1、tomcat配置管理,1，WEB SERVER介紹 2，TOMCAT目錄結(jié)構(gòu) 3，TOMCAT端口管理 4，TOMCAT賬號管理 5，TOMCAT配置數(shù)據(jù)庫 6，TOMCAT監(jiān)控軟件安裝 7，TOMCAT環(huán)境變量 8，TOMCAT和JVM的配置 9，TOMCAT基于名稱的虛擬主機 10，TOMCAT IP訪問控制 11，TOMCAT訪問日志記錄 12，TOMCAT狀態(tài)驗證 13，TOMCAT設(shè)置SSL訪問 14，TOMCAT安全策略 15，TOMCAT的URL編碼格式 16，TOMCAT傳輸壓縮 17，TOMCAT集群和負載均衡 18，ECD部門AP(TOMCAT)部署規(guī)范,WEB SERVE

2、R介紹,Web服務(wù)器 Jetty(目前google/Yahoo使用) 體積小，靈活，適合作為嵌入式應(yīng)用 Tomcat 集群和監(jiān)控支持較好，功能完整，實現(xiàn)規(guī)范，是SUN支持的項目 Jweb tomcat+apache=jweb 參考資料較少，普及率較低 J2EE服務(wù)器 JBoss AS GlassFish Weblogic WebSphere Tomcat是一個免費的開源的Serlvet容器，它是Apache基金會的Jakarta項目中的一個核心項目，由Apache，Sun和其它一些公司及個人共同開發(fā)而成。由于有了Sun的參與和支持，最新的Servlet和Jsp規(guī)范總能在 Tomcat中得到體現(xiàn)

3、 Jakarta項目是在Apache軟件基金會營運的公開源代碼軟件開發(fā)項目之一。開發(fā)著面向編程語言Java的程序庫，框架等。 Jakarta項目是在Apache軟件基金會營運的公開源代碼軟件開發(fā)項目之一。開發(fā)JAVA的程序庫，框架。 本文致力于tomcat的最佳實踐，介紹了tomcat的各種功能和使用技巧。,TOMCAT目錄結(jié)構(gòu),目錄結(jié)構(gòu)七層,TOMCAT目錄結(jié)構(gòu),CATALINA_HOME指的是tomcat的安裝目錄，如C：Tomcat6.0 bin目錄：控制tomcat的啟動與關(guān)閉，以及與啟動關(guān)閉有關(guān)的安全管理 conf目錄：配置文件 lib目錄：Tomcat容器使用的所有jar包和多個w

4、eb應(yīng)用程序共享的jar包 log目錄：Tomcat生成的日志文件。日志文件是按天為單位生成 temp目錄：Tomcat用來存放臨時文件 webapps目錄： Tomcat默認的web應(yīng)用程序存放位置 work目錄： Tomcat將jsp文件轉(zhuǎn)換為java servlet的地方,TOMCAT目錄結(jié)構(gòu),Server.xml圖形化 一個server可有多個sercice 一個sercice可有多個connector 和一個engine,TOMCAT目錄結(jié)構(gòu),常用的配置文件簡單介紹 server.xml：Tomcat中最重要的配置文件，定義了tomcat的體系結(jié)構(gòu) 設(shè)置端口，集群，web應(yīng)用，訪問日

5、志等主要功能。 tocmat-users.xml：Tocmat管理員身份的配置文件 關(guān)鍵是設(shè)置管理員賬號的密碼 context.xml：全局context的配置文件。 將數(shù)據(jù)庫JNDI在這里定義好 perties： Tocmat日志配置文件 可以修改默認的Tocmat日志路徑和名稱,TOMCAT端口管理,說明：當一個server需要部署2個或2個以上TOMCAT時，請按照本規(guī)則進行部署 目的：統(tǒng)一端口使用規(guī)則，避免端口沖突，合理規(guī)劃端口資源，方便故障診斷 注意： 1，正式環(huán)境中，雖然ajp和http僅會用到其中之一端口，但不要取消ajp或者http端口 2，出現(xiàn)端口爭用問

6、題后，可以使用probe查看TOMCAT占用端口信息 3，有些操作系統(tǒng)，當端口出現(xiàn)爭用情況后，OS可能會另外為TOMCAT分配一個端口 4，不要分配8000以下端口給TOMCAT，即使OS僅保護1024以下端口 5，正式環(huán)境部署，請參照端口TOMCAT端口管理表部署 6，443類端口可在http端口前統(tǒng)一加3即可。 例如，8080端口對應(yīng)的443實際端口就是38080,TOMCAT端口管理表,TOMCAT賬號管理,設(shè)置： 1，修改TOMCAT_HOME/conf/tomcat-users.xml 2，僅設(shè)置兩個role:admin,manager。 3，創(chuàng)建一個管理賬號，并加入admin,ma

7、nager的role 4，tomcat的管理，發(fā)布，監(jiān)控全部使用該管理賬號 修改好的tomcat-users.xml文件示例 ,TOMCAT配置數(shù)據(jù)庫,設(shè)置： 1，修改TOMCAT_HOME/conf/context.xml 2，將數(shù)據(jù)庫的JDBC驅(qū)動放入TOMCAT_HOME/lib下 3，重啟TOMCAT，進行驗證即可 4，使用方法： Resource name=“jdbc/MioDS”中明確指出 名稱是“jdbc/MioDS” 5，代碼中DataSource ds =(DataSource)ctx.lookup(java:comp/env/jdbc/MioDS); 優(yōu)點： 1，管理：不需

8、要修改代碼即可以適應(yīng)開發(fā)，測試，正式環(huán)境，因為名稱都是“jdbc/MioDS” 2，監(jiān)控：TOMCAT監(jiān)控程序可以實時顯示數(shù)據(jù)源狀態(tài) 3，安全：項目開發(fā)和測試人員不必知道數(shù)據(jù)庫賬號這類敏感信息 4，性能：使用連接池可以提升系統(tǒng)效能 注意：文章中使用的“jdbc/MioDS”僅僅是示例作用，可以根據(jù)項目具體命名,TOMCAT配置數(shù)據(jù)庫,context.xml文件示例 WEB-INF/web.xml 具體參數(shù)含義參考： /tomcat-6.0-doc/jndi-datasource-examples-howto.html,TOMCAT監(jiān)控軟件安裝,監(jiān)控

9、軟件：Lambda Probe 軟件介紹：Lambda Probe（Tomcat Probe）是一個基于Web以實時的方式來管理單 個Tomcat主機的工具。它除了具備標準Tomcat Manager大部份功能之外 還提供一些能夠幫助Web開發(fā)者和系統(tǒng)管理員更加清楚地了解Tomcat運 行情況的功能。 登陸賬號： tomcat-users.xml文件中設(shè)置的user賬號具有admin,manager的role 安裝方法：1，以命令行方式啟動的tomcat 在catalina.bat/catalina.sh中 在JAVA_OPTS項中添加-Dcom.sun.management.jmxremot

10、e 2，以服務(wù)方式啟動的tomcat 在JAVA OPTIONS中添加一行 -Dcom.sun.management.jmxremote 3，將probe.war安裝包放在tomcat_home/webapps下即可 管理界面：http:/localhost:8080/probe,TOMCAT環(huán)境變量,正確方法：在需要運行的tomcat的catalina.sh/catalina.bat中設(shè)置java_home變量即設(shè)置了三個變量 java_home, catalina_home, catalina_base 設(shè)置catalina_home,catalina_base危害： 導致被設(shè)置的服務(wù)器僅

11、能在指定CATALINA_HOME目錄中運行唯一的TOMCAT 注意： 1，不要在正式系統(tǒng)中部署安裝版的TOMCAT 2，不要在任何系統(tǒng)path中寫入TOMCAT環(huán)境變量，包括CATALINA_HOME， CATALINA_BASE，JAVA_HOME,TOMCAT和JVM的配置,1，系統(tǒng)選型最重要：重要項目AP盡可能使用64位系統(tǒng) 64位系統(tǒng)JVM內(nèi)存最高可以設(shè)置為3800MB左右 32位系統(tǒng)JVM內(nèi)存最高可以設(shè)置為1500MB左右 單一TOMCAT 64位系統(tǒng)可以使用內(nèi)存3800MB，32位僅能使用1500MB 2，根據(jù)系統(tǒng)物理內(nèi)存大小合理設(shè)置下列五個參數(shù)catalina.sh/catal

12、ina.bat -server -Xms300m -Xmx300m -XX:PermSize=100m -XX:MaxPermSize=100m -Xms=-Xmx -XX:PermSize=-XX:MaxPermSize 正式服務(wù)器必須設(shè)置以上參數(shù)，以盡可能壓榨服務(wù)器性能 以上參數(shù)經(jīng)過長久驗證，可以穩(wěn)定運行在各種操作系統(tǒng)平臺和JDK版本上 相關(guān)參數(shù)具體取值自己考慮，不要超過（物理內(nèi)存-其他程序內(nèi)存）的80%即可。 3，沒有特殊理由，不要設(shè)置除上述五個參數(shù)之外的JVM參數(shù) 原因：1，無法保證各種操作系統(tǒng)平臺的可移植性 2，過度干涉JVM內(nèi)存管理會導致無法預料的后果,TOMCAT和JVM的配置,

13、非服務(wù)方式啟動的TOMCAT配置方法 修改 tomcat_home/bin/catalina.sh 添加以下內(nèi)容： JAVA_HOME=/export/home/jdk1.6.0_16 JAVA_OPTS=-server -Xms3000m -Xmx3000m -XX:PermSize=400m -XX:MaxPermSize=400m -Dcom.sun.management.jmxremote“ 修改 tomcat_home/bin/catalina.bat 添加以下內(nèi)容： set JAVA_HOME=C:Program FilesJavajdk1.6.0_16 set JAVA_OPTS

14、=-server -Xms300m -Xmx300m -XX:PermSize=100m -XX:MaxPermSize=100m -Dcom.sun.management.jmxremote 兩者區(qū)別： linux/unix系統(tǒng)使用.sh文件，不需要set，但有”“ Windows系統(tǒng)使用.bat文件，需要set，但不能有”“ 64位系統(tǒng)JVM內(nèi)存最高可以設(shè)置為3800MB左右 32位系統(tǒng)JVM內(nèi)存最高可以設(shè)置為1500MB左右,TOMCAT和JVM的配置,服務(wù)方式啟動的TOMCAT配置方法針對WINDOWS系統(tǒng) 在JAVA選項中，設(shè)置JAVA OPTIONS，添加以下三個參數(shù)，每行一個，不

15、能并列 -XX:PermSize=256m -XX:MaxPermSize=256m -Dcom.sun.management.jmxremote Initial memory pool 1000 Maximum menory pool 1000 不要設(shè)置thread stack size 該值依據(jù)操作系統(tǒng)會有很大不同,TOMCAT基于名稱的虛擬主機,使用場景：一個IP地址對應(yīng)多個項目并且使用相同的端口號 例如80端口 使用條件：有幾個項目就要有幾個域名并且域名與項目一一對應(yīng) 使用范圍：國內(nèi)IDC提供的虛擬主機都是基于名稱的虛擬主機技術(shù)共享IP地址 缺點：在使用虛擬主機的時候，僅能使用域名對項

16、目訪問不能使用IP訪問 優(yōu)點：可以節(jié)省公網(wǎng)IP地址資源，節(jié)約成本。 因為1個公網(wǎng)IP地址成本遠遠高于5個域名的成本,TOMCAT基于名稱的虛擬主機,設(shè)置方法： 1，通過修改server.xml文件設(shè)置tomcat_home/conf/server.xml的Engine下 每個host可以設(shè)置一個域名，并且可以綁定一些域名的別名 appBase指定的是項目的路徑，可以使用絕對路徑，也可以使用相對路徑，也可以隨意命名 可以設(shè)置非常多數(shù)量的域名用來指定到對應(yīng)的項目上去，來解決公網(wǎng)IP緊缺問題 2，通過http:/localhost:8080/host-manger/html訪問tomcat控制臺，通

17、過頁面進行設(shè)置,TOMCAT訪問控制,使用情形：項目僅對部分用戶開放，雖然有賬號登陸功能，但是結(jié)合IP地址會更加安全 要求：1，項目本身僅對部分用戶開放，而不是部分功能對用戶開放 2，針對用戶群最好有固定的IP地址段則會使策略更加有效 設(shè)置：在tomcat_home/conf/server.xml中的Host中添加下面內(nèi)容 該內(nèi)容的意思是禁止10.83.25.*,10.83.32.*兩個網(wǎng)段的用戶訪問該項目 僅讓10.83.2.*網(wǎng)段的用戶訪問該項目 具體使用過程中，可以單獨使用deny allow功能，不必兩者都使用,TOMCAT訪問日志記錄,使用情形：詳細記錄用戶訪問記錄對很多問題都有幫助

18、 益處： 1，提供項目日常訪問量，用戶數(shù)，來源等信息 2，分析問題時候快速定位問題用戶 設(shè)置：在tomcat_home/conf/server.xml中的Host中添加下面內(nèi)容 Pattern是設(shè)置日志格式的，可以使用pattern=“combined” 記錄詳細日志信息 resolveHosts是關(guān)于是否將IP轉(zhuǎn)化為主機名 一般不需要，會影響系統(tǒng)性能,TOMCAT訪問日志記錄,通過F5轉(zhuǎn)發(fā)請求后的日志處理： 1，需要在F5設(shè)備上在header中insert x-forwarded-for 2，需要在tomcat上修改日志記錄格式才可以記錄客戶端真實IP地址 3，代碼中獲取客戶端真實IP地址：

19、 可以獲取客戶端真實IP地址 無法獲取客戶端真實IP地址，僅能獲取代理服務(wù)器地址 無法獲取客戶端真實IP地址，僅能獲取代理服務(wù)器地址,TOMCAT訪問日志記錄,訪問日志的分析和挖掘還需要結(jié)合google analytics來進行。 類似google analytics的有piwik,yahoo 如果日志文件超過文本編輯器的打開尺寸，可以使用analog,weblog expert,awstats,w3perl來處理那種 體積的日志文件。 目前部門的解決方案： 1，tocmat/apache訪問日志記錄 作為黑客攻擊后分析的主要信息來源 2，webtrain臺灣總部日志記錄 作為臺灣總部規(guī)劃的參

20、考 3，google analytics日志記錄 作為用戶信息分析和挖掘的主要手段 4，yahoo日志記錄 作為日常流量的評估工具,TOMCAT狀態(tài)驗證,目的：在AP或者項目出現(xiàn)問題之后，可以使用該方法進行測試，幫助快速定位問題位置 URL:http:/x.x.x.x:x/dbtest/test.jsp （xxxx:x是服務(wù)器的IP和端口信息） 驗證內(nèi)容： 1，AP和數(shù)據(jù)庫連接是否正常 2，AP本身是否正常 3，AP運行基本信息 4，JNDI是否正確 。 注意事項：驗證內(nèi)容以能達到目的而提供最少內(nèi)容為宜，如果驗證腳本太過復雜，會使該項的目的失去意義,TOMCAT設(shè)置SSL訪問,SSL訪問要求：

21、 1，證書 server.key 2，密鑰 password 設(shè)置方法：修改tomcat/conf/server.xml文件 將以下內(nèi)容替換原來8443的即可，不要確保路徑正確并存在證書 ,TOMCAT安全策略,現(xiàn)狀：任何AP都會有安全漏洞，基于目前部門的實際情形，無法完全避免。 目標：盡量減少安全漏洞的出現(xiàn)，增加黑客破解的成本。 安全策略： 1，設(shè)置超過16位長度的用戶名和密碼-提升暴力破解的成本 2，定期檢查訪問日志，周期性的抽查訪問日志 3，將manager，probe項目重命名為ecd-server,ecd-manager 4，設(shè)置訪問控制列表 6，使用apache作為前端代理服務(wù)器，

22、控制部分URL不轉(zhuǎn)發(fā)或者將URL重寫 例如，僅轉(zhuǎn)發(fā)項目特定的URL，其余全部不轉(zhuǎn)發(fā)，保證安全性。,TOMCAT的URL編碼格式,如果URL當中會有非英文字符，那么需要通過AP進行URL編碼格式的定義，否則URL中的非英文字符無法保證正確解析。 無特殊要求的情況下，需要將URL編碼設(shè)置為和項目統(tǒng)一的編碼格式。 部門目前統(tǒng)一使用UTF-8字符編碼方式 ,TOMCAT傳輸壓縮,通過啟用傳輸壓縮功能，可以減少server的網(wǎng)絡(luò)流量，節(jié)省帶寬 Tomcat默認沒有自動gzip壓縮，可以嘗試啟用tomcat的gzip壓縮。 部門建議： 使用apache處理前端請求，并且在apache端進行傳輸壓縮的設(shè)置。

23、減少AP的壓力 Tomcat進行傳輸壓縮的設(shè)置方法：修改server.xml 驗證：,TOMCAT集群和負載均衡,模式： 1，故障轉(zhuǎn)移 有兩臺tomcat A B，A負責接收請求響應(yīng)，B作為A的故障轉(zhuǎn)移服務(wù)器，不處理請求，僅在A宕機之后作為應(yīng)急響應(yīng)，才會處理請求。在A恢復之后，就又不接受請求了。 2，負載均衡 有兩臺tomcat A B，A B共同接受請求響應(yīng)，分攤流量，一臺宕機不會影響應(yīng)用的使用，并且對用戶透明 3，session復制 上述兩種集群，當服務(wù)器宕機故障轉(zhuǎn)移時，會影響宕機時的用戶，之后的用戶不會影響。,TOMCAT集群和負載均衡,最初架構(gòu)： TOMCAT當前端AP處理所有請求,T

24、OMCAT集群和負載均衡,第一次改進： Apache作為前端AP，提升穩(wěn)定性 Apache將動態(tài)內(nèi)容轉(zhuǎn)發(fā)給tomcat處理,TOMCAT集群和負載均衡,第二次該進： Tomcat做負載均衡接受apache請求 這樣可以避免tomcat宕機導致應(yīng)用不可用 因為apache宕機的概率遠遠小于tomcat 另外，維護操作可以不影響業(yè)務(wù)運行,TOMCAT集群和負載均衡,第三次該進： Tomcat進行session復制，從而保證 任何業(yè)務(wù)和用戶都不會因為停機而中斷,TOMCAT集群和負載均衡,第四次該進： 消除apache單點故障利用LVS 目前，我們使用的是F5硬件設(shè)備實現(xiàn) LVS的部分， 提升穩(wěn)定性

25、，降低復雜程度。,TOMCAT集群和負載均衡,實際請求流程,ECD部門AP(TOMCAT)部署規(guī)范,目的： 1，便于服務(wù)器管理和維護 2，便于服務(wù)器備份操作 3，便于應(yīng)急人員（非項目直接維護人員）快速熟悉系統(tǒng)環(huán)境 4，便于應(yīng)用服務(wù)器快速遷移（故障遷移時候非常重要） 5，防止在服務(wù)器上胡亂放置文件夾帶來的安全隱患（人為誤刪除） 注意： 1，本規(guī)范以TOMCAT為例，其余AP服務(wù)器以同樣方式處理即可，無需一一舉例 2，LINUX環(huán)境和SOLARIS環(huán)境的路徑唯一區(qū)別：絕對路徑少了/export開頭 SOLARIS /export/home/ecd LINUX /home/ecd 3，WINDOWS

26、在非系統(tǒng)盤根目錄建ECD文件夾，后續(xù)路徑相同 4，不接受C盤（windows系統(tǒng)）部署系統(tǒng) 5，不接受磁盤空間小于40GB磁盤分區(qū)部署系統(tǒng),ECD部門AP(TOMCAT)部署規(guī)范,SOLARIS環(huán)境 /export/home/ecd/ 部門AP服務(wù)器部署的根目錄 /export/home/ecd/tomcat 所有tomcat安裝目錄 /export/home/ecd/weblogic 所有weblogic安裝目錄 /export/home/ecd/jdk 所有jdk安裝目錄 /export/home/ecd/soft 所有soft存放目錄 /export/home/ecd/backup 所有備份文檔存放目錄 如果服