一、文件句柄限制引发的血案

上周运维团队凌晨接到报警，某核心微服务突然拒绝连接。通过ss -s查看发现"orphaned"连接数爆增，进一步检查dmesg看到大量"Too many open files"错误——典型的文件句柄耗尽场景。这种问题在数据库、消息队列等高并发服务中尤为常见，而正确的ulimit设置就是解决方案。

二、理解Linux文件句柄限制机制

2.1 三级限制体系

1. 进程级限制（ulimit -n）
   bash # 查看当前会话限制 ulimit -n
2. 用户级限制（/etc/security/limits.conf）
3. 系统级限制（fs.file-max）

2.2 关键配置文件

• /proc/sys/fs/file-max：系统总文件句柄数
• /proc/sys/fs/nr_open：单进程最大限制

bash

查看系统已用句柄

cat /proc/sys/fs/file-nr

三、永久生效配置方案

3.1 修改系统全局限制

bash

临时生效

sysctl -w fs.file-max=1000000

永久生效（写入/etc/sysctl.conf）

echo "fs.file-max = 1000000" >> /etc/sysctl.conf
sysctl -p

3.2 用户级限制配置

编辑/etc/security/limits.conf：
conf * soft nofile 65535 * hard nofile 100000 nginx soft nofile 100000 nginx hard nofile 500000

注意：需要重新登录会话生效！

3.3 服务单元特殊配置（Systemd）

对于现代Linux系统，还需要修改服务单元：bash

编辑服务单元

systemctl edit nginx

加入以下内容

[Service]
LimitNOFILE=102400

四、生产环境调优实践

案例1：Kafka集群优化

bash

在kafka.service中增加

LimitNOFILE=128000
LimitMEMLOCK=infinity

案例2：Elasticsearch调优

除修改limits.conf外，还需：bash

在jvm.options中设置

-XX:-MaxFDLimit

五、故障排查工具箱

1. 查看进程当前限制
   bash cat /proc/<PID>/limits
2. 统计已用句柄
   bash lsof -n | wc -l
3. 按服务统计
   bash lsof -u nginx | awk '{print $9}' | sort | uniq -c | sort -nr

六、注意事项

1. 在容器化环境中，需在宿主机和容器同时配置
2. 修改数据库服务限制后，需要重启实例生效
3. 建议配合监控系统跟踪文件句柄使用趋势

总结：合理的文件句柄设置需要结合业务特性，通过"监控-调整-验证"闭环持续优化。记住，系统调优不是一劳永逸的工作，而是伴随业务增长的持续过程。