本教程向我们展示如何在CentOS 7上安装Tomcat 8.5.
Tomcat是Java Servlet，JavaServer Pages，Java Expression Language和Java WebSocket技术的开源实现。

准备工作

在开始本教程之前，请确保我们使用具有sudo特权的用户帐户或者root用户登录到服务器。
最佳实践是以sudo用户而不是root用户身份运行管理命令。
如果系统上没有sudo用户，请按照以下说明创建一个。

安装OpenJDK

Tomcat 8.5需要Java SE 7或者更高版本。
在本教程中，我们将安装OpenJDK 8，这是Java平台的开源实现，它是CentOS 7中的默认Java开发和运行时。

安装简单明了：

sudo yum install java-1.8.0-openjdk-devel

创建Tomcat系统用户

以root用户身份运行Tomcat存在安全风险，因此不建议这样做。
相反，我们将使用主目录“/opt/tomcat”创建一个新的系统用户和组，该用户和组将运行Tomcat服务：

sudo useradd -m -U -d /opt/tomcat -s /bin/false tomcat

下载Tomcat

我们将从Tomcat下载页面下载最新版本的Tomcat8.5.x。

在撰写本文时，最新版本为8.5.37.
在继续下一步之前，我们应该检查下载页面是否有任何新版本。

转到“/tmp”目录，然后使用wget下载zip文件：

cd /tmpwget http://www-us.apache.org/dist/tomcat/tomcat-8/v8.5.37/bin/apache-tomcat-8.5.37.zip

下载完成后，解压缩zip文件并将其移至“/opt/tomcat”目录：

unzip apache-tomcat-*.zipsudo mkdir -p /opt/tomcatsudo mv apache-tomcat-8.5.37 /opt/tomcat/

Tomcat 8.5经常更新。
为了更好地控制版本和更新，我们将创建一个符号链接“ latest”，该链接指向Tomcat安装目录：

sudo ln -s /opt/tomcat/apache-tomcat-8.5.37 /opt/tomcat/latest

我们先前设置的tomcat用户需要有权访问tomcat目录。
将目录所有权更改为用户和组tomcat：

sudo chown -R tomcat: /opt/tomcat

通过发出以下“ chmod”命令，使“ bin”目录中的脚本可执行：

sudo sh -c 'chmod +x /opt/tomcat/latest/bin/*.sh'

创建一个系统单位文件

要将Tomcat作为服务运行，请在“/etc/systemd/system /”目录中创建一个“ tomcat.service”单元文件，其中包含以下内容：

/etc/systemd/system/tomcat.service

[Unit]
Description=Tomcat 8.5 servlet container
After=network.target
[Service]
Type=forking
User=tomcat
Group=tomcat
Environment="JAVA_HOME=/usr/lib/jvm/jre"
Environment="JAVA_OPTS=-Djava.security.egd=file:///dev/urandom"
Environment="CATALINA_BASE=/opt/tomcat/latest"
Environment="CATALINA_HOME=/opt/tomcat/latest"
Environment="CATALINA_PID=/opt/tomcat/latest/temp/tomcat.pid"
Environment="CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC"
ExecStart=/opt/tomcat/latest/bin/startup.sh
ExecStop=/opt/tomcat/latest/bin/shutdown.sh
[Install]
WantedBy=multi-user.target

通知systemd我们创建了一个新的单元文件，并通过执行以下命令启动Tomcat服务：

sudo systemctl daemon-reloadsudo systemctl start tomcat

使用以下命令检查服务状态：

sudo systemctl status tomcat

tomcat.service - Tomcat 8.5 servlet container
   Loaded: loaded (/etc/systemd/system/tomcat.service; disabled; vendor preset: disabled)
   Active: active (running) since Sat 2016-03-31 16:30:48 UTC; 3s ago
  Process: 23826 ExecStart=/opt/tomcat/latest/bin/startup.sh (code=exited, status=0/SUCCESS)
 Main PID: 23833 (java)
   CGroup: /system.slice/tomcat.service
           └─23833 /usr/lib/jvm/jre/bin/java -Djava.util.logging.config.file=/opt/tomcat/latest/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.security.egd=fi...

如果没有错误，则可以启用Tomcat服务，使其在启动时自动启动：

sudo systemctl enable tomcat

调整防火墙

如果服务器受防火墙保护，并且我们想从本地网络的外部访问tomcat接口，请打开端口'8080'。

使用以下命令打开必要的端口：

sudo firewall-cmd --zone=public --permanent --add-port=8080/tcpsudo firewall-cmd --reload

在大多数情况下，在生产环境中运行Tomcat时，将使用负载平衡器或者反向代理。

允许仅访问内部网络端口“ 8080”的最佳实践。

配置Tomcat Web管理界面

至此，已经安装了Tomcat，我们可以使用Web浏览器在端口“ 8080”上对其进行访问，但是由于尚未创建用户，因此无法访问Web管理界面。

Tomcat用户及其角色在“ tomcat-users.xml”文件中定义。

如果打开文件，我们会注意到该文件中充满了注释和描述如何配置文件的示例。

sudo nano /opt/tomcat/latest/conf/tomcat-users.xml

要添加一个能够访问tomcat Web界面的新用户（manager-gui和admin-gui），我们需要在“ tomcat-users.xml”文件中定义该用户，如下所示。
确保将用户名和密码更改为更安全的名称：

/opt/tomcat/latest/conf/tomcat-users.xml

<tomcat-users>
<!-
    Comments
-->
   <role rolename="admin-gui"
   <role rolename="manager-gui"
   <user username="admin" password="admin_password" roles="admin-gui,manager-gui"
</tomcat-users>

默认情况下，Tomcat Web管理界面配置为仅允许从本地主机访问。
如果我们希望能够从远程IP或者不建议使用的任何地方访问Web界面，因为这样做存在安全隐患，则可以打开以下文件并进行以下更改。

如果我们需要从任何地方访问Web界面，请打开以下文件并注释或者删除以黄色突出显示的行：

/opt/tomcat/latest/webapps/manager/META-INF/context.xml

<Context antiResourceLocking="false" privileged="true" >
<!-
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" 
-->
</Context>

/opt/tomcat/latest/webapps/host-manager/META-INF/context.xml

<Context antiResourceLocking="false" privileged="true" >
<!-
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" 
-->
</Context>

如果我们只需要从特定IP访问Web界面，则无需注释这些块，而是将公共IP添加到列表中。
假设公共IP为“ 41.41.41.41”，而我们只想允许通过该IP进行访问：

/opt/tomcat/latest/webapps/manager/META-INF/context.xml

<Context antiResourceLocking="false" privileged="true" >
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|41.41.41.41" 
</Context>

/opt/tomcat/latest/webapps/host-manager/META-INF/context.xml

<Context antiResourceLocking="false" privileged="true" >
  <Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1|41.41.41.41" 
</Context>

允许的IP地址列表是用竖线“ |”分隔的列表。
我们可以添加单个IP地址或者使用正则表达式。

重新启动Tomcat服务以使更改生效：

sudo systemctl restart tomcat

测试安装

打开浏览器并输入：'http：//<域或者IP地址>：8080'

成功安装后，将显示类似于以下内容的屏幕：

Tomcat Web应用程序管理器仪表板位于'http：//<域或者IP地址>：8080/manager/html'。
从其中我们可以部署，取消部署，启动，停止和重新加载应用程序。

Tomcat虚拟主机管理器仪表板位于'http：//<域或者IP地址>：8080/host-manager/html'。
其中我们可以创建，删除和管理Tomcat虚拟主机。