Tomcat 8 启动很慢,且日志上无任何错误,在日志中查看到如下信息:
分析
Tomcat 7/8 都使用 org.apache.catalina.util.SessionIdGeneratorBase.createSecureRandom 类产生安全随机类 SecureRandom 的实例作为会话 ID,这里花去了 342 秒,也即接近 6 分钟。
SHA1PRNG 算法是基于 SHA-1 算法实现且保密性较强的伪随机数生成器。
在 SHA1PRNG 中,有一个种子产生器,它根据配置执行各种操作。
1)如果 Java.security.egd 属性或 securerandom.source 属性指定的是 file:/dev/random 或 file:/dev/urandom ,那么 JVM 会使用本地种子产生器 NativeSeedGenerator,它会调用 super () 方法,即调用 SeedGenerator.URLSeedGenerator (/dev/random) 方法进行初始化。
2)如果 java.security.egd 属性或 securerandom.source 属性指定的是其它已存在的 URL,那么会调用 SeedGenerator.URLSeedGenerator (url) 方法进行初始化。
这就是为什么我们设置值为 file:///dev/urandom 或者值为 file:/./dev/random 都会起作用的原因。
原因
在这个实现中,产生器会评估熵池(entropy pool)中的噪声数量。随机数是从熵池中进行创建的。当读操作时,/dev/random 设备会只返回熵池中噪声的随机字节。/dev/random 非常适合那些需要非常高质量随机性的场景,比如一次性的支付或生成密钥的场景。
当熵池为空时,来自 /dev/random 的读操作将被阻塞,直到熵池收集到足够的环境噪声数据。这么做的目的是成为一个密码安全的伪随机数发生器,熵池要有尽可能大的输出。对于生成高质量的加密密钥或者是需要长期保护的场景,一定要这么做。
什么是环境噪声:
随机数产生器会收集来自设备驱动器和其它源的环境噪声数据,并放入熵池中。
产生器会评估熵池中的噪声数据的数量。
当熵池为空时,这个噪声数据的收集是比较花时间的。
这就意味着,Tomcat 在生产环境中使用熵池时,会被阻塞较长的时间。
解决办法
1)在 Tomcat 环境中解决
可以通过配置 JRE 使用非阻塞的 Entropy Source。
在 catalina.sh 中加入这么一行:
即可。
加入后再启动 Tomcat,整个启动耗时下降到 Server startup in 2912 ms。
2)在 JVM 环境中解决
打开 $JAVA_PATH/jre/lib/security/java.security 这个文件,找到下面的内容:
替换成