Zum Inhalt springen 
Mit dem Fokus auf HTTP Keep-Alive Timeout zeige ich dir, wie du Idle-Zeiten so einstellst, dass Verbindungen wiederverwendet werden, ohne Threads zu blockieren. Ich erkläre konkrete Werte, zeige typische Fallen und liefere erprobte Konfigurationen für nginx, Apache und das Betriebssystem.
Zentrale Punkte
- Balance: Zu kurz erhöht Handshakes, zu lang blockiert Threads.
- Werte: Meist 5–15 s und 100–500 Requests pro Verbindung.
- Koordination: Client-, LB- und Firewall-Timeouts abstimmen.
- Spezialfälle: WebSockets, SSE, Long Polling getrennt behandeln.
- Monitoring: Offene Sockets, FDs und Latenzen beobachten.
HTTP Keep-Alive kurz erklärt
Ich halte TCP-Verbindungen mit Keep-Alive offen, damit mehrere Requests dieselbe Leitung nutzen. So spare ich wiederholte TCP- und TLS-Handshakes und senke den CPU-Overhead spürbar. Das zahlt sich besonders bei vielen kleinen Dateien wie Icons, JSON oder CSS aus. Jede vermiedene Neuverbindung reduziert Kontextwechsel und entlastet Kernel-Routinen. In Benchmarks mit hohem GET-Anteil sinkt die Gesamtdauer deutlich, weil weniger SYN/ACK-Pakete anfallen und mehr Rechenzeit in die Anwendungslogik fließt.
Ich messe den Effekt schnell: Gleitende Durchschnittslatenzen werden glatter, und die Zahl neuer TCP-Verbindungen pro Sekunde fällt. Das erzeuge ich nicht durch Magie, sondern durch Connection-Reuse und sinnvolle Limits. Wichtig bleibt, dass Keep-Alive kein Ersatz für schnelles Rendering oder Caching ist. Es verkürzt Wartezeiten an der Netzwerkgrenze, während die App selbst weiterhin effizient antworten muss. Beides zusammen hebt die Performance spürbar an.
Das richtige Timeout verstehen
Das Timeout legt fest, wie lange eine inaktive Verbindung offen bleibt, bevor der Server sie schließt. Setze ich es zu kurz, eröffnen Clients ständig neue TCP-Verbindungen, was den Overhead anhebt. Setze ich es zu lang, parken Idle-Verbindungen kostbare Worker oder Threads. Die Kunst liegt in der Balance zwischen Wiederverwendung und Ressourcenverbrauch. Ich teste praxisnah: erst grob einstellen, dann mit Lasttests fein nachziehen.
Ich achte zusätzlich auf das Verhältnis zwischen Antwortzeiten und Idle-Fenstern. Liegt die typische Nutzerinteraktion zwischen zwei Klicks bei 2–4 Sekunden, decken 5–15 Sekunden Timeout meist das reale Muster ab. Kurze API-Calls vertragen locker 5–10 Sekunden, Media-Workloads eher 10–15 Sekunden. Wichtig ist, dass ich nicht übertreibe: überlange Timeouts führen selten zu mehr Durchsatz, aber häufig zu blockierten Ressourcen. Das erkenne ich schnell an steigenden offenen Sockets und hohen FD-Zahlen.
Timeout-Typen sauber trennen
Ich unterscheide strikt zwischen Idle-Timeout (Keep-Alive), Read-/Header-Timeout (wie lange der Server auf eingehende Anfragen wartet) und Send-/Write-Timeout (wie lange das Senden Richtung Client toleriert wird). Diese Kategorien erfüllen unterschiedliche Aufgaben:
- Idle-Timeout: Steuert Wiederverwendung und Parkdauer inaktiver Verbindungen.
- Read-/Header-Timeout: Schützt vor langsamen Clients (Slowloris) und halb gesendeten Headern.
- Send-/Write-Timeout: Verhindert, dass der Server endlos auf einen langsamen Empfang beim Client wartet.
Auf nginx nutze ich neben keepalive_timeout bewusst header_timeout/read_timeout und send_timeout pro Kontext (http/server/location). Seit neueren Versionen setze ich optional keepalive_time, um die maximale Lebenszeit einer Verbindung zu deckeln, selbst wenn sie aktiv bleibt. In Apache verwende ich ergänzend RequestReadTimeout (mod_reqtimeout) und prüfe Timeout (global) getrennt von KeepAliveTimeout. Diese Trennung ist ein wichtiger Baustein gegen Ressourcenbindung ohne echten Nutzen.
Empfohlene Werte in der Praxis
Für produktive Umgebungen setze ich 5–15 Sekunden Keep-Alive-Timeout und 100–500 Requests pro Verbindung. Diese Spanne erreicht gute Connection-Reuse-Quoten und hält die Zahl schlafender Verbindungen klein. Auf nginx nutze ich keepalive_timeout 10s als Startwert und keepalive_requests 200. Bei sehr viel Traffic erhöhe ich moderat, wenn ich zu viele neue TCP-Verbindungen sehe. Bei spärlichem Traffic senke ich wieder, damit keine Idle-Schwemme entsteht.
Wer tiefer einsteigt, profitiert von einem klaren Tuning-Prozess mit Messpunkten. Dazu fasse ich meine Leitlinien in einer Praxisanleitung zusammen, die den Weg von Messung über Konfiguration bis Kontrolle beschreibt. Für einen schnellen Einstieg verweise ich auf meine Schritte in Keep-Alive-Tuning. So steuerst du Reuse und Limits kontrolliert und vermeidest Überraschungen. Am Ende zählt eine niedrige Latenz bei stabilem Durchsatz.
Risiken zu langer Timeouts
Ein langes Timeout hält Verbindungen künstlich offen und blockiert Worker, obwohl kein Request folgt. Das lässt Sockets anschwellen und treibt File-Descriptor-Zahlen in die Höhe. Erreicht der Prozess Grenzen, sehe ich abweisende Accept-Fehler oder Warteschlangen beim Verbindungsaufbau. Speicher wächst, Garbage-Collector oder Allocator kosten zusätzliche Zeit, und die Latenz steigt. Im Fehlerfall senden Clients dann auf bereits geschlossene Sockets und erhalten kryptische Fehler.
Ich vermeide das, indem ich moderate Werte setze und regelmäßige Metriken prüfe. Steigen Idle-Verbindungen bei geringer Last zu stark, senke ich das Timeout. Sehe ich während Traffic-Spitzen viele neue Verbindungen pro Sekunde, erhöhe ich es vorsichtig in kleinen Schritten. So halte ich die Kapazität nutzbar und verhindere tote Verbindungen. Das Ergebnis ist ein ruhigeres System mit weniger Spitzen in den Kurven.
Konfiguration: nginx, Apache und OS-Layer
Ich starte auf der Webserver-Ebene und lege Timeout und Limits fest. Auf nginx setze ich keepalive_timeout 5–15s und keepalive_requests 100–500. In Apache mit event-MPM kombiniere ich KeepAlive On, KeepAliveTimeout 5–15 und MaxKeepAliveRequests 100–500. Dann kalibriere ich Worker- oder Thread-Pools passend zur zu erwarteten Last. Das verhindert, dass Idle-Keep-Alives produktive Slots binden.
Auf Betriebssystem-Ebene erhöhe ich Limits und Queues. Ich setze ulimit -n auf mindestens 100.000, passe net.core.somaxconn und tcp_max_syn_backlog an und prüfe TIME_WAIT-Handling. Damit stelle ich sicher, dass Kernel und Prozess genügend Ressourcen bereitstellen. Zum Abschluss verifiziere ich die Pfade vom NIC über IRQ-Balancing bis zur App. So erkenne ich Flaschenhälse rechtzeitig und halte die Latenz niedrig.
| Komponente | Directive/Setting | Empfehlung | Hinweis |
|---|---|---|---|
| nginx | keepalive_timeout | 5–15 s | Kürzer bei wenig Traffic, länger bei vielen kleinen Requests |
| nginx | keepalive_requests | 100–500 | Recycelt Verbindungen und senkt Leaks |
| Apache (event) | KeepAliveTimeout | 5–15 s | Event-MPM verwaltet Idle effizienter als prefork |
| Betriebssystem | ulimit -n | ≥ 100.000 | Mehr offene FDs für viele Sockets |
| Betriebssystem | net.core.somaxconn | Erhöhen | Weniger abgewiesene Verbindungen unter Spitzenlast |
Reverse Proxy und Upstream-Reuse
Ich denke Keep-Alive immer end-to-end. Hinter dem Edge-Server liegt oft eine Kette aus Reverse Proxy → App-Servern. Für nginx aktiviere ich auf der Upstream-Seite eigene Keep-Alive-Pools (upstream keepalive, keepalive_requests, keepalive_timeout), setze proxy_http_version 1.1 und entferne „Connection: close“. So spare ich auch intern Handshakes und entlaste App-Backends (Node.js, Java, PHP-FPM). In Apache mit mod_proxy halte ich zu Backend-Servern ebenfalls persistent Verbindungen und begrenze sie pro Ziel, damit ein Hotspot nicht die Pools monopolisiert.
Ich messe separat: Reuse-Quote Client→Edge und Edge→Backend. Sehe ich gute Wiederverwendung am Rand, aber viele Neuverbindungen zum Backend, erhöhe ich selektiv die Upstream-Pools. Damit skaliere ich ohne globale Anhebung der Frontend-Timeouts.
Worker, Threads und OS-Limits
Ich dimensioniere Worker, Events und Threads nicht nach Wunschwerten, sondern nach Lastprofil. Dafür beobachte ich aktive Requests, Idle-Worker, Event-Loop-Auslastung und Kontextwechsel. Wenn Threads im Leerlauf parken, senke ich das Timeout oder die Max-Idle-Per-Thread-Limits. Wenn ich dauernde 100 Prozent CPU sehe, prüfe ich Accept-Queues, IRQ-Verteilung und Netzwerk-Stack. Kleine Korrekturen an FD-Limits und Backlogs bringen oft große Effekte.
Ich plane Headroom realistisch ein. 20–30 Prozent Reserve in Threads und FDs geben Sicherheit für Spitzen. Übertreibe ich, verliere ich Caches und Verschwendung steigt. Untertreibe ich, landen Requests in Queues oder verfallen. Die richtige Schnittmenge aus Kapazität und Effizienz hält Latenzen niedrig und schützt die Stabilität.
Client-, Load-Balancer- und Firewall-Timeouts abstimmen
Ich stimme Zeitlimits entlang des gesamten Pfads ab, damit keine toten Verbindungen entstehen. Clients schließen ideal minimal früher als der Server. Der Load-Balancer darf kürzer nicht abschneiden, sonst sehe ich unerwartete Resets. NAT- und Firewall-Idle-Werte beziehe ich ein, damit Verbindungen nicht im Netzpfad verschwinden. Diese Abstimmung verhindert Retransmits und glättet die Lastkurven.
Mit klaren Diagrammen halte ich die Kette verständlich: Client → LB → Webserver → App. Ich dokumentiere für jedes Glied Idle-Timeouts, Read/Write-Timeouts und Retry-Strategien. Ändere ich einen Wert, prüfe ich die Nachbarn. So bleibt der Pfad konsistent und ich erhalte reproduzierbare Messergebnisse. Diese Disziplin spart Zeit bei der Fehlersuche und erhöht die Zuverlässigkeit.
Sicherheit: Schutz vor Slowloris und Idle-Abuse
Zu großzügige Timeouts öffnen Angriffsflächen. Ich setze daher Limits, die legitime Wiederverwendung erlauben, aber böswilliges Offenhalten erschweren. In nginx helfen header- und read_timeout, request_headers_size-Limits und eine harte Obergrenze bei keepalive_requests. In Apache nutze ich mod_reqtimeout und begrenze parallele Verbindungen pro IP. Rate-Limits und limit_conn in nginx schützen zusätzlich vor Fluten vieler Leerlauf-Sockets. Für Langläufer-Endpunkte trenne ich dedizierte Pools, damit Angriffe auf Streams nicht reguläre API-Worker binden.
Spezialfälle: Long Polling, SSE und WebSockets
Lang laufende Streams kollidieren mit kurzen Timeouts und brauchen eigene Regeln. Ich trenne diese Endpunkte technisch von klassischen API- und Asset-Routen. Für SSE und WebSockets setze ich höhere Timeouts, dedizierte Worker-Pools und harte Limits pro IP. Mit Heartbeats oder Ping/Pong halte ich die Verbindung lebendig und erkenne Abbrüche schnell. So blockieren Streams keine Threads für reguläre Kurz-Requests.
Ich begrenze gleichzeitige Verbindungen und messe aktiv. Zu große Limits verschlingen FDs und Arbeitsspeicher. Zu enge Limits kappen legitime Nutzer. Mit sauberen Metriken zu Offenen, Idle, Active und Dropped Connections finde ich den Sweet Spot. Diese Trennung erspart mir globale Anhebungen der Timeouts und schützt die Kapazität.
HTTP/2, Multiplexing und Keep-Alive
HTTP/2 multiplexed mehrere Streams über eine Verbindung, bleibt aber von Timeouts abhängig. Ich halte das Idle-Fenster moderat, weil auch unter HTTP/2 Sitzungen parken können. Hohe keepalive_requests sind hier weniger wichtig, doch ein Recycling bleibt sinnvoll. Head-of-line-Blocking wandert auf Frame-Ebene, also messe ich weiterhin Latenz pro Stream. Wer tiefer vergleichen will, findet Hintergründe zu HTTP/2 Multiplexing.
Ich beobachte unter HTTP/2 besonders die Zahl der aktiven Streams je Verbindung. Zuviele parallele Streams können App-Threads überfordern. Dann bremse ich Limits oder erhöhe Server-Worker. Auch hier gilt: messen, justieren, erneut messen. Das hält die Antwortzeiten knapp und bewahrt Ressourcen.
TLS, Session-Resumption und HTTP/3/QUIC
TLS-Handshakes sind teuer. Ich setze Session-Resumption (Tickets/IDs) und OCSP-Stapling ein, damit Wiederverbindungen schneller sind, falls eine Verbindung doch endet. Unter HTTP/3 übernimmt QUIC das Transport-Layer: Hier wirkt das QUIC idle timeout ähnlich dem Keep-Alive, aber auf UDP-Basis. Auch dort halte ich die Fenster moderat und messe Retransmits, da Paketverluste sich anders auswirken als bei TCP. Für gemischte Umgebungen (H1/H2/H3) wähle ich einheitliche Richtwerte und passe pro Protokoll fein an.
Monitoring, Metriken und Lasttests
Ich vertraue Messdaten mehr als Bauchgefühl und starte mit klaren KPIs. Wichtig sind: offene Sockets, FD-Auslastung, neue Verbindungen/s, Latenzen (P50/P90/P99), Error-Raten und Retransmits. Ich fahre realistische Lastprofile: Warmup, Plateau, Ramp-down. Danach vergleiche ich Kurven vor und nach Änderungen am Timeout. Ein Blick auf Server-Queueing hilft, Wartezeiten sauber zu deuten.
Ich dokumentiere jede Anpassung mit Zeitstempel und Messwerten. So bewahre ich die Historie und erkenne Korrelationen. Negative Effekte nehme ich ernst und rolle sie zügig zurück. Kleine, nachvollziehbare Schritte sparen viel Zeit. Am Ende zählt eine stabile Latenz und niedrige Fehlerquote unter Last.
Messmethoden und Tools in der Praxis
- Schnelltests: Mit Tools wie wrk, ab oder vegeta prüfe ich Reuse-Quoten (–H Connection: keep-alive vs. close), Verbindungen/s und Latenzpercentiles.
- Systemsicht: ss/netstat zeigen Zustände (ESTABLISHED, TIME_WAIT), lsof -p den FD-Verbrauch, dmesg/syslog Hinweise auf Drops.
- Webserver-Metriken: nginx stub_status/VTS und Apache mod_status liefern Active/Idle/Waiting und Requests/s. Daraus erkenne ich Leerlauf-Peaks oder Worker-Engpässe.
- Traces: Mit verteiltem Tracing beobachte ich, ob Wartezeiten an der Netzwerkgrenze oder in der App entstehen.
Schritt-für-Schritt konfigurieren
Zuerst ermittle ich das reale Nutzungsmuster: Wie viele Requests pro Sitzung, welche Intervalle zwischen Klicks, wie groß sind die Antworten. Dann setze ich ein Anfangsprofil: Timeout 10 s, keepalive_requests 200, moderate Worker-Zahlen. Anschließend führe ich Lasttests mit repräsentativen Daten durch. Ich bewerte die Zahl neuer Verbindungen pro Sekunde und die FD-Belegung. Danach passe ich die Werte in 2–3-Sekunden-Schritten an.
Ich wiederhole den Zyklus, bis Latenzen unter Last stabil bleiben und FD-Spitzen nicht am Limit kratzen. Bei starkem Traffic erhöhe ich Timeout nur, wenn ich klar weniger Neuverbindungen sehe und Worker trotzdem frei bleiben. Bei geringer Auslastung reduziere ich Timeout, um Leerlauf zu vermeiden. In Sonderfällen wie SSE setze ich dedizierte Serverblöcke mit höheren Limits. Dieser Pfad führt zu einer belastbaren Einstellung ohne Ratekarton.
Kubernetes, Container und Auto-Scaling
In Container-Umgebungen beziehe ich conntrack-Limits, Pod-FD-Limits und Node-Backlogs ein. Ich sorge für konsistente Idle-Timeouts zwischen Ingress, Service-Mesh/Proxy und App. Bei Auto-Scaling achte ich auf Drain-Zeiten: Wenn Pods beendet werden, sollen sie neue Verbindungen per „Connection: close“ ablehnen und bestehende sauber bedienen. Zu lange Keep-Alive-Werte verlängern Drains unnötig, zu kurze erzeugen Handshake-Stürme beim Scale-out.
Graceful Shutdown und Rolling Deployments
Ich plane das Abschalten mit ein. Vor einem Rollout reduziere ich Keep-Alive schrittweise oder sende gezielt Connection: close auf Responses, damit Clients keine frischen Idle-Verbindungen eröffnen. In nginx hilft eine worker_shutdown_timeout für laufende Requests. In Apache nutze ich Graceful-Mechanismen und halte MaxConnectionsPerChild/Worker im Blick, damit Recycling über die Zeit automatisch stattfindet. So bleiben Deployments ruckelfrei, ohne offene Sockets hart zu kappen.
OS-Tuning: Ports, Timeouts, Kernel-Parameter
- ephemerale Ports: ip_local_port_range breit wählen, damit kurzlebige Verbindungen nicht in Knappheit laufen.
- TIME_WAIT: Ich beobachte TW-Spitzen. Moderne Stacks handhaben das gut; fragwürdige Tweaks (tw_recycle) meide ich.
- tcp_keepalive_time: Ich verwechsle es nicht mit HTTP Keep-Alive. Es ist ein Kernel-Mechanismus zur Erkennung toter Peers – nützlich hinter NAT, aber kein Ersatz fürs HTTP-Idle-Fenster.
- Backlogs und Buffers: somaxconn, tcp_max_syn_backlog und rmem/wmem sinnvoll dimensionieren, um unter Last nicht zu drosseln.
Troubleshooting-Checkliste
- Viele neue Verbindungen/s trotz Keep-Alive: Timeout zu kurz oder Clients/LB schneiden früher ab.
- Hohe Idle-Zahlen und volle FDs: Timeout zu lang oder zu große Worker-Pools für das Traffic-Muster.
- RST/Timeout-Fehler bei längeren Sitzungen: NAT/Firewall-Idle zu kurz im Pfad, Asymmetrie zwischen Gliedern.
- Lange Tail-Latenzen (P99): Send-/Read-Timeouts, langsame Clients oder überfüllte Backlogs prüfen.
- Backends überlastet trotz niedrigem Edge-Load: Upstream-Reuse fehlt oder ist zu klein dimensioniert.
Praxisprofile und Startwerte
- API-first (kurze Calls): Keep-Alive 5–10 s, keepalive_requests 200–300, enge Header-/Read-Timeouts.
- E-Commerce (gemischt): 8–12 s, 200–400, leicht großzügiger bei Produktbildern und Caching-Hits.
- Assets/CDN-ähnlich (viele kleine Dateien): 10–15 s, 300–500, starke Upstream-Pools und hohe FD-Limits.
- Intranet/geringe Last: 5–8 s, 100–200, damit Idle nicht dominiert.
Kurz zusammengefasst
Ich stelle das HTTP Keep-Alive Timeout so ein, dass Verbindungen wiederverwendet werden, ohne Threads zu blockieren. In der Praxis liefern 5–15 Sekunden und 100–500 Requests pro Verbindung sehr gute Ergebnisse. Ich koordiniere Client-, Load-Balancer- und Firewall-Timeouts, trenne Langläufer wie WebSockets und reguliere OS-Limits. Mit sauberem Monitoring, realistischen Lasttests und kleinen Schritten erreiche ich niedrige Latenzen und hohen Durchsatz. Wer diese Disziplin hält, holt messbare Performance aus bestehender Hardware heraus.
