Java后端服务部署时，Nginx和Tomcat一般怎么配合使用？

在 Java 后端服务部署中，Nginx 和 Tomcat 的典型配合方式是：Nginx 作为反向X_X（Reverse Proxy）和 Web 服务器前置，Tomcat 作为应用服务器（Servlet 容器）运行 Java Web 应用（如 Spring Boot、传统 WAR 包）。二者分工明确、优势互补，构成生产环境常见且推荐的部署架构。

以下是详细说明与最佳实践：

✅ 一、角色分工（Why 配合？）

⚠️ 注意：Spring Boot 默认内嵌 Tomcat，此时 Nginx 仍可前置做反向X_X（不直接暴露 :8080），无需独立安装 Tomcat；若使用传统 WAR 包或需多应用隔离，则部署独立 Tomcat 实例。

✅ 二、典型部署拓扑

用户浏览器
     ↓ (HTTPS/HTTP)
   [Nginx] ←→ SSL 终止、负载均衡、静态资源服务
     ↓ (HTTP，通常 localhost:8080 或内网地址)
 [Tomcat 实例1]   [Tomcat 实例2]   ...（可选集群）
     ↓（JVM 运行 Spring Boot / Servlet 应用）
   数据库 / Redis / MQ 等后端服务

✅ 三、关键 Nginx 配置示例（nginx.conf 或 sites-available/myapp）

upstream backend {
    # 支持负载均衡（轮询、ip_hash、least_conn 等）
    server 127.0.0.1:8080 weight=3;
    # server 192.168.1.101:8080;  # 多机部署时
}

server {
    listen       80;
    server_name  example.com;

    # HTTP → HTTPS 强制跳转（推荐）
    return 301 https://$server_name$request_uri;
}

server {
    listen       443 ssl http2;
    server_name  example.com;

    # SSL 配置（证书路径根据实际调整）
    ssl_certificate      /etc/nginx/ssl/example.com/fullchain.pem;
    ssl_certificate_key  /etc/nginx/ssl/example.com/privkey.pem;
    ssl_protocols        TLSv1.2 TLSv1.3;
    ssl_ciphers          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:...;

    # 静态资源直接由 Nginx 服务（提升性能，减轻 Tomcat 压力）
    location ~* .(js|css|png|jpg|jpeg|gif|ico|svg|woff2?|ttf|eot)$ {
        root   /var/www/myapp/static;  # 或指向 Spring Boot 的 static 目录
        expires 1y;
        add_header Cache-Control "public, immutable";
    }

    # API 和动态请求X_X到 Tomcat
    location / {
        proxy_pass http://backend;

        # 关键X_X头（传递真实客户端信息）
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Port $server_port;

        # 超时设置（避免长连接阻塞）
        proxy_connect_timeout 30s;
        proxy_send_timeout    30s;
        proxy_read_timeout    60s;

        # WebSocket 支持（如 Spring Boot + STOMP）
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }

    # 可选：健康检查接口（供监控或上游探活）
    location /health {
        return 200 "OK";
        add_header Content-Type text/plain;
    }
}

✅ 四、Tomcat 配置要点（配合 Nginx）

1. 禁用 Tomcat 的 HTTP Connector（如仅需内部通信）
   在 conf/server.xml 中注释或删除 <Connector port="8080" ... />，或改为监听 127.0.0.1:8080（禁止网络直连）：

   <Connector address="127.0.0.1" port="8080" protocol="HTTP/1.1" ... />

2. 启用 AJP（可选，Nginx 不常用，Apache 更常用）
   一般不推荐——Nginx 原生支持 HTTP X_X，AJP 增加复杂度且无显著优势。

3. 配置 RemoteIpFilter（Spring Boot 自动适配）
   确保应用能正确获取真实 IP（因 Nginx X_X后 request.getRemoteAddr() 是 127.0.0.1）：

   # application.yml（Spring Boot）
   server:
    forward-headers-strategy: framework  # 启用 ForwardedHeaderFilter

   ✅ Spring Boot 2.2+ 默认启用 ForwardedHeaderFilter，自动解析 X-Forwarded-* 头。

4. Session 管理

   • 若单实例：Tomcat Session 即可；
   • 若多 Tomcat：需共享 Session（Redis + spring-session-data-redis 或 Tomcat Redis Session Manager）。

✅ 五、生产环境最佳实践

❌ 常见误区提醒

• ❌ 直接暴露 Tomcat 端口（如 :8080）给公网 → 安全风险高，缺少 HTTPS、WAF、限流等能力
• ❌ Nginx 和 Tomcat 都处理静态资源 → 重复工作，浪费资源；应由 Nginx 全权负责
• ❌ *忽略 `X-Forwarded-` 头导致 IP/协议识别错误** → 登录、重定向、安全校验异常
• ❌ 未设置 proxy_read_timeout 导致长事务超时中断 → 如文件导出、报表生成失败

✅ 补充：Spring Boot 内嵌 Tomcat 场景

即使使用 spring-boot-starter-web（内嵌 Tomcat），仍强烈建议 Nginx 前置：

• 统一入口、HTTPS 终止、静态资源托管
• 便于后续横向扩展（替换为多个 Spring Boot 实例）
• 避免应用直接绑定 0.0.0.0:8080（安全 & 端口冲突）

只需在 application.yml 中指定内网监听：

server:
  address: 127.0.0.1  # 仅本地可访问
  port: 8080

如需进一步帮助，我可以提供：

• 完整的 nginx.conf + tomcat server.xml 示例
• Docker Compose 一键部署脚本
• Spring Boot + Nginx + HTTPS 自动化配置（Certbot）
• 性能压测对比数据（有/无 Nginx）

欢迎随时提出具体场景 👍