使用Debian搭建JSP服务器的注意事项

Debian 搭建 JSP 服务器的注意事项

一 基础环境选择与安装

• 选择与版本：优先选择 LTS 版本的 OpenJDK（如 11 或 17），兼顾生态兼容与安全性；如需特定版本，可用包管理器安装或 SDKMAN!/update-alternatives 管理多版本。
• 安装与验证：执行 sudo apt update && sudo apt install openjdk-11-jdk，随后用 java -version、javac -version 校验。
• 环境变量：设置 JAVA_HOME（如 /usr/lib/jvm/java-11-openjdk-amd64），并加入 PATH；可用 update-alternatives --config java 确认实际路径。
• Tomcat 获取：生产环境建议用发行版仓库安装（如 tomcat9/tomcat10）便于维护；如需特定版本或自定义目录，可手动解压安装并自行管理服务。

二 运行与权限安全

• 运行身份：创建专用系统用户（如 tomcat），禁止以 root 运行 Tomcat；为目录设置最小权限（如 logs、work、temp 归 tomcat）。
• 服务管理：使用 systemd 托管（推荐 Type=forking，配置 PID、ExecStart/ExecStop、Restart=always），确保异常自动拉起与开机自启。
• 文件权限：对 /opt/tomcat/conf 等敏感目录设置更严格的权限（如 750/755），仅允许必要主体访问。
• 访问控制：仅在需要时启用管理应用（manager/ host-manager），并在 tomcat-users.xml 中创建最小权限账户，避免使用默认或弱口令。

三 网络与反向代理及端口策略

• 端口与防火墙：默认 HTTP 端口 8080，必要时开放 8443（HTTPS）；如使用 UFW，放行对应端口（如 sudo ufw allow 8080/tcp）。
• 反向代理：对外暴露 80/443，用 Nginx/Apache HTTP Server 反向代理到 Tomcat，便于静态资源处理、压缩、缓存与统一鉴权。
• AJP 与 mod_jk：如需与 Apache 通过 AJP 连接，启用 libapache2-mod-jk，配置 workers.properties（如 worker1 使用 8009 端口），并在 Apache 中启用 jk 模块。
• 连接优化：在 server.xml 中合理设置 Connector 的 maxThreads、connectionTimeout 等参数，避免资源被长连接耗尽。

四 部署与日志排错

• 部署方式：将应用打包为 WAR 放入 webapps，或使用 Tomcat 管理应用部署；WAR 会自动解压部署。
• 应用路径：访问路径通常为 http://ip:8080/应用名；如使用 ROOT.war 则根路径直接访问。
• 日志与诊断：实时查看 catalina.out 与 localhost 日志（tail -f /var/log/tomcat9/catalina.out），结合线程、内存与 GC 日志定位问题。
• JVM 参数：在 CATALINA_OPTS/JAVA_OPTS 中设置堆大小（如 -Xms512M -Xmx1024M）、并行 GC、Headless 模式与熵源（如 -Djava.security.egd=file:/dev/./urandom）以提升稳定性与启动速度。

五 高可用与后续运维

• 集群与会话保持：在 server.xml 配置 SimpleTcpCluster 实现会话复制；前端用 Nginx 或 Apache 做负载均衡，配置 upstream 分发到多个 Tomcat 实例。
• 监控与告警：采集 JVM/Connector 指标，结合 Prometheus + Grafana 可视化；为关键指标设置阈值告警。
• 备份与恢复：定期备份 conf、webapps、证书 与数据库；制定回滚与演练计划，确保故障时可快速恢复。
• 自动化与合规：引入 CI/CD（如 Jenkins）实现自动构建、灰度与回滚；遵循最小权限、最小暴露面与及时打补丁的安全基线。