tomcat启动时一直卡在[localhost-startStop-1] org.apache.catalina.startup.HostConfig.deployDirectory,通过查找资料发现这个问题和jvm上的熵池策略有关。
1. 熵池
Linux内核采用熵来描述数据的随机性。熵(entropy)是描述系统混乱无序程度的物理量,一个系统的熵越大则说明该系统的有序性越差,即不确定性越大。在信息学中,熵被用来表征一个符号或系统的不确定性,熵越大,表明系统所含有用信息量越少,不确定度越大。
计算机本身是可预测的系统,因此,用计算机算法不可能产生真正的随机数。但是机器的环境中充满了各种各样的噪声,如硬件设备发生中断的时间,用户点击鼠标的时间间隔等是完全随机的,事先无法预测。Linux内核实现的随机数产生器正是利用系统中的这些随机噪声来产生高质量随机数序列。
系统内核维护了一个熵池用来收集来自设备驱动程序和其它来源的环境噪音。理论上,熵池中的数据是完全随机的,可以实现产生真随机数序列。为跟踪熵池中数据的随机性,内核在将数据加入池的时候将估算数据的随机性,这个过程称作熵估算。熵估算值描述池中包含的随机数位数,其值越大表示池中数据的随机性越好。
2. JVM上的随机数与熵池策略
在apache-tomcat官方文档How do I make Tomcat startup faster?里面提到了一些启动时的优化项,其中一项是关于随机数生成时,采用的“熵源”(entropy source)的策略。
文档中提到了tomcat7的session id的生成主要通过java.security.SecureRandom生成随机数来实现,随机数算法使用的是“SHA1PRNG”,在sun/oracle的jdk里,这个算法的提供者在底层依赖到操作系统提供的随机数据,在linux上,与之相关的是/dev/random和/dev/urandom。很多解密程序与安全应用程序(如SSH Keys,SSL Keys等)需要它们提供的随机数据流。
/dev/random依赖于系统中断,因此在系统的中断数不足时,/dev/random设备会一直封锁,对/dev/random的读操作将会被阻塞,直到熵估算值增大到一定域值才会返回一个随机数。/dev/random可生成高随机性的数据,对于生成高质量的加密密钥或者是需要长期保护的场景,一般要采用该种方式。
/dev/urandom (“unlocked”,非阻塞的随机数发生器),它会重复使用熵池中的数据以产生伪随机数据,无论熵池的熵估算值是否为零。这表示对/dev/urandom的读取操作不会产生阻塞,但其输出的熵一般小于/dev/random。它可以作为生成较低强度密码的伪随机数生成器。 使用cat命令可以读取/dev/random和/dev/urandom的数据流(将输出转换为16进制)。
cat /dev/random | od -x
cat /dev/urandom | od -x | head -10
/dev/random产生数据的速度很慢,运行一段时间之后,只输出了一条数据,然后就一直阻塞。而/dev/urandom的产生速度很快,基本没有任何停顿。
3. /dev/random产生速度很慢的解决办法
在catalina.sh中加入这么一行:-Djava.security.egd=file:/dev/./urandom或者将$JAVA_HOME/jre/lib/security/java.security内的securerandom.source参数修改为file:/dev/./urandom
将securerandom.source参数修改为file:/dev/./urandom后,tomcat的问题解决。