Tomcat9.0官方手册中文版(三)：应用管理

1、Introduction

在许多生产环境中，具有部署新Web应用程序或取消部署现有Web应用程序的功能非常有用，而且无需关闭并重新启动整个容器。此外，即使您尚未在Tomcat服务器配置文件中声明应用为reloadable，也可以让现有应用程序重新加载。

为了支持这些功能，Tomcat包括一个Web应用程序（默认安装在上下文路径上）/manager）支持以下功能：

• 通过上传的WAR文件来部署新的Web应用程序。
• 在指定的上下文路径上部署新的Web应用程序。
• 列出当前部署的Web应用程序，以及这些Web应用程序当前处于活动状态的会话。
• 重新加载现有的Web应用程序，以反映/WEB-INF/classes 或 /WEB-INF/lib目录内容的变化.
• 列出OS和JVM属性值。
• 列出可用的全局JNDI资源，这些资源可以在<Context>元素节点下的<ResourceLink>节点中使用。
• 启动已停止的应用程序（从而使其再次可用）。
• 停止现有应用程序（以使其变得不可用），但不要取消部署它。
• 取消部署已部署的Web应用程序并删除其文档基目录（除非它是从文件系统部署的）。

默认的Tomcat安装包括Manager。添加Manager Web应用程序的实例Context到新主机安装manager.xml中的上下文配置文件$CATALINA_BASE/conf/[enginename]/[hostname]。这是一个例子：

<Context privileged="true" antiResourceLocking="false"

docBase="${catalina.home}/webapps/manager">

<Valve className="org.apache.catalina.valves.RemoteAddrValve"

allow="127/.0/.0/.1" />

</Context>

如果您将Tomcat配置为支持多个虚拟主机（网站），则需要为每个虚拟主机配置一个Manager。

有三种方法可以使用 Manager应用程序 .

• 作为具有用户界面的应用程序，您可以在浏览器中使用。这是一个示例：http://localhost:8080/manager/html .你可以把localhost替换成你的网站的URL
• 仅使用HTTP请求的最小版本，适用于系统管理员设置的脚本。命令作为请求URI的一部分给出，响应采用简单文本的形式，可以很容易地进行解析和处理。
• 一组方便的任务定义 Ant （1.4或更高版本）构建工具。

2、配置Manager Application Access

下面的描述使用变量名 $ CATALINA_BASE 来引用解析大多数相对路径的基目录。如果尚未通过设置 CATALINA_BASE 目录为多个实例配置 Tomcat ，则 $ CATALINA_BASE 将设置为 $ CATALINA_HOME 的值，即已安装 Tomcat 的目录。

使用默认设置的Tomcat是非常不安全的，这些设置允许Internet上的任何人在您的服务器上执行Manager应用程序。因此，Manager应用程序需要有manager角色的用户使用用户名和密码进行权限验证。此外，默认用户文件中没有用户名（$CATALINA_BASE/conf/tomcat-users.xml）分配给这些角色。因此，默认情况下完全禁用对Manager应用程序的访问。

您可以在Manager Web应用程序的web.xml文件中找到角色名称。可用的角色是：

• manager-gui - 访问HTML界面。
• manager-status - 仅访问“服务器状态”页面。
• manager-script - 访问本文档中描述的工具友好的纯文本界面，以及“服务器状态”页面。
• manager-jmx - 访问JMX代理接口和“服务器状态”页面。

HTML接口受到CSRF（跨站点请求伪造）攻击的保护，但文本和JMX接口无法受到保护。这意味着当使用Web浏览器访问Manager应用程序时，允许访问文本和JMX界面的用户必须小心谨慎。为了保持CSRF保护：

• 如果使用Web浏览器使用具有 manager-script 或 manager-jmx 角色其中任何一个的用户访问Manager应用程序（例如用于测试纯文本或JMX接口），之后必须关闭浏览器的所有窗口以终止会话。如果您不关闭浏览器并访问其他站点，您可能会成为CSRF攻击的受害者。
• 建议永远不要授予 manager-script 或 manager-jmx 角色给拥有 manager-gui角色 的用户.

注意，JMX代理接口实际上是Tomcat的低级根类管理接口。如果有人知道JMX的命令，那么他可以做很多事情。启用时应该谨慎配置 manager-jmx 角色.

要启用对Manager Web应用程序的访问，您必须创建新的用户并关联一个 manager-xxx 角色，或添加一个 manager-xxx角色给 某些现有的用户。由于本文档的大部分内容都描述了使用文本界面，因此本示例将使用角色名称 manager-script 。具体如何配置用户取决于哪个你使用哪种（ Realm ）实现方式:

• UserDatabaseRealm plus MemoryUserDatabase , or MemoryRealm — 该配置是tomcat的默认配置，在$CATALINA_BASE/conf/server.xml里配置. 该配置默认情况下读取$CATALINA_BASE/conf/tomcat-users.xml，该文件可以使用任何文本编辑器进行编辑。该文件包含XML节点<user>可以看成一个单独的用户，可能看起来像这样： <user username="craigmcc" password="secret" roles="standard,manager-script" />  它定义了此人用于登录的用户名和密码，以及与其关联的角色名称。你可以在roles属性添加 manager-script 角色（以逗号分隔）来为用户添加更多角色。
• DataSourceRealm or JDBCRealm - 您的用户和角色信息存储在通过JDBC访问的数据库中。添加 manager-script 根据环境的标准过程，为一个或多个现有用户创建角色，和/或创建一个或多个已分配此角色的新用户。
• JNDIRealm - 您的用户和角色信息存储在通过LDAP访问的目录服务器中。添加 manager-script 根据环境的标准过程，为一个或多个现有用户创建角色，和/或创建一个或多个已分配此角色的新用户。

第一次尝试操作Manager时，您将使用BASIC身份验证登录。您输入的用户名和密码无关紧要，只要该用户有 manager-script这个角色就可以 .

除了密码限制之外，还可以限制对Manager Web应用程序的访问IP地址或者通过添加一个主机RemoteAddrValve 或者 RemoteHostValve。以下是通过IP地址限制对localhost的访问的示例：

<Context privileged="true">

<Valve className="org.apache.catalina.valves.RemoteAddrValve"

allow="127/.0/.0/.1"/>

</Context>

3、HTML用户友好界面

Manager Web应用程序的用户友好HTML界面位于

http://{host}:{port}/manager/html

正如上面已经提到的，你需要拥有 manager-gui角色 。有一个单独的文档，提供有关此接口的帮助。看到：

• HTML Manager documentation

HTML接口受到CSRF（跨站点请求伪造）攻击的保护。每次访问HTML页面都会生成一个随机令牌，该令牌存储在您的会话中，并包含在页面上的所有链接中。如果您的下一个操作没有正确的令牌值，则该操作将被拒绝。如果令牌已过期，您可以从主页面重新开始。

4、支持的Manager命令

Manager应用程序可以使用的所有命令都在单个请求URI中指定，如下所示：

http://{host}:{port}/manager/text/{command}?{parameters}

{host} 和 {port}表示运行Tomcat的主机名和端口号，{command}表示您要执行的Manager命令，以及{parameters}表示特定于该命令的查询参数。在下面的插图中，根据您的安装自定义主机和端口。

这些命令通常由HTTP GET请求执行。/deploy命令可以使用HTTP PUT执行。

4.1、Common Parameters

大多数命令接受以下一个或多个查询参数：

• path - 您正在处理的Web应用程序的上下文路径（包括前导斜杠）。要选择ROOT Web应用程序，请指定“/”。 NOTE ：无法在Manager应用程序本身上执行管理命令。 NOTE ：如果未明确指定path参数，则将使用 Context naming 的config参数的规则，或者，如果config参数不存在，则为war的参数。
• version - 此Web应用程序的版本。如果在需要路径的任何地方使用并行部署，则必须指定除路径之外的版本，并且路径和版本的组合必须是唯一的，而不仅仅是路径。 NOTE ：如果未明确指定路径，则忽略version参数。
• war - Web应用程序归档（WAR）文件的URL，或包含Web应用程序的目录的路径名，或上下文配置“.xml”文件。您可以使用以下任何格式的网址：
• file:/absolute/path/to/a/directory .
• file:/absolute/path/to/a/webapp.war
• file:/absolute/path/to/a/context.xml
• directory
• webapp.war

每个命令都会返回一个响应text/plain格式（即没有HTML标记的纯ASCII），使人和程序都能轻松阅读。响应的第一行将从OK / FAIL开始，指示请求的命令是否成功。如果失败，第一行的其余部分将包含遇到的问题的描述。一些命令包括如下所述的附加信息行。

国际化说明- Manager应用程序在资源包中查找其消息字符串，因此可能已为您的平台翻译了字符串。以下示例显示了消息的英文版本。

4.2、远程部署新的应用程序存档（WAR）

http://localhost:8080/manager/text/deploy?path=/foo

使用HTTP PUT请求通过上面的URL进行部署war文件，这个请求会将war包安装到appBase对应的虚拟主机的目录，并启动。稍后可以通过/undeploy命令使该应用程序取消部署（并删除相应的WAR文件）。

该命令由HTTP PUT请求执行。

.WAR文件可以包括Tomcat特定的部署配置，方法是在/META-INF/context.xml文件中配置Context节点.

URL参数包括：

• update：设置为true时，将首先取消部署任何现有更新。默认值设置为false。
• tag：指定标记名称，这允许将部署的webapp与标记或标签相关联。如果取消部署Web应用程序，则可以在需要时仅使用标记重新部署它。
• config ：格式的上下文配置“.xml”文件的URL file:/absolute/path/to/a/context.xml 。这必须是Web应用程序上下文配置“.xml”文件的绝对路径，该文件包含Context配置元素。

NOTE- 这个命令与/undeploy命令逻辑相反 .

如果安装和启动成功，您将收到如下响应：

OK - Deployed application at context path /foo

否则，响应将以FAIL开始并包含一条错误消息。可能的问题原因包括：

• 应用程序已经存在于 path / foo 中 所有当前运行的Web应用程序的上下文路径必须是唯一的。因此，您必须使用此上下文路径取消部署现有Web应用程序，或为新应用程序选择其他上下文路径。将update参数设置值为true可以避免这个错误。在这种情况下，将在执行部署之前对现有应用程序执行取消部署。
• 遇到异常 尝试启动新的Web应用程序时遇到异常。检查Tomcat日志以获取详细信息。

5、从本地路径部署新应用程序

部署并启动新Web应用程序到指定path（任何其他Web应用程序不得使用它）。这个命令与/undeploy命令逻辑相反.

此命令由HTTP GET请求执行。可以使用许多不同的方法来使用deploy命令。

5.1、部署以前部署的Web应用程序

http://localhost:8080/manager/text/deploy?path=/footoo&tag=footag

这可以用于部署先前部署的Web应用程序，该应用程序已使用tag属性。请注意，Manager webapp的工作目录将包含以前部署的WAR;删除它会使部署失败。

5.2、按URL部署目录或WAR

部署位于Tomcat服务器上的Web应用程序目录或“.war”文件。如果不指定path，则路径和版本派生自目录名称或war文件名。该war参数指定一个URL（包括file:scheme）用于目录或Web应用程序归档（WAR）文件。

在此示例中，Web应用程序位于/path/to/foo目录中，在Tomcat服务器上部署为名为/footoo的Web应用程序.

http://localhost:8080/manager/text/deploy?path=/footoo&war=file:/path/to/foo

在此示例中/path/to/bar.war文件在Tomcat服务器上部署为名为/bar的Web应用程序。请注意，没有path参数，因此上下文路径默认用bar.war解压后的名称。

http://localhost:8080/manager/text/deploy?war=file:/path/to/bar.war

5.3、从主机appBase部署目录或war

部署位于Host appBase目录中的Web应用程序目录或“.war”文件。路径和可选版本派生自目录或war文件名。

在此示例中，Web应用程序位于名为foo的子目录中，在Tomcat服务器的Host appBase目录中部署为名为foo的Web应用程序。请注意，使用的上下文路径是Web应用程序目录的名称。

http://localhost:8080/manager/text/deploy?war=foo

在此示例中bar.war位于Tomcat服务器上的Host appBase目录中，将其部署为名为/bar的Web应用程序上下文.

http://localhost:8080/manager/text/deploy?war=bar.war

5.4、使用Context配置“.xml”文件进行部署

如果Host的 deploy标志设置为true，则可以使用Context配置“.xml”文件和可选的“.war”文件或Web应用程序目录来部署Web应用程序。上下文path使用上下文“.xml”配置文件部署Web应用程序时不使用。

Context配置“.xml”文件可以包含Web应用程序的有效XML，就像它在Tomcat中配置一样server.xml配置文件。这是一个例子：

<Context path="/foobar" docBase="/path/to/application/foobar">

</Context>

When the optional war参数设置为Web应用程序“.war”文件或目录的URL，它将覆盖在上下文配置“.xml”文件中配置的任何docBase。

以下是使用Context配置“.xml”文件部署应用程序的示例。

http://localhost:8080/manager/text/deploy?config=file:/path/context.xml

以下是使用Context配置“.xml”文件和位于服务器上的Web应用程序“.war”文件部署应用程序的示例。

http://localhost:8080/manager/text/deploy

?config=file:/path/context.xml&war=file:/path/bar.war

5.5、Deployment Notes

如果主机配置了unpackWARs = true并且您部署了war文件，则war将被解压缩到Host appBase目录中的目录中。

如果应用程序war或目录安装在Host appBase目录中，并且Host配置了autoDeploy = true，或者Context路径必须与没有“.war”扩展名的目录名或war文件名匹配。

为了在不受信任的用户可以管理Web应用程序时的安全性，可以将Host deployXML标志设置为false。这可以防止不受信任的用户使用配置XML文件部署Web应用程序，还可以防止他们部署位于其主机appBase之外的应用程序目录或“.war”文件。

5.6、Deploy Response

如果安装和启动成功，您将收到如下响应：

OK - Deployed application at context path /foo

否则，响应将从FAIL开始并包含一条错误消息。可能的问题原因包括：

• 应用程序已经存在于 path / foo 中 所有当前运行的Web应用程序的上下文路径必须是唯一的。因此，您必须使用此上下文路径取消部署现有Web应用程序，或为新应用程序选择其他上下文路径。设置update值为true避免这个错误。在这种情况下，将在执行部署之前对现有应用程序执行取消部署。
• 文档库不存在或不是可读目录。
• 遇到异常 尝试启动新的Web应用程序时遇到异常。检查Tomcat日志以获取详细信息。
• 指定了无效的应用程序 URL。 您指定的目录或Web应用程序的URL无效。此类网址必须以file:，WAR文件的URL必须以“.war”结尾。
• 指定了无效的上下文路径 上下文路径必须以斜杠字符开头。要引用ROOT Web应用程序，请使用“/”。
• 上下文路径必须与目录或 WAR 文件名匹配： 如果应用程序war或目录安装在Host appBase目录中，并且Host配置了autoDeploy = true，则Context路径必须与没有“.war”扩展名的目录名或war文件名匹配。
• 只能安装 Host Web 应用程序目录中的 Web 应用程序 如果Host deployXML标志设置为false，则尝试在Host appBase目录之外部署Web应用程序目录或“.war”文件时，将发生此错误。

5.7、列出当前部署的应用程序

http://localhost:8080/manager/text/list

列出上下文路径，当前状态（running or stopped），以及所有当前部署的Web应用程序的活动会话数。启动Tomcat后立即执行的典型响应可能如下所示：

OK - Listed applications for virtual host localhost

/webdav:running:0:webdav

/examples:running:0:examples

/manager:running:0:manager

/:running:0:ROOT

/test:running:0:test##2

/test:running:0:test##1

5.8、重新加载现有应用程序

http://localhost:8080/manager/text/reload?path=/examples

发信号通知现有应用程序关闭并重新加载。当Web应用程序上下文不可重新加载并且您已更新了/WEB-INF/classes目录中的类或属性文件时，或在/WEB-INF/lib文件夹添加或更新jar文件时 ，这个功能很有用.

如果此命令成功，您将看到如下响应：

OK - Reloaded application at context path /examples

否则，响应将从FAIL并包含一条错误消息。可能的问题原因包括：

• 遇到异常 尝试重新启动Web应用程序时遇到异常。检查Tomcat日志以获取详细信息。
• 指定了无效的上下文路径 上下文路径必须以斜杠字符开头。要引用ROOT Web应用程序，请使用“/”。
• path / foo 没有上下文 您指定的上下文路径上没有已部署的应用程序。
• 未指定上下文路径 The path参数是必需的。
• 在路径 / foo 上部署的 WAR 不支持重新加载 目前，应用程序重新加载（以获取类或更改web.xml直接从WAR文件部署Web应用程序时，不支持file）。它仅在从解压缩目录部署Web应用程序时才有效。如果您使用的是WAR文件，则应该undeploy and then deploy or deploy with the update再次参数应用程序来获取您的更改。

列出OS和JVM属性

http://localhost:8080/manager/text/serverinfo

列出有关Tomcat版本，操作系统和JVM属性的信息。

如果发生错误，响应将以响应开始FAIL并包含一条错误消息。可能的问题原因包括：

• 遇到异常 尝试枚举系统属性时遇到异常。检查Tomcat日志以获取详细信息。

列出可用的全局JNDI资源

http://localhost:8080/manager/text/resources[?type=xxxxx]

列出可在上下文配置文件的资源链接中使用的全局JNDI资源。如果你指定type请求参数，该值必须是您感兴趣的资源类型的完全限定Java类名称（例如，您将指定javax.sql.DataSource获取所有可用JDBC数据源的名称）。如果你没有指定type请求参数，将返回所有类型的资源。

取决于是否type请求参数是否指定，正常响应的第一行将是：

OK - Listed global resources of all types

or

OK - Listed global resources of type xxxxx

每个资源后跟一行。每行由冒号字符（“：”）分隔的字段组成，如下所示：

• 全球资源名称- 此全局JNDI资源的名称，将在其中使用global attribute of a <ResourceLink> element.
• 全球资源类型- 此全局JNDI资源的完全限定Java类名。

如果发生错误，响应将以响应开始FAIL并包含一条错误消息。可能的问题原因包括：

• 遇到异常 尝试枚举全局JNDI资源时遇到异常。检查Tomcat日志以获取详细信息。
• 没有可用的全局 JNDI 资源 您运行的Tomcat服务器已配置为没有全局JNDI资源。

Session Statistics

http://localhost:8080/manager/text/sessions?path=/examples

显示Web应用程序的默认会话超时，以及在实际超时时间的一分钟范围内的当前活动会话数。例如，重新启动Tomcat然后执行其中一个JSP示例/examples网络应用程序，你可能得到这样的东西：

OK - Session information for application at context path /examples

Default maximum session inactive interval 30 minutes

<1 minutes: 1 sessions

1 - <2 minutes: 1 sessions

Expire Sessions

http://localhost:8080/manager/text/expire?path=/examples&idle=num

显示会话统计信息（如上所示）/sessions命令）并使空闲时间超过的会话到期num分钟。要使所有会话到期，请使用&idle=0 .

OK - Session information for application at context path /examples

Default maximum session inactive interval 30 minutes

1 - <2 minutes: 1 sessions

3 - <4 minutes: 1 sessions

>0 minutes: 2 sessions were expired

Actually /sessions and /expire是同一命令的同义词。区别在于存在idle parameter.

启动现有应用程序

http://localhost:8080/manager/text/start?path=/examples

发出停止的应用程序信号以重新启动，并使其自身再次可用例如，如果应用程序所需的数据库暂时不可用，则停止和启动很有用。通常最好停止依赖此数据库的Web应用程序，而不是让用户不断遇到数据库异常。

如果此命令成功，您将看到如下响应：

OK - Started application at context path /examples

否则，响应将从FAIL并包含一条错误消息。可能的问题原因包括：

• 遇到异常 尝试启动Web应用程序时遇到异常。检查Tomcat日志以获取详细信息。
• 指定了无效的上下文路径 上下文路径必须以斜杠字符开头。要引用ROOT Web应用程序，请使用“/”。
• path / foo 没有上下文 您指定的上下文路径上没有已部署的应用程序。
• 未指定上下文路径 The path参数是必需的。

停止现有的应用程序

http://localhost:8080/manager/text/stop?path=/examples

发信号通知现有应用程序使其自身不可用，但将其部署。应用程序停止时进入的任何请求都将看到HTTP错误404，此应用程序将在列表应用程序命令中显示为“已停止”。

如果此命令成功，您将看到如下响应：

OK - Stopped application at context path /examples

否则，响应将从FAIL并包含一条错误消息。可能的问题原因包括：

• 遇到异常 尝试停止Web应用程序时遇到异常。检查Tomcat日志以获取详细信息。
• 指定了无效的上下文路径 上下文路径必须以斜杠字符开头。要引用ROOT Web应用程序，请使用“/”。
• path / foo 没有上下文 您指定的上下文路径上没有已部署的应用程序。
• 未指定上下文路径 The path参数是必需的。

取消部署现有应用程序

http://localhost:8080/manager/text/undeploy?path=/examples

WARNING- 此命令将删除其中存在的任何Web应用程序工件appBase此虚拟主机的目录（通常为“webapps”）。这将删除应用程序.WAR（如果存在），应用程序目录来自解压缩形式的部署或.WAR扩展以及来自的XML上下文定义$CATALINA_BASE/conf/[enginename]/[hostname]/目录。如果您只想让应用程序停止服务，您应该使用/stop command instead.

发信号通知现有应用程序正常关闭自身，并将其从Tomcat中删除（这也使得此上下文路径可供以后重用）。此外，如果文档根目录中存在，则将其删除appBase此虚拟主机的目录（通常为“webapps”）。这个命令与逻辑相反/deploy command.

如果此命令成功，您将看到如下响应：

OK - Undeployed application at context path /examples

否则，响应将从FAIL并包含一条错误消息。可能的问题原因包括：

• 遇到异常 尝试取消部署Web应用程序时遇到异常。检查Tomcat日志以获取详细信息。
• 指定了无效的上下文路径 上下文路径必须以斜杠字符开头。要引用ROOT Web应用程序，请使用“/”。
• 没有名为 / foo 的上下文 没有已指定名称的已部署应用程序。
• 未指定上下文路径 The path参数是必需的。

发现内存泄漏

http://localhost:8080/manager/text/findleaks[?statusLine=[true|false]]

查找泄漏诊断会触发完整的垃圾回收。它应该在生产系统中极其谨慎地使用。

查找泄漏诊断尝试识别在停止，重新加载或取消部署时导致内存泄漏的Web应用程序。应始终使用分析器确认结果。诊断使用StandardHost实现提供的其他功能。如果使用不扩展StandardHost的自定义主机，它将无法工作。

从Java代码中明确触发完整的垃圾收集被记录为不可靠。此外，根据所使用的JVM，还有禁用显式GC触发的选项，例如-XX:+DisableExplicitGC。如果要确保诊断程序成功运行完整的GC，则需要使用GC日志记录，JConsole或类似工具进行检查。

如果此命令成功，您将看到如下响应：

/leaking-webapp

如果您希望在响应中看到状态行，请包括statusLine请求中的查询参数，值为true.

已停止，重新加载或取消部署的Web应用程序的每个上下文路径，但先前运行的哪些类仍然加载到内存中，从而导致内存泄漏，将在新行上列出。如果应用程序已多次重新加载，则可能会多次列出。

如果命令不成功，响应将以响应开始FAIL并包含一条错误消息。

连接器SSL / TLS密码信息

http://localhost:8080/manager/text/sslConnectorCiphers

SSL Connector / Ciphers诊断列出了当前为每个连接器配置的SSL / TLS密码。对于NIO和NIO2，列出了各个密码套件的名称。对于APR，返回SSLCipherSuite的值。

响应将如下所示：

OK - Connector / SSL Cipher information

Connector[HTTP/1.1-8080]

SSL is not enabled for this connector

Connector[HTTP/1.1-8443]

TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDH_RSA_WITH_AES_128_CBC_SHA

TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA

...

连接器SSL / TLS证书链信息

http://localhost:8080/manager/text/sslConnectorCerts

SSL Connector / Certs诊断列出了当前为每个虚拟主机配置的证书链。

响应将如下所示：

OK - Connector / Certificate Chain information

Connector[HTTP/1.1-8080]

SSL is not enabled for this connector

Connector[HTTP/1.1-8443]-_default_-RSA

[

[

Version: V3

Subject: CN=localhost, OU=Apache Tomcat PMC, O=The Apache Software Foundation, L=Wakefield, ST=MA, C=US

Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11

...

连接器SSL / TLS可信证书信息

http://localhost:8080/manager/text/sslConnectorTrustedCerts

SSL Connector / Certs诊断列出了当前为每个虚拟主机配置的可信证书。

响应将如下所示：

OK - Connector / Trusted Certificate information

Connector[HTTP/1.1-8080]

SSL is not enabled for this connector

Connector[AJP/1.3-8009]

SSL is not enabled for this connector

Connector[HTTP/1.1-8443]-_default_

[

[

Version: V3

Subject: CN=Apache Tomcat Test CA, OU=Apache Tomcat PMC, O=The Apache Software Foundation, L=Wakefield, ST=MA, C=US

...

重新加载TLS配置

http://localhost:8080/manager/text/sslReload?tlsHostName=name

重新加载TLS配置文件（证书和密钥文件，这不会触发重新解析server.xml）。要为所有主机重新加载文件，请不要指定tlsHostName parameter.

OK - Reloaded TLS configuration for [_default_]

Thread Dump

http://localhost:8080/manager/text/threaddump

编写JVM线程转储。

响应将如下所示：

OK - JVM thread dump

2014-12-08 07:24:40.080

Full thread dump Java HotSpot(TM) Client VM (25.25-b02 mixed mode):

"http-nio-8080-exec-2" Id=26 cpu=46800300 ns usr=46800300 ns blocked 0 for -1 ms waited 0 for -1 ms

java.lang.Thread.State: RUNNABLE

locks java.util.concurrent.ThreadPoolExecutor$Worker@1738ad4

at sun.management.ThreadImpl.dumpThreads0(Native Method)

at sun.management.ThreadImpl.dumpAllThreads(ThreadImpl.java:446)

at org.apache.tomcat.util.Diagnostics.getThreadDump(Diagnostics.java:440)

at org.apache.tomcat.util.Diagnostics.getThreadDump(Diagnostics.java:409)

at org.apache.catalina.manager.ManagerServlet.threadDump(ManagerServlet.java:557)

at org.apache.catalina.manager.ManagerServlet.doGet(ManagerServlet.java:371)

at javax.servlet.http.HttpServlet.service(HttpServlet.java:618)

at javax.servlet.http.HttpServlet.service(HttpServlet.java:725)

...

VM Info

http://localhost:8080/manager/text/vminfo

编写有关Java虚拟机的一些诊断信息。

响应将如下所示：

OK - VM info

2014-12-08 07:27:32.578

Runtime information:

vmName: Java HotSpot(TM) Client VM

vmVersion: 25.25-b02

vmVendor: Oracle Corporation

specName: Java Virtual Machine Specification

specVersion: 1.8

specVendor: Oracle Corporation

managementSpecVersion: 1.2

name: ...

startTime: 1418012458849

uptime: 393855

isBootClassPathSupported: true

OS information:

...

Save Configuration

http://localhost:8080/manager/text/save

如果指定不带任何参数，则此命令将服务器的当前配置保存到server.xml。如果需要，现有文件将重命名为备份。

如果指定了path与已部署的Web应用程序的路径匹配的参数，然后该Web应用程序的配置将保存到中的适当命名的context.xml文件中xmlBase对于当前的主持人。

要使用该命令，必须存在StoreConfig MBean。通常使用。配置 StoreConfigLifecycleListener .

如果命令不成功，响应将以响应开始FAIL并包含一条错误消息。

Server Status

从以下链接中，您可以查看有关服务器的状态信息。任何一个 manager-xxx 角色允许访问此页面。

http://localhost:8080/manager/status

http://localhost:8080/manager/status/all

以HTML格式显示服务器状态信息。

http://localhost:8080/manager/status?XML=true

http://localhost:8080/manager/status/all?XML=true

以XML格式显示服务器状态信息。

首先，您拥有服务器和JVM版本号，JVM提供程序，操作系统名称和编号，后跟体系结构类型。

其次，有关于JVM的内存使用情况的信息。

然后，有关于Tomcat AJP和HTTP连接器的信息。两者都有相同的信息：

• 线程信息：最大线程数，最小和最大备用线程数，当前线程数和当前线程忙数。
• 请求信息：最大处理时间和处理时间，请求和错误计数，接收和发送的字节数。
• 显示阶段，时间，发送字节，字节接收，客户端，VHost和请求的表。表中列出了所有现有线程。以下是可能的线程阶段列表：

If you are using /status/all命令，将提供有关每个已部署的Web应用程序的其他信息。

使用JMX代理Servlet

什么是JMX代理Servlet

JMX代理Servlet是一个轻量级代理，用于获取和设置tomcat内部。 （或者通过MBean公开的任何类）它的用法不是非常用户友好，但UI对于集成命令行脚本以监视和更改tomcat的内部非常有用。您可以使用代理执行两项操作：获取信息和设置信息。为了让您真正了解JMX代理Servlet，您应该对JMX有一个大致的了解。如果您不知道JMX是什么，那么请准备好混淆。

JMX Query command

采取以下形式：

http://webserver/manager/jmxproxy/?qry=STUFF

Where STUFF是您希望执行的JMX查询。例如，以下是您可能希望运行的一些查询：

• qry=*%3Atype%3DRequestProcessor%2C* --> type=RequestProcessor它将找到可以处理请求并报告其状态的所有工作人员。
• qry=*%3Aj2eeType=Servlet%2c* --> j2eeType=Servlet返回所有加载的servlet。
• qry=Catalina%3Atype%3DEnvironment%2Cresourcetype%3DGlobal%2Cname%3DsimpleValue --> Catalina:type=Environment,resourcetype=Global,name=simpleValue它按给定名称查找特定MBean。

您需要对此进行试验以真正了解其功能。如果您提供否qry参数，然后将显示所有MBean。我们真的建议查看tomcat源代码并理解JMX规范，以便更好地理解您可能运行的所有查询。

JMX Get command

JXMProxyServlet还支持“get”命令，您可以使用该命令获取特定MBean属性的值。一般形式的get command is:

http://webserver/manager/jmxproxy/?get=BEANNAME&att=MYATTRIBUTE&key=MYKEY

您必须提供以下参数：

1. get：完整的bean名称
2. att：您要获取的属性
3. key:(可选）CompositeData MBean属性的键

如果一切顺利，那么它会说OK，否则将显示错误消息。例如，假设我们希望获取当前堆内存数据：

http://webserver/manager/jmxproxy/?get=java.lang:type=Memory&att=HeapMemoryUsage

或者，如果您只想要“使用”密钥：

http://webserver/manager/jmxproxy/

?get=java.lang:type=Memory&att=HeapMemoryUsage&key=used

JMX Set command

现在你可以查询一个MBean，它是时候去挖掘Tomcat的内部了！ set命令的一般形式是：

http://webserver/manager/jmxproxy/?set=BEANNAME&att=MYATTRIBUTE&val=NEWVALUE

所以你需要提供3个请求参数：

1. set：完整的bean名称
2. att：您要更改的属性
3. val: The new value

如果一切正常，那么它会说OK，否则将显示错误消息。例如，假设我们希望立即启动调试ErrorReportValve。以下将调试设置为10。

http://localhost:8080/manager/jmxproxy/

?set=Catalina%3Atype%3DValve%2Cname%3DErrorReportValve%2Chost%3Dlocalhost

&att=debug&val=10

我的结果是（YMMV）：

Result: ok

如果我传入一个错误的值，这就是我所看到的。这是我使用的URL，我尝试设置调试等于&#39;cow&#39;：

http://localhost:8080/manager/jmxproxy/

?set=Catalina%3Atype%3DValve%2Cname%3DErrorReportValve%2Chost%3Dlocalhost

&att=debug&val=cow

当我尝试时，我的结果是

Error: java.lang.NumberFormatException: For input string: "cow"

JMX Invoke command

The invokecommand允许在MBean上调用方法。该命令的一般形式是：

http://webserver/manager/jmxproxy/

?invoke=BEANNAME&op=METHODNAME&ps=COMMASEPARATEDPARAMETERS

例如，要打电话给findConnectors() method of the Service use:

http://localhost:8080/manager/jmxproxy/

?invoke=Catalina%3Atype%3DService&op=findConnectors&ps=

使用Ant执行Manager命令

除了通过HTTP请求执行Manager命令的能力之外，如上所述，Tomcat包含一组方便的任务定义 Ant （1.4或更高版本）构建工具。要使用这些命令，必须执行以下设置操作：

• 从中下载Ant的二进制分发版 https://ant.apache.org 。你必须使用版本 1.4 or later.
• 将Ant分发安装在方便的目录中（在这些说明的其余部分中称为ANT_HOME）。
• Add the $ANT_HOME/bin directory to your PATH环境变量。
• 在Tomcat用户数据库中至少配置一个用户名/密码组合，其中包含manager-script role.

要在Ant中使用自定义任务，必须首先使用<import>元件。所以，你的build.xml文件可能看起来像这样：

<project name="My Application" default="compile" basedir=".">

<!-- Configure the directory into which the web application is built -->

<property name="build"    value="${basedir}/build"/>

<!-- Configure the context path for this application -->

<property name="path"     value="/myapp"/>

<!-- Configure properties to access the Manager application -->

<property name="url"      value="http://localhost:8080/manager/text"/>

<property name="username" value="myusername"/>

<property name="password" value="mypassword"/>

<!-- Configure the path to the Tomcat installation -->

<property name="catalina.home" value="/usr/local/apache-tomcat"/>

<!-- Configure the custom Ant tasks for the Manager application -->

<import file="${catalina.home}/bin/catalina-tasks.xml"/>

<!-- Executable Targets -->

<target name="compile" description="Compile web application">

<!-- ... construct web application in ${build} subdirectory, and

generated a ${path}.war ... -->

</target>

<target name="deploy" description="Install web application"

depends="compile">

<deploy url="${url}" username="${username}" password="${password}"

path="${path}" war="file:${build}${path}.war"/>

</target>

<target name="reload" description="Reload web application"

depends="compile">

<reload  url="${url}" username="${username}" password="${password}"

path="${path}"/>

</target>

<target name="undeploy" description="Remove web application">

<undeploy url="${url}" username="${username}" password="${password}"

path="${path}"/>

</target>

</project>

注意：通过上面的导入定义资源任务将覆盖Ant 1.7中添加的资源数据类型。如果您希望使用资源数据类型，则需要使用Ant的命名空间支持进行修改catalina-tasks.xml将Tomcat任务分配给自己的命名空间。

现在，您可以执行类似命令ant deploy将应用程序部署到正在运行的Tomcat实例，或ant reload告诉Tomcat重新加载它。还要注意大多数有趣的值build.xmlfile被定义为可替换属性，因此您可以从命令行覆盖它们的值。例如，您可能会认为将真实管理员密码包含在您的帐户中会带来安全风险build.xml文件的源代码。要避免这种情况，请省略password属性，并从命令行指定它：

ant -Dpassword=secret deploy

任务输出捕获

Using Ant version 1.6.2 或者以后，Catalina任务提供了在属性或外部文件中捕获其输出的选项。它们直接支持以下子集<redirector> type attributes:

AttributeDescriptionRequiredoutput要写入输出的文件的名称。如果错误流也未重定向到文件或属性，则它将显示在此输出中。Noerror应重定向命令标准错误的文件。NologError当您希望在Ant的日志中看到错误输出并且您将输出重定向到文件/属性时，将使用此属性。错误输出将不包含在输出文件/属性中。如果你重定向错误 error or errorProperty 属性，这将没有任何效果。Noappend是否应附加或覆盖输出和错误文件。默认为false.Nocreateemptyfiles是否应该创建输出和错误文件，即使是空的。默认为true.Nooutputproperty应存储命令输出的属性的名称。除非将错误流重定向到单独的文件或流，否则此属性将包含错误输出。Noerrorproperty应存储命令标准错误的属性的名称。No

还可以指定一些其他属性：

AttributeDescriptionRequiredalwaysLog当您希望查看正在捕获的输出时，将使用此属性，该属性也显示在Ant的日志中。除非您正在捕获任务输出，否则不得使用它。默认为false. 此属性将直接受支持 <redirector> in Ant 1.6.3 Nofailonerror当您希望避免任何管理器命令处理错误终止ant执行时，将使用此属性。默认为true。它必须设置为false，如果要捕获错误输出，否则执行将在捕获任何内容之前终止。此属性仅作用于管理器命令执行，任何错误或缺少的命令属性仍将导致Ant执行终止。No

他们也支持嵌入式<redirector>您可以在其中指定其完整属性集的元素，但是input, inputstring and inputencoding即使被接受，也不会被使用，因为它们在这种情况下没有任何意义。参考 ant manual for details on <redirector>元素属性。

下面是一个示例构建文件摘录，显示了如何使用此输出重定向支持：

<target name="manager.deploy"

depends="context.status"

if="context.notInstalled">

<deploy url="${mgr.url}"

username="${mgr.username}"

password="${mgr.password}"

path="${mgr.context.path}"

config="${mgr.context.descriptor}"/>

</target>

<target name="manager.deploy.war"

depends="context.status"

if="context.deployable">

<deploy url="${mgr.url}"

username="${mgr.username}"

password="${mgr.password}"

update="${mgr.update}"

path="${mgr.context.path}"

war="${mgr.war.file}"/>

</target>

<target name="context.status">

<property name="running" value="${mgr.context.path}:running"/>

<property name="stopped" value="${mgr.context.path}:stopped"/>

<list url="${mgr.url}"

outputproperty="ctx.status"

username="${mgr.username}"

password="${mgr.password}">

</list>

<condition property="context.running">

<contains string="${ctx.status}" substring="${running}"/>

</condition>

<condition property="context.stopped">

<contains string="${ctx.status}" substring="${stopped}"/>

</condition>

<condition property="context.notInstalled">

<and>

<isfalse value="${context.running}"/>

<isfalse value="${context.stopped}"/>

</and>

</condition>

<condition property="context.deployable">

<or>

<istrue value="${context.notInstalled}"/>

<and>

<istrue value="${context.running}"/>

<istrue value="${mgr.update}"/>

</and>

<and>

<istrue value="${context.stopped}"/>

<istrue value="${mgr.update}"/>

</and>

</or>

</condition>

<condition property="context.undeployable">

<or>

<istrue value="${context.running}"/>

<istrue value="${context.stopped}"/>

</or>

</condition>

</target>

WARNING:即使它没有多大意义，并且总是一个坏主意，不止一次调用Catalina任务，严重设置Ant任务取决于链可能导致在同一个Ant运行中多次调用任务，即使不是打算。当您从该任务捕获输出时，应该谨慎行事，因为这可能会导致意外情况：

• 当在一个属性中捕获时，你会在其中找到来自的输出 first 调用，因为Ant属性是不可变的，一旦设置它们就无法更改，
• 在文件中捕获时，每次运行都会覆盖它，你只会在其中找到 last 呼叫输出，除非你使用append="true"属性，在这种情况下，您将看到附加到文件的每个任务调用的输出。