Ubuntu上Tomcat配置怎样优化

Ubuntu 上 Tomcat 配置优化清单

一 基线与环境准备

• 选择稳定版本与运行时：推荐 Tomcat 10.1.x（支持 Jakarta EE 9+）或 Tomcat 9.0.x（资源占用更低）；运行时优先 JDK 11/17（LTS）。
• 以非 root 用户运行：创建专用系统用户与目录，避免权限提升风险。
• 服务化管理：使用 systemd 托管 Tomcat，设置 Restart=always 提升可用性。
• 基础连通性：开放 8080/8443/22 等端口（如使用 ufw allow 8080/tcp），确认防火墙与云安全组策略。
• 版本校验与目录规划：下载 Apache 官方发行包并校验完整性，建议解压至 /opt/tomcat 或 /srv/tomcat 并软链便于升级。

二 Tomcat 连接器与线程池优化

• 使用 NIO/NIO2 连接器以获得更高并发与吞吐；必要时启用 HTTP/2（多路复用、头部压缩）。
• 线程池关键参数建议：
  • maxThreads：每核建议 50–100 线程，按 CPU 与 I/O 权衡设置，避免过高导致上下文切换激增。
  • minSpareThreads / maxSpareThreads：保持一定常驻线程，平滑突发流量。
  • acceptCount：当线程耗尽时的排队长度，配合业务峰值与超时策略设置。
  • 其他：启用 compression（如 text/html,application/json 等）、关闭 enableLookups、设置 URIEncoding=“UTF-8”。
• 示例（server.xml）：

  <Connector port="8080" protocol="HTTP/1.1"
             connectionTimeout="20000"
             redirectPort="8443"
             maxThreads="200"
             minSpareThreads="10"
             acceptCount="100"
             compression="on"
             compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain,application/json"
             enableLookups="false"
             URIEncoding="UTF-8"/>
  

  如需与 Nginx/Apache 联动，可按需启用 AJP/1.3 连接器。

三 JVM 与内存调优

• 堆与元空间：设置 -Xms/-Xmx 通常不超过物理内存的 70%，并尽量等值以减少扩容抖动；JDK 8 使用 -XX:PermSize/MaxPermSize，JDK 11+ 使用 -XX:MetaspaceSize/MaxMetaspaceSize。
• 垃圾回收器：长生命周期与中大堆建议 G1GC；短任务或高吞吐可评估 Parallel GC。
• GC 日志与诊断：开启 -XX:+PrintGCDetails -XX:+PrintGCDateStamps -Xloggc:/opt/tomcat/logs/gc.log，便于定位停顿与泄漏。
• 示例（setenv.sh）：

  export JAVA_OPTS="\
    -server \
    -Xms2g -Xmx2g \
    -XX:MetaspaceSize=256m -XX:MaxMetaspaceSize=512m \
    -XX:+UseG1GC \
    -XX:+PrintGCDetails -XX:+PrintGCDateStamps -Xloggc:/opt/tomcat/logs/gc.log"
  

• 启动缓慢与熵池：若观察到启动阻塞，可安装 rng-tools 增强熵源，或在 $JAVA_HOME/jre/lib/security/java.security 中将
  securerandom.source 调整为 /dev/./urandom（仅在充分评估安全性的前提下）。

四 操作系统与网络优化

• 文件描述符限制：提升进程可打开文件数，编辑 /etc/security/limits.conf

  * soft nofile 65535
  * hard nofile 65535
  

  使服务会话生效（重启或重新登录），并在 systemd 服务中设置 LimitNOFILE=65535。
• 内核网络参数（/etc/sysctl.conf 或 sysctl -w 临时生效）：

  net.core.somaxconn=4096
  net.ipv4.tcp_max_syn_backlog=4096
  net.ipv4.tcp_tw_reuse=1
  net.ipv4.tcp_fin_timeout=60
  net.ipv4.tcp_synack_retries=1
  net.ipv4.tcp_syn_retries=1
  net.core.rmem_max=12582912
  net.core.wmem_max=12582912
  net.ipv4.tcp_keepalive_time=1200
  

  执行 sysctl -p 使配置持久化。

五 监控验证与上线流程

• JMX 监控（可选）：在 setenv.sh 增加

  -Dcom.sun.management.jmxremote
  -Dcom.sun.management.jmxremote.port=9090
  -Dcom.sun.management.jmxremote.authenticate=false
  -Dcom.sun.management.jmxremote.ssl=false
  

  使用 JConsole/VisualVM 连接 9090 端口观察线程、堆、类加载与 MBean。
• 日志与指标：保留并分析 catalina.out、localhost_access_log、localhost.*.log；关注 HTTP 5xx/4xx、长尾响应与异常堆栈。
• 压测与容量评估：以真实流量或压测工具逐步提升并发，观察 线程池饱和、队列堆积、GC 停顿、P95/P99 延迟，据此回调 maxThreads/acceptCount/Xmx/GC 参数。
• 变更与回滚：遵循“小步变更—可观测—可回滚”，在灰度/预发环境充分验证后再上线生产。