Tomcat8安装配置优化

Tomcat 8 安装

• Tomcat 8 安装
  • 官网：http://tomcat.apache.org/
  • Tomcat 8 官网下载：http://tomcat.apache.org/download-80.cgi
  • 此时（20170602） Tomcat 8 最新版本为：apache-tomcat-8.5.15.tar.gz
  • Tomcat 8 下载：wget http://mirror.bit.edu.cn/apache/tomcat/tomcat-8/v8.5.15/bin/apache-tomcat-8.5.15.tar.gz
  • 压缩包解压：tar -zxvf apache-tomcat-8.5.15.tar.gz
  • 移到解压出来文件夹到 /usr/local 下：mv apache-tomcat-8.5.15/ /usr/local/

Tomcat 8 配置

• 设置 Tomcat 相关变量：
  • vim /usr/local/tomcat8/bin/catalina.sh
  • 在配置文件的可编辑内容最上面（98 行开始），加上如下内容（具体参数根据你服务器情况自行修改）：

    JAVA_HOME=/usr/local/jdk1.8.0_72
       CATALINA_HOME=/usr/local/tomcat8
       CATALINA_OPTS="-Dfile.encoding=UTF-8 -server -Xms2048m -Xmx2048m -Xmn1024m -XX:PermSize=256m -XX:MaxPermSize=512m -XX:SurvivorRatio=10 -XX:MaxTenuringThreshold=15 -XX:NewRatio=2 -XX:+DisableExplicitGC"
       CATALINA_PID=$CATALINA_HOME/catalina.pid

• 如果使用 shutdown.sh 还无法停止 tomcat，可以修改其配置：vim /usr/local/tomcat8/bin/shutdown.sh
  • 把最尾巴这一行：exec "$PRGDIR"/"$EXECUTABLE" stop "$@"
  • 改为：exec "$PRGDIR"/"$EXECUTABLE" stop 10 -force

Tomcat 8 安全配置

默认tomcat是root身份运行的，这样不安全，不要使用root用户启动tomcat。

Java程序与C程序不同，nginx,httpd 使用root用户启动守护80端口，子进程/线程会通过setuid(),setgid()两个函数切换到普通用户。即父进程所有者是root用户，子进程与多线程所有者是一个非root用户，这个用户没有shell，无法通过ssh与控制台登陆系统，Java 的JVM 是与系统无关的，是建立在OS之上的，你使用什么用户启动Tomcat，那么Tomcat 就会继承该所有者的权限。

为了防止 Tomcat 被植入 web shell 程序后，可以修改项目文件。因此我们要将 Tomcat 和项目的属主做分离，这样子，即便被搞，他也无法创建和编辑项目文件。
设置普通用户，用来启动tomcat

[root@localhost ~]# groupadd tomcat
[root@localhost ~]# useradd -g tomcat tomcat
[root@localhost ~]# passwd tomcat
[root@localhost ~]# chown tomcat.tomcat -R /usr/local/tomcat8
[root@localhost ~]# su - tomcat /usr/local/tomcat8/bin/startup.sh
[root@localhost ~]# echo 'su - tomcat -c "tomcat /usr/local/tomcat8/bin/startup.sh"' >> /etc/rc.local  #开机启动

Tomcat 8 优化

• Tomcat 6/7/8 的优化参数有点不一样，最好按下面的方式看一下官网这个文档是否还保留着这个参数
• 启动tomcat，访问该地址，下面要讲解的一些配置信息，在该文档下都有说明的：
  • 文档：http://127.0.0.1:8080/docs/config
  • 你也可以直接看网络版本：
    • Tomcat 6 文档：https://tomcat.apache.org/tomcat-6.0-doc/config
    • Tomcat 7 文档：https://tomcat.apache.org/tomcat-7.0-doc/config/
    • Tomcat 8 文档：https://tomcat.apache.org/tomcat-8.0-doc/config/
• 如果你需要查看 Tomcat 的运行状态可以配置tomcat管理员账户，然后登陆 Tomcat 后台进行查看
• 编辑 /opt/tomcat7/bin/conf/tomcat-users.xml 文件，在里面添加下面信息：

  <role rolename="manager"/>
  <role rolename="manager-gui"/>
  <role rolename="admin"/>
  <role rolename="admin-gui"/>
  <user username="tomcat" password="tomcat" roles="admin-gui,admin,manager-gui,manager"/>

• 编辑配置文件：vim /usr/local/tomcat8/conf/server.xml
  • 打开默认被注释的连接池配置：
    • 默认值：

      <!--
      <Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
          maxThreads="150" minSpareThreads="4"/>
      -->

    • 修改为：

      <Executor
              name="tomcatThreadPool"
              namePrefix="catalina-exec-"
              maxThreads="500"
              minSpareThreads="30"
              maxIdleTime="60000"
              prestartminSpareThreads = "true"
              maxQueueSize = "100"
      />

    • 重点参数解释：
      • maxThreads，最大并发数，默认设置 200，一般建议在 500 ~ 800，根据硬件设施和业务来判断
      • minSpareThreads，Tomcat 初始化时创建的线程数，默认设置 25
      • prestartminSpareThreads，在 Tomcat 初始化的时候就初始化 minSpareThreads 的参数值，如果不等于 true，minSpareThreads 的值就没啥效果了
      • maxQueueSize，最大的等待队列数，超过则拒绝请求
      • maxIdleTime，如果当前线程大于初始化线程，那空闲线程存活的时间，单位毫秒，默认60000=60秒=1分钟。
  • 修改默认的链接参数配置：

    • 默认值：

      <Connector 
          port="8080" 
          protocol="HTTP/1.1" 
          connectionTimeout="20000" 
          redirectPort="8443" 
      />

    • 修改为：

      <Connector 
         executor="tomcatThreadPool"
         port="8080" 
         protocol="org.apache.coyote.http11.Http11Nio2Protocol" 
         connectionTimeout="20000" 
         maxConnections="10000" 
         redirectPort="8443" 
         enableLookups="false" 
         acceptCount="100" 
         maxPostSize="10485760" 
         maxHttpHeaderSize="8192" 
         compression="on" 
         disableUploadTimeout="true" 
         compressionMinSize="2048" 
         acceptorThreadCount="2" 
         compressableMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript" 
         URIEncoding="utf-8"
      />

    • 重点参数解释：

      • protocol，Tomcat 8 设置 nio2 更好：org.apache.coyote.http11.Http11Nio2Protocol（如果这个用不了，就用下面那个）
      • protocol，Tomcat 6、7 设置 nio 更好：org.apache.coyote.http11.Http11NioProtocol

      BIO：一个线程处理一个请求。缺点：并发量高时，线程数较多，浪费资源。Tomcat7或以- 下，在Linux系统中默认使用这种方式。
      NIO：利用Java的异步IO处理，可以通过少量的线程处理大量的请求。Tomcat8在Linux系统中默认使用这种方式。
      APR：即Apache Portable Runtime，从操作系统层面解决io阻塞问题。Tomcat7或Tomcat8在Win7或以上的系统中启动默认使用这种方式。Linux如果安装了apr和native，Tomcat直接启动就支持apr。（安装方法：http://www.cnblogs.com/nb-blog/p/5278502.html）

      • enableLookups，禁用DNS查询
      • acceptCount，指定当所有可以使用的处理请求的线程数都被使用时，可以放到处理队列中的请求数，超过这个数的请求将不予处理，默认设置 100
      • maxPostSize，以 FORM URL 参数方式的 POST 提交方式，限制提交最大的大小，默认是 2097152(2兆)，它使用的单位是字节。10485760 为 10M。如果要禁用限制，则可以设置为 -1。
      • acceptorThreadCount，用于接收连接的线程的数量，默认值是1。一般这个指需要改动的时候是因为该服务器是一个多核CPU，如果是多核 CPU 一般配置为 2.
      • maxHttpHeaderSize，http请求头信息的最大程度，超过此长度的部分不予处理。一般8K。
      • compression：传输时是压缩。
      • compressionMinSize：压缩的大小
      • noCompressionUserAgents：不启用压缩的浏览器

        提示：压缩会增加Tomcat负担，最好采用Nginx + Tomcat 或者 Apache + Tomcat 方式，压缩交由Nginx/Apache 去做。

        Tomcat 的压缩是在客户端请求服务器对应资源后，从服务器端将资源文件压缩，再输出到客户端，由客户端的浏览器负责解压缩并浏览。相对于普通的 浏览过程 HTML、CSS、Javascript和Text，它可以节省40% 左右的流量。更为重要的是，它可以对动态生成的，包括CGI、PHP、JSP、ASP、Servlet,SHTML等输出的网页也能进行压缩，压缩效率也很高。

  • 禁用 AJP（如果你服务器没有使用 Apache）
    • 把下面这一行注释掉，默认 Tomcat 是开启的。

      <!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->

JVM 优化

• 模型资料来源：http://xmuzyq.iteye.com/blog/599750
• 配比资料：http://www.jianshu.com/p/d45e12241af4
• Java 的内存模型分为：
  • Young，年轻代（易被 GC）。Young 区被划分为三部分，Eden 区和两个大小严格相同的 Survivor 区，其中 Survivor 区间中，某一时刻只有其中一个是被使用的，另外一个留做垃圾收集时复制对象用，在 Young 区间变满的时候，minor GC 就会将存活的对象移到空闲的Survivor 区间中，根据 JVM 的策略，在经过几次垃圾收集后，任然存活于 Survivor 的对象将被移动到 Tenured 区间。
  • Tenured，终身代。Tenured 区主要保存生命周期长的对象，一般是一些老的对象，当一些对象在 Young 复制转移一定的次数以后，对象就会被转移到 Tenured 区，一般如果系统中用了 application 级别的缓存，缓存中的对象往往会被转移到这一区间。
  • Perm，永久代。主要保存 class,method,filed 对象，这部门的空间一般不会溢出，除非一次性加载了很多的类，不过在涉及到热部署的应用服务器的时候，有时候会遇到 java.lang.OutOfMemoryError : PermGen space 的错误，造成这个错误的很大原因就有可能是每次都重新部署，但是重新部署后，类的 class 没有被卸载掉，这样就造成了大量的 class 对象保存在了 perm 中，这种情况下，一般重新启动应用服务器可以解决问题。
• Linux 修改 /usr/program/tomcat7/bin/catalina.sh 文件，把下面信息添加到文件第一行。
  • 如果服务器只运行一个 Tomcat
    • 机子内存如果是 4G：
      • CATALINA_OPTS="-Dfile.encoding=UTF-8 -server -Xms2048m -Xmx2048m -Xmn1024m -XX:PermSize=256m -XX:MaxPermSize=512m -XX:SurvivorRatio=10 -XX:MaxTenuringThreshold=15 -XX:NewRatio=2 -XX:+DisableExplicitGC"
    • 机子内存如果是 8G：
      • CATALINA_OPTS="-Dfile.encoding=UTF-8 -server -Xms4096m -Xmx4096m -Xmn2048m -XX:PermSize=256m -XX:MaxPermSize=512m -XX:SurvivorRatio=10 -XX:MaxTenuringThreshold=15 -XX:NewRatio=2 -XX:+DisableExplicitGC"
    • 机子内存如果是 16G：
      • CATALINA_OPTS="-Dfile.encoding=UTF-8 -server -Xms8192m -Xmx8192m -Xmn4096m -XX:PermSize=256m -XX:MaxPermSize=512m -XX:SurvivorRatio=10 -XX:MaxTenuringThreshold=15 -XX:NewRatio=2 -XX:+DisableExplicitGC"
    • 机子内存如果是 32G：
      • CATALINA_OPTS="-Dfile.encoding=UTF-8 -server -Xms16384m -Xmx16384m -Xmn8192m -XX:PermSize=256m -XX:MaxPermSize=512m -XX:SurvivorRatio=10 -XX:MaxTenuringThreshold=15 -XX:NewRatio=2 -XX:+DisableExplicitGC"
  • 如果是 8G 开发机
    • -Xms2048m -Xmx2048m -XX:NewSize=512m -XX:MaxNewSize=1024m -XX:PermSize=256m -XX:MaxPermSize=512m
  • 如果是 16G 开发机
    • -Xms4096m -Xmx4096m -XX:NewSize=1024m -XX:MaxNewSize=2048m -XX:PermSize=256m -XX:MaxPermSize=512m
  • 参数说明：

    -Dfile.encoding：默认文件编码
    -server：表示这是应用于服务器的配置，JVM 内部会有特殊处理的
    -Xmx1024m：设置JVM最大可用内存为1024MB
    -Xms1024m：设置JVM最小内存为1024m。此值可以设置与-Xmx相同，以避免每次垃圾回收完成后JVM重新分配内存。
    -Xmn1024m：设置JVM新生代大小（JDK1.4之后版本）。一般-Xmn的大小是-Xms的1/2左右，不要设置的过大或过小，过大导致老年代变小，频繁Full GC，过小导致minor GC频繁。如果不设置-Xmn，可以采用-XX:NewRatio=2来设置，也是一样的效果
    -XX:NewSize：设置新生代大小
    -XX:MaxNewSize：设置最大的新生代大小
    -XX:PermSize：设置永久代大小
    -XX:MaxPermSize：设置最大永久代大小
    -XX:NewRatio=4：设置年轻代（包括 Eden 和两个 Survivor 区）与终身代的比值（除去永久代）。设置为 4，则年轻代与终身代所占比值为 1：4，年轻代占整个堆栈的 1/5
    -XX:MaxTenuringThreshold=10：设置垃圾最大年龄，默认为：15。如果设置为 0 的话，则年轻代对象不经过 Survivor 区，直接进入年老代。对于年老代比较多的应用，可以提高效率。如果将此值设置为一个较大值，则年轻代对象会在 Survivor 区进行多次复制，这样可以增加对象再年轻代的存活时间，增加在年轻代即被回收的概论。需要注意的是，设置了 -XX:MaxTenuringThreshold，并不代表着，对象一定在年轻代存活15次才被晋升进入老年代，它只是一个最大值，事实上，存在一个动态计算机制，计算每次晋入老年代的阈值，取阈值和MaxTenuringThreshold中较小的一个为准。
    -XX:+DisableExplicitGC：这个将会忽略手动调用 GC 的代码使得 System.gc() 的调用就会变成一个空调用，完全不会触发任何 GC

• Windows 修改 /tomcat8/bin/catalina.bat 文件，找到这一行：echo Using CATALINA_BASE: "%CATALINA_BASE%"，然后在其上面添加如下内容，此方法只对解压版的 Tomcat 有效果，对于安装版本的需要点击安装后任务栏上的那个 Tomcat 图标，打开配置中有一个 Java Tab 的进行编辑。

  set JAVA_OPTS=%JAVA_OPTS% -Dfile.encoding="UTF-8" -Dsun.jnu.encoding="UTF8" -Ddefault.client.encoding="UTF-8" -Duser.language=Zh
  set JAVA_OPTS=%JAVA_OPTS% -server -Xms4096m -Xmx4096m -Xmn2048m -XX:PermSize=256m -XX:MaxPermSize=512m -XX:SurvivorRatio=10 -XX:MaxTenuringThreshold=15 -XX:NewRatio=2 -XX:+DisableExplicitGC

Tomcat 8 的 Log 分割

• 修改前提：本人为 Tomcat8.5，安装目录为：/usr/local/tomcat8
• 网络上的官网地址现在打不开：http://cronolog.org/download/index.html
• 阿里云的 CentOS 有 epel 源所以可以直接下载：yum install cronolog，当前版本为：1.6.2-10.el6
• 安装完后，查看下安装后的目录位置：which cronolog，我这边得到的结果是：/usr/sbin/cronolog，记下这个结果，后面有用到。
• 修改 catalina.sh 中的内容：vim /usr/local/tomcat8/bin/catalina.sh
• 找到这段代码（预计在 416 行前后）：

shift
touch "$CATALINA_OUT"
if [ "$1" = "-security" ] ; then
if [ $have_tty -eq 1 ]; then
  echo "Using Security Manager"
fi
shift
eval $_NOHUP "\"$_RUNJAVA\"" "\"$LOGGING_CONFIG\"" $LOGGING_MANAGER $JAVA_OPTS $CATALINA_OPTS \
  -classpath "\"$CLASSPATH\"" \
  -Djava.security.manager \
  -Djava.security.policy=="\"$CATALINA_BASE/conf/catalina.policy\"" \
  -Dcatalina.base="\"$CATALINA_BASE\"" \
  -Dcatalina.home="\"$CATALINA_HOME\"" \
  -Djava.io.tmpdir="\"$CATALINA_TMPDIR\"" \
  org.apache.catalina.startup.Bootstrap "$@" start \
  >> "$CATALINA_OUT" 2>&1 "&"

else
eval $_NOHUP "\"$_RUNJAVA\"" "\"$LOGGING_CONFIG\"" $LOGGING_MANAGER $JAVA_OPTS $CATALINA_OPTS \
  -classpath "\"$CLASSPATH\"" \
  -Dcatalina.base="\"$CATALINA_BASE\"" \
  -Dcatalina.home="\"$CATALINA_HOME\"" \
  -Djava.io.tmpdir="\"$CATALINA_TMPDIR\"" \
  org.apache.catalina.startup.Bootstrap "$@" start \
  >> "$CATALINA_OUT" 2>&1 "&"

fi

• 将上面代码改为如下，其中请注意这个关键字：/usr/sbin/cronolog，这个是我上面提到的安装路径，你如果跟我不一样，需要自己修改该相关。

shift
# touch "$CATALINA_OUT"
if [ "$1" = "-security" ] ; then
if [ $have_tty -eq 1 ]; then
  echo "Using Security Manager"
fi
shift
eval $_NOHUP "\"$_RUNJAVA\"" "\"$LOGGING_CONFIG\"" $LOGGING_MANAGER $JAVA_OPTS $CATALINA_OPTS \
  -classpath "\"$CLASSPATH\"" \
  -Djava.security.manager \
  -Djava.security.policy=="\"$CATALINA_BASE/conf/catalina.policy\"" \
  -Dcatalina.base="\"$CATALINA_BASE\"" \
  -Dcatalina.home="\"$CATALINA_HOME\"" \
  -Djava.io.tmpdir="\"$CATALINA_TMPDIR\"" \
  org.apache.catalina.startup.Bootstrap "$@" start 2>&1 | /usr/sbin/cronolog "$CATALINA_BASE"/logs/catalina.%Y-%m-%d.out >> /dev/null &

else
eval $_NOHUP "\"$_RUNJAVA\"" "\"$LOGGING_CONFIG\"" $LOGGING_MANAGER $JAVA_OPTS $CATALINA_OPTS \
  -classpath "\"$CLASSPATH\"" \
  -Dcatalina.base="\"$CATALINA_BASE\"" \
  -Dcatalina.home="\"$CATALINA_HOME\"" \
  -Djava.io.tmpdir="\"$CATALINA_TMPDIR\"" \
  org.apache.catalina.startup.Bootstrap "$@" start 2>&1 | /usr/sbin/cronolog "$CATALINA_BASE"/logs/catalina.%Y-%m-%d.out >> /dev/null &

fi

Tomcat 远程监控

首先检查远程服务器hostname -i
192.168.1.190

1.编辑tomcat/bin/catalina.sh
vi catalina.sh

搜索 Execute The Requested Command

在这一行上面加入一下配置

JAVA_OPTS='-Xms1024m -Xmx1024m -XX:PermSize=256M -XX:MaxNewSize=512m -XX:MaxPermSize=512m -Djava.rmi.server.hostname=192.168.1.190 -Dcom.sun.management.jmxremote.port=8444 -Dcom.sun.management.jmxremote.ssl=false-Dcom.sun.management.jmxremote.authenticate=false'

2.编辑jmxremote.access和jmxremote.password

cd /usr/java/jdk1.6.0_18/jre/lib/management
mv jmxremote.password.template jmxremote.password
chmod 600 jmxremote.access jmxremote.password
vi jmxremote.password

jmxremote.access 一般保持原始内容不变即可。
对于jmxremote.password，将 其中的：
monitorRole 123
controlRole 123
井号注释取消掉。其中monitorRole为只拥有只读权限的角色，controlRole有更高权限：读写等等。