Apache Tomcat 连接器 - Web 服务器 HowTo

${tomcat_home} 是 tomcat 的根目录。您的 Tomcat 安装应该具有以下子目录

• ${tomcat_home}\conf - 您可以放置各种配置文件的位置
• ${tomcat_home}\webapps - 包含示例应用程序
• ${tomcat_home}\bin - 您放置 Web 服务器插件的位置

在本文档的所有示例中，${tomcat_home} 将为 /var/tomcat3。一个 worker 被定义为一个接受来自 Apache 服务器工作的 Tomcat 进程。

mod_jk 模块支持

• 所有当前支持的 Apache Web 服务器 (httpd) 版本
• Apache Web 服务器支持的任何操作系统
• 所有当前支持的 Tomcat 版本

mod_jk 模块可能与较旧的、不支持的 Apache Web 服务器和/或 Tomcat 版本一起使用，但此类配置不受支持。

mod_jk 模块使用 AJP 协议将请求发送到 Tomcat 容器。使用的 AJP 版本为 ajp13。所有当前版本的 Tomcat 都支持 ajp13 协议。其他 servlet 引擎，如 Jetty 和 JBoss，也支持 ajp13 协议。

ajp12 协议已被弃用，您不应该再使用它。ajp14 协议被认为是实验性的。

简而言之，Web 服务器正在等待客户端 HTTP 请求。当这些请求到达时，服务器会执行任何必要的操作来通过提供必要的内容来服务这些请求。

添加 servlet 容器可能会稍微改变这种行为。现在，Web 服务器还需要执行以下操作

• 加载 servlet 容器适配器库并初始化它（在服务请求之前）。
• 当请求到达时，它需要检查并查看某个请求是否属于 servlet，如果是，它需要让适配器接收请求并处理它。

另一方面，适配器需要知道它将要服务哪些请求，通常基于请求 URL 中的某种模式，以及将这些请求定向到哪里。

当用户想要设置使用虚拟主机的配置，或者当他们希望多个开发人员在同一个 Web 服务器上但不同的 servlet 容器 JVM 上工作时，事情会变得更加复杂。我们将在高级部分介绍这两个案例。

如果您之前已将 Apache 配置为使用 mod_jserv，请从您的 httpd.conf 中删除所有 ApJServMount 指令。

如果您包含 tomcat-apache.conf 或 tomcat.conf，您也需要将其删除 - 它们是特定于 mod_jserv 的。

mod_jserv 配置指令与 mod_jk 不兼容！

自动配置仅适用于在 Apache HTTP 服务器运行的同一台机器上运行的单个 Tomcat。将 Apache HTTP 服务器配置为使用 mod_jk 的最简单方法是在 Tomcat 中打开 Apache HTTP 服务器自动配置设置，并在 Apache httpd.conf 文件的末尾添加以下包含指令（确保将 $TOMCAT_HOME 替换为 Tomcat 安装的正确路径）

# To be added at the end of your httpd.conf
Include $TOMCAT_HOME/conf/jk/mod_jk.conf-auto

注意：此文件也可能生成为 $TOMCAT_HOME/conf/auto/mod_jk.conf

这将告诉 Apache HTTP 服务器使用 Apache 配置中的 mod_jk.conf-auto 文件中的指令。通过在 $TOMCAT_HOME/conf/jk/workers.properties 中创建您的 workers.properties 文件并在 server.xml 文件中将侦听器添加到 Engine 元素（如以下示例所示）来启用 Apache 自动配置，从而创建此文件。请注意，此示例特定于 Tomcat 5.x，与本文档其他部分不同，其他部分也适用于之前的 Tomcat 分支。

...
<Engine ...>
  ...
    <Listener className="org.apache.jk.config.ApacheConfig" modJk="/path/to/mod_jk.so" />
  ...
</Engine>
...

然后重启 Tomcat，mod_jk.conf 应该会生成。有关此主题的更多信息，请参阅 Tomcat 文档网站 上的 API 文档。

您应该在以下情况下使用自定义配置

• 您无法使用 mod_jk.conf-auto，因为 Tomcat 引擎不在与您的 Apache Web 服务器相同的机器上，例如，当您在 Tomcat 集群前面有一个 Apache 时。
• 自定义配置的另一种情况是，当您的 Apache 在许多不同的 Tomcat 引擎前面，每个引擎都有自己的配置，这是 ISP 托管中的一个普遍情况。
• 此外，大多数 Apache Web 管理员会保留自定义配置，以便能够根据自己的实际需求调整设置。

这是一个简单的配置

# Load mod_jk module
LoadModule    jk_module  modules/mod_jk.so
# Add the module (activate this lne for Apache 1.3)
# AddModule     mod_jk.c
# Where to find workers.properties
JkWorkersFile /etc/httpd/conf/workers.properties
# Where to put jk shared memory
JkShmFile     /var/log/httpd/mod_jk.shm
# Where to put jk logs
JkLogFile     /var/log/httpd/mod_jk.log
# Set the jk log level [debug/error/info]
JkLogLevel    info
# Send requests for context /examples to worker named worker1
JkMount  /examples/* worker1

JkWorkersFile 指定 mod_jk 将在其中查找工作者定义的位置。

JkWorkersFile     /etc/httpd/conf/workers.properties

JkLogFile 指定 mod_jk 将放置其日志文件的位置。

JkLogFile     /var/log/httpd/mod_jk.log

自 Apache 2.x 的 JK 1.2.3 和 Apache 1.3 的 JK 1.2.16 以来，这也可以用于管道日志记录

JkLogFile     "|/usr/bin/rotatelogs /var/log/httpd/mod_jk.log 86400"

JkLogLevel 设置日志级别，介于

• info 日志将包含标准 mod_jk 活动（默认）。
• error 日志还将包含错误报告。
• debug 日志将包含有关 mod_jk 活动的所有信息

JkLogLevel    info

info 应该是您在正常操作中的默认选择。

JkLogStampFormat 将配置 mod_jk 日志文件中找到的日期/时间格式。有关详细信息，请参阅 mod_jk Apache HTTP Server 参考。

JkLogStampFormat "[%y-%m-%d %H:%M:%S.%Q] "

您可以使用 Apache 标准模块 mod_log_config 记录 mod_jk 信息。该模块在 Apache notes 表中设置了几个 notes。其中大多数仅在与负载均衡器工作者结合使用时才有用。有关详细信息，请参阅 mod_jk Apache HTTP Server 参考。

LogFormat     "%h %l %u %t \"%r\" %>s %b %{JK_WORKER_NAME}n %{JK_LB_FIRST_NAME}n \
              %{JK_LB_FIRST_BUSY}n %{JK_LB_LAST_NAME}n %{JK_LB_LAST_BUSY}n" mod_jk_log
CustomLog     logs/access_log     mod_jk_log

您还可以将请求协议记录在 mod_jk 日志文件中，而不是访问日志中。这并不推荐，主要是一个向后兼容的功能。指令 JkRequestLogFormat 将配置此协议的格式。它在每个虚拟主机基础上进行配置和启用。有关详细信息，请参阅 mod_jk Apache HTTP Server 参考。

JkRequestLogFormat     "%w %V %T"

指令 JkOptions 允许您设置许多转发选项，这些选项将启用 (+) 或禁用 (-) 以下选项。如果没有前导符号，选项将被启用。

以下四个选项+ForwardURIxxx是互斥的。必须选择其中一个，并且不能在它们前面添加负号。从 1.2.24 版本开始，默认值为 "ForwardURIProxy"。在 1.2.23 版本中为 "ForwardURICompatUnparsed"，在 1.2.22 版本之前为 "ForwardURICompat"。您可以通过启用其他两个选项中的一个来关闭默认值。除非有充分的理由，否则应保留默认值。

所有选项都从全局服务器继承到虚拟主机。支持启用（加号选项）和禁用（减号选项）的选项，按以下方式继承
options(vhost) = plus_options(global) - minus_options(global) + plus_options(vhost) - minus_options(vhost)

使用 JkOptions ForwardURIProxy，转发后的 URI 将在 Apache 内部处理后，并在转发到 Tomcat 之前进行部分重新编码。这将与 mod_rewrite 的本地 URL 操作以及 URL 编码的会话 ID 兼容。

JkOptions     +ForwardURIProxy

使用 JkOptions ForwardURICompatUnparsed，转发后的 URI 将保持未解析状态。它符合规范且安全。它将始终转发原始请求 URI，因此使用 mod_rewrite 重写 URI 然后转发重写后的 URI 将不起作用。

JkOptions     +ForwardURICompatUnparsed

使用 JkOptions ForwardURICompat，转发后的 URI 将由 Apache 解码。编码的字符将被解码，显式路径组件（如 ".."）也将被解析。这不太符合规范，如果您使用前缀 JkMount，则不安全。此选项将允许在转发之前使用 mod_rewrite 重写 URI。

JkOptions     +ForwardURICompat

使用 JkOptions ForwardURIEscaped，转发后的 URI 将是 ForwardURICompat 使用的 URI 的编码形式。显式路径组件（如 ".."）也将被解析。这将无法与 URL 编码的会话 ID 结合使用，但它将允许在转发之前使用 mod_rewrite 重写 URI。

JkOptions     +ForwardURIEscaped

JkOptions RejectUnsafeURI 将阻止所有包含百分号 '%' 或反斜杠 '\' 的 URL（解码后）。

大多数 Web 应用程序不使用此类 URL。使用 RejectUnsafeURI 选项，您可以阻止几种众所周知的 URL 编码攻击。默认情况下，此选项未设置。

您也可以使用 mod_rewrite 实现此类检查，它功能更强大，但也稍微复杂一些。

JkOptions     +RejectUnsafeURI

JkOptions CollapseSlashesAll 从 1.2.44 版本开始已弃用，如果使用将被忽略。

JkOptions CollapseSlashesUnmount 从 1.2.44 版本开始已弃用，如果使用将被忽略。

JkOptions **CollapseSlashesNone** 自 1.2.44 版本起已弃用，如果使用将被忽略。

JkOptions **ForwardDirectories** 与 Apache 的 **DirectoryIndex** 指令配合使用。因此，mod_dir 应该可用于 Apache，无论是静态还是动态（DSO）。

当配置 DirectoryIndex 时，Apache 会为指令中指定的每个本地 URL 创建子请求，以确定是否存在匹配的本地文件（这是通过对文件进行 stat 操作来完成的）。

如果 ForwardDirectories 设置为 **false**（默认值）并且 Apache 没有找到任何匹配的文件，Apache 将提供目录的内容（如果指令 Options 为该目录指定了 Indexes）或 403 Forbidden 响应（如果指令 Options 没有为该目录指定 Indexes）。

如果 ForwardDirectories 设置为 **true** 并且 Apache 没有找到任何匹配的文件，请求将被转发到 Tomcat 进行解析。这用于 Apache 由于各种原因无法看到文件系统上的索引文件的情况：Tomcat 运行在不同的机器上，JSP 文件已被预编译等。

请注意，本地可见的文件将优先于仅对 Tomcat 可见的文件（即，如果 Apache 可以看到该文件，那么该文件将被提供）。如果 Tomcat 通常提供不止一种类型的文件，这一点很重要 - 例如 Velocity 页面和 JSP 页面。

JkOptions     +ForwardDirectories

设置 JkOptions **ForwardLocalAddress**，您要求 mod_jk 发送 Apache HTTP 服务器的本地地址，而不是远程客户端地址。Tomcat 远程地址阀门可以使用它来仅允许来自已配置的 Apache 服务器的连接。

JkOptions     +ForwardLocalAddress

设置 JkOptions **ForwardPhysicalAddress**，您要求 mod_jk 发送物理对等 TCP IP 地址作为客户端地址。默认情况下，mod_jk 使用 Web 服务器提供的逻辑地址。例如，模块 mod_remoteip 将逻辑 IP 地址设置为代理在 X-Forwarded-For 标头中转发的客户端 IP。

JkOptions     +ForwardPhysicalAddress

JkOptions **FlushPackets**，您要求 mod_jk 在从 Tomcat 收到每个 AJP 数据包块后刷新 Apache 的连接缓冲区。此选项可能会对 Apache 和 Tomcat 造成严重的性能损失，因为写入操作比通常需要的频率更高（即：在每个响应结束时）。

JkOptions     +FlushPackets

JkOptions **FlushHeader**，您要求 mod_jk 在从 Tomcat 收到响应头后刷新 Apache 的连接缓冲区。

JkOptions     +FlushHeader

JkOptions DisableReuse，您要求 mod_jk 在使用完连接后立即关闭连接。通常情况下，mod_jk 使用持久连接并池化空闲连接以供重用，当需要向 Tomcat 发送新请求时。

使用此选项将对 Apache 和 Tomcat 造成严重的性能损失。仅在遇到无法修复的网络问题时才使用此选项。如果 Apache 和 Tomcat 之间的防火墙静默地杀死了空闲连接，请尝试使用 worker 属性 socket_keepalive 并结合操作系统中适当的 TCP keepalive 值。

JkOptions     +DisableReuse

JkOptions ForwardKeySize，您要求 mod_jk 在使用 ajp13 时，也转发 SSL 密钥大小，如 Servlet API 2.3 所需。当 servlet 引擎为 Tomcat 3.2.x 时，不应设置此标志（默认情况下关闭）。

JkOptions     +ForwardKeySize

JkOptions ForwardSSLCertChain，您要求 mod_jk 在使用 ajp13 时，转发 SSL 证书链（默认情况下关闭）。Mod_jk 只将 SSL_CLIENT_CERT 传递给 AJP 连接器。对于自签名证书或由根 CA 证书直接签名的证书，这不是问题。但是，有大量证书由中间 CA 证书签名，这会导致重大问题：servlet 将无法自行验证客户端证书。通过 AJP 连接器将 SSL_CLIENT_CERT_CHAIN 传递给 Tomcat 可以解决此错误。
此指令仅从 1.2.22 版本开始存在。

JkOptions     +ForwardSSLCertChain

指令 JkEnvVar 允许您将环境变量从 Apache 服务器转发到 Tomcat 引擎。您可以将默认值作为第二个参数添加到指令中。如果未显式给出默认值，则只有在运行时设置了变量时才会发送该变量。
可以在 Tomcat 端通过 request.getAttribute(attributeName) 获取变量作为请求属性。请注意，通过 JkEnvVar 发送的变量不会列在 request.getAttributeNames() 中。
变量从全局服务器继承到虚拟主机。

JkEnvVar     SSL_CLIENT_V_START     undefined

如果您已创建自定义或本地版本的 mod_jk.conf-local（如上所述），您可以更改设置，例如 worker 或 URL 前缀。

JkMount 指令将特定 URL 分配给 Tomcat。通常，JkMount 指令的结构为

JkMount [URL prefix] [Worker name]

# send all requests ending in .jsp to worker1
JkMount /*.jsp worker1
# send all requests ending /servlet to worker1
JkMount /*/servlet/ worker1
# send all requests jsp requests to files located in /otherworker will go worker2
JkMount /otherworker/*.jsp worker2

您可以在 httpd.conf 文件的顶层或 <VirtualHost> 部分中使用 JkMount 指令。

如果 Tomcat Host appBase（webapps）目录可供 Apache HTTP 服务器访问，则可以配置 Apache 以提供 Web 应用程序上下文目录的静态文件，而不是将请求传递给 Tomcat。

注意：出于安全原因，强烈建议默认情况下使用 JkMount 将所有请求传递给 Tomcat，并使用 JkUnMount 明确排除由 Apache 提供的静态内容。还应注意，由 Apache 提供的内容将绕过应用程序 web.xml 中定义的任何安全约束。

使用 Apache 的 Alias 指令将单个 Web 应用程序上下文目录映射到 VirtualHost 的 Apache 文档空间中

# Static files in the examples webapp are served by Apache
Alias /examples /vat/tomcat3/webapps/examples
# All requests go to worker1 by default
JkMount /* worker1
# Serve html, jpg and gif using Apache
JkUnMount /*.html worker1
JkUnMount /*.jpg  worker1
JkUnMount /*.gif  worker1

从 Apache 2.x 的 mod_jk 1.2.6 和 Apache 1.3 的 1.2.19 开始，可以通过设置 env var no-jk 来排除某些 URL/URI 的 jk 处理，例如使用 SetEnvIf 指令。

您可以使用 no-jk env var 来解决 mod_alias 或 mod_userdir 指令在 jk 和 alias/userdir URL 匹配时出现的问题。

# All URL goes to tomcat except the one containing /home
<VirtualHost *:80>
    ServerName testxxx.mysys
    DocumentRoot /www/testxxx/htdocs

# Use SetEnvIf to set no-jk when /home/ is encountered
    SetEnvIf Request_URI "/home/*" no-jk

# Now /home will goes to /home/dataxxx/
    Alias /home /home/dataxxx/

    <Directory "/home/dataxxx">
        Options Indexes MultiViews
        AllowOverride None
        Require all granted
    </Directory>

    JkMount /* myssys-xxx

</VirtualHost>

使用 mod_jk JkAutoAlias 指令将所有 Web 应用程序上下文目录映射到 Apache 的文档空间中。

尝试访问 Web 应用程序上下文中的 WEB-INF 或 META-INF 目录或 Tomcat Host appBase（webapps）目录中的 Web 存档 *.war 将失败，并显示 HTTP 403，禁止访问

# Static files in all Tomcat webapp context directories are served by Apache
JkAutoAlias /var/tomcat3/webapps

# All requests go to worker1 by default
JkMount /* ajp13
# Serve html, jpg and gif using Apache
JkUnMount /*.html ajp13
JkUnMount /*.jpg  ajp13
JkUnMount /*.gif  ajp13

如果您对所有 URL 进行编码以包含会话 ID（;jsessionid=...），并且您后来决定要将部分内容移动到 Apache，则可以告诉 mod_jk 从那些未通过 mod_jk 转发的请求的 URL 中剥离所有会话 ID。

您可以通过将 JkStripSession 设置为 On 来启用此功能。可以为虚拟服务器单独启用它。默认值为 Off。

要创建 mod_jk autoconf 脚本，您需要 libtool 1.5.2、automake 1.10 和 autoconf 2.59 或更高版本。鼓励使用更新的版本，例如，为了可靠地检测最近版本的 операционной системы 的功能。

如果您只是使用从 apache.org 下载的软件包，则不需要这些工具，它们仅供开发人员使用。

要创建 configure 脚本，只需键入： ./buildconf.sh

以下是使用 configure 准备 mod_jk 构建的步骤，只需输入以下命令：

./configure [autoconf arguments] [mod_jk arguments]

您可以设置 **CFLAGS** 和 **LDFLAGS** 来添加一些平台特定的配置

如果您想为不同版本的 Apache HTTP Server 构建 mod_jk，例如 1.3 或 2.x，则需要为每个版本执行完整的构建过程。请注意，Apache 2.0、2.2 或 2.4 模块**不**兼容。您必须使用您计划运行的 Apache 版本编译模块。用于 mod_jk 构建的目录对于所有 2.x 版本都是 "apache-2.0"。源代码与 Apache HTTP Server 2.0、2.2 和 2.4 兼容。

• 使用 configure 并指定正确的 Apache HTTP Server apxs 位置（--with-apxs）
• 使用 make
• 将生成的 mod_jk.so 二进制文件从 apache-1.3 或 apache-2.0 子目录复制到 Apache HTTP Server 模块位置。
• make clean（删除所有先前编译的 object 文件）
• 使用下一个 Apache HTTP Server 版本的 apxs 位置重新开始。

不支持 enable-jk=share 和 enable-jk=static。--with-mod_jk 仅允许 mod_jk 的静态链接。

--enable-shared=jk 也能正常工作，并构建一个 dso 文件。