Tomcat配置解析及优化

Tomcat目录结构
/bin #控制tomcat启动与关闭
/conf #存放配置文件

• catalina.policy：这个文件的主要作用是防止jsp代码等用户代码破坏Tomcat容器，如system.exit(0)。只用在使用命令行启动tomcat并使用-security参数时，这个文件才被使用。
  catalina.properties：里面包含了不能被jsp或servlet修改的jar文件列表，如java.*
  org和tomcat.apache.*等。
  context.xml：这是有关context的配置文件。由于这个context.xml位于顶层，所以是一个被所有Web应用程序使用的配置文件。默认内容为web.xml文件的位置。
  logging.properties：默认为JULI logger使用的配置文件。
  server.xml：Tomcat中最主要的配置文件，定义了tomcat的体系结构。这个文件是被digester用来在tomcat启动时构建tomcat容器的配置文件。
  tocmat-users.xml：有关Tocmat管理员身份的配置文件，它是同server.xml中的UserDatabase
  Realm一起使用的。
  web.xml：这个默认的web.xml被Tomcat下所有的应用程序所使用。主要包括servlet-mapping,
  servlet标签，mime-type 标签和welcome-file-list标签。

/lib #里面包含了Tomcat容器使用的所有jar包。
/logs #里面包含有tomcat生成的日志文件。
/temp #这个文件夹所Tomcat用来存放临时文件用的。
/webbapps #项目目录
/work #工作目录

tomcat 组件详解
 engine:核心容器组件，catalina引擎，负责通过connector接收用户请求，并处理请 求，将请求转至对应的虚拟主机host。
 host：类似于httpd中的虚拟主机，一般而言支持基于FQDN的虚拟主机。
 context：定义一个应用程序，是一个最内层的容器类组件（不能再嵌套）。配置 context的主要目的指定对应对的webapp的根目录，类似于httpd的alias，其还能为 webapp指定额外的属性，如部署方式等。
 connector：接收用户请求，类似于httpd的listen配置监听端口。
 service（服务）：将connector关联至engine，因此一个service内部可以有多个 connector，但只能又一个引擎engine。service内部有两个connector，一个 engine。因此，一般情况下一个server内部只有一个service，一个service内部只有 一个engine，但一个service内部可以有多个connector。
 server：表示一个运行于JVM中的tomcat实例。
 Valve：阀门，拦截请求并在将其转至对应的webapp前进行某种处理操作，可以用于 任何容器中，比如记录日志（access log valve），基于IP做访问控制（remote address filer valve）。
 logger：日志记录器，用于记录组件内部的状态信息，可以用于除context外的任何 容器中。
 realm：可以用于任意容器类的组件中，关联一个用户认证库，实现认证和授权。可 以关联的认证库有两种：UserDatabaseRealm，MemoryRealm和JDBCRealm。
 UserDatabaseRealm：使用JNDI自定义的用户认证库。
 MemoryRealm：认证信息定义在tomcat-users.xml中。
 JDBCRealm：认证信息定义在数据库中，并通过JDBC连接至数据库中查找认证用户。

配置文件注释

1. <~?xml version=‘1.0’ encoding=‘utf-8’?>
2. <~!-
3. <~Server>元素代表整个容器,是Tomcat实例的顶层元素.由org.apache.catalina.Serve接口来定义.它包含一个<%service>元素.并且它不能做为任何元素的子元素.

4. port指定Tomcat监听shutdown命令端口.终止服务器运行时,必须在Tomcat服务器所在 的机器上发出shutdown命令.该属性是必须的. 
   

5. shutdown指定终止Tomcat服务器运行时,发给Tomcat服务器的shutdown监听端口的字符 串.该属性必须设置 
   

6. –>
7. <~Server port=“8005” shutdown=“SHUTDOWN”>
8. <~Listener className=“org.apache.catalina.startup.VersionLoggerListener” />
9. <~Listener className=“org.apache.catalina.core.AprLifecycleListener” S SLEngine=“on” />
10. <~Listener className=“org.apache.catalina.core.JreMemoryLeakPreventionListener” />
11. <~Listener className=“org.apache.catalina.mbeans.GlobalResourcesLifecycleListener” />
12. <~Listener className=“org.apache.catalina.core.ThreadLocalLeakPreventionListener” />
13. <~GlobalNamingResources>

14. <~Resource name="UserDatabase" auth="Container" 
    

15.           type="org.apache.catalina.UserDatabase" 
    

16.           description="User database that can be updated and saved" 
    

17.           factory="org.apache.catalina.users.MemoryUserDatabaseFactory" 
    

18.           pathname="conf/tomcat-users.xml" /> 
    

19. <~/GlobalNamingResources>
20. <~!–service服务组件–>
21. <~Service name=“Catalina”>

22. <~!-
    

23.     connector：接收用户请求，类似于httpd的listen配置监听端口. 
    

24.     port指定服务器端要创建的端口号，并在这个端口监听来自客户端的请求。 
    

25.     address：指定连接器监听的地址，默认为所有地址（即0.0.0.0） 
    

26.     protocol连接器使用的协议，支持HTTP和AJP。AJP（Apache Jserv Protocol ）专用于tomcat与apache建立通信的， 在httpd反向代理用户请求至tomcat时使用（可见Ng inx反向代理时不可用AJP协议）。 
    

27.     minProcessors服务器启动时创建的处理请求的线程数 
    

28.     maxProcessors最大可以创建的处理请求的线程数 
    

29.     enableLookups如果为true，则可以通过调用request.getRemoteHost()进行D NS查询来得到远程客户端的实际主机名，若为false则不进行DNS查询，而是返回其ip地址 
    

30.     redirectPort指定服务器正在处理http请求时收到了一个SSL传输请求后重定向的 端口号 
    

31.     acceptCount指定当所有可以使用的处理请求的线程数都被使用时，可以放到处理队 列中的请求数，超过这个数的请求将不予处理 
    

32.     connectionTimeout指定超时的时间数(以毫秒为单位)
    

33. -->
    

34. <~Connector port="8080" protocol="HTTP/1.1" 
    

35.            connectionTimeout="20000" 
    

36.            redirectPort="8443" /> 
    

37. <~Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> 
    

38. <~!--engine,核心容器组件,catalina引擎,负责通过connector接收用户请求,并处理 请求,将请求转至对应的虚拟主机host 
    

39.     defaultHost指定缺省的处理请求的主机名，它至少与其中的一个host元素的name 属性值是一样的 
    

40. --> 
    

41. <~Engine name="Catalina" defaultHost="localhost"> 
    

42.   <!--Realm表示存放用户名，密码及role的数据库--> 
    

43.   <~Realm className="org.apache.catalina.realm.LockOutRealm"> 
    

44.     <Realm className="org.apache.catalina.realm.UserDatabaseRealm" 
    

45.            resourceName="UserDatabase"/> 
    

46.   </Realm> 
    

47.   <~!-
    

48.   host表示一个虚拟主机 
    

49.     name指定主机名 
    

50.     appBase应用程序基本目录，即存放应用程序的目录.一般为appBase="webapps" ，相对于CATALINA_HOME而言的，也可以写绝对路径。 
    

51.     unpackWARs如果为true，则tomcat会自动将WAR文件解压，否则不解压，直接从WAR文件中运行应用程序
    

52.     autoDeploy：在tomcat启动时，是否自动部署。 
    

53.     xmlValidation：是否启动xml的校验功能，一般xmlValidation="false"。 
    

54.     xmlNamespaceAware：检测名称空间，一般xmlNamespaceAware="false"。 
    

55.   --> 
    

56.   <~Host name="localhost"  appBase="webapps" 
    

57.         unpackWARs="true" autoDeploy="true"> 
    

58.     <~!-
    

59.      Context表示一个web应用程序，通常为WAR文件 
    

60.         docBase应用程序的路径或者是WAR文件存放的路径,也可以使用相对路径，起始路径为此Context所属Host中appBase定义的路径。 
    

61.      path表示此web应用程序的url的前缀，这样请求的url为 http://localhost:8080/path/****
    

62.         reloadable这个属性非常重要，如果为true，则tomcat会自动检测应用程序的/WEB-INF/lib 和/WEB-INF/classes目录的变化，自动装载新的应用程序，可以在不重启 tomcat的情况下改变应用程序 
    

63.     --> 
    

64.     <~Context path="" docBase="" debug=""/> 
    

65.     <~Valve className="org.apache.catalina.valves.AccessLogValve" di rectory="logs" 
    

66.            prefix="localhost_access_log" suffix=".txt" 
    

67.            pattern="%h %l %u %t "%r" %s %b" /> 
    

68.   </Host> 
    

69. </Engine>
    

1.安全优化
最重要的优化为如下4项，但并不止这四种
降权启动/telnet管理端口保护/ajp连接端口保护/禁用管理端
具体操作如下：
1）降权启动（同nginx优化部分的监牢模式）
降权的原则就是利用普通用户来启动Tomcat
（1）将Tomcat程序目录拷贝到普通用户家目录下
（2）修改家目录下程序的配置文件（启动端口，检测端口等），并重新指定网页根目录 路径。
（3）递归授权拷贝后的Tomcat程序的属主属组为普通用户。
（4）用su命令切换为普通用户，启动Tomcat进程
（5）此时Tomcat进程的权限为普通用户权限
（6）如果利用/etc/rc.local文件配置普通用户程序的开机启动，那么需要利用su -c临时 切换身份启动。具体可参考linux基础教案里的用户管理部分
2）telnet管理端口保护

1. sed -n ‘22p’ /usr/local/tomcat/conf/server.xml
2. <~Server port=“8005” shutdown=“SHUTDOWN”>
   #表示通过8005端口来接受SHUTDOW N，用来停止Tomcat进程。默认的方式是非常危险的。需要进行修改
   3）ajp连接端口保护
3. sed -n ‘91p’ /usr/local/tomcat/conf/server.xml

4. <~Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
   

#这是AJP协议打开的端口，我们并不需要开启这个端口，因此注释掉本行
4）禁用管理端
Tomcat默认在安装完成后的网页目录里有很多多余的目录，删除所有不需要用到的目录，并清空ROOT网页默认根目录下的所有东西，规避可能的代码漏洞

2.性能优化
1）屏蔽DNS查询 enableLookups=“false”
DNS查询非常消耗时间，如果开启会影响Tomcat性能，因此关闭。

1. #默认没有，需添加配置文件如下代码段，在Connector标签位置。表示禁止DNS查询

2. <~Connector  port="8081" protocol="HTTP/1.1" 
   

3.            connectionTimeout="6000" enableLookups="false" acceptCoun t="800" 
   

4.            redirectPort="8443" /
   

2）jvm调优
Tomcat最吃内存，只要内存足够，这只猫就跑的很快。 如果系统资源有限，那就需要进行调优，提高资源使用率。

1. #优化catalina.sh初始化脚本。在catalina.sh初始化脚本中添加以下代码：
2. #catalina.sh的路径为:/usr/local/tomcat/bin/catalina.sh
3. #此行优化代码需要加在脚本的最开始，声明位置。不要放在后边
4. JAVA_OPTS="-Djava.awt.headless=true -Dfile.encoding=UTF-8 -server -Xms1024m -Xmx1024m -XX:NewSize=512m -XX:MaxNewSize=512m -XX:PermSize=512m XX:MaxPermSize=512m"

#代码说明：

1. server:一定要作为第一个参数，在多个CPU时性能佳
2. -Xms：初始堆内存Heap大小，使用的最小内存,cpu性能高时此值应设的大一些
3. -Xmx：初始堆内存heap最大值，使用的最大内存
4. 上面两个值是分配JVM的最小和最大内存，取决于硬件物理内存的大小，建议均设为物理内存的一半。
5. -XX:PermSize:设定内存的永久保存区域
6. -XX:MaxPermSize:设定最大内存的永久保存区域
7. -XX:MaxNewSize:
8. -Xss 15120 这使得JBoss每增加一个线程（thread)就会立即消耗15M内存，而最佳值应该是 128K,默认值好像是512k.
9. +XX:AggressiveHeap 会使得 Xms没有意义。这个参数让jvm忽略Xmx参数,疯狂地吃完一个G 物理内存,再吃尽一个G的swap。
10. -Xss：每个线程的Stack大小
11. -verbose:gc 现实垃圾收集信息
12. -Xloggc:gc.log 指定垃圾收集日志文件
13. -Xmn：young generation的heap大小，一般设置为Xmx的3、4分之一
14. -XX:+UseParNewGC ：缩短minor收集的时间
15. -XX:+UseConcMarkSweepGC ：缩短major收集的时间