- Serveur dédié : créer et activer un Virtual Host sous Apache
- Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
- Serveur dédié : sécurisation des services avec iptables et fail2ban
- Serveur dédié : sécurisation de la couche TCP/IP
- Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
- Serveur dédié : sécuriser Apache 2 avec ModSecurity
- Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
- Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
- Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
- Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
- Serveur dédié : installer la dernière version d’APC par SVN
- Serveur dédié : analyse des performances du serveur
- Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
- Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
- Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
- Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
- Serveur dédié : impossible de se connecter à un port distant
- Rsync: rapatrier les fichiers du serveur à la maison
- Bash : réparer les tables MySQL en cas de crash
- Serveur dédié : création d’une seedbox avec Transmission
- Serveur dédié : des paquets LAMP à jour sous Debian
- Serveur dédié : mise à jour vers Debian 7 Wheezy
- Serveur dédié : activer X11 forwarding pour SSH
- Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
- Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
- Serveur dédié : mise en place de l’IPv6
- WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
- WordPress : héberger les images sur un sous-domaine
- Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
- Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
- Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
- Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
- Serveur dédié : configurer Webmin en TLS avec un certificat SSL
- Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
- Serveur dédié : installer et configurer Varnish 4
- Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
- Récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
- Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
- Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
- Serveur dédié : installer la dernière version d’OpenSSL sous Debian
- Serveur dédié : activer l’IP canonique du serveur sous Apache
- Serveur dédié : mise à jour vers PHP 5.6
- MySQL : convertir les tables MyISAM au format InnoDB
- Serveur dédié : optimiser toutes les images GIF avec GIFsicle
- Serveur dédié : migration de MySQL vers MariaDB
- BASH : lister, bloquer et débloquer des adresses IP avec iptables
- Serveur dédié : produire une meilleure réserve d’entropie avec haveged
- Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
- Serveur dédié : mise en place du protocole DANE
- 8 règles d’or pour bien déployer DNSSEC et DANE
- Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
- Serveur dédié : optimiser la couche TCP
- Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
- Serveur dédié : mettre à jour Apache pour HTTP/2
- Serveur dédié : ajouter le domaine à la liste HSTS preload
- Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
- Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
- Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian
Vous voulez un site WordPress ou WooCommerce qui soit à la fois rapide et performant? Vous êtes au bon endroit.