Springboot程序启动慢及JVM上的随机数与熵池策略
问题描述
线上环境中很容易出现一个java应用启动非常耗时的情况,在日志中可以发现是session引起的随机数问题导致的
o.a.c.util.SessionIdGeneratorBase : Creation of SecureRandom instance for session ID generation using [SHA1PRNG] took [170,241] milliseconds.
分析
在Springboot程序中有内置的tomcat,在tomcat给的优化文档中,有一项是关于随机数生成时,采用的“熵源”(entropy source)的策略。
他提到tomcat7的session id的生成主要通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是”SHA1PRNG”
private String secureRandomAlgorithm = "SHA1PRNG";
在sun/oracle的jdk里,这个算法的提供者在底层依赖到操作系统提供的随机数据,在linux上,与之相关的是/dev/random和/dev/urandom。区别为:
/dev/random是阻塞的发生器
在读取时,/dev/random设备会返回小于熵池噪声总数的随机字节。/dev/random可生成高随机性的公钥或一次性密码本。若熵池空了,对/dev/random的读操作将会被阻塞,直到收集到了足够的环境噪声为止
而 /dev/urandom 则是一个非阻塞的发生器:
dev/random的一个副本是/dev/urandom (”unlocked”,非阻塞的随机数发生器),它会重复使用熵池中的数据以产生伪随机数据。这表示对/dev/urandom的读取操作不会产生阻塞,但其输出的熵可能小于/dev/random的。它可以作为生成较低强度密码的伪随机数生成器,不建议用于生成高强度长期密码。
这也并不是说明/dev/urandom不是做高强度的伪随机数生成器,这个讨论可以看这个讨论:/dev/urandom 不得不说的故事
解决方法
方法一
在 jre/lib/security/java.security
这个文件里面把
securerandom.source=file:/dev/random
改为
securerandom.source=file:/dev/./urandom
方法二
在启动参数中添加以下系统属性
-Djava.security.egd=file:/dev/./urandom
这个系统属性egd表示熵收集守护进程(entropy gathering daemon),但这里值为何要在dev和random之间加一个点呢?是因为一个jdk的bug,在这个bug的连接里有人反馈及时对 securerandom.source 设置为 /dev/urandom 它也仍然使用的 /dev/random,有人提供了变通的解决方法,其中一个变通的做法是对securerandom.source设置为 /dev/./urandom 才行
多说一嘴
在Docker中如何添加系统参数呢
首先在build镜像时 要使用ENTRYPOINT
举个例子
FROM jdk:alpine-security8
WORKDIR /
#解决中文乱码问题
ENV LANG en_US.UTF-8
ENV LANGUAGE en_US:en
ENV LC_ALL en_US.UTF-8
ADD sms-server.jar sms-server.jar
ADD application.properties application.properties
ADD bootstrap.properties bootstrap.properties
ENV TZ=Asia/Shanghai
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone
##使用如下的命令 添加-e JAVA_OPT是不起作用的
#ENTRYPOINT ["java","-jar","sms-server.jar"]
##要使用这条命令才行
ENTRYPOINT java ${JAVA_OPTS} -jar sms-server.jar
然后在启动命令中添加对应的-e参数就可以了 举个例子
docker run --name sms-server-security \
## 如下即可
-e JAVA_OPTS='-Djava.security.egd=file:/dev/./urandom' \
-e spring.cloud.nacos.discovery.server-addr=192.169.1.82:8848 \
-e spring.cloud.nacos.config.server-addr=192.169.1.82:8848 \
-e spring.cloud.nacos.config.ext-config[0].data-id=sms-server-node1.properties \
-p 8070:8090 \
-v /opt/sms_server/log:/log \
-v /opt/sms_server/nacos:/root/nacos \
-d \
3a1c93c34756
参考
https://hongjiang.info/jvm-random-and-entropy-source/
最新文章
- php如何防止图片盗用/盗链的两种方法(转)
- Oracle/SQL 修改字段类型和长度
- JS构造函数的用法和JS原型
- [转] When exactly does the virtual table pointer (in C++) gets set for an object?
- 图形性能(widgets的渲染性能太低,所以推出了QML,走硬件加速)和网络性能(对UPD性能有实测数据支持)
- 在JLabel上显示图片,并且图片自适应JLabel的大小
- 解决model 里 NSInteger类型
- python3[爬虫实战] 使用selenium,xpath爬取京东手机
- shunting-yard 调度场算法、中缀表达式转逆波兰表达式
- BZOJ 1912 巡逻(算竞进阶习题)
- BZOJ4381[POI2015]Odwiedziny——分块+长链剖分
- Java 多线程 高可用原则
- php手撸轻量级开发(二)框架加载
- Calendar Game HDU - 1079
- Python小白学习之路(十九)—【文件操作步骤】【文件操作模式】
- oracle中REF Cursor用法
- 跟我学算法-PCA(降维)基本原理推导
- CodeBlocks调试器设置错误问题
- redis命令_ZREVRANGEBYSCORE
- css 的通用样式 设置 和倒计时功能 移动轮播图的手势滑动的功能
热门文章
- 2018-div-matrix 题解(打表)
- Kubernetes-20:日志聚合分析系统—Loki的搭建与使用
- .nnmodel to .mlmodel
- springmvc<;一>; 一些特殊的Bean
- PyQt(Python+Qt)学习随笔:QScrollArea滚动区域的scrollAreaWidgetContents、widget及setWidget等相关概念解释
- PyQt(Python+Qt)学习随笔:QStandardItemModel指定行和列创建模型中的项以及索引
- PyQt学习随笔:重写setData方法截获Model/View中视图数据项编辑的注意事项
- 【.Net Core】 使用 Nginx 发布 .Net Core 3.1 项目至LInux(Centos7)。
- RedHat操作指令第2篇
- Shell命令和流程控制[linux常用命令的使用]