作为网络安全从业者，我经常被问到如何在VPS上部署Tomcat的问题。今天我就用最通俗易懂的方式，手把手教你如何在VPS上搭建一个安全、稳定的Tomcat服务环境。无论你是个人开发者还是企业运维人员，都能帮你避开那些新手常踩的"坑"。

一、VPS选购与基础环境准备

1.1 VPS选择要点

首先得有个靠谱的VPS（Virtual Private Server，虚拟专用服务器）。选VPS就像租房子，得看"地段"（机房位置）、"面积"（配置）和"物业"（服务商）。

关键指标：

- CPU核心数：至少2核，跑Tomcat才不卡

- 内存：最低2GB，4GB更稳妥

- 带宽：建议100Mbps起步

- 硬盘：SSD优先，至少20GB空间

推荐配置方案：

```

个人测试用：2核CPU/2GB内存/40GB SSD/100Mbps带宽

中小网站：4核CPU/4GB内存/80GB SSD/200Mbps带宽

1.2 操作系统选择

我强烈推荐使用CentOS 7/8或Ubuntu 20.04 LTS这类稳定版本。以CentOS为例：

```bash

查看系统版本

cat /etc/redhat-release

更新系统

yum update -y && yum upgrade -y

1.3 基础安全设置

在安装任何服务前，先做好安全防护：

1. 修改SSH端口（避免22端口被扫）

vim /etc/ssh/sshd_config

修改Port为其他值如2222

systemctl restart sshd

2. 配置防火墙

firewall-cmd --permanent --add-port=8080/tcp

Tomcat默认端口

firewall-cmd --permanent --add-port=2222/tcp

SSH新端口

firewall-cmd --reload

3. 创建专用用户（不要用root直接操作）

useradd tomcat_user -s /sbin/nologin

passwd tomcat_user

二、JDK安装与环境配置

Tomcat是Java应用，必须先装JDK。这里推荐OpenJDK：

2.1 安装OpenJDK

yum install java-11-openjdk java-11-openjdk-devel -y

验证安装：

java -version

应该看到类似：

openjdk version "11.0.12" 2021-07-20 LTS

2.2 配置JAVA_HOME

找到JDK安装路径：

readlink -f $(which java)

通常返回：/usr/lib/jvm/java-11-openjdk-11.0.12.0.7-0.el7_9.x86_64/bin/java

export JAVA_HOME=/usr/lib/jvm/java-11-openjdk-11.0.12.0.7-0.el7_9.x86_64/

echo "export JAVA_HOME=$JAVA_HOME" >> /etc/profile

source /etc/profile

三、Tomcat安装与优化配置

3.1 Tomcat版本选择

推荐使用Tomcat 9稳定版：

wget https://downloads.apache.org/tomcat/tomcat-9/v9.0.54/bin/apache-tomcat-9.0.54.tar.gz

tar -xzf apache-tomcat-9.0.54.tar.gz -C /opt/

mv /opt/apache-tomcat-9.0.54 /opt/tomcat9

3.2 Tomcat目录结构解析

/opt/tomcat9/

├── bin

启动脚本目录 ★重要★

├── conf

配置文件目录 ★重要★

├── lib

jar包存放处

├── logs

日志文件 ★重要★

├── temp

临时文件

├── webapps

Web应用存放处 ★重要★

└── work

JSP编译后文件

3.3 Tomcat基础配置调整

1.server.xml优化（连接器部分）：

```xml

connectionTimeout="20000"

maxThreads="500"

minSpareThreads="50"

acceptCount="100"

enableLookups="false"

compression="on"

compressionMinSize="2048"

compressableMimeType="text/html,text/xml,text/css,application/javascript"/>

参数说明：

- `maxThreads`：最大并发线程数（根据VPS性能调整）

- `acceptCount`：等待队列长度（超过则拒绝连接）

- `enableLookups`：关闭DNS查询提升性能

2.内存设置调整（bin/setenv.sh）：

echo 'export CATALINA_OPTS="-server -Xms512m -Xmx1024m -XX:MaxMetaspaceSize=256m"' > /opt/tomcat9/bin/setenv.sh

chmod +x /opt/tomcat9/bin/setenv.sh

3.4 Tomcat用户管理配置

编辑`conf/tomcat-users.xml`：

```xml

注意！生产环境建议删除manager应用或限制访问IP！

四、Tomcat安全加固指南

作为安全从业者，我必须强调这部分的重要性。很多被黑的Tomcat都是因为基础安全没做好。

4.1必须做的安全措施

1.删除示例应用

```bash

rm -rf /opt/tomcat9/webapps/examples

rm -rf /opt/tomcat9/webapps/docs

rm -rf /opt/tomcat9/webapps/host-manager

```

2.禁用AJP协议（除非你明确需要）

编辑`server.xml`注释掉：

3.日志文件保护

chmod -R g-w /opt/tomcat9/logs

chown -R tomct_user:tomct_user /opt/tomct9/logs/*

4.2 HTTPS证书配置

使用Let's Encrypt免费证书：

yum install certbot python-certbot-apache -y

certbot certonly --standalone -d yourdomain.com

mkdir /opt/tomct9/certs

cp /etc/letsencrypt/live/yourdomain.com/* /opt/tomct/certs

chmod -R 400 /opt/tomct/certs

修改`server.xml`添加SSL配置:

maxThreads="150" SSLEnabled="true">

certificateKeyFile="/opt/tomct/certs/privkey.pem"/>

五、性能调优实战技巧

经过我们团队的实际测试，以下调优方案可使Tomct性能提升30%以上。

5.JVM调优参数示例

对于4GB内存的VPS推荐配置:

export CATALINA_OPTS="-server \

-Xms2048m \

-Xmx2048m \

-XX:MetaspaceSize=256m \

-XX:MaxMetaspaceSize=512m \