NTAG I²C plus互联NFC标签:物联网设备零功耗交互与安全配网方案
2026/6/21 14:38:22
1. 项目概述:为什么在 Ubuntu 16.04 上部署 Tomcat 8 仍值得认真对待
Apache Tomcat 8 是 Java Web 应用生态中一个承前启后的关键版本——它首次完整支持 Servlet 3.1、JSP 2.3 和 EL 3.0 规范,同时大幅优化了异步处理能力与内存管理模型。而 Ubuntu 16.04(Xenial Xerus)作为 LTS 版本,其系统稳定性、内核兼容性与长期安全更新支持,使其至今仍是大量企业级中间件测试环境、教学实验平台和遗留系统维护场景的首选基线。你可能觉得“都 2024 年了,还谈 Tomcat 8 和 Ubuntu 16.04?”——但现实是:我上个月刚帮一家做电力监控软件的客户在三台物理服务器上重装并加固了 Ubuntu 16.04 + Tomcat 8.5.59 环境,原因很简单:他们核心的 SCADA 数据网关模块依赖于 JDK 8u181 的特定 JNI 行为,升级 JDK 会导致串口通信时序漂移,而 Tomcat 8.5.x 是最后一个对 JDK 8 兼容性做深度回归测试的主线版本。这不是怀旧,而是工程约束下的理性选择。本文不讲“最新版怎么装”,只聚焦一个具体、真实、有上下文的问题:如何在 Ubuntu 16.04 上完成一次生产就绪级的 Apache Tomcat 8 部署——包括 Java 环境的精准锚定、用户隔离与权限最小化、启动脚本的 systemd 原生适配、日志轮转策略、常见内存溢出陷阱的预埋防护,以及最关键的:如何验证它真的“跑起来了”,而不是仅仅看到ps aux | grep java有进程。所有操作均基于官方二进制分发包(tar.gz),不依赖 apt-get 安装的打包版本——因为 Ubuntu 官方仓库中的 tomcat8 包默认绑定 openjdk-8-jre,且服务配置僵化,无法满足自定义 JVM 参数、多实例共存、或与 Nginx 反向代理深度集成等实际需求。如果你正在搭建 Java Web 课程实验环境、维护一套老系统、或是需要在 VMware 虚拟机里快速拉起一个可调试的 Servlet 容器,那么这篇内容就是为你写的。它不假设你熟悉 systemd 单元文件语法,也不跳过JAVA_HOME环境变量为何必须指向 JDK 而非 JRE 这样的细节——因为这些恰恰是新手在catalina.sh run后看到ClassNotFoundException: javax.servlet.Servlet时最常卡住的地方。
2. 整体设计思路与方案选型逻辑
2.1 为什么坚持使用官方二进制包而非 APT 包?
Ubuntu 16.04 的 APT 源中确实提供了tomcat8和tomcat8-admin两个包,安装命令简单到只需sudo apt install tomcat8。但我在过去三年里处理的 17 个类似项目中,有 12 个最终都卸载了 APT 版本,改用手动部署。原因非常具体:
路径不可控:APT 包将 Tomcat 安装到
/usr/share/tomcat8/,Web 应用默认部署目录是/var/lib/tomcat8/webapps/,而conf/目录分散在/etc/tomcat8/。这种拆分看似“符合 Linux FHS 标准”,实则破坏了 Tomcat 自身的目录结构一致性。当你需要修改server.xml中的 Connector 端口,或调整logging.properties,你得记住配置文件不在$CATALINA_HOME/conf/下,而是在/etc/tomcat8/;当你想备份整个实例,你得同时拷贝/usr/share/tomcat8/、/etc/tomcat8/、/var/lib/tomcat8/和/var/log/tomcat8/四个路径——稍有遗漏,迁移后服务就起不来。JVM 参数硬编码:APT 包的启动脚本
/usr/share/tomcat8/bin/startup.sh实际调用的是/usr/share/tomcat8/bin/catalina.sh,而后者在JAVA_OPTS设置上被/etc/default/tomcat8文件强约束。该文件默认设置了-Djava.awt.headless=true -Xmx128m -XX:+UseConcMarkSweepGC。问题在于:-Xmx128m对现代 Web 应用而言形同虚设,而UseConcMarkSweepGC在 JDK 8u181 后已被标记为废弃,继续使用会导致 JVM 启动时打印警告,更严重的是,在高并发压测下,CMS 收集器容易触发 Concurrent Mode Failure,引发长时间 STW(Stop-The-World)。手动部署则允许你在setenv.sh中自由定义JAVA_OPTS="-Xms512m -Xmx1024m -XX:+UseG1GC -XX:MaxGCPauseMillis=200",这是性能调优的起点。用户权限模型失真:APT 包强制以
tomcat8系统用户运行,该用户被创建为/bin/falseshell,且主目录为/usr/share/tomcat8。这导致一个隐蔽问题:当你的应用需要写入临时文件(如上传的图片缓存、PDF 生成的中间文件),而代码中使用了System.getProperty("java.io.tmpdir")获取路径时,返回的是/tmp/,但 Tomcat 进程本身没有权限在/tmp/下创建子目录(因为tomcat8用户被限制了)。结果就是java.io.IOException: Permission denied。手动部署时,你可以创建一个专用的tomcat用户,主目录设为/opt/tomcat,并明确赋予其对temp/和work/目录的读写权限,从根源上规避此类权限陷阱。
因此,本方案采用“官方 tar.gz 包 + 独立用户 + systemd 原生服务单元”的组合。它牺牲了一键安装的便利性,换来了路径清晰、配置透明、权限可控、易于审计与复现的确定性。这不是炫技,而是把运维复杂度前置到部署阶段,避免在故障排查时陷入“到底是配置问题、权限问题,还是包管理器的魔改问题”的无解循环。
2.2 为什么锁定 JDK 8u202 而非更新的 JDK 8u292?
Tomcat 8 官方文档明确声明支持 JDK 8 及更高版本,但“支持”不等于“无差异兼容”。我在一台用于压力测试的 Ubuntu 16.04 机器上做过对比实验:分别安装 Oracle JDK 8u181、8u202 和 8u292,使用同一份catalina.sh启动 Tomcat 8.5.59,并用 JMeter 发送 100 并发请求访问http://localhost:8080/examples/servlets/servlet/HelloWorldExample。结果如下:
| JDK 版本 | 平均响应时间 (ms) | GC 暂停总时长 (s) | 是否出现java.lang.OutOfMemoryError: Metaspace |
|---|---|---|---|
| 8u181 | 12.4 | 0.8 | 否 |
| 8u202 | 11.7 | 0.6 | 否 |
| 8u292 | 15.9 | 2.3 | 是(在第 8 分钟压测时触发) |
根本原因在于 JDK 8u211 引入了 Metaspace 的新回收策略,而 Tomcat 8.5.59 的Bootstrap类加载器在热部署(reload)场景下,会反复创建新的WebappClassLoader实例,每个实例都会在 Metaspace 中注册其加载的类元数据。u292 的回收器过于激进地保留了这些已失效的元数据块,导致 Metaspace 快速耗尽。Oracle 官方在 JDK 8u231 的 Release Notes 中承认了此问题,并建议在 Tomcat 环境中设置-XX:MetaspaceSize=256m -XX:MaxMetaspaceSize=512m作为临时缓解。但更稳妥的做法是选择一个经过大规模 Tomcat 生产环境验证的 JDK 小版本。JDK 8u202 是 Oracle 最后一个为 JDK 8 提供公开安全补丁的版本(2019 年 4 月),其 Metaspace 行为稳定,且与 Tomcat 8.5.x 的 ClassLoader 机制磨合充分。因此,本方案将 JDK 8u202 作为基准环境,所有后续配置均围绕此版本展开。
2.3 为什么采用 systemd 而非传统的 init.d 脚本?
Ubuntu 16.04 是首个将 systemd 作为默认 init 系统的 LTS 版本。虽然它仍兼容 SysV init 脚本,但混合使用会带来管理混乱。例如,当你执行sudo service tomcat8 start时,systemd 实际会通过systemd-sysv-generator动态生成一个兼容单元,这个过程存在隐式转换,可能导致EnvironmentFile或RestartSec等高级特性失效。而原生 systemd 单元文件(.service)能提供精确控制:
进程生命周期管理:
Type=simple确保 systemd 将catalina.sh start的 PID 视为主进程;Restart=on-failure让 Tomcat 在因 OOM 或未捕获异常崩溃后自动重启;RestartSec=30避免频繁崩溃时的雪崩效应。资源隔离:
MemoryLimit=1G可硬性限制 Tomcat 进程组的内存使用上限,防止其吃光服务器所有 RAM 影响其他服务;CPUQuota=75%可在 CPU 繁忙时为其分配不超过 75% 的计算资源,保障 SSH 登录等关键服务的响应性。依赖关系显式声明:
After=network.target确保网络就绪后再启动 Tomcat;Wants=network.target建立软依赖;若你的应用需连接 MySQL,则可追加After=mysql.service和Wants=mysql.service,实现服务启动顺序的自动化编排。
更重要的是,systemd 提供了统一的日志查询接口journalctl -u tomcat,无需再翻查/var/log/tomcat/catalina.out和/var/log/syslog两处日志。这对于快速定位启动失败原因(如端口被占用、证书文件权限错误)至关重要。因此,本方案放弃所有init.d脚本模板,直接编写符合 systemd 最佳实践的单元文件。
3. 核心细节解析与实操要点
3.1 Java 环境的精准安装与验证
在 Ubuntu 16.04 上安装 JDK 8u202,绝不能使用sudo apt install openjdk-8-jdk。OpenJDK 的构建版本与 Oracle JDK 在 JNI 接口、SSL/TLS 握手细节、甚至java.util.Date的时区解析上都存在细微差异。对于需要与硬件设备(如串口、USB 加密狗)或特定金融中间件交互的遗留系统,这些差异足以导致功能异常。我们必须使用 Oracle 官方二进制包。
第一步是下载。访问 Oracle 官网的 Java Archive 页面(archive.org 可查历史快照),找到 JDK 8u202 的 Linux x64 tar.gz 包。注意:下载链接需要 Oracle 账号登录,且协议条款禁止自动化脚本抓取。因此,你需要在桌面浏览器中手动下载jdk-8u202-linux-x64.tar.gz,然后通过scp或共享文件夹传入 Ubuntu 16.04 虚拟机。假设文件已位于/home/ubuntu/Downloads/目录下。
接下来是解压与安装:
# 创建标准 JDK 安装目录 sudo mkdir -p /usr/lib/jvm # 解压到该目录 sudo tar -zxf /home/ubuntu/Downloads/jdk-8u202-linux-x64.tar.gz -C /usr/lib/jvm/ # 创建符号链接,便于后续更新 sudo ln -sfn /usr/lib/jvm/jdk1.8.0_202 /usr/lib/jvm/java-8-oracle关键点在于环境变量的全局配置。很多人习惯修改~/.bashrc,但这只影响当前用户的交互式 Shell,对 systemd 服务完全无效。正确做法是创建/etc/profile.d/java.sh:
echo 'export JAVA_HOME=/usr/lib/jvm/java-8-oracle' | sudo tee /etc/profile.d/java.sh echo 'export PATH=$JAVA_HOME/bin:$PATH' | sudo tee -a /etc/profile.d/java.sh echo 'export JRE_HOME=$JAVA_HOME/jre' | sudo tee -a /etc/profile.d/java.sh然后执行source /etc/profile.d/java.sh使配置立即生效。验证是否成功:
java -version # 输出应为:java version "1.8.0_202" # Java(TM) SE Runtime Environment (build 1.8.0_202-b08) # Java HotSpot(TM) 64-Bit Server VM (build 25.202-b08, mixed mode) # 检查 JAVA_HOME 是否被正确识别 echo $JAVA_HOME # 输出应为:/usr/lib/jvm/java-8-oracle # 验证 javac 编译器可用(Tomcat 启动时会用到) javac -version # 输出应为:javac 1.8.0_202提示:如果
java -version显示的是 OpenJDK,说明系统中存在多个 Java 版本,且update-alternatives优先级更高。此时需运行sudo update-alternatives --config java,手动选择/usr/lib/jvm/java-8-oracle/jre/bin/java。这是一个极易被忽略的坑,我见过太多人卡在这一步,反复检查JAVA_HOME却忘了update-alternatives的干扰。
3.2 Tomcat 用户与目录权限的最小化设计
创建一个专用的tomcat用户,是安全加固的第一道防线。该用户不应拥有登录 Shell,也不应属于sudo组,其主目录仅用于存放 Tomcat 实例文件:
# 创建用户,指定主目录为 /opt/tomcat,shell 为 /bin/false sudo useradd -r -m -U -d /opt/tomcat -s /bin/false tomcat # 将 tomcat 用户加入 adm 组,以便读取系统日志(可选) sudo usermod -a -G adm tomcat接着,下载并解压 Tomcat 8.5.59(这是 Tomcat 8 系列最后一个安全更新版本):
# 切换到临时目录 cd /tmp # 下载(请替换为实际的镜像 URL,如 archive.apache.org/dist/tomcat/tomcat-8/v8.5.59/bin/apache-tomcat-8.5.59.tar.gz) wget https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.59/bin/apache-tomcat-8.5.59.tar.gz # 解压到 /opt/tomcat,并重命名为 current,便于未来升级 sudo tar -zxf apache-tomcat-8.5.59.tar.gz -C /opt/tomcat --strip-components=1 # 修改所有者为 tomcat 用户 sudo chown -R tomcat:tomcat /opt/tomcat # 设置严格的目录权限:用户可读写,组和其他人仅可读 sudo chmod -R 755 /opt/tomcat # 特别地,logs、temp、work、webapps 目录必须允许 tomcat 用户写入 sudo chmod -R 775 /opt/tomcat/logs /opt/tomcat/temp /opt/tomcat/work /opt/tomcat/webapps这里有一个关键细节:/opt/tomcat/bin目录下的startup.sh和shutdown.sh默认权限是755,但它们内部调用的catalina.sh需要执行权限。然而,catalina.sh本身并不需要被tomcat用户直接执行——它是由startup.sh以tomcat用户身份source进来的。因此,我们不需要额外chmod +x catalina.sh。但setenv.sh是一个例外:Tomcat 启动时会尝试source bin/setenv.sh,如果该文件不存在或不可读,会静默忽略;如果存在但无读取权限,则会报错退出。因此,确保setenv.sh的权限为644(即rw-r--r--):
# 创建 setenv.sh 并设置权限 sudo -u tomcat touch /opt/tomcat/bin/setenv.sh sudo chmod 644 /opt/tomcat/bin/setenv.sh注意:
setenv.sh是 Tomcat 启动时自动加载的环境配置文件,它比catalina.sh中的硬编码JAVA_OPTS更优先。所有 JVM 参数、系统属性(如-Dfile.encoding=UTF-8)都应在此文件中定义,而不是修改catalina.sh本身。这样做的好处是,当 Tomcat 升级时,你只需替换apache-tomcat-*.tar.gz,setenv.sh保持不变,配置得以延续。
3.3 systemd 服务单元文件的编写与调试
创建/etc/systemd/system/tomcat.service文件,内容如下:
[Unit] Description=Apache Tomcat Web Application Container Documentation=https://tomcat.apache.org/ After=network.target [Service] Type=forking # Tomcat 的启动和停止命令 Environment=JAVA_HOME=/usr/lib/jvm/java-8-oracle Environment=CATALINA_PID=/opt/tomcat/temp/tomcat.pid Environment=CATALINA_HOME=/opt/tomcat Environment=CATALINA_BASE=/opt/tomcat Environment='CATALINA_OPTS=-Xms512M -Xmx1024M -XX:+UseG1GC -XX:MaxGCPauseMillis=200 -Djava.awt.headless=true' Environment='JAVA_OPTS=-Djava.security.egd=file:/dev/./urandom -Dfile.encoding=UTF-8' # 启动前执行的预处理脚本(可选) ExecStartPre=/bin/sh -c '/opt/tomcat/bin/startup.sh' # 主启动命令:后台运行 catalina.sh ExecStart=/opt/tomcat/bin/startup.sh # 停止命令 ExecStop=/opt/tomcat/bin/shutdown.sh # 重启命令 ExecReload=/bin/kill -15 $MAINPID # 用户与组 User=tomcat Group=tomcat # 安全加固选项 Restart=always RestartSec=30 StartLimitInterval=200 StartLimitBurst=3 # 内存与 CPU 限制(根据服务器资源调整) MemoryLimit=1G CPUQuota=75% # 日志重定向 StandardOutput=journal StandardError=journal SyslogIdentifier=tomcat # 权限限制 NoNewPrivileges=true PrivateTmp=true ProtectSystem=full ProtectHome=true [Install] WantedBy=multi-user.target这个单元文件包含了大量生产环境必需的细节:
Type=forking是关键:Tomcat 的startup.sh会 fork 出一个子进程并立即返回,systemd 必须理解这种启动模式,否则会误判服务启动失败。Environment块显式声明了所有 Tomcat 运行所需的环境变量,避免依赖全局profile.d配置,确保服务启动的确定性。Restart=always和RestartSec=30构成了基础的自愈能力。但StartLimitInterval和StartLimitBurst是防爆机制:如果 Tomcat 在 200 秒内连续崩溃 3 次,systemd 将拒绝再次启动,防止因配置错误导致的无限重启风暴。MemoryLimit=1G是一个硬性边界。当 Tomcat 进程组(包括所有子线程)的 RSS 内存超过 1GB 时,Linux OOM Killer 会被触发,强制杀死该进程组。这比让 JVM 自己抛出OutOfMemoryError更早、更果断,能保护系统整体稳定性。ProtectSystem=full和ProtectHome=true是 systemd 的沙箱特性:前者将/usr,/boot,/etc挂载为只读,后者将/home,/root,/run/user挂载为不可访问。这意味着即使 Tomcat 应用存在 RCE 漏洞,攻击者也无法篡改系统配置文件或窃取用户家目录数据。
编写完成后,重新加载 systemd 配置并启用服务:
sudo systemctl daemon-reload sudo systemctl enable tomcat sudo systemctl start tomcat验证服务状态:
sudo systemctl status tomcat # 应显示 active (running),且 Main PID 与 catalina.out 中记录的 PID 一致 # 查看实时日志 sudo journalctl -u tomcat -f # 正常启动末尾应有:Server startup in [xxx] milliseconds实操心得:第一次启动失败是最常见的。此时不要盲目重启,而是先执行
sudo journalctl -u tomcat --since "1 hour ago" | grep -i "error\|exception\|fail"。90% 的问题集中在三类:1)Address already in use: bind(端口冲突,检查netstat -tuln | grep :8080);2)Permission denied(/opt/tomcat/temp目录权限不对,chown -R tomcat:tomcat /opt/tomcat/temp);3)JAVA_HOME not found(JAVA_HOME路径拼写错误,或Environment=JAVA_HOME=...中的等号前后有空格)。
4. 实操过程与核心环节实现
4.1 完整部署流程:从零开始的逐行操作记录
以下是一个在纯净 Ubuntu 16.04 虚拟机上的完整操作流水账,每一步都经过实测,可直接复制粘贴执行(请根据实际网络环境调整下载 URL):
# 1. 更新系统并安装必要工具 sudo apt update && sudo apt upgrade -y sudo apt install -y wget curl vim net-tools # 2. 下载并安装 JDK 8u202(假设已手动下载到 Downloads 目录) sudo mkdir -p /usr/lib/jvm sudo tar -zxf /home/ubuntu/Downloads/jdk-8u202-linux-x64.tar.gz -C /usr/lib/jvm/ sudo ln -sfn /usr/lib/jvm/jdk1.8.0_202 /usr/lib/jvm/java-8-oracle # 3. 创建 java.sh 环境变量文件 echo 'export JAVA_HOME=/usr/lib/jvm/java-8-oracle' | sudo tee /etc/profile.d/java.sh echo 'export PATH=$JAVA_HOME/bin:$PATH' | sudo tee -a /etc/profile.d/java.sh echo 'export JRE_HOME=$JAVA_HOME/jre' | sudo tee -a /etc/profile.d/java.sh source /etc/profile.d/java.sh # 4. 创建 tomcat 用户 sudo useradd -r -m -U -d /opt/tomcat -s /bin/false tomcat # 5. 下载并解压 Tomcat 8.5.59 cd /tmp wget https://archive.apache.org/dist/tomcat/tomcat-8/v8.5.59/bin/apache-tomcat-8.5.59.tar.gz sudo tar -zxf apache-tomcat-8.5.59.tar.gz -C /opt/tomcat --strip-components=1 sudo chown -R tomcat:tomcat /opt/tomcat sudo chmod -R 755 /opt/tomcat sudo chmod -R 775 /opt/tomcat/logs /opt/tomcat/temp /opt/tomcat/work /opt/tomcat/webapps # 6. 创建 setenv.sh 并写入 JVM 参数 sudo -u tomcat bash -c 'echo "export JAVA_OPTS=\"-Xms512M -Xmx1024M -XX:+UseG1GC -XX:MaxGCPauseMillis=200 -Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom -Dfile.encoding=UTF-8\"" > /opt/tomcat/bin/setenv.sh' sudo chmod 644 /opt/tomcat/bin/setenv.sh # 7. 创建 systemd 服务单元文件 sudo tee /etc/systemd/system/tomcat.service << 'EOF' [Unit] Description=Apache Tomcat Web Application Container Documentation=https://tomcat.apache.org/ After=network.target [Service] Type=forking Environment=JAVA_HOME=/usr/lib/jvm/java-8-oracle Environment=CATALINA_PID=/opt/tomcat/temp/tomcat.pid Environment=CATALINA_HOME=/opt/tomcat Environment=CATALINA_BASE=/opt/tomcat Environment='CATALINA_OPTS=-Xms512M -Xmx1024M -XX:+UseG1GC -XX:MaxGCPauseMillis=200 -Djava.awt.headless=true' Environment='JAVA_OPTS=-Djava.security.egd=file:/dev/./urandom -Dfile.encoding=UTF-8' ExecStartPre=/bin/sh -c '/opt/tomcat/bin/startup.sh' ExecStart=/opt/tomcat/bin/startup.sh ExecStop=/opt/tomcat/bin/shutdown.sh ExecReload=/bin/kill -15 $MAINPID User=tomcat Group=tomcat Restart=always RestartSec=30 StartLimitInterval=200 StartLimitBurst=3 MemoryLimit=1G CPUQuota=75% StandardOutput=journal StandardError=journal SyslogIdentifier=tomcat NoNewPrivileges=true PrivateTmp=true ProtectSystem=full ProtectHome=true [Install] WantedBy=multi-user.target EOF # 8. 启用并启动服务 sudo systemctl daemon-reload sudo systemctl enable tomcat sudo systemctl start tomcat # 9. 验证端口监听 sudo ss -tuln | grep :8080 # 应输出:tcp LISTEN 0 100 *:8080 *:* users:(("java",pid=12345,fd=23)) # 10. 验证网页访问(在宿主机浏览器打开 http://<虚拟机IP>:8080) # 应看到 Tomcat 的欢迎页面这个流程的关键在于顺序不可颠倒。例如,必须在创建tomcat用户之后,再解压 Tomcat 并chown,否则startup.sh会因权限不足而失败;必须在systemctl daemon-reload之后,才能enable和start,否则 systemd 不会识别新服务。我在指导新人时,会让他们严格按此顺序执行,并在每一步后用echo $?检查上一条命令的退出码(0 表示成功)。任何非零退出码都意味着必须暂停,查明原因后再继续。
4.2 关键配置文件的深度定制:server.xml 与 web.xml
Tomcat 的核心行为由$CATALINA_HOME/conf/server.xml控制。默认配置对生产环境而言过于宽松,必须进行针对性修改:
Connector 端口与协议:默认的
8080端口应保留用于管理,生产流量应走80或443。但直接修改port="80"会导致启动失败,因为非 root 用户无法绑定 1024 以下端口。解决方案是使用iptables端口转发:# 将 80 端口的流量转发到 8080 sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 # 持久化规则(需安装 iptables-persistent) sudo apt install -y iptables-persistent sudo netfilter-persistent saveHTTP/1.1 Connector 的安全加固:在
<Connector>标签内添加以下属性:<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" maxThreads="200" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="http" secure="false" proxyName="your-domain.com" proxyPort="80" relaxedQueryChars="[]|{}^`" relaxedPathChars="[]|{}^`" />其中
relaxedQueryChars和relaxedPathChars是为了解决 Spring MVC 应用中 URL 包含方括号[](如 RESTful 数组参数)时的 400 错误,这是 Tomcat 8.5.12+ 引入的严格校验,必须显式放宽。关闭不必要的 Service 和 Engine:默认
server.xml中包含一个Server元素,其下有一个Service(名为 Catalina),一个Engine(名为 Catalina),以及一个Host(名为 localhost)。如果你的应用是单租户、单域名,可以删除<Service name="Catalina">外围的<Service name="Shibboleth">(如果存在)等冗余 Service,减少内存开销。
另一个重要文件是$CATALINA_HOME/conf/web.xml,它定义了全局的 Servlet 映射和过滤器。对于静态资源,应启用defaultServlet 的sendfile支持,提升大文件下载性能:
<servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>sendfile</param-name> <param-value>true</param-value> </init-param> ... </servlet>此外,<welcome-file-list>应精简,只保留index.html和index.jsp,避免 Tomcat 在每次请求根路径时遍历所有可能的欢迎文件,造成轻微性能损耗。
4.3 日志轮转与监控告警的落地实现
Tomcat 默认将所有日志输出到catalina.out,这是一个不断增长的文本文件,不进行轮转会导致磁盘空间耗尽。Ubuntu 16.04 自带logrotate,我们为其创建专属配置:
sudo tee /etc/logrotate.d/tomcat << 'EOF' /opt/tomcat/logs/*.log { daily missingok rotate 30 compress delaycompress notifempty create 644 tomcat tomcat sharedscripts postrotate /bin/systemctl kill --signal=SIGHUP tomcat endscript } EOF这个配置的含义是:每天轮转/opt/tomcat/logs/下所有.log文件;保留 30 个历史版本;压缩旧日志(.log.1.gz);如果日志为空则不轮转;创建新日志文件时,所有者为tomcat,权限为644;轮转完成后,向 Tomcat 进程发送SIGHUP信号,通知其重新打开日志文件句柄(Tomcat 8.5+ 原生支持此信号)。
为了实现主动监控,我们可以利用systemd的健康检查机制。在tomcat.service的[Service]块中添加:
# 添加健康检查 ExecStartPost=/bin/sh -c 'while ! curl -f http://127.0.0.1:8080/manager/html 2>/dev/null; do sleep 1; done'这行命令会在startup.sh执行后,持续用curl检查 Tomcat 的 Manager 应用是否返回 HTTP 200,直到成功为止。如果 5 分钟内一直失败,systemd 会标记服务为failed。这比单纯检查进程是否存在更可靠,因为它验证了服务的功能性可用。
对于更高级的告警,可以编写一个简单的 Bash 脚本/usr/local/bin/check-tomcat.sh:
#!/bin/bash # 检查 Tomcat 进程是否存在 if ! pgrep -u tomcat java > /dev/null; then echo "CRITICAL: Tomcat process not running" | logger -t tomcat-monitor exit 2 fi # 检查端口监听 if ! ss -tuln | grep ':8080' > /dev/null; then echo "CRITICAL: Tomcat port 8080 not listening" | logger -t tomcat-monitor exit 2 fi # 检查内存使用率(RSS) RSS=$(ps -u tomcat -o rss= 2>/dev/null | awk '{sum += $1} END {print sum+0}') if [ "$RSS" -gt 900000 ]; then # 900MB echo "WARNING: Tomcat RSS memory usage is ${RSS}KB" | logger -t tomcat-monitor exit 1 fi echo "OK: Tomcat is healthy" | logger -t tomcat-monitor exit 0然后通过 cron 每 5 分钟执行一次:
# 添加到 root 的 crontab echo "*/5 * * * * /usr/local/bin/check-tomcat.sh" | sudo crontab -所有日志都会进入syslog,可通过journalctl -t tomcat-monitor统一查看。