Tomcat熵池阻塞变慢详解(tomcat启动加速)

重启在自己的ECS上tomcat时,发现启动特别的慢(简直无法忍受)。

查看日志却没发现有报错,但是也发现了一个很亮眼的数字(关于SercureRandom实例创建阻塞时间):
整个183秒(真是0.0)的tomcat启动过程,这个玩意花了近180秒(要报警了)。

转载自Tomcat8熵池阻塞变慢详解,作者:chszs

原因

Tomcat 7/8都使用org.apache.catalina.util.SessionIdGeneratorBase.createSecureRandom类产生安全随机类SecureRandom的实例作为会话ID,这里花去了180秒,也即接近3分钟。

SHA1PRNG算法是基于SHA-1算法实现且保密性较强的伪随机数生成器。

在SHA1PRNG中,有一个种子产生器,它根据配置执行各种操作。

1)如果java.security.egd属性或securerandom.source属性指定的是”file:/dev/random”或”file:/dev/urandom”,那么JVM会使用本地种子产生器NativeSeedGenerator,它会调用super()方法,即调用SeedGenerator.URLSeedGenerator(/dev/random)方法进行初始化。

2)如果java.security.egd属性或securerandom.source属性指定的是其它已存在的URL,那么会调用SeedGenerator.URLSeedGenerator(url)方法进行初始化。

这就是为什么我们设置值为”file:///dev/urandom”或者值为”file:/./dev/random”都会起作用的原因。

在这个实现中,产生器会评估熵池(entropy pool)中的噪声数量。随机数是从熵池中进行创建的。当读操作时,/dev/random设备会只返回熵池中噪声的随机字节。/dev/random非常适合那些需要非常高质量随机性的场景,比如一次性的支付或生成密钥的场景。

当熵池为空时,来自/dev/random的读操作将被阻塞,直到熵池收集到足够的环境噪声数据。这么做的目的是成为一个密码安全的伪随机数发生器,熵池要有尽可能大的输出。对于生成高质量的加密密钥或者是需要长期保护的场景,一定要这么做。

那么什么是环境噪声?

随机数产生器会收集来自设备驱动器和其它源的环境噪声数据,并放入熵池中。产生器会评估熵池中的噪声数据的数量。当熵池为空时,这个噪声数据的收集是比较花时间的。这就意味着,Tomcat在生产环境中使用熵池时,会被阻塞较长的时间。

解决

有两种解决办法(其实归根结底就一种用伪随机函数生成器来替代随机函数生成器):

1)在Tomcat环境中解决

可以通过配置JRE使用非阻塞的Entropy Source。

在catalina.sh中修改或加入这么一行:-Djava.security.egd=file:/dev/./urandom 即可。

加入后再启动Tomcat,整个启动耗时下降到Server startup in 2912 ms。

本人尝试在catalina.sh中不同位置加入这行,均未成功。

应该是Java的配置影响,所以推荐下一种修改JVM配置方式

2)在JVM环境中解决

打开$JAVA_PATH/jre/lib/security/java.security这个文件,找到下面的内容:

替换成

修改以后重启tomcat,速度瞬间提高两个数量级:

分享关于tomcat启动加速的wiki:How do i make Tomcat startup faster?

另一种解决方案:增大/dev/random的熵池 http://mp.weixin.qq.com/s?__biz=MzIxMjAzMDA1MQ==&mid=2648945568…

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*