web服务器tomcat入门实战

一、tomcat介绍
1.1 引入tomcat

　　Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。
　　tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。对于一个初学者来说，可以这样认为，当在一台机器上配置好Apache 服务器，可利用它响应HTML（标准通用标记语言下的一个应用）页面的访问请求。实际上Tomcat 部分是Apache 服务器的扩展，但它是独立运行的，所以当你运行tomcat 时，它实际上作为一个与Apache 独立的进程单独运行的。

1.2 常用的java-web服务

开源软件
tomcat resin jboss
商业软件
weblogic websphere

二、java概念解释
JDK
简单的说JDK是面向开发人员使用的SDK，它提供了Java的开发环境和运行环境。SDK是Software Development Kit 一般指软件开发包，可以包括函数库、编译程序等
JRE
JRE(Java Runtime Environment，Java运行环境)，也就是Java平台。所有的Java程序都要在JRE下才能运行。JDK的工具也是Java程序，也需要JRE才能运行。为了保持JDK的独立性和完整性，在JDK的安装过程中，JRE也是安装的一部分。所以，在JDK的安装目录下有一个名为jre的目录，用于存放JRE文件。
SDK
SDK(Software Develop Kit，软件开发工具包)，用于帮助开发人员的提高工作效率。各种不同类型的软件开发，都可以有自己的SDK。Windows有Windows SDK，DirectX 有 DirectX 9 SDK，.NET开发也有Microsoft .NET Framework SDK。JAVA开发也不含糊，也有自己的Java SDK。
JVM
JVM(Java Virtual Machine，Java虚拟机）是JRE的一部分。它是一个虚构出来的计算机，是通过在实际的计算机上仿真模拟各种计算机功能来实现的。JVM有自己完善的硬件架构，如处理器、堆栈、寄存器等，还具有相应的指令系统。Java语言最重要的特点就是跨平台运行。使用JVM就是为了支持与操作系统无关，实现跨平台

三、tomcat环境准备

[root@node1 ~]# cat /etc/redhat-release
CentOS Linux release 7.3.1611 (Core)

四、源码安装启动tomcat
#统一线上web服务用户的uid
[root@node1 ~]# useradd -u 1001 tomcat
[root@node1 ~]# id tomcat
uid=1001(tomcat) gid=1001(tomcat) groups=1001(tomcat)

下载jdk和tomcat

[root@node1 ~]# cd /usr/local/src/
[root@node1 ~]# wget http://download.oracle.com/otn-pub/java/jdk/8u131-b11/d54c1d3a095b4ff2b6607d096fa80163/jdk-8u131-linux-x64.tar.gz

[root@node1 ~]# wget http://archive.apache.org/dist/tomcat/tomcat-8/v8.5.14/bin/apache-tomcat-8.5.14.tar.gz

安装Jdk和tomcat

[root@node1 src]# tar zxf jdk-8u131-linux-x64.gz
[root@node1 src]# mv jdk1..0_131/ /usr/local/
[root@node1 src]# ln -s /usr/local/jdk1..0_131/ /usr/local/jdk
[root@node1 src]# tar zxf apache-tomcat-8.5..tar.gz
[root@node1 src]# mv apache-tomcat-8.5. /usr/local/
[root@node1 src]# ln -s /usr/local/apache-tomcat-8.5./ /usr/local/tomcat

设置环境变量

[root@node1 src]# echo "export JAVA_HOME=/usr/local/jdk
export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH
export CLASSPATH=.$CLASSPATH:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/lib/tools.jar
export TOMCAT_HOME=/usr/local/tomcat" >> /etc/profile
[root@node1 src]# source /etc/profile

测试java环境变量是否生效
[root@node1 src]# java -version
java version "1.8.0_131"
Java(TM) SE Runtime Environment (build 1.8.0_131-b11)
Java HotSpot(TM) 64-Bit Server VM (build 25.131-b11, mixed mode)

使用tomcat用户启动tomcat(这样可以起到一定的安全防范作用，如果被入侵拿到的也只是tomcat权限)

[root@node1 src]# chown -R tomcat.tomcat /usr/local/tomcat/
[root@node1 src]# cd /usr/local/tomcat/bin/
[root@node1 bin]# ./startup.sh

查看8080端口
[root@node1 bin]# netstat -tunlp |grep 8080
tcp6 0 0 :::8080 :::* LISTEN 62872/java

根据启动脚本编写重启脚本如下
# vim tomcat.sh

#!/bin/bash
usage() {
echo "Usage: $0 [start|stop|restart|status]"
}

start_tomcat(){
/usr/local/tomcat/bin/startup.sh
}
status_tomcat(){
ps -ef|grep java|grep tomcat|grep -v grep
}
stop_tomcat(){
TPID=$(ps -ef|grep java|grep tomcat|grep -v grep|awk '{print $2}')
kill - $TPID
sleep
STAT=$(ps -ef|grep java|grep tomcat|grep -v grep|awk '{print $2}')
if [ -z $STAT ];then
echo 'tomcat stoped...'
else
kill - $STAT
fi
}
restart_tomcat(){
stop_tomcat
start_tomcat
}

main(){
case $ in

start)
start_tomcat;;
stop)
stop_tomcat;;
restart)
restart_tomcat;;
status)
status_tomcat;;
*)
usage;
esac
}
main $

五、学习tomcat配置文件
5.1 学习server.xml

<Connector port="8080" protocol="HTTP/1.1" #http监听8080端口
connectionTimeout="20000"
redirectPort="8443" /> #https 8443端口
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> #AJP通信方式8009端口
<Server port="8005" shutdown="SHUTDOWN">
<Listener # telent端口 className="org.apache.catalina.startup.VersionLoggerListener" />

##5.2 学习 tomcat-users.xml

[tomcat@node1 webapps]$ pwd
/usr/local/tomcat/webapps #tomcat 默认的根路径
[tomcat@node1 webapps]$ ll
total
drwxr-xr-x  tomcat tomcat  Mar  : docs
drwxr-xr-x  tomcat tomcat  Mar  : examples
drwxr-xr-x  tomcat tomcat  Mar  : host-manager #用户管理，登录使用
drwxr-xr-x  tomcat tomcat  Mar  : manager
drwxr-xr-x  tomcat tomcat  Mar  : ROOT #默认的访问路径

修改tomcat-users.xml，配置一个登录用户tomcat

生产环境关闭app管理和主机管理的方法,具体文件再进行具体调整

[tomcat@node1 webapps]$ mv host-manager/ examples/ /tmp/
111
启动tomcat的注意事项，每次启动都会生成temp和work目录，实际生产环境建议每次tomcat启动都将此两个目录情况情况，否则会因为缓存问题产生异常

六、生产环境tomcat规范
telnet管理端口保护
　　　更改8005（更改为8000~8999之间即可）端口，和SHOTDOWN字符串
ajp链接端口保护，或者直接注释配置文件
　　　更改8005（更改为8000~8999之间即可）端口，通过iptables限制此端口,或者直接注释配置文件
禁用管理
　　　1）删除默认的{Tomcat安装目录}/conf/tomcat-users.xml文件，重启tomcat后将会自动生成新的文件；
　　　2）删除{Tomcat安装目录}/webapps下默认的所有目录和文件；
　　　3）将tomcat 应用根目录配置为tomcat安装目录以外的目录；
降权启动
　　　1）tomcat启动用户权限必须为非root权限，尽量降低tomcat启动用户的目录访问权限；
　　　2）如需直接对外使用80端口，可通过普通账号启动后，配置iptables规则进行转发；
文件列表访问限制
　　　conf/web.xml文件中default部分listings的配置必须为false；
版本信息隐藏
　　　1）修改conf/web.xml，重定向403、404以及500等错误到指定的错误页面；
　　　2）也可以通过修改应用程序目录下的WEB-INF/web.xml下的配置进行错误页面的重定向；
Server header重写
　　　在HTTP Connector配置中加入server的配置，server="chuck-server"
通过配置，限定访问的ip来源
　　　allow="61.148.18.138,61.135.165." deny="...*"/
起停脚本权限回收
　　　去除其他用户对Tomcat的bin目录下shutdown.sh、startup.sh、catalina.sh的可执行权限
访问日志格式规范
　　　开启Tomcat默认访问日志中的Referer和User-Agent记录
关闭自动部署（根据自己实际情况）
　　　autoDeploy="false">

七、tomcat的调优
7.1 外部调优

操作系统调优,JVM调优
1）调整JVM内存使用
2）使用什么垃圾回收器
nginx代理调优

7.2 内部调优

maxThreads="" #最大线程数
minSpareThreads="" #初始化创建的线程数
maxSpareThreads="" #一旦创建的线程超过这个值，tomcat就会关闭不在需要的socket线程
acceptCount="" #指定当所有可以使用的处理请求的线程数都被使用时，可以放到处理队里的请求数，超过这个数将不予处理
compression="on" compressionMinSize="" compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain" #tomcat压缩，压缩起始大小为2048K和压缩类型
enableLookups="false" #关闭dns查询
disableUploadTimeout="" #关闭上传超时
connectionTimeout="" #链接超时
SSLEnabled="true" #开启ssl加密,https时使用
附生产实际配置文件一个

<Connector port="" protocol="HTTP/1.1"
URIEncoding="UTF-8" minSpareThreads="" maxSpareThreads=""
enableLookups="false" disableUploadTimeout="true" connectionTimeout=""
acceptCount="" maxThreads="" maxProcessors="" minProcessors=""
useURIValidationHack="false"
compression="on" compressionMinSize=""
compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain"
SSLEnabled="true"
scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/tomcat2/conf/shnlap93.jks" keystorePass="aaaaaa"
/>

7.3 开启jvm远程查看

更改启动参数

echo "CATALINA_OPTS="$CATALINA_OPTS
-Dcom.sun.management.jmxremote # 启用远程调用
-Dcom.sun.management.jmxremote.port= #端口12345
-Dcom.sun.management.jmxremote.authenticate=false #关闭验证
-Dcom.sun.management.jmxremote.ssl=false #关闭ssl加密
-Djava.rmi.server.hostname=192.168.3.198"" >> /usr/local/tomcat/bin/catalina.sh

打开jvisualvm，可同时链接多个jvm主机