Tomcat 生产 40 条军规:容量规划、调优、故障演练与安全加固
(一)容量规划 6 条
军规 1:线程池公式
maxThreads = ((并发峰值 × 平均 RT) / 1000) + 冗余 20 %;
踩坑:压测 2000 QPS、RT 200 ms,理论 maxThreads=500,线上却设 150 导致排队。
军规 2:Connector 选择
• CPU < 4 核且短连接 → BIO(已废弃)。
• 长连接、静态文件多 → NIO。
• TLS 高并发 → NIO + JSSE 或 APR + OpenSSL。
军规 3:内存预算
Heap = (并发请求数 × 平均对象大小 × 平均存活时间) / 2 + 峰值 Session 内存 + 50 % 安全垫。
军规 4:Session 总数上限
maxActiveSessions=10000,超出后触发 LRU 驱逐,防止 Map 膨胀。
军规 5:静态资源分离
Tomcat 只跑动态,静态用 Nginx + CDN,CPU 下降 40 %。
军规 6:容器启动时间
SpringBoot FatJar 内嵌 Tomcat 12 s;外置 Tomcat + war 25 s;通过 jlink 裁剪模块可降到 8 s。
(二)JVM 调优 7 条
军规 7:G1 优于 Parallel
-XX:+UseG1GC -XX:MaxGCPauseMillis=200,Full GC 次数从 5 次/天降到 0。
军规 8:Metaspace 初始值
-XX:MetaspaceSize=256m,防止启动期频繁 Full GC。
军规 9:关闭显式 GC
-XX:+DisableExplicitGC,防止 RMI 定时触发 System.gc()。
军规 10:JMX 安全
-Dcom.sun.management.jmxremote.authenticate=true -Dcom.sun.management.jmxremote.ssl=true。
军规 11:GC Log 轮转
-Xlog:gc*:file=/opt/logs/gc-%t.log:time,uptime:filecount=10,filesize=100M
军规 12:OOM 自动 dump
-XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/opt/dump
军规 13:容器感知
-XX:+UseContainerSupport -XX:MaxRAMPercentage=75.0
(三)线程与连接池 7 条
军规 14:acceptorThreadCount=2 只在多核且 TLS 握手重 CPU 场景生效。
军规 15:maxConnections 与 maxThreads 解耦
NIO 模式下 maxConnections=10000,maxThreads=200,防止 C10K 问题。
军规 16:禁用 BIO
protocol="org.apache.coyote.http11.Http11NioProtocol" 显式声明,避免老版本默认 BIO。
军规 17:Executor 共享
<Service name="Catalina">
军规 18:StuckThreadDetectionValve
threshold=600,报警线程栈。
军规 19:AsyncTimeout
NIO 模式下,异步 Servlet 默认 30 s 超时,可在 web.xml 覆盖。
军规 20:禁用 AJP
protocol="AJP/1.3" 如无反向代理,关闭端口 8009,防止 Ghostcat。
(四)日志与监控 6 条
军规 21:AccessLogValve 格式
%{X-Forwarded-For}i %l %u %t "%r" %s %b %D,%D 记录微秒级耗时。
军规 22:RollingFileAppender
maxDays=7,防止磁盘爆。
军规 23:Prometheus JMX Exporter
/opt/jmx_exporter/config.yml 暴露 tomcat_threadpool_currentThreadsBusy 等指标。
军规 24:Grafana Dashboard
线程、Session、GC、响应码 4 个维度,P95 响应时间告警阈值 1 s。
军规 25:慢查询定位
jstack 采样 + Arthas trace javax.servlet.http.HttpServlet service 定位 SQL。
军规 26:错误页面自定义
web.xml 配置 <error-page>
(五)安全加固 7 条
军规 27:删除默认应用
webapps/docs、examples、ROOT、manager 全干掉。
军规 28:关闭自动部署
<Host autoDeploy="false" deployOnStartup="false">
军规 29:隐藏版本号
Server=" " 或自定义字符串,防止扫描。
军规 30:启用 HTTPS
<Connector SSLEnabled="true" sslProtocol="TLS" ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256...">
军规 31:SameSite Cookie
<Context useHttpOnly="true" sameSiteCookies="strict">
军规 32:SecurityListener
<Listener className="org.apache.catalina.security.SecurityListener" checkedOsUsers="tomcat" />
军规 33:文件上传大小
<maxSwallowSize> 改为 10 MB,防止大文件占满磁盘。
(六)故障演练 7 条
军规 34:kill -3 模拟 Full GC 卡顿,验证 HPA 是否及时扩容。
军规 35:iptables -A INPUT -p tcp --dport 8080 -j DROP 模拟网络分区,哨兵探测到后是否切流。
军规 36:echo 3 > /proc/sys/vm/drop_caches 触发缓存失效,观察 RT 抖动。
军规 37:jmap -histo:live 查看 Session 对象是否泄漏。
军规 38:Arthas ognl 改 SystemProperty 做动态开关演练。
军规 39:磁盘写满 touch bigfile,验证 AccessLogValve 是否阻塞线程。
军规 40:Chaos Mesh 注入 Pod CPU 100 %,验证 readinessProbe 摘除流量。
(七)云原生与 CI/CD 7 条
军规 41:Dockerfile 用 distroless/java17-base,镜像 60 MB → 40 MB。
军规 42:非 root 运行
RUN addgroup -g 1000 tomcat && adduser -D -s /bin/sh -u 1000 -G tomcat tomcat。
军规 43:分层构建
依赖层 COPY pom.xml 单独缓存,代码变更后 5 s 构建完成。
军规 44:Helm Chart
values.yaml 暴露 replicaCount、resources、jvmOpts,支持多环境。
军规 45:优雅停机脚本
preStop: /bin/sh -c "sleep 15 && catalina.sh stop" 让正在处理的请求完成。
军规 46:HPA 双指标
cpuUtilization=60% + tomcat_threadpool_currentThreadsBusy>80% 并发。
军规 47:Keda 基于 Kafka 消息积压自动扩容 Tomcat Pod。
结语
40 条军规是 50 台 Tomcat、200 次故障、3 个 P1 事故后的复盘。请把这份清单贴在 wiki 首页,下次事故来临前,你已经把风险提前清零。