②JVM 虚拟机常识、企业 Tomcat 运维目录概括、Tomcat安全优化全网最细

JVM 虚拟机常识

两个常识问题

作为了解JVM 虚拟机的开始。我们很有必要弄明白以下两个问题。

JVM JRE JAVA类库

什么是JAVA虚拟机

所谓虚拟机，就是一台虚拟的计算机。他是一款软件，用来执行一系列虚拟计算机指令。大体上，虚拟机可以分为系统虚拟机和程序虚拟机。大名鼎鼎的VisualBox、VMware就属于系统虚拟机。他们完全是对物理计算机的仿真。提供了一个可以运行完整操作系统的软件平台。
程序虚拟机的典型代表就是Java虚拟机，它专门为执行单个计算机程序而设计，在Java虚拟机中执行的指令我们称为Java字节码指令。无论是系统虚拟机还是程序虚拟机，在上面运行的软件都限制于虚拟机提供的资源中。

JAVA 如何做到跨平台

同一个JAVA程序(JAVA字节码的集合)，通过JAVA虚拟机(JVM)运行于各大主流操作系统平台
比如Windows、CentOS、Ubuntu等。程序以虚拟机为中介，来实现跨平台.

常用虚拟机参数

JVM 虚拟机提供了三种类型参数
1、标准参数

标准参数中包括功能和输出的参数都是很稳定的，很可能在将来的JVM版本中不会改变。你可以用 java 命令（或者是用 java -help）检索出所有标准参数。

2、X 类型参数

非标准化的参数，在将来的版本中可能会改变。所有的这类参数都以 -X 开始。

3、XX 类型参数

在实际情况中 X 参数和 XX 参数并没有什么不同。X 参数的功能是十分稳定的。
用一句话来说明 XX 参数的语法。所有的 XX 参数都以"-XX:"开始，但是随后的语法不同，取决于参数的类型：
1）对于布尔类型的参数，我们有"+"或"-"，然后才设置 JVM 选项的实际名称。
   例如，-XX:+ 用于激活选项，而 -XX:- 用于注销选项。
   Example:
   开启GC日志的参数: -XX:+PrintGC
2) 对于需要非布尔值的参数，如 string 或者 integer，我们先写参数的名称，后面加上"="，最后赋值。
   例如: -XX:MaxPermSize=2048m

常用的JVM参数

1、跟踪JAVA虚拟机的垃圾回收
GC日志：jvm垃圾回收，记录jvm的运行状态，OOM内存溢出的报错信息等。

• %t 将会被替代为时间字符串，格式为: YYYY-MM-DD_HH-MM-SS

开启GC日志:

-XX:+PrintGCDetails -XX:+PrintGCDateStamps -Xloggc:/data0/logs/gc-%t.log"

2、配置JAVA虚拟机的堆空间

-Xms:初始堆大小
-Xmx:最大堆大小
实际生产环境中， 我们通常将初始化堆(-Xms) 和 最大堆(-Xmx) 设置为一样大。以避免程序频繁的申请堆空间。设置为物理内存的一半。

3、配置JAVA虚拟机的永久区(方法区)

-XX:PermSize   	  内存永久保留区域  ：//所占用的内存是堆内存的一部分内存，不能超过堆内存
-XX:MaxPermSize   内存最大永久保留区域

JDK 1.8中 PermSize 和 MaxPermGen 已经无效。JDK 1.8 中已经不存在永久代的结论 而以 元空间 代替。 

企业 Tomcat 运维

1、Tomcat 简介

Tomcat是Apache软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun和其他一些公司及个人共同开发而成。

Tomcat服务器是一个免费的开放源代码的Web应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选。

**Tomcat：**JAVA容器，WEB容器，WEB中间件

Tomcat,JBOSS，Weblogic  ---收费。

apache和nginx  只能解析静态页面

web容器：uwsgi   php      tomcat   -----这些是解析动态页面的

一个tomcat默认并发是200(官方)，可以修改，但实际用的时候也就150并发左右。

tomcat端口:
本身自己的端口:8005.
还有一个端口是和其他应用通信的端口:8009。
给浏览器(客户端)访问页面用的端口是8080。
https端口:443

使用方案

方案一：  Tomcat         //单独使用   ----基本不用
方案二：  Nginx+Tomcat       //反向代理和负载均衡                                    			
方案三：                                   
                                  Nginx 
                                      |
    +--------------------------------------------------------+
    |               |               | 		              |
Tomcat1 Tomcat2 Tomcat3         nginx服务器  ----解析静态页面

建议使用Nginx和Tomcat配合，Nginx处理静态，Tomcat处理动态程序
方案三中后端Tomcat可以运行在单独的主机，也可以是同一台主机上的多实例

Tomcat官网： http://tomcat.apache.org

Tomcat好帮手—JDK

JDK是 Java 语言的软件开发工具包，JDK是整个java开发的核心，JDK中包括完整的JRE（Java Runtime Environment），Java运行环境，包括了用于产品环境的各种库类，如基础类库rt.jar，以及给开发人员使用的补充库等。
JDK****下载面页：

<http://www.oracle.com/technetwork/java/javase/downloads/index.html>

Tomcat目录介绍

1、tomcat主目录介绍

[root@java-tomcat1 ~]# cd /data/application/tomcat/
[root@java-tomcat1 tomcat]# yum install -y tree
[root@java-tomcat1 tomcat]# tree -L 1
.
├── bin     #存放tomcat的管理脚本
├── BUILDING.txt
├── conf    #tomcat的配置文件
├── CONTRIBUTING.md
├── lib      #web应用调用的jar包存放路径
├── LICENSE
├── logs     #tomcat日志存放目录，catalin.out日志为只要输出日志
├── NOTICE
├── README.md
├── RELEASE-NOTES
├── RUNNING.txt
├── temp     #存放临时文件
├── webapps  #默认网站发布目录
└── work     #存放编译生产的.java与.class文件

7 directories, 7 files

webapps目录介绍

[root@java-tomcat1 tomcat]# cd webapps/
[root@java-tomcat1 webapps]# tree -L 1
.
├── docs  #tomcat的帮助文档
├── examples  #web应用实例
├── host-manager  #主机管理
├── manager    #管理
└── ROOT    #默认站点根目录

5 directories, 0 files

Tomcat配置文件目录介绍（conf）

[root@java-tomcat1 webapps]# cd ../conf/
[root@java-tomcat1 conf]# tree -L 1
.
├── Catalina
├── catalina.policy
├── catalina.properties
├── context.xml
├── logging.properties
├── logs
├── server.xml           # tomcat 主配置文件
├── server.xml.bak
├── server.xml.bak2
├── tomcat-users.xml    # tomcat 管理用户配置文件
├── tomcat-users.xsd
└── web.xml

2 directories, 10 files

Tomcat的管理

启动程序 #/usr/local/tomcat/bin/startup.sh
关闭程序 #/usr/local/tomcat/bin/shutdown.sh

主配置文件详解

server.xml组件类别

顶级组件：位于整个配置的顶层，如server。

容器类组件：可以包含其它组件的组件，如service、engine、host、context。

连接器组件：连接用户请求至tomcat，如connector。

<server>  #表示一个运行于JVM中的tomcat实例。
     <service> #服务。将connector关联至engine，因此一个service内部可以有多个connector，但只能有一个引擎engine。
     <connector /> #接收用户请求，类似于httpd的listen配置监听端口的
     <engine>  #核心容器组件，catalina引擎，负责通过connector接收用户请求，并处理请求，将请求转至对应的虚拟主机host。
     <host>   #类似于httpd中的虚拟主机，
     <context></context>  #配置context的主要目的指定对应对的webapp的根目录。其还能为webapp指定额外的属性，如部署方式等。
     </host>
     <host>
     <context></context>
     </host>
     </engine>
     </service>
</server>

日志格式配置

[root@java-tomcat1 ~]# cd /usr/local/tomcat/conf/
[root@java-tomcat1 conf]# vim server.xml
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="/data/www/logs"
               prefix="jenkins-" suffix="-access_log"
               pattern="%{X-Real-IP}i - %v %t &quot;%r&quot; - %s %b %T &quot;%{Referer}i&quot; &quot;%{User-Agent}i&quot; %a &quot;-&quot; &quot;-&quot;" />
[root@java-tomcat1 conf]# mkdir -p /data/www

日志参数解释：

    ％a - 远程IP地址
    ％A - 本地IP地址
    ％b - 发送的字节数，不包括HTTP头，或“ - ”如果没有发送字节
    ％B - 发送的字节数，不包括HTTP头
    ％h - 远程主机名
    ％H - 请求协议
    ％l (小写的L)- 远程逻辑从identd的用户名（总是返回' - '）
    ％m - 请求方法
    ％p - 本地端口
    ％q - 查询字符串（在前面加上一个“？”如果它存在，否则是一个空字符串
    ％r - 第一行的要求
    ％s - 响应的HTTP状态代码
    ％S - 用户会话ID
    ％t - 日期和时间，在通用日志格式
    ％u - 远程用户身份验证
    ％U - 请求的URL路径
    ％v - 本地服务器名
    ％D - 处理请求的时间（以毫秒为单位）
    ％T - 处理请求的时间（以秒为单位）
    ％I （大写的i） - 当前请求的线程名称

JVM 参数优化

[root@java-tomcat1 conf]# cd ../bin/
[root@java-tomcat1 bin]# cp catalina.sh catalina.sh.bak
[root@java-tomcat1 bin]# vim catalina.sh
JAVA_OPTS="$JAVA_OPTS -Xms1024m -Xmx1024m -XX:PermSize=512m -XX:MaxPermSize=512m"  #jdk1.7
JAVA_OPTS="$JAVA_OPTS -Xms1024m -Xmx1024m -XX:MetaspaceSize=512m -XX:MaxMetaspaceSize=512m"   #jdk1.8

开启GC日志

# vim catalina.sh
JAVA_OPTS="$JAVA_OPTS -XX:+PrintGCDetails -XX:+PrintGCDateStamps -Xloggc:/data/logs/gc-%t.log"

可选参数:
-XX:+AggressiveOpts，加快编译。
-XX:+UseParallelGC，优化垃圾回收。
[root@java-tomcat1 bin]# mkdir /data/logs

开启JMX端口便于监控

# vim catalina.sh
CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management.jmxremote 
-Dcom.sun.management.jmxremote.port=10028 
-Dcom.sun.management.jmxremote.authenticate=false
-Dcom.sun.management.jmxremote.ssl=false 
-Djava.rmi.server.hostname=java69-matrix.zeus.lianjia.com"

取消JVM 的默认DNS缓存时间

不缓存DNS记录，避免DNS解析更改后要重启JVM虚拟机

# catalina.sh  ---添加如下内容
CATALINA_OPTS="$CATALINA_OPTS -Dsun.net.inetaddr.ttl=0 -Dsun.net.inetaddr.negative.ttl=0

JVM 运维实用排障工具

jps

用来查看Java进程的具体状态, 包括进程ID，进程启动的路径及启动参数等等，与unix上的ps类似，只不过jps是用来显示java进程，可以把jps理解为ps的一个子集。
常用参数如下:
-q：忽略输出的类名、Jar名以及传递给main方法的参数，只输出pid
-m：输出传递给main方法的参数，如果是内嵌的JVM则输出为null
-l：输出完全的包名，应用主类名，jar的完全路径名
-v：输出传给jvm的参数

注意: 使用jps 时的运行账户要和JVM 虚拟机启动的账户一致。若启动JVM虚拟机是运行的账户为www，那使用jps指令时，也要使用www 用户去指定。 sudo -u www jps

Example

// 查看已经运行的JVM 进程的实际启动参数
[root@java-tomcat1 ~]# jps -v 
58154 Jps -Denv.class.path=.:/usr/local/java/lib:/usr/local/java/jre/lib:/usr/local/java/lib/tools.jar -Dapplication.home=/usr/local/java -Xms8m
58015 Bootstrap -Djava.util.logging.config.file=/data/application/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djdk.tls.ephemeralDHKeySize=2048 -Djava.protocol.handler.pkgs=org.apache.catalina.webresources -Dorg.apache.catalina.security.SecurityListener.UMASK=0027 -Dignore.endorsed.dirs= -Dcatalina.base=/data/application/tomcat -Dcatalina.home=/data/application/tomcat -Djava.io.tmpdir=/data/application/tomcat/temp

jstack

jstack用于打印出给定的java进程ID或core file或远程调试服务的Java堆栈信息。如果现在运行的java程序呈现hung的状态，jstack是非常有用的。此信息通常在运维的过程中被保存起来(保存故障现场)，以供RD们去分析故障。
常用参数如下:
jstack <pid>
jstack [-l] <pid> //长列表. 打印关于锁的附加信息
jstack [-F] <pid> //当’jstack [-l] pid’没有响应的时候强制打印栈信息

Example

// 打印JVM 的堆栈信息，以供问题排查
[root@mouse03 ~]# jstack -F 38360 > /tmp/jstack.log

Tomcat安全优化

1、telnet管理端口保护（强制）

2、 ajp连接端口保护（推荐）

3、降权启动（强制）

[root@java-tomcat1 ~]# useradd tomcat
[root@java-tomcat1 ~]# chown tomcat.tomcat /data/application/tomcat/ -R
[root@java-tomcat1 ~]# su -c '/data/application/tomcat/bin/startup.sh' tomcat 
Using CATALINA_BASE:   /data/application/tomcat
Using CATALINA_HOME:   /data/application/tomcat
Using CATALINA_TMPDIR: /data/application/tomcat/temp
Using JRE_HOME:        /usr/local/java
Using CLASSPATH:       /data/application/tomcat/bin/bootstrap.jar:/data/application/tomcat/bin/tomcat-juli.jar
Tomcat started.
[root@java-tomcat1 ~]# ps -ef | grep tomcat 
tomcat     1065      1 64 20:33 ?        00:00:06 /usr/local/java/bin/java -Djava.util.logging.config.file=/data/applicationtomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djdk.tls.ephemeralDHKeySize=2048 -Djava.protocol.handler.pkgs=org.apache.catalina.webresources -Dorg.apache.catalina.security.SecurityListener.UMASK=0027 -Dignore.endorsed.dirs= -classpath /data/application/tomcat/bin/bootstrap.jar:/data/application/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/data/application/tomcat -Dcatalina.home=/data/application/tomcat -Djava.io.tmpdir=/data/application/tomcat/temp org.apache.catalina.startup.Bootstrap start
root       1112   1027  0 20:33 pts/0    00:00:00 grep --color=auto tomcat

4、文件列表访问控制（强制）


5、起停脚本权限回收（推荐）

6、 访问日志格式规范（推荐）

conf/server.xml

Tomcat性能优化策略

上策：优化代码
该项需要开发经验足够丰富，对开发人员要求较高
中策：jvm****优化机制 垃圾回收机制 把不需要的内存回收
优化jvm–优化垃圾回收策略

优化catalina.sh配置文件。在catalina.sh配置文件中添加以下代码

# tomcat分配1G内存模板
JAVA_OPTS="-Djava.awt.headless=true -Dfile.encoding=UTF-8 -server -Xms1024m -Xmx1024m -XX:NewSize=512m -XX:MaxNewSize=512m -XX:PermSize=512m -XX:MaxPermSize=512m"     

# 重启服务
su -c '/home/tomcat/tomcat8_1/bin/shutdown.sh' tomcat
su -c '/home/tomcat/tomcat8_1/bin/startup.sh' tomcat

下策：加足够大的内存

该项的资金投入较大

下下策：每天0****点定时重启tomcat

使用较为广泛