CentOS Tomcat更新与升级注意事项

CentOS 上 Tomcat 更新与升级注意事项

一 版本与兼容性

• 明确升级路径：同系列的小版本升级（如 8.5.x → 8.5.y）与大版本跨系列（如 8.5 → 9.0、或跨主版本如 7 → 8/9）策略不同，前者风险更低、可滚动替换部分目录；后者需更全面的回归测试与配置迁移。
• Java 与 Tomcat 匹配：Tomcat 9.x 需 Java 8+；Tomcat 8.x 需 Java 7+；新部署建议优先 Java 11（OpenJDK 11） 以兼顾安全与性能。
• Connector 协议差异：从 Tomcat 8 升到 Tomcat 9 时，HTTP Connector 的 protocol 建议由 org.apache.coyote.http11.Http11Protocol 调整为 org.apache.coyote.http11.Http11NioProtocol，避免启动或性能异常。
• 功能与行为变化：如从 Tomcat 7 → 8，对 JSR-356（WebSocket） 的支持更完整，但不同小版本间仍存在实现差异，升级需关注应用是否使用相关特性。

二 备份与回退

• 备份范围要全：至少覆盖 conf/、webapps/、logs/、temp/、work/，如使用包管理或系统服务安装的实例，还应备份 /var/lib/tomcat 或 /usr/share/tomcat 等实例目录；建议连同当前 JDK 版本信息一并记录。
• 停服再备份：执行备份前先 systemctl stop tomcat，避免文件变更导致不一致。
• 多种方式可选：使用 tar 打包归档、使用 rsync 增量同步、或脚本化定期备份；归档命名建议含时间戳，便于追溯。
• 快速回退预案：保留旧版本目录（如重命名 /opt/tomcat → /opt/tomcat.bak），升级异常时停止新版本、恢复原目录并恢复 systemd 服务配置即可。

三 升级路径与操作步骤

• 小版本就地升级（同系列，如 8.5.x → 8.5.y）：
  1. 停服；2) 备份；3) 仅替换 lib/ 目录（必要时再替换 bin/）；4) 启动并回归测试。此法风险较低，但务必先验证应用兼容性。
• 大版本升级（跨系列，如 8.5 → 9.0）：
  1. 停服与全量备份；2) 下载并校验新版本（建议校验 SHA-512）；3) 解压到新目录（如 /opt/tomcat-9）；4) 迁移配置与数据：优先复用 conf/ 与 webapps/，必要时参考旧版 server.xml 逐项比对差异；5) 调整 systemd 服务文件中的 JAVA_HOME、CATALINA_HOME、CATALINA_BASE、ExecStart/ExecStop、PID 等；6) 如启用 HTTPS/SSL，按新版本要求调整 Connector（如 protocol 改为 Http11NioProtocol）；7) 启动并逐项回归。
• 目录与包管理差异：若使用 RPM/YUM 安装（常见于 /usr/share/tomcat 或 /var/lib/tomcat），优先用包管理器升级并在升级后校验 server.xml 与 webapps 是否保留；若使用 tar 解压（常见于 /opt/tomcat），按上文大版本流程执行。

四 配置与目录迁移要点

• 只迁移必要变更：优先复用已有的 conf/（如 server.xml、web.xml、context.xml、tomcat-users.xml）与 webapps/；新版本自带的 docs、examples 建议删除，减少攻击面。
• 避免配置漂移：对比新旧 server.xml 的 端口（8080/8005/8009）、SSL/TLS、Connector 协议、线程与超时、Valve/Realm 等关键配置，必要时在新环境中重新声明而非简单覆盖。
• JVM 与内存：通过 setenv.sh / CATALINA_OPTS 设置堆与元空间（如 -Xms/-Xmx/-XX:MetaspaceSize/-XX:MaxMetaspaceSize），避免用过大的堆挤占系统资源。
• 文件权限与运行用户：确保 CATALINA_HOME/CATALINA_BASE 归属 tomcat 用户与组，权限 755/750 合理分配，防止启动失败或信息泄露。
• 日志与轮转：保留历史 logs/，并通过 logrotate 对 catalina.out 做按日轮转与保留策略，便于审计与排错。

五 回退与验证清单

• 快速回退触发条件：启动失败、关键业务报错、性能显著退化、SSL/Connector 不可用等。
• 回退步骤：1) systemctl stop tomcat；2) 恢复原目录（如 mv /opt/tomcat /opt/tomcat.bak && mv /opt/tomcat-9 /opt/tomcat 或反向）；3) 恢复 systemd 服务文件与权限；4) 启动并验证。
• 上线前验证：
  • 访问 http://localhost:8080 与已发布应用健康检查接口；
  • 回归核心链路（登录、下单、支付、文件上传/下载等）；
  • 检查 logs/catalina.out、localhost.log* 是否有异常堆栈；
  • 核对 端口占用 与 防火墙/SELinux 策略是否生效；
  • 如启用 manager/ admin 管理界面，务必限制 IP 白名单 并使用强口令。