标签：tomcat

tomcat 配置日志切割如下

• jdk 版本 1.7
• tomcat8.5
• centos6.8 mini

Linux 下使用 cronolog工具来切分catalina.out

1、下载安装cronolog。

yum install -y cronolog

2、修改$tomcat/bin/catalina.sh文件。

如下：

446行左右，

#touch “$CATALINA_OUT” //注释掉
if [ “$1” = “-security” ; then
if [ $have_tty -eq 1 ]; then
echo “Using Security Manager”
fi
shift
eval “”$_RUNJAVA”” “”$LOGGING_CONFIG”” $LOGGING_MANAGER $JAVA_OPTS $CATALINA_OPTS 
-Djava.endorsed.dirs=””$JAVA_ENDORSED_DIRS”” -classpath “”$CLASSPATH”” 
-Djava.security.manager 
-Djava.security.policy==””$CATALINA_BASE/conf/catalina.policy”” 
-Dcatalina.base=””$CATALINA_BASE”” 
-Dcatalina.home=””$CATALINA_HOME”” 
-Djava.io.tmpdir=””$CATALINA_TMPDIR”” 
org.apache.catalina.startup.Bootstrap “$@” start 
>> “$CATALINA_OUT” 2>&1 “&” //删除此行
2>&1 |/usr/sbin/cronolog “$CATALINA_BASE”/logs/catalina-%Y-%m-%d.out & /添加此行

else
eval “”$_RUNJAVA”” “”$LOGGING_CONFIG”” $LOGGING_MANAGER $JAVA_OPTS $CATALINA_OPTS 
-Djava.endorsed.dirs=””$JAVA_ENDORSED_DIRS”” -classpath “”$CLASSPATH”” 
-Dcatalina.base=””$CATALINA_BASE”” 
-Dcatalina.home=””$CATALINA_HOME”” 
-Djava.io.tmpdir=””$CATALINA_TMPDIR”” 
org.apache.catalina.startup.Bootstrap “$@” start 
>> “$CATALINA_OUT” 2>&1 “&” /删除此行
2>&1 |/usr/sbin/cronolog “$CATALINA_BASE”/logs/catalina-%Y-%m-%d.out & //添加此行

【注意：】tomcat7之前的版本位置一样、但是配置有所不同

touch “$CATALINA_BASE”/logs/catalina.out //注释
>> “$CATALINA_BASE”/logs/catalina.out 2>&1 & //删除
2>&1 |/usr/sbin/cronolog “$CATALINA_BASE/logs/catalina-%Y-%m-%d.out” & //添加

3、保存 catalina.sh 文件，重启Tomcat即可。

一次笔者需要部署一个Tomcat环境，展示一些静态页面的内容。通过Tomcat的Web Application Manager添加了指向静态页面所在路径的Application，用浏览器查看页面，页面内容正常展现，非常顺利。

但在后续对静态页面进行修改更新后，通过浏览器再次查看，页面仍是旧的内容。笔者也怀疑是不是因为浏览器缓存引起这个问题，但清空浏览器、换用其他浏览器，都只能看到旧的页面内容。

那么就应该是服务端的问题了。笔者在服务端重启了Tomcat服务，在Tomcat的Web Application Manager中Stop/Start这个Application，都没有效果，甚至把静态页面文件从磁盘删除，并重启Tomcat服务，仍能在浏览器中看到旧的页面内容！简直无语了！

最后在网上反复搜索，总算找到一个方法。

首先在Tomcat的Web Application Manager中删除这个静态页面的Application。

然后编辑 [apache-tomcat]/conf/server.xml 文件，[apache-tomcat]表示tomcat的安装路径。

在这个文件的最后，有一个 Host 节点：

<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true">
<!-- 这里有一些内容 -->

</Host>

在这个节点中，添加一行内容：

<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true">

<!-- 添加下面这行内容 -->
<Context path="/staticpage" docBase="/home/mypage" reloadable="true" debug="0" crossContext="true" />
</Host>

重启Tomecat后，再次更新静态页面，页面内容正确展现。

添加的 Context 节点，表示一个新的虚拟路径，path 为路径名称，需添加到url中访问这个虚拟路径，例如：http://localhost/staticpage，docBase 为磁盘上的路径名称，即实际页面文件放在磁盘的哪个路径下，reloadable 表示页面文件被修改后，网站是否自动更新页面内容，测试环境设为 true 方便开发测试，生产环境就要设为 false 以提升性能。

大功告成！

0x01 关于Tomcat,更多详情大家可直接参考百科说明

https://zh.wikipedia.org/wiki/Apache_Tomcat

此次演示环境:

CentOS7 x86_64  ip: 192.168.3.64
Apache Tomcat/8.5.24    建议大家用稳定的相对比较新的版本

0x02 首先,在正式部署Tomcat之前,需要先来准备好jdk环境,因为毕竟底层还是在靠java来处理,所以必须要得先有java的运行环境才行,其实,在实际生产环境中,也可以单独使用jre,不过个人觉得这和安全的关系并不大,试想,如果你手里都已经拿到了一个可以运行java的环境了,我在本地用对应版本的jdk编译好了再丢上运行也是一样,防不住啥,太泛泛

# tar xf jdk-8u151-linux-x64.tar.gz
# mv jdk1.8.0_151/ /usr/local/
# ln -s /usr/local/jdk1.8.0_151/ /usr/local/jdk
# tar xf apache-tomcat-8.5.24.tar.gz
# mv apache-tomcat-8.5.24 /usr/local/
# ln -s /usr/local/apache-tomcat-8.5.24/ /usr/local/tomcat
# ll /usr/local/
# vi /etc/profile
  export JAVA_HOME=/usr/local/jdk/ 
  export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH 
  export CLASSPATH=.$CLASSPATH:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/lib/tools.jar
  export TOMCAT_HOME=/usr/local/tomcat
# source /etc/profile
# java -version
# javac

0x03 务必专门创建一个普通用户来运行tomcat服务,防止入侵者直接拿到root权限的webshell,极度建议大家在实际应用中在满足当前及拓展业务需求的前提下,尽量把tomcat压缩在一个极小的系统权限下

# useradd -u 301 tomcat
# passwd tomcat
# chown -R tomcat:tomcat /usr/local/tomcat/
# chown -R tomcat:tomcat /usr/local/jdk/
# ll /usr/local/jdk/ /usr/local/tomcat/
# su - tomcat
$ /usr/local/tomcat/bin/catalina.sh start
$ netstat -tulnp
$ cat /usr/local/tomcat/logs/catalina.out  启动过程中如果有什么问题可以去该日志

0x04 理解Tomcat的基本目录结构

# tree -L 1 /usr/local/tomcat/
/usr/local/tomcat/
├── bin        主要用来放置各种tomcat服务管理脚本
├── conf       用于存放Tomcat服务的各类配置文件
├── lib        此目录用于存放Tomcat的核心类库文件
├── LICENSE
├── logs       主要用于放置Tomcat的启动和访问日志文件
├── NOTICE
├── RELEASE-NOTES
├── RUNNING.txt
├── temp       存放一些缓存临时数据的目录
├── webapps    默认的站点根目录
└── work       把jsp代码转换为java代码[class]文件时的存放目录,这就是为什么访问速度极快的原因之一

0x05 理解Tomcat各个配置文件的主要功用

# tree -L 1 /usr/local/tomcat/conf/
/usr/local/tomcat/conf/
├── Catalina                
├── catalina.policy   当带上-security选项启动tomcat时,会自动读取应用该文件中的策略配置
├── catalina.properties   有关Tomcat内部各种类加载器的一些配置
├── context.xml       此处的context.xml是作用域全局的,一般情况下,每个站点目录下都应有一个context.xml文件,用于定义会话管理器,JDBC等
├── jaspic-providers.xml
├── jaspic-providers.xsd
├── logging.properties    指定不同类日志的格式
├── server.xml        tomcat主配置文件
├── tomcat-users.xml      用于tomcat web管理端认证的配置文件
├── tomcat-users.xsd
└── web.xml       站点被部署时使用的默认部署配置项

0x06 深入理解tomcat的运作细节及常用组件

简单回顾Tomcat的基本运作细节

-> 此处,以请求 http://www.rootkit.org:8080/demo/index.jsp 为例
  -> 首先,客户端来请求www.rootkit.org的8080端口,正好被监听于此的Http Connector所捕获
    -> 随后,Connector会把该请求交给它所在的Service中的Engine去处理并等待Engine回应
      -> 当Engine拿到这个请求后,会自动根据请求中的www.rootkit.org这个域名来匹配到它内部属于哪个Host,然后直接丢给那个Host
    -> 当请求到达指定的Host时,Host会自动匹配出Path为/demo所在的Context
      -> 之后,对应Context会拿到/index.jsp请求,再到映射表中找出对应的Servlet类去处理,如,构造HttpServletRequest和HttpServletResponse对象
        -> Context会把处理好之后的HttpServletResponse对象返回给Host
          -> Host再把HttpServletResponse对象返回给Engine
        -> 最后,Engine把HttpServletResponse对象返回对应的Connector,至此,一次相对完整的Tomcat请求响应过程就基本完成了

关于上述提到的各个组件功用简介

Server     一个Server即一个Tomcat实例,实际中机器性能好的情况,建议多实例,不建议用自身的虚拟主机功能,虚拟主机之间影响较大   
Service    通常由一个Engine以及一个或多个Connector组成,一个
Connector  主要就是用来监听指定端口,然后把指定端口的请求都交给Engine
Engine     其实就是实际的处理引擎,下面可以同时配置多个虚拟主机,它自身会根据域名来匹配到对应的虚拟主机
Host       即虚拟主机,一个即一个虚拟主机
Context    Context在创建的时候会根据配置文件$CATALINA_HOME/conf/web.xml
       和$WEBAPP_HOME/WEB-INF/web.xml载入Servlet类,当Context收到请求时
       将到自己的映射表 [mapping table]中寻找相匹配的Servlet类,如果找到,则执行该类,并回应该请求

tomcat 主配置文件结构大致如下

<Server>
  <Service>
    <Connector/>
    <Engine>
      <Host>
        <Context></Context>
      </Host>
     </Engine>
  </Service>
  <Service>
   ...
  </Service>
</Server>

0x07 一个标准的 Java web 目录结构,如下

0x08 如何快速纯手工在Tomcat中自定义一个基于域名的虚拟主机,还是那句话,实际中机器性能够的情况下,建议用tomcat多实例,不建议用虚拟主机

先准备好站点所需的各种目录,务必要严格按照上面的java web标准来

# mkdir /data/{javaweb,logs} -p
# chown -R tomcat:tomcat /data/
$ su - tomcat
$ cd /data/javaweb/
$ mkdir secapp/{lib,classes,WEB-INF,META-INF} -p
$ vi secapp/index.jsp
  <html>
  <body>
  <br>
  <center><h1>This is a Tomcat Server 8.x </h1> 
  <br><h2>Now time is: <%=new java.util.Date()%></h2></center>
  </body>
  </html>

再到tomcat主配置文件中添加Host标签段,记得禁用自动部署和自动解war包

$ vi /usr/local/tomcat/conf/server.xml
  <Host name="www.sec.org" appBase="/data/javaweb/secapp" autoDeploy="false" unpackWARs="true">
    <Context path="" docBase="." debug="0" />
    <Valve className="org.apache.catalina.valves.AccessLogValve" directory="/data/logs"
        prefix="www.sec.org_access_log" suffix=".txt"
        pattern="%h %l %u %t "%r" %s %b" />
  </Host>
$ /usr/local/tomcat/bin/catalina.sh stop
$ cd /usr/local/tomcat/   重启前最好把下面两个目录中的内容清空,防止缓存作祟
$ rm -fr ./temp/*
$ rm -fr ./work/*
$ /usr/local/tomcat/bin/catalina.sh start 
$ cat /usr/local/tomcat/logs/catalina.out   查看tomcat启动日志,一般来这儿都是为了看报错
$ tail -f /data/logs/www.sec.org_access_log.2017-12-17.txt
$ tree /usr/local/tomcat/work/

0x09 配置Tomcat的web端管理功能,此功能比较危险,容易被人跑到管理账号密码,直接进来即可部署webshell,如非必须,建议删除

$ vi /usr/local/tomcat/conf/tomcat-users.xml
  <role rolename="manager-gui"/>
  <role rolename="admin-gui"/>
  <user username="tomcat" password="tomcat" roles="manager-gui,admin-gui"/> 让tomcat同时应用于两个角色
$ /usr/local/tomcat/bin/catalina.sh start    修改完配置后重启tomcat
$ /usr/local/tomcat/bin/catalina.sh stop

0x10 修改管理端口及用于关闭服务的字符串,默认为8005,SHUTDOWN,实际中,一般也不会用这种方式来关闭tomcat,所以可以把关闭字符串设的更长更随机一些,不过,好在最新版本tomcat默认只监听在127.0.0.1,所以对此项不必太过紧张

$ vi /usr/local/tomcat/conf/server.xml
  <Server port="9301" shutdown="a8HelEd45fm43LseDF">

0x11 修改AJP协议通信端口,其实你可以直接把该项注释掉,因为绝大多数情况下我们都只会使用http进行反向代理,而不会用AJP

$ vi /usr/local/tomcat/conf/server.xml
  <!-- <Connector port="8010" protocol="AJP/1.3" redirectPort="8443" />-->

0x12 禁止tomcat目录遍历,将param-value标签中的值改为false,其实默认就是禁止的,只不过为了保险,还是需要再确认一下

$ vi /usr/local/tomcat/conf/web.xml
  <init-param>
    <param-name>listings</param-name>
    <param-value>false</param-value>   <!-- false即表示禁止目录遍历 --> 
  </init-param>

  <welcome-file-list> <!-- 设置主页索引文件 -->
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>demo.jsp</welcome-file>
  </welcome-file-list>

0x13 隐藏服务器版本信息,为了能一定程度上防止被人用0day批量打,我需要将tomcat的详细版本稍微隐藏下,比如,在出现403,404,500这样的状态码时,就很容易会暴露我们web服务器的详细版本,当然,你也可以直接把指定的状态码重定向到指定的页面中

$ cd /usr/local/tomcat/lib/
$ unzip catalina.jar
$ cd org/apache/catalina/util/
$ vi ServerInfo.properties
  server.info=Microsoft-IIS/7.5
  server.number=7.5
  server.built=Nov 27 2017 13:05:30 UTC
$ cd /usr/local/tomcat/lib/
$ jar uvf catalina.jar org/apache/catalina/util/ServerInfo.properties
$ /usr/local/tomcat/bin/catalina.sh stop
$ /usr/local/tomcat/bin/catalina.sh start

0x14 修改http响应头中的server字段名称,只需要在http连接器中添加指定的server属性即可

$ vi /usr/local/tomcat/conf/server.xml
  <Connector port="8080" protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="8443" server="Microsoft-IIS/7.5" />

0x15 最好把所有host组件中的自动部署选项全部关掉

$ vi /usr/local/tomcat/conf/server.xml
  <Host name="www.sec.org" appBase="/data/javaweb/secapp" autoDeploy="false" unpackWARs="true">

0x16 如果我们是在前面使用apache或者nginx做的反向代理,也可通过限制特定ip的方式来访问,如下,表示仅允许192.168.3.0/24这个段来访问

$ vi /usr/local/tomcat/conf/server.xml
  <Host>
    ...
    <Context path="" docBase="." debug="0" />
      <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="192.168.4.*" deny="*.*.*.*" />
    ...  
  </Host>

0x17 限制其他用户对tomcat各类服务管理工具的使用

$ chmod -R 744 /usr/local/tomcat/bin/*

0x18 配置更加详细的访问日志格式,方便后续审查,如添加记录 user-agent,referer 字段数据

$ vi /usr/local/tomcat/conf/server.xml
  <Valve className="org.apache.catalina.valves.AccessLogValve" directory="/data/logs"
    prefix="www.sec.org_access_log" suffix=".txt"
    pattern="%h %l %u %t "%r" %s %b %{Referer}i %{User-Agent}i %D" resolveHosts="false" />

0x19 关于Tomcat 7.x 版本,你可能还需要手工去禁用一些危险请求方法,将readonly的值设为true,即禁止DELETE及PUT方法,如下,不过在新版中,默认就处于禁用状态,无需关心

$ vi /usr/local/tomcat/conf/web.xml
  <init-param>
    <param-name>readonly</param-name> 
    <param-value>true</param-value> 
  </init-param>

0x20 必要情况下,可直接禁用tomcat提供的默认web管理端,防止入侵者用此方式部署webshell,此处的采用的禁用方式只是把原来web管理端的文件都重新放到别的目录中,而后再到主配置文件中去注释掉默认的locahost所对应的host组件,而后重启tomcat即可,话说回来,status可以留着,因为可能后续还要靠此来监控jvm的一些性能参数,大家还是酌情而定吧

$ cd /usr/local/tomcat/webapps/
$ mkdir tmp
$ mv docs/ examples/ host-manager/ manager/ ROOT/ ./tmp/
<!-- 
<Host name="localhost"  appBase="webapps"
   unpackWARs="true" autoDeploy="true">
-->
<!--
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
   prefix="localhost_access_log" suffix=".txt"
   pattern="%h %l %u %t "%r" %s %b" />
</Host>
-->

0x21 最后,时常去关注tomcat官方发布的一些高危漏洞补丁,tomcat 8.x 已经相对比较稳定了,所以也建议大家,在稳定的前提下使用更新一点的版本

后话:
因为关注的点不同,所以肯定有所偏颇,此处还是旨在防入侵,至于针对jvm的各种性能优化,后续有机会我们再单独说明,因为tomcat几乎都不会直接面向用户,大多都是通过反向代理的方式来提供服务的,另外,java自身的安全性和性能采用编译的方式来运行都要优于php,所以,针对tomcat的安全并没有像nginx或者apache压力那么大,而且由于tomcat是在后端,也相对比较好控制,虽然它到现在对java的一些类库支持的还不是很完整,但那些对我们而言暂时无需关心,以上仅供部署参考,并不完整,后续还会不断更新,大家可根据自己的实际业务需求再做进更进一步调整,关于java对于的功用,比如,免杀…想必大家也都非常熟悉了,这里就不多说了,更多其它内容,也非常欢迎大家来一起私信交流 ^_^

最近一直在解决线上一个问题，表现是：
Tomcat每到凌晨会有一个高峰，峰值的并发达到了3000以上，最后的结果是Tomcat线程池满了，日志看很多请求超过了1s。
服务器性能很好，Tomcat版本是7.0.54，配置如下：

<Executor name="tomcatThreadPool" namePrefix="catalina-exec-"
       maxThreads="3000" minSpareThreads="800"/>

   <Connector executor="tomcatThreadPool" port="8084" protocol="org.apache.coyote.http11.Http11AprProtocol"
              connectionTimeout="60000"
              keepAliveTimeout="30000"
              maxKeepAliveRequests="8000"
              maxHttpHeaderSize="8192"
              URIEncoding="UTF-8"
              enableLookups="false"
              acceptCount="1000"
              disableUploadTimeout="true"
              redirectPort="8443" />

事后thread dump看其实真正处于RUNNABLE状态的线程很少，绝大部分线程都处于TIMED_WAITING状态：

于是大伙都开始纠结为什么线程会涨到3000，而且发现即使峰值过了线程数并不会降下来。
我们首先想到的是：后端应用的处理瞬间比较慢，“堵住了”导致前端线程数涨了起来。但是优化一个版本上线后发现虽然涨的情况有所好转，但是最终线程池还是会达到3000这个最大值。

==================================分割线=========================================

以上是大背景，中间的过程省略，直接跟各位说下目前我得到的结论：

1、首先是为什么线程不释放的问题？

简单说下我验证的Tomcat(7.0.54)线程池大概的工作机制
Tomcat启动时如果没有请求过来，那么线程数（都是指线程池的）为0；
一旦有请求，Tomcat会初始化minSapreThreads设置的线程数；
Tomcat会停止长时间闲置的线程。Tomcat还有一个参数叫maxIdleTime：

其实从这个参数解释也能看出来Tomcat会停止闲置了超过一定时间的线程的，这个时间就是maxIdleTime。但我之前的测试中确实没有发现线程释放的现象，这是为什么呢？我发现除了这个参数线程池线程是否释放？释放多少？还跟当前Tomcat每秒处理的请求数（从Jmeter或LoadRunner来看可以理解为TPS）有关系。通过下表可以清晰的看出来线程数，TPS和maxIdleTime之间的关系：

TPS　    maxIdleTime（ms） Thread Count
10  60,000  600
5   60,000  300
1   60,000  60

依次类推，当然Thread Count这一列是一个大约数，上下相差几个，但基本符合这样一个规则：

Thread Count = min(max((TPS * maxIdleTime)/1000,minSpareThreads),maxThreads)

当然这个Thread Count不会小于minSpareThreads，这个跟之前的结论还是一样的。我现在大胆猜测下（回头看源码验证下，或者哪位同学知道告诉我下，谢谢）：

Tomcat线程池每次从队列头部取线程去处理请求，请求完结束后再放到队列尾部，也就是说前后两次请求处理不会用同一个线程。某个线程闲置超过maxIdleTime就释放掉。

假设首先线程池在高峰时期暴涨到1000，高峰过后Tomcat处理一次请求需要1s（从Jmeter看TPS大约就为1），那么在maxIdleTime默认的60s内会用到线程池中60个线程，那么最后理论上线程池会收缩到60（假设minSpareThreads大于60）。另外：这个跟用不用Keep-Alive没关系（之前测试结论是因为用了Keep-Alive导致程序性能下降，TPS降低了很多导致的）

这就是为什么我之前的测试中、还有我们生产环境中线程数只增不减的原因，因为就算峰值过后我们的业务每秒请求次数仍然有100多，100*60=6000，也就是3000个线程每个线程在被回收之前肯定会被重用。

那么现在有另外一个问题，那么正常情况下为什么每秒100次的请求不会导致线程数暴增呢？也就是说线程暴增到3000的瓶颈到底在哪？这个我上面的结论其实也不是很准确。
真正决定Tomcat最大可能达到的线程数是maxConnections这个参数和并发数，当并发数超过这个参数则请求会排队，这时响应的快慢就看你的程序性能了。
这里没说清楚的是并发的概念，不管什么并发肯定是有一个时间单位的（一般是1s），准确的来讲应该是当时Tomcat处理一个请求的时间内并发数，比如当时Tomcat处理某一个请求花费了1s，那么如果这1s过来的请求数达到了3000，那么Tomcat的线程数就会为3000，maxConnections只是Tomcat做的一个限制。

2、为什么线程池会满？

这是我现在纠结的核心。到底是不是应用的性能慢导致的，我现在的结论是有关系，但关键是并发。

Tomcat的线程池的线程数跟你的瞬间并发有关系，比如maxThreads设置为1000，当瞬间并发达到1000那么Tomcat就会起1000个线程来处理，这时候跟你应用的快慢关系不大。
那么是不是并发多少Tomcat就会起多少个线程呢？这里还跟Tomcat的这几个参数设置有关系，看官方的解释是最靠谱的：

maxThreads：The maximum number of request processing threads to be created by this Connector, which therefore determines the maximum number of simultaneous requests that can be handled. If not specified, this attribute is set to 200. If an executor is associated with this connector, this attribute is ignored as the connector will execute tasks using the executor rather than an internal thread pool.
maxConnections：The maximum number of connections that the server will accept and process at any given time. When this number has been reached, the server will accept, but not process, one further connection. This additional connection be blocked until the number of connections being processed falls below maxConnections at which point the server will start accepting and processing new connections again. Note that once the limit has been reached, the operating system may still accept connections based on the acceptCount setting. The default value varies by connector type. For BIO the default is the value of maxThreads unless an Executor is used in which case the default will be the value of maxThreads from the executor. For NIO the default is 10000. For APR/native, the default is 8192.……
acceptCount：The maximum queue length for incoming connection requests when all possible request processing threads are in use. Any requests received when the queue is full will be refused. The default value is 100.
minSpareThreads：The minimum number of threads always kept running. If not specified, the default of 10 is used.

我简单理解就是：maxThreads:Tomcat线程池最多能起的线程数；maxConnections:Tomcat最多能并发处理的请求（连接）；acceptCount:Tomcat维护最大的对列数；minSpareThreads:Tomcat初始化的线程池大小或者说Tomcat线程池最少会有这么多线程。

比较容易弄混的是maxThreads和maxConnections这两个参数：maxThreads是指Tomcat线程池做多能起的线程数，而maxConnections则是Tomcat一瞬间做多能够处理的并发连接数。比如maxThreads=1000，maxConnections=800，假设某一瞬间的并发时1000，那么最终Tomcat的线程数将会是800，即同时处理800个请求，剩余200进入队列“排队”，如果acceptCount=100，那么有100个请求会被拒掉。

注意：根据前面所说，只是并发那一瞬间Tomcat会起800个线程处理请求，但是稳定后，某一瞬间可能只有很少的线程处于RUNNABLE状态，大部分线程是TIMED_WAITING，如果你的应用处理时间够快的话。所以真正决定Tomcat最大可能达到的线程数是maxConnections这个参数和并发数，当并发数超过这个参数则请求会排队，这时响应的快慢就看你的程序性能了。