小龙猫
TA的个人档案
个人介绍
暂无个人介绍
擅长的技术
- 高分内容
- 最新动态
- 文章
- 问答
-
发表了文章 2016-05-09
Java使用SSLSocket通信
JSSE(Java Security Socket Extension)是Sun公司为了解决互联网信息安全传输提出的一个解决方案,它实现了SSL和TSL协议,包含了数据加密、服务器验证、消息完整性和客户端验证等技术。通过使用JSSE简洁的API,可以在客户端和服务器端之间通过SSL/TSL协议安全地传输数据。 首先,需要将OpenSSL生成根证书CA及签发子证书一文中生成的客户端及服务端私钥和数字证书进行导出,生成Java环境可用的keystore文件。 客户端私钥与证书的导出: ? 1 2 openssl pkcs12 -export -clcerts -name www.mydomain.com \ -inkey private/client-key.pem -in certs/client.cer -out certs/client.keystore 服务器端私钥与证书的导出: ? 1 2 openssl pkcs12 -export -clcerts -name www.mydomain.com \ -inkey private/server-key.pem -in certs/server.cer -out certs/server.keystore 受信任的CA证书的导出: ? 1 2 keytool -importcert -trustcacerts -alias www.mydomain.com -file certs/ca.cer \ -keystore certs/ca-trust.keystore 之后,便会在certs文件夹下生成ca-trust.keystore文件。加上上面生成的server.keystore和client.keystore,certs下会生成这三个文件: Java实现的SSL通信客户端: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 package com.demo.ssl; import java.io.FileInputStream; import java.io.InputStream; import java.io.OutputStream; import java.security.KeyStore; import javax.net.ssl.KeyManagerFactory; import javax.net.ssl.SSLContext; import javax.net.ssl.SSLSocket; import javax.net.ssl.TrustManagerFactory; public class SSLClient { private SSLSocket sslSocket; public static void main(String[] args) throws Exception { SSLClient client = new SSLClient(); client.init(); System.out.println("SSLClient initialized."); client.process(); } //客户端将要使用到client.keystore和ca-trust.keystore public void init() throws Exception { String host = "127.0.0.1"; int port = 1234; String keystorePath = "/home/user/CA/certs/client.keystore"; String trustKeystorePath = "/home/user/CA/certs/ca-trust.keystore"; String keystorePassword = "abc123_"; SSLContext context = SSLContext.getInstance("SSL"); //客户端证书库 KeyStore clientKeystore = KeyStore.getInstance("pkcs12"); FileInputStream keystoreFis = new FileInputStream(keystorePath); clientKeystore.load(keystoreFis, keystorePassword.toCharArray()); //信任证书库 KeyStore trustKeystore = KeyStore.getInstance("jks"); FileInputStream trustKeystoreFis = new FileInputStream(trustKeystorePath); trustKeystore.load(trustKeystoreFis, keystorePassword.toCharArray()); //密钥库 KeyManagerFactory kmf = KeyManagerFactory.getInstance("sunx509"); kmf.init(clientKeystore, keystorePassword.toCharArray()); //信任库 TrustManagerFactory tmf = TrustManagerFactory.getInstance("sunx509"); tmf.init(trustKeystore); //初始化SSL上下文 context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); sslSocket = (SSLSocket)context.getSocketFactory().createSocket(host, port); } public void process() throws Exception { //往SSLSocket中写入数据 String hello = "hello boy!"; OutputStream out = sslSocket.getOutputStream(); out.write(hello.getBytes(), 0, hello.getBytes().length); out.flush(); //从SSLSocket中读取数据 InputStream in = sslSocket.getInputStream(); byte[] buffer = new byte[50]; in.read(buffer); System.out.println(new String(buffer)); } } 初始化时,首先取得SSLContext、KeyManagerFactory、TrustManagerFactory实例,然后加载客户端的密钥库和信任库到相应的KeyStore,对KeyManagerFactory和TrustManagerFactory进行初始化,最后用KeyManagerFactory和TrustManagerFactory对SSLContext进行初始化,并创建SSLSocket。 Java实现的SSL通信服务器端: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 package com.demo.ssl; import java.io.FileInputStream; import java.io.InputStream; import java.io.OutputStream; import java.net.Socket; import java.security.KeyStore; import javax.net.ssl.KeyManagerFactory; import javax.net.ssl.SSLContext; import javax.net.ssl.SSLServerSocket; import javax.net.ssl.TrustManagerFactory; public class SSLServer { private SSLServerSocket sslServerSocket; public static void main(String[] args) throws Exception { SSLServer server = new SSLServer(); server.init(); System.out.println("SSLServer initialized."); server.process(); } //服务器端将要使用到server.keystore和ca-trust.keystore public void init() throws Exception { int port = 1234; String keystorePath = "/home/user/CA/certs/server.keystore"; String trustKeystorePath = "/home/user/CA/certs/ca-trust.keystore"; String keystorePassword = "abc123_"; SSLContext context = SSLContext.getInstance("SSL"); //客户端证书库 KeyStore keystore = KeyStore.getInstance("pkcs12"); FileInputStream keystoreFis = new FileInputStream(keystorePath); keystore.load(keystoreFis, keystorePassword.toCharArray()); //信任证书库 KeyStore trustKeystore = KeyStore.getInstance("jks"); FileInputStream trustKeystoreFis = new FileInputStream(trustKeystorePath); trustKeystore.load(trustKeystoreFis, keystorePassword.toCharArray()); //密钥库 KeyManagerFactory kmf = KeyManagerFactory.getInstance("sunx509"); kmf.init(keystore, keystorePassword.toCharArray()); //信任库 TrustManagerFactory tmf = TrustManagerFactory.getInstance("sunx509"); tmf.init(trustKeystore); //初始化SSL上下文 context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); //初始化SSLSocket sslServerSocket = (SSLServerSocket)context.getServerSocketFactory().createServerSocket(port); //设置这个SSLServerSocket需要授权的客户端访问 sslServerSocket.setNeedClientAuth(true); } public void process() throws Exception { String bye = "Bye!"; byte[] buffer = new byte[50]; while(true) { Socket socket = sslServerSocket.accept(); InputStream in = socket.getInputStream(); in.read(buffer); System.out.println("Received: " + new String(buffer)); OutputStream out = socket.getOutputStream(); out.write(bye.getBytes()); out.flush(); } } } 先运行服务器端,再运行客户端。服务器端执行结果: 客户端执行结果:
-
发表了文章 2016-05-09
ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台
ELK平台介绍 在搜索ELK资料的时候,发现这篇文章比较好,于是摘抄一小段: 以下内容来自:http://baidu.blog.51cto.com/71938/1676798 日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。 通常,日志被分散的储存不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志。这样是不是感觉很繁琐和效率低下。当务之急我们使用集中化的日志管理,例如:开源的syslog,将所有服务器上的日志收集汇总。 集中化管理日志后,日志的统计和检索又成为一件比较麻烦的事情,一般我们使用grep、awk和wc等Linux命令能实现检索和统计,但是对于要求更高的查询、排序和统计等要求和庞大的机器数量依然使用这样的方法难免有点力不从心。 开源实时日志分析ELK平台能够完美的解决我们上述的问题,ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成。官方网站:https://www.elastic.co/products Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是一个完全开源的工具,他可以对你的日志进行收集、过滤,并将其存储供以后使用(如,搜索)。 Kibana 也是一个开源和免费的工具,它Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助您汇总、分析和搜索重要数据日志。 ----------------------------摘抄内容结束------------------------------- 画了一个ELK工作的原理图: 如图:Logstash收集AppServer产生的Log,并存放到ElasticSearch集群中,而Kibana则从ES集群中查询数据生成图表,再返回给Browser。 ELK平台搭建 系统环境 System: Centos release 6.7 (Final) ElasticSearch: 2.1.0 Logstash: 2.1.1 Kibana: 4.3.0 Java: openjdk version "1.8.0_65" 注:由于Logstash的运行依赖于Java环境, 而Logstash 1.5以上版本不低于java 1.7,因此推荐使用最新版本的Java。因为我们只需要Java的运行环境,所以可以只安装JRE,不过这里我依然使用JDK,请自行搜索安装。 ELK下载:https://www.elastic.co/downloads/ ElasticSearch 配置ElasticSearch: ? 1 2 tar -zxvf elasticsearch-2.1.0.tar.gz cd elasticsearch-2.1.0 安装Head插件(Optional): ? 1 ./bin/plugin install mobz/elasticsearch-head 然后编辑ES的配置文件: ? 1 vi config/elasticsearch.yml 修改以下配置项: ? 1 2 3 4 5 6 7 cluster.name=es_cluster node.name=node0 path.data=/tmp/elasticsearch/data path.logs=/tmp/elasticsearch/logs #当前hostname或IP,我这里是centos2 network.host=centos2 network.port=9200 其他的选项保持默认,然后启动ES: ? 1 ./bin/elasticsearch 可以看到,它跟其他的节点的传输端口为9300,接受HTTP请求的端口为9200。 使用ctrl+C停止。当然,也可以使用后台进程的方式启动ES: ? 1 ./bin/elasticsearch & 然后可以打开页面localhost:9200,将会看到以下内容: 返回展示了配置的cluster_name和name,以及安装的ES的版本等信息。 刚刚安装的head插件,它是一个用浏览器跟ES集群交互的插件,可以查看集群状态、集群的doc内容、执行搜索和普通的Rest请求等。现在也可以使用它打开localhost:9200/_plugin/head页面来查看ES集群状态: 可以看到,现在,ES集群中没有index,也没有type,因此这两条是空的。 Logstash Logstash的功能如下: 其实它就是一个收集器而已,我们需要为它指定Input和Output(当然Input和Output可以为多个)。由于我们需要把Java代码中Log4j的日志输出到ElasticSearch中,因此这里的Input就是Log4j,而Output就是ElasticSearch。 配置Logstash: ? 1 2 tar -zxvf logstash-2.1.1.tar.gz cd logstash-2.1.1 编写配置文件(名字和位置可以随意,这里我放在config目录下,取名为log4j_to_es.conf): ? 1 2 mkdir config vi config/log4j_to_es.conf 输入以下内容: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 # For detail structure of this file # Set: https://www.elastic.co/guide/en/logstash/current/configuration-file-structure.html input { # For detail config for log4j as input, # See: https://www.elastic.co/guide/en/logstash/current/plugins-inputs-log4j.html log4j { mode => "server" host => "centos2" port => 4567 } } filter { #Only matched data are send to output. } output { # For detail config for elasticsearch as output, # See: https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html elasticsearch { action => "index" #The operation on ES hosts => "centos2:9200" #ElasticSearch host, can be array. index => "ec" #The index to write data to, can be any string. } } logstash命令只有2个参数: 因此使用agent来启动它(使用-f指定配置文件): ? 1 ./bin/logstash agent -f config/log4j_to_es.conf 到这里,我们已经可以使用Logstash来收集日志并保存到ES中了,下面来看看项目代码。 Java项目 照例先看项目结构图: pom.xml,很简单,只用到了Log4j库: ? 1 2 3 4 5 <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> log4j.properties,将Log4j的日志输出到SocketAppender,因为官网是这么说的: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 log4j.rootLogger=INFO,console # for package com.demo.elk, log would be sent to socket appender. log4j.logger.com.demo.elk=DEBUG, socket # appender socket log4j.appender.socket=org.apache.log4j.net.SocketAppender log4j.appender.socket.Port=4567 log4j.appender.socket.RemoteHost=centos2 log4j.appender.socket.layout=org.apache.log4j.PatternLayout log4j.appender.socket.layout.ConversionPattern=%d [%-5p] [%l] %m%n log4j.appender.socket.ReconnectionDelay=10000 # appender console log4j.appender.console=org.apache.log4j.ConsoleAppender log4j.appender.console.target=System.out log4j.appender.console.layout=org.apache.log4j.PatternLayout log4j.appender.console.layout.ConversionPattern=%d [%-5p] [%l] %m%n 注意:这里的端口号需要跟Logstash监听的端口号一致,这里是4567。 Application.java,使用Log4j的LOGGER打印日志即可: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 package com.demo.elk; import org.apache.log4j.Logger; public class Application { private static final Logger LOGGER = Logger.getLogger(Application.class); public static void main(String[] args) throws Exception { for (int i = 0; i < 10; i++) { LOGGER.error("Info log [" + i + "]."); Thread.sleep(500); } } } 用Head插件查看ES状态和内容 运行Application.java,先看看console的输出(当然,这个输出只是为了做验证,不输出到console也可以的): 再来看看ES的head页面: 切换到Browser标签: 单击某一个文档(doc),则会展示该文档的所有信息: 可以看到,除了基础的message字段是我们的日志内容,Logstash还为我们增加了许多字段。而在https://www.elastic.co/guide/en/logstash/current/plugins-inputs-log4j.html中也明确说明了这一点: 上面使用了ES的Head插件观察了ES集群的状态和数据,但这只是个简单的用于跟ES交互的页面而已,并不能生成报表或者图表什么的,接下来使用Kibana来执行搜索并生成图表。 Kibana 配置Kibana: ? 1 2 3 tar -zxvf kibana-4.3.0-linux-x86.tar.gz cd kibana-4.3.0-linux-x86 vi config/kibana.yml 修改以下几项(由于是单机版的,因此host的值也可以使用localhost来代替,这里仅仅作为演示): ? 1 2 3 4 server.port: 5601 server.host: “centos2” elasticsearch.url: http://centos2:9200 kibana.index: “.kibana” 启动kibana: ? 1 ./bin/kibana 用浏览器打开该地址: 为了后续使用Kibana,需要配置至少一个Index名字或者Pattern,它用于在分析时确定ES中的Index。这里我输入之前配置的Index名字applog,Kibana会自动加载该Index下doc的field,并自动选择合适的field用于图标中的时间字段: 点击Create后,可以看到左侧增加了配置的Index名字: 接下来切换到Discover标签上,注意右上角是查询的时间范围,如果没有查找到数据,那么你就可能需要调整这个时间范围了,这里我选择Today: 接下来就能看到ES中的数据了: 执行搜索看看呢: 点击右边的保存按钮,保存该查询为search_all_logs。接下来去Visualize页面,点击新建一个柱状图(Vertical Bar Chart),然后选择刚刚保存的查询search_all_logs,之后,Kibana将生成类似于下图的柱状图(只有10条日志,而且是在同一时间段的,比较丑,但足可以说明问题了:) ): 你可以在左边设置图形的各项参数,点击Apply Changes按钮,右边的图形将被更新。同理,其他类型的图形都可以实时更新。 点击右边的保存,保存此图,命名为search_all_logs_visual。接下来切换到Dashboard页面: 单击新建按钮,选择刚刚保存的search_all_logs_visual图形,面板上将展示该图: 如果有较多数据,我们可以根据业务需求和关注点在Dashboard页面添加多个图表:柱形图,折线图,地图,饼图等等。当然,我们可以设置更新频率,让图表自动更新: 如果设置的时间间隔够短,就很趋近于实时分析了。 到这里,ELK平台部署和基本的测试已完成。
-
发表了文章 2016-05-09
一个Tomcat运行多个实例
本文介绍在同一个tomcat下运行mydomain.com和mysite.com这两个实例的步骤。 有时候,我们希望周期性的更新Tomcat;有时候,我们又想统一管理安装在一台机器上的tomcat(比如让tomcat版本统一,让多个实例的tomcat的依赖统一、配置统一等)。在这些场景下,我们都不希望把Web应用程序的文件放入Tomcat发行版的目录结构中,而是让一个tomcat运行多个实例,并把Web应用放在tomcat的安装目录之外。 一般在使用Tomcat时,服务器会从conf及webapps目录中读取配置文件,并将文件写入logs、temp和work目录,当然一些jar文件和class文件需要从服务器的公共目录树中予以加载。因此,为了让多个实例能同时运行,每一个Tomcat实例都必须有自己的目录集。 首先,下载tomcat安装包,并解压,这里我使用的tomcat版本是tomcat-8.0.33: 然后,创建一个文件夹tomcat-instance(该文件夹用于存放tomcat所有实例),并在这个文件夹下分别创建mydomain.com和mysite.com两个实例文件夹: ? 1 2 3 4 mkdir tomcat-instance cd tomcat-instance mkdir mydomain.com mkdir mysite.com 对于mydomain.com,依次做以下步骤: 1. 拷贝Tomcat安装目录的conf文件夹下的所有内容,到mydomain.com文件夹下: ? 1 2 3 cd mydomain.com cp -a /home/user/Software/apache-tomcat-8.0.33/conf . mkdir common logs temp server shared webapps work 2.修改mydomain.com/conf/server.xml,将停止端口号修改为不同的端口号: 3.修改Connector的端口号: 4.删除server.xml中所有的Context元素(因为这份server.xml来自于tomcat的安装目录,如果曾经用该tomcat部署过项目,server.xml中就会有Context元素,由于现在没有将这些项目复制到mydomain.com实例的webapps文件夹下)及嵌套的所有元素,并加入与自己的webapps相关的内容。 5.为了简化变量设置步骤,创建tomcat启动脚本start-mydomain.sh,并将该文件放在tomcat-instance目录下,该文件的内容如下: 6.修改脚本的权限,使其可执行: 7.用脚本启动tomcat实例: 可以看到,这个实例使用的CATALINA_BASE是instance/mydomain.com,这里的CATALINA_HOME是安装tomcat的目录。 8.拷贝示例文件到mydomain.com/webapps目录,从浏览器验证启动的tomcat实例: 到这里,tomcat实例mydomain.com已经正常运行了。 另一个实例mysite.com也按照1~8的步骤依次进行,但是注意以下步骤的不同配置: 2.Server端口号修改为8013。 3.Connector端口号修改为8082。 5.脚本中的CATALINA_BASE修改为/home/user/Software/tomcat-instance/mysite.com。 7.用脚本启动mysite.com实例: 可以看到,这个实例使用的CATALINA_BASE是instance/mysite.com。而这里的CATALINA_HOME依然是安装tomcat的目录,这和mydomain.com实例的配置是一样的,说明二者确实共用了一个安装目录。 8.拷贝示例文件到mysite.com/webapps目录,从浏览器验证启动的tomcat实例: 至此,tomcat的多实例已能正常运行,当然,也可以为这些实例创建停止tomcat的脚本。 当把Web应用的文件和Tomcat发行版的文件分开管理后,升级Tomcat将会变得十分容易,因为我们可以用新目录直接替换整个Tomcat发行版的目录。
-
发表了文章 2016-05-09
深入理解Java虚拟机:OutOfMemory实战
在Java虚拟机规范的描述中,除了程序计数器外,虚拟机内存的其他几个运行时区域都有发生OutOfMemoryError(下文称OOM)异常的可能,本节将通过若干实例来验证异常发生的场景。并且会初步介绍几个与内存相关的最基本的虚拟机参数。 本节内容的目的有两个:第一,通过代码验证Java虚拟机规范中描述的各个运行时区域存储的内容;第二,希望读者在工作中遇到实际的内存溢出异常时,能根据异常的信息快速判断是哪个区的内存溢出,知道什么样的代码可能导致这些区域内存溢出,以及出现这些异常后该如何处理。 下文代码的开头都注释了执行时所需要设置的虚拟机启动参数(注释中“VM args”后面跟着的参数),这些参数对实验的结果有直接影响,在调试代码的时候千万不要忽略。如果使用控制台命令来执行程序,那直接跟在Java命令后书写就可以。如果使用的是Eclipse IDE,则可以参考下图在Debug/Run页签中的设置: 下文的代码都是基于Sun公司的HotSpot虚拟机运行的,对于不同公司的不同版本的虚拟机,参数和程序运行的结果可能会有所差别。 Java堆溢出 Java堆用于存储对象实例,只要不断的创建对象,并且保证GC Roots到对象之间有可达路径来避免垃圾回收机制来清除这些对象,那么对象数量到达最大堆容量限制后就会产生内存溢出异常。 下面代码中,Java堆的大小限制为20M,不可扩展(将堆的最小值-Xms参数与最大值-Xmx最大值参数设置为一样,避免自动扩展)通过参数-XX:+HeapDumpOnOutOfMemoryError,可以让虚拟机在出现内存溢出时Dump出当前的内存转储快照以便事后进行分析。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 /** * VM Args:-Xms20m -Xmx20m -XX:+HeapDumpOnOutOfMemoryError */ public class HeapOOM { static class OOMObject {} public static void main(String[] args) { List<OOMObject> list = new ArrayList<OOMObject>(); while (true) { list.add(new OOMObject()); } } } 运行结果: Java堆内存的OOM异常时实际应用中常见的内存溢出异常情况。当出现Java对内存溢出时,异常堆栈信息“java.lang.OutOfMemoryError”会跟着进一步提示“Java heap space”。 要解决这个区域的异常,一般的手段是先通过内存映像工具如(Eclipse MemoryAnalyzer)对Dump出来的堆转储快照进行分析,重点是确认内存中的对象是否是必要的,也就是要先分析到底是出现了内存泄露(Memory Leak)还是内存溢出(Memory Overflow)。 如果是内存泄露,可进一步通过工具查看泄露对象到GC Roots的引用链,于是就能找到泄露对象是通过怎样的路径与GC Roots相关联并导致垃圾回收器无法自动回收它们的。掌握了泄露对象的类型信息及GC Roots引用链的信息,就可以比较容易确定发生泄露的代码位置。 如果不存在内存泄露,换句话说,就是内存中的对象确实都还必须存活着,那就应当检查虚拟机堆参数(-Xmx与-Xms),与机器物理内存对比看是否还可以调大,从代码上检查是否存在某些对象生命周期过长、持有状态时间过长的情况,尝试减少程序运行期的内存消耗。 虚拟机栈和本地方法栈溢出 由于在Hotspot虚拟机中并不区分虚拟机栈和本地方法栈,因此,对于Hotspot来说,虽然-Xoss参数(设置本地方法栈大小)存在,但实际上是无效的,栈容量只由-Xss参数设定,关于虚拟机栈和本地方法栈可以出现以下两周异常: 如果线程请求的栈深度大于虚拟机所允许的最大深度,将抛出StackOverflowError异常 如果虚拟机在扩展时无法申请到足够的内存空间,则抛出OutOfMemoryError异常 下面这个例子,将实验范围限制于单线程中的操作,尝试了下面两种方法均无法让需积极产生OutOfMemoryError异常,尝试的结果都是获得StackOverflowError异常: 使用-Xss 参数减少栈内存容量,结果:抛出StackOverflowError异常,异常出现时输出的栈的深度相应缩小 定义了大量的本地变量,增大此方法帧中本地变量表的长度。结果:抛出StackOverflowError异常时输出的堆栈深度相应减小。 测试代码如下: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 /** * VM Args: -Xss128K */ public class JavaVMStackSOF { private int stackLength = 1; public void stackLeak() { stackLength++; stackLeak(); } public static void main(String[] args) throws Throwable { JavaVMStackSOF oom = new JavaVMStackSOF(); try { oom.stackLeak(); } catch (Throwable e) { System.out.println("stack length:" + oom.stackLength); throw e; } } } 运行结果: 实验结果表明:在单个线程下,无论是由于栈帧太大还是虚拟机容量太小,当内存无法分配的时候虚拟机都抛出的是StackOverflowError。 如果测试不限于单线程,通过不断的建立线程的方式倒是可以产生内除溢出异常,但是这样产生的内存溢出与栈空间是否够大不存在任何联系,或者说,为每个线程的栈分配的内存越大,反而越容易产生内存溢出异常。 原因是,操作系统分配给每个线程的内存是有限的,譬如32位Windows限制为2GB。虚拟机提供了参数来控制Java堆和方法区的这两部分内存的最大值。剩余的内存为2G(操作系统内存)减去Xmx(堆最大容量),再减去MaxPermSize(最大方法区容量),程序计数器消耗的内存很小,可以忽略。如果虚拟机进程本身耗费的内存不计算在内,剩下的内存就由虚拟机栈和本地方法栈“瓜分”了。每个线程分配到栈容量越大,可以建立的线程数自然越少,建立线程时越容易把剩余的内存耗尽。 这一点需要在开发多线程的应用时特别注意,出现StackOverflowError异常时有错误堆栈可以阅读,相对来说,比较容易找到问题的所在。而且,如果使用虚拟机默认参数,栈深度在大多数情况下(因为每个方法压入栈的帧大小并不是一样的,所以只能说在大多数情况下)达到1000~2000完全没有问题,对于正常的方法调用(包括递归),这个深度应该完全够用了。但是,如果是建立过多线程导致的内存溢出,在不能减少线程数或者更换64位虚拟机的情况下,就只能通过减少最大堆和减少栈容量来换取更多的线程了。如果没有这方面的处理经验,这种通过“减少内存”的手段来解决内存溢出的方式会比较难以想到。 以下代码通过创建多线程导致内存溢出异常: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 /** * VM Args: -Xss2M(这时候不妨设置大些) */ public class JavaVMStackOOM { private void dontStop() { while(true) {} } public void stackLeakByThread() { while(true) { Thread thread = new Thread(new Runnable() { public void run() { dontStop(); } }); thread.start(); } } public static void main(String[] args) { JavaVMStackOOM oom = new JavaVMStackOOM(); oom.stackLeakByThread(); } } 注意:特别提示一下,如果要尝试运行上面这段代码,记得要先保存当前的工作。由于在Windows平台的虚拟机中,Java的线程时映射到操作系统的内核线程上的,因此上述代码执行时有较大风险,可能会导致操作系统假死。 运行结果: 方法区和运行时常量池溢出 由于运行时常量池是方法去的一部分,因此这两个区域的溢出测试可以放在一起进行。 String.intern()方法是一个native方法,它的作用是:如果字符串常量池中已经包含一个等于此String对象的字符串,则返回代表池中这个字符串的string对象;否则,将此String对象包含的字符串添加到常量池中,并返回此String对象的引用。 在JDK1.6及之前的版本中,由于常量池分配在永久代中,我们可以通过-XX:PermSize和-XX:MaxPermSize限制方法区大小,从而间接限制其中常量池的容量,代码如下: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 import java.util.ArrayList; import java.util.List; /** * VM Args: -XX:PermSize=10M -XX:MaxPermSize=10M */ public class RuntimeConstantPoolOOM{ public static void main(String[] args){ // 使用List保持着常量池引用,避免Full GC 回收常量池行为 List<String> list = new ArrayList<String>(); //10MB的PermSize在int范围内足够产生OOM了 int i = 0; while(true) { //调用intern方法,将字符串全部放在常量池中 list.add(String.valueOf(i++).intern()); } } } 运行结果(JDK1.6 HotSpot JVM): 从运行结果中可以看到,运行时常量池溢出,在OutOfMemoryError后面跟随的提示信息是“PermGen space”,说明运行时常量池属于方法区(HotSpot虚拟机中的永久代)的一部分。 方法区用于存放Class相关信息,如类名、访问修饰符、常量池、字段描述、方法描述等。对于这些区域的测试,基本的思路是运行时产生大量的类去填满方法区,直到溢出。这里借助CGLib直接操作字节码运行时生成了大量的动态类。 值得注意的是,我们在这个例子中模拟的场景并非纯粹是一个实验,这样的应用经常会出现在实际应用中:当前很多主流框架如Spring、Hibernate,在对类进行增强时,都会使用到CGLib这类字节码技术,增强的类越多,就需要越大的方法区来保证动态生成的Class可以载入内存。另外,JVM上的动态语言(例如Groovy等)通常都会持续创建类来实现语言的动态性,随着这类语言越来越流行,也越来越容易遇到以下代码类似的溢出场景: ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 import java.lang.reflect.Method; import com.jvm.oom.HeapOOM.OOMObject; import net.sf.cglib.proxy.Enhancer; import net.sf.cglib.proxy.MethodInterceptor; import net.sf.cglib.proxy.MethodProxy; /** * VM Args: -XX:PermSize=10M -XX:MaxPermSize=10M */ public class JavaMethodAreaOOM{ public static void main(String[] args) { while(true){ Enhancer e = new Enhancer(); e.setSuperclass(OOMObject.class); e.setUseCache(false); e.setCallback(new MethodInterceptor(){ public Object intercept(Object obj, Method method, Object[] args, MethodProxy proxy) throws Throwable{ return proxy.invokeSuper(obj,args); } }); e.create(); } } } 运行结果: ? 1 Caused by: java.lang.OutOfMemoryError: PermGen space 方法区的溢出是一种常见的内存溢出异常,一个类要被垃圾收集器回收掉,判断条件是比较苛刻的。在经常动态生成大量Class应用中,需要特别注意类的回收情况。这类除了上面提到的程序使用了CGLib字节码增强和动态语言之外,常见的还有:还有大量jsp或动态产生jsp文件的应用(JSP第一次运行时需要编译为Java类)、基于OSGi的应用(即使是同一个类文件,被不同的加载器加载也会视为不同的类)等。 本机直接内存溢出 DirectMemory容量可通过-XX:MaxDirectMemorySize指定,如果不指定,则默认与Java堆最大值(-Xmx指定)一样,下面的代码越过了DirectByteBuffer类,直接通过反射获取Unsafe实例进行内存分配(Unsafe类的getUnsafe()方法限制了只有引导类加载器才会返回示例,也就是设计者希望只有rt.jar中的类才能使用Unsafe的功能)。因为虽然使用DirectByteBuffer分配内存也会抛出内存溢出异常,但它抛出异常时并没有真正向操作系统申请分配内存,而是通过计算得知无法分配,于是手动抛出异常,真正申请分配内存的方法是unsafe.allocateMemory()。 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 import java.lang.reflect.Field; import sun.misc.Unsafe; /** * VM Args: -Xmx20M -XX:MaxDirectMemorySize=10M */ public class DirectMemoryOOM{ private static final int _1MB = 1024*1024; public static void main(String[] args) throws Exception { Field unsafeField = Unsafe.class.getDeclaredFields()[0]; unsafeField.setAccessible(true); Unsafe unsafe = (Unsafe)unsafeField.get(null); while(true){ unsafe.allocateMemory(_1MB); } } } 运行结果: 由DirectMemory导致的内存溢出,一个明显的特征是在Heap Dump文件中不会看见明显的异常,如果发现OOM之后文件很小,而程序中有直接或简介使用了NIO,那就可以考虑一下是不是这方面的原因。
-
发表了文章 2016-05-09
使用keytool管理数字证书
keytool是Java的数字证书管理工具,用于数字证书的生成,导入,导出与撤销等操作。它与本地密钥库关联,并可以对本地密钥库进行管理,可以将私钥存放于密钥库中,而公钥使用数字证书进行输出。keytool在jdk安装目录的bin文件夹下: 构建自签名证书 在构建CSR之前,需要先在密钥库中生成本地数字证书,此时需要提供用户的身份、加密算法、有效期等一些数字证书的基本信息: ? 1 2 keytool -genkeypair -keyalg RSA -keysize 1024 -sigalg MD5withRSA \ -validity 365 -alias www.mydomain.com -keystore ~/my.keystore 参数介绍: -genkeypair——产生密钥对 -keyalg——指定加密算法 -keysize——指定密钥长度 -sigalg——指定签名算法 -validity——证书有效期 -alias——证书别名 -keystore——指定密钥库的位置 执行结果: 证书导出 执行了上面的命令后,我们已经生成了一个本地数字证书,虽然还没有经过证书认证机构进行认证,但并不影响使用,我们可以使用相应的命令对证书进行导出。 ? 1 2 keytool -exportcert -alias \ -keystore ~/my.keystore -file /tmp/my.cer -rfc 参数介绍: -exportcert——执行证书导出 -alias——密钥库中的证书别名 -keystore——指定密钥库文件 -file——导出的文件输出路径 -rfc——使用Base64格式输出 执行结果: 证书导出后,可以使用打印证书命令查看证书内容: ? 1 keytool -printcert -file /tmp/my.cer 参数介绍: -printcert——执行证书打印命令 -file——指定证书文件路径 执行结果: 导出CSR文件 如果想得到证书认证机构的认证,需要导出数字证书并签发申请(Cerificate Signing Request),经证书认证机构认证并颁发后,再将认证后的证书导入本地密钥库与信任库。 导出CSR文件命令: ? 1 2 keytool -certreq -alias \ -keystore ~/my.keystore -file /tmp/my.csr -v 参数介绍: -certreq——执行证书签发申请导出操作 -alias——证书的别名 -keystore——使用的密钥库文件 -file——输出的csr文件路径 -v——显示详细情况 执行结果: 导出CSR文件后,便可以到VeriSign、GeoTrust等权威机构进行证书认证了。 证书导入 获得证书认证机构办法的数字证书后,需要将其导入信任库。 导入数字证书的命令: ? 1 2 keytool -importcert -trustcacerts -alias www.mydomain.com \ -file /tmp/my.cer -keystore ~/my.keystore 参数介绍: -importcert——执行导入证书操作 -trustcacerts——将证书导入信任库 -alias——证书别名 -file——要导入的证书文件的路径 -keystore——指定密钥库文件 导入证书成功后,可以通过list命令来查看密钥库中的证书: ? 1 keytool -list -alias www.mydomain.com -keystore ~/my.keystore 执行结果如下:
滑动查看更多
暂无更多信息
-
发表了文章
2016-05-09
Java使用SSLSocket通信
-
发表了文章
2016-05-09
ELK(ElasticSearch, Logstash, Kibana)搭建实时日志分析平台
-
发表了文章
2016-05-09
一个Tomcat运行多个实例
-
发表了文章
2016-05-09
深入理解Java虚拟机:OutOfMemory实战
-
发表了文章
2016-05-09
使用keytool管理数字证书
-
发表了文章
2016-05-09
OpenSSL生成根证书CA及签发子证书
-
发表了文章
2016-05-09
转 启动Memcached报错:找不到libevent.2.0.so.5
-
发表了文章
2016-05-09
Java发送邮件报错:Network is unreachable
-
发表了文章
2016-05-09
转 用十条命令在一分钟内检查Linux服务器性能
-
发表了文章
2016-05-09
Weblogic 12C R2控制台乱码
-
发表了文章
2016-05-09
Redis的Pub/Sub模式
-
发表了文章
2016-05-09
Redis3.0.6集群搭建
-
发表了文章
2016-05-09
VirturalBox中搭建CentOS开发环境实录(二)
-
发表了文章
2016-05-09
VirturalBox中搭建CentOS开发环境实录(一)
-
发表了文章
2016-05-09
转 解析JDK 7的动态类型语言支持
-
发表了文章
2016-05-09
Linux下编写自己的service
-
发表了文章
2016-05-09
在cmd窗口中显示UTF-8字符
-
发表了文章
2016-05-09
MySQL中UTF8编码的数据在cmd下乱码
-
发表了文章
2016-05-09
解决java.lang.IncompatibleClassChangeError
-
发表了文章
2016-05-09
Java序列化——transient关键字和Externalizable接口
滑动查看更多
暂无更多信息