来自 Apache Java 库的 LDAP 池连接 - 我们是否需要解除绑定
LDAP Pooled Connection from Apache Java Library - Do We Need to unbind
我们正在从 Java(Spring 引导)应用程序连接到 LDAP (OpenLDAP) 服务。我们遇到了 TLS 和内存使用问题。
背景
- 我们正在使用 Apache Directory LDAP API (v2) 库进行连接。
- 我们正在使用到 LDAP 服务器的连接池。
- 我们正在使用 StartTLS 来保护 Java 服务和 LDAP 服务器之间的连接。
- 我们实际上并没有从这里对 LDAP 服务器进行身份验证!
- 我们的 API 网关处理身份验证(针对相同的 LDAP 服务)。
- 我们在代码中做了两件事:
- 获取有关用户的更多数据(当收到 API 请求时)和
- 从保持与另一个源同步的服务更新 LDPA。
内存问题
Java 服务出现内存不足错误。堆栈跟踪看起来像:
Exception in thread "pool-2454-thread-1" java.lang.OutOfMemoryError: Java heap space
at java.util.HashMap.resize(HashMap.java:704)
at java.util.HashMap.putVal(HashMap.java:629)
at java.util.HashMap.put(HashMap.java:612)
at sun.security.util.MemoryCache.put(Cache.java:365)
at sun.security.ssl.SSLSessionContextImpl.put(SSLSessionContextImpl.java:181)
at sun.security.ssl.ClientHandshaker.serverFinished(ClientHandshaker.java:1293)
at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:379)
at sun.security.ssl.Handshaker.processLoop(Handshaker.java:1082)
at sun.security.ssl.Handshaker.process_record(Handshaker.java:1010)
at sun.security.ssl.SSLEngineImpl.readRecord(SSLEngineImpl.java:1032)
at sun.security.ssl.SSLEngineImpl.readNetRecord(SSLEngineImpl.java:913)
at sun.security.ssl.SSLEngineImpl.unwrap(SSLEngineImpl.java:783)
at javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:626)
at org.apache.mina.filter.ssl.SslHandler.unwrap(SslHandler.java:774)
at org.apache.mina.filter.ssl.SslHandler.unwrapHandshake(SslHandler.java:710)
at org.apache.mina.filter.ssl.SslHandler.handshake(SslHandler.java:596)
at org.apache.mina.filter.ssl.SslHandler.messageReceived(SslHandler.java:355)
at org.apache.mina.filter.ssl.SslFilter.messageReceived(SslFilter.java:517)
at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:650)
at org.apache.mina.core.filterchain.DefaultIoFilterChain.access00(DefaultIoFilterChain.java:49)
at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl.messageReceived(DefaultIoFilterChain.java:1128)
at org.apache.mina.core.filterchain.IoFilterAdapter.messageReceived(IoFilterAdapter.java:122)
at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:650)
at org.apache.mina.core.filterchain.DefaultIoFilterChain.fireMessageReceived(DefaultIoFilterChain.java:643)
at org.apache.mina.core.polling.AbstractPollingIoProcessor.read(AbstractPollingIoProcessor.java:539)
at org.apache.mina.core.polling.AbstractPollingIoProcessor.access00(AbstractPollingIoProcessor.java:68)
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.process(AbstractPollingIoProcessor.java:1222)
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.process(AbstractPollingIoProcessor.java:1211)
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.run(AbstractPollingIoProcessor.java:683)
at org.apache.mina.util.NamePreservingRunnable.run(NamePreservingRunnable.java:64)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
2020-10-13 10:03:23.388677637+03:00 Starting: /etc/alternatives/jre/bin/java -Xms128M -Xmx256M -Dlogging.config=/services/registry.svc/log4j2.json -jar
我的同事在 JVM 上调试了一个简单的 API,内存为 128m,LDAP 池似乎使用了大量内存,但没有做太多事情:
我注意到代码在进行查询后正在执行 unbind。这闻起来是错误的——我们没有像每个用户一样绑定,我们有一个 API 服务连接的单个(只读)用户,因为这允许他们读取有关用户连接和另一个(读写)用户的详细信息用于同步服务。据我了解,绑定就像登录和使用其他连接池一样,这是您每次都不会做的。我想知道通过解除绑定而不是关闭我们是否会留下僵尸连接并消耗内存?
SSL 问题
但是,如果我们不解除绑定,我们会在日志中多次出现以下错误,但没有任何合理的方法可以找到它的来源。还没有找到太多:
2020-10-14 11:08:57.817 [NioProcessor-3] WARN org.apache.directory.ldap.client.api.LdapNetworkConnection - Outbound done [MDC: {}]
javax.net.ssl.SSLException: Outbound done
at org.apache.mina.filter.ssl.SslFilter.messageReceived(SslFilter.java:513) ~[mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:650) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain.access00(DefaultIoFilterChain.java:49) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl.messageReceived(DefaultIoFilterChain.java:1128) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.IoFilterAdapter.messageReceived(IoFilterAdapter.java:122) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:650) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain.fireMessageReceived(DefaultIoFilterChain.java:643) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor.read(AbstractPollingIoProcessor.java:539) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor.access00(AbstractPollingIoProcessor.java:68) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.process(AbstractPollingIoProcessor.java:1222) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.process(AbstractPollingIoProcessor.java:1211) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.run(AbstractPollingIoProcessor.java:683) [mina-core-2.1.3.jar:?]
at org.apache.mina.util.NamePreservingRunnable.run(NamePreservingRunnable.java:64) [mina-core-2.1.3.jar:?]
at java.util.concurrent.ThreadPoolExecutor.runWorker(Unknown Source) [?:1.8.0_261]
at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source) [?:1.8.0_261]
at java.lang.Thread.run(Unknown Source) [?:1.8.0_261]
可能的解决方法
我确实在网上找到了一些建议模式的示例:
if (connection.isConnected() && connection.isAuthenticated()) {
connection.bind();
try {
// do stuff
} finally {
connection.unBind();
}
但这感觉不对 - 或者至少是一种解决方法
问题
所以,我的问题分为两个部分:
- 我们应该绑定和取消绑定每个查询(即使我们始终以同一用户身份进行身份验证),还是我们会失去池的好处?
- 有人知道
javax.net.ssl.SSLException: Outbound done 异常的任何信息吗?是否相关,如何解决?
所以,看来我关闭连接是错误的。我假设,当我从池中获取连接时,如果我“关闭”连接,它将 return 编辑到池中。似乎它关闭了它但将其保存在池中(可能是借来的,可能只是无法使用,没有调查那么远)。看来我需要将它 return 放到池中,并为此保留对池的引用。
我有一个函数(实际上是一个注入的服务)来处理池和 return 一个连接。我想做的是:
try (final LdapConnection connection = ldapService.getConnection()) {
// Do stuff with connection
}
我最后做的是定义一个 class 像:
/**
* Wraps a connection from a connection pool such that close with release it back to the pool.
*
* <p>You need a reference to the pool in order to release it, so using a wrapper</p>
*/
public class PooledLdapConnection implements Closeable {
private final LdapConnection connection;
private final LdapConnectionPool pool;
public PooledLdapConnection(final LdapConnection connection, final LdapConnectionPool pool) {
this.connection = connection;
this.pool = pool;
}
public LdapConnection getConnection() {
return connection;
}
@Override
public void close() throws IOException {
if (pool != null) {
try {
pool.releaseConnection(connection);
} catch (final LdapException e) {
throw new IOException(e.getMessage(), e);
}
}
}
}
然后我的 LDAP 服务现在 returns - 在函数中,而不只是 returning pool.getConnection() I return new PooledLdapConnection(pool.getConnection(), pool)
那我可以
try (final PooledLdapConnection connection = ldapService.getConnection()) {
// Do stuff with connection.getConnection()
}
当它完成并“关闭”时,它实际上只是 return 到池中。我本可以用我的 PooledLdapConnection 实现 LdapConnection 接口,并简单地将除 close 之外的所有功能的实现直接代理到我的底层连接对象,但这更容易,而且如果接口被更新也不需要重构.
我确实觉得这是图书馆应该为我做的!由池 returned 实现的对象应该与通过获取单个连接 returned 的对象不同,区别在于 auto-close 的作用。但这似乎有效。
我还有一个问题。我们的开发环境中的 DNS 配置错误,因此它指向错误的服务器以尝试连接到 LDAP。在这种情况下,它仍然会占用连接,直到我们达到 java 文件限制。还没有进一步调查
我们正在从 Java(Spring 引导)应用程序连接到 LDAP (OpenLDAP) 服务。我们遇到了 TLS 和内存使用问题。
背景
- 我们正在使用 Apache Directory LDAP API (v2) 库进行连接。
- 我们正在使用到 LDAP 服务器的连接池。
- 我们正在使用 StartTLS 来保护 Java 服务和 LDAP 服务器之间的连接。
- 我们实际上并没有从这里对 LDAP 服务器进行身份验证!
- 我们的 API 网关处理身份验证(针对相同的 LDAP 服务)。
- 我们在代码中做了两件事:
- 获取有关用户的更多数据(当收到 API 请求时)和
- 从保持与另一个源同步的服务更新 LDPA。
内存问题
Java 服务出现内存不足错误。堆栈跟踪看起来像:
Exception in thread "pool-2454-thread-1" java.lang.OutOfMemoryError: Java heap space
at java.util.HashMap.resize(HashMap.java:704)
at java.util.HashMap.putVal(HashMap.java:629)
at java.util.HashMap.put(HashMap.java:612)
at sun.security.util.MemoryCache.put(Cache.java:365)
at sun.security.ssl.SSLSessionContextImpl.put(SSLSessionContextImpl.java:181)
at sun.security.ssl.ClientHandshaker.serverFinished(ClientHandshaker.java:1293)
at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:379)
at sun.security.ssl.Handshaker.processLoop(Handshaker.java:1082)
at sun.security.ssl.Handshaker.process_record(Handshaker.java:1010)
at sun.security.ssl.SSLEngineImpl.readRecord(SSLEngineImpl.java:1032)
at sun.security.ssl.SSLEngineImpl.readNetRecord(SSLEngineImpl.java:913)
at sun.security.ssl.SSLEngineImpl.unwrap(SSLEngineImpl.java:783)
at javax.net.ssl.SSLEngine.unwrap(SSLEngine.java:626)
at org.apache.mina.filter.ssl.SslHandler.unwrap(SslHandler.java:774)
at org.apache.mina.filter.ssl.SslHandler.unwrapHandshake(SslHandler.java:710)
at org.apache.mina.filter.ssl.SslHandler.handshake(SslHandler.java:596)
at org.apache.mina.filter.ssl.SslHandler.messageReceived(SslHandler.java:355)
at org.apache.mina.filter.ssl.SslFilter.messageReceived(SslFilter.java:517)
at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:650)
at org.apache.mina.core.filterchain.DefaultIoFilterChain.access00(DefaultIoFilterChain.java:49)
at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl.messageReceived(DefaultIoFilterChain.java:1128)
at org.apache.mina.core.filterchain.IoFilterAdapter.messageReceived(IoFilterAdapter.java:122)
at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:650)
at org.apache.mina.core.filterchain.DefaultIoFilterChain.fireMessageReceived(DefaultIoFilterChain.java:643)
at org.apache.mina.core.polling.AbstractPollingIoProcessor.read(AbstractPollingIoProcessor.java:539)
at org.apache.mina.core.polling.AbstractPollingIoProcessor.access00(AbstractPollingIoProcessor.java:68)
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.process(AbstractPollingIoProcessor.java:1222)
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.process(AbstractPollingIoProcessor.java:1211)
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.run(AbstractPollingIoProcessor.java:683)
at org.apache.mina.util.NamePreservingRunnable.run(NamePreservingRunnable.java:64)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1149)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:624)
2020-10-13 10:03:23.388677637+03:00 Starting: /etc/alternatives/jre/bin/java -Xms128M -Xmx256M -Dlogging.config=/services/registry.svc/log4j2.json -jar
我的同事在 JVM 上调试了一个简单的 API,内存为 128m,LDAP 池似乎使用了大量内存,但没有做太多事情:
我注意到代码在进行查询后正在执行 unbind。这闻起来是错误的——我们没有像每个用户一样绑定,我们有一个 API 服务连接的单个(只读)用户,因为这允许他们读取有关用户连接和另一个(读写)用户的详细信息用于同步服务。据我了解,绑定就像登录和使用其他连接池一样,这是您每次都不会做的。我想知道通过解除绑定而不是关闭我们是否会留下僵尸连接并消耗内存?
SSL 问题
但是,如果我们不解除绑定,我们会在日志中多次出现以下错误,但没有任何合理的方法可以找到它的来源。还没有找到太多:
2020-10-14 11:08:57.817 [NioProcessor-3] WARN org.apache.directory.ldap.client.api.LdapNetworkConnection - Outbound done [MDC: {}]
javax.net.ssl.SSLException: Outbound done
at org.apache.mina.filter.ssl.SslFilter.messageReceived(SslFilter.java:513) ~[mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:650) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain.access00(DefaultIoFilterChain.java:49) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain$EntryImpl.messageReceived(DefaultIoFilterChain.java:1128) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.IoFilterAdapter.messageReceived(IoFilterAdapter.java:122) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:650) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.filterchain.DefaultIoFilterChain.fireMessageReceived(DefaultIoFilterChain.java:643) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor.read(AbstractPollingIoProcessor.java:539) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor.access00(AbstractPollingIoProcessor.java:68) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.process(AbstractPollingIoProcessor.java:1222) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.process(AbstractPollingIoProcessor.java:1211) [mina-core-2.1.3.jar:?]
at org.apache.mina.core.polling.AbstractPollingIoProcessor$Processor.run(AbstractPollingIoProcessor.java:683) [mina-core-2.1.3.jar:?]
at org.apache.mina.util.NamePreservingRunnable.run(NamePreservingRunnable.java:64) [mina-core-2.1.3.jar:?]
at java.util.concurrent.ThreadPoolExecutor.runWorker(Unknown Source) [?:1.8.0_261]
at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source) [?:1.8.0_261]
at java.lang.Thread.run(Unknown Source) [?:1.8.0_261]
可能的解决方法
我确实在网上找到了一些建议模式的示例:
if (connection.isConnected() && connection.isAuthenticated()) {
connection.bind();
try {
// do stuff
} finally {
connection.unBind();
}
但这感觉不对 - 或者至少是一种解决方法
问题
所以,我的问题分为两个部分:
- 我们应该绑定和取消绑定每个查询(即使我们始终以同一用户身份进行身份验证),还是我们会失去池的好处?
- 有人知道
javax.net.ssl.SSLException: Outbound done异常的任何信息吗?是否相关,如何解决?
所以,看来我关闭连接是错误的。我假设,当我从池中获取连接时,如果我“关闭”连接,它将 return 编辑到池中。似乎它关闭了它但将其保存在池中(可能是借来的,可能只是无法使用,没有调查那么远)。看来我需要将它 return 放到池中,并为此保留对池的引用。
我有一个函数(实际上是一个注入的服务)来处理池和 return 一个连接。我想做的是:
try (final LdapConnection connection = ldapService.getConnection()) {
// Do stuff with connection
}
我最后做的是定义一个 class 像:
/**
* Wraps a connection from a connection pool such that close with release it back to the pool.
*
* <p>You need a reference to the pool in order to release it, so using a wrapper</p>
*/
public class PooledLdapConnection implements Closeable {
private final LdapConnection connection;
private final LdapConnectionPool pool;
public PooledLdapConnection(final LdapConnection connection, final LdapConnectionPool pool) {
this.connection = connection;
this.pool = pool;
}
public LdapConnection getConnection() {
return connection;
}
@Override
public void close() throws IOException {
if (pool != null) {
try {
pool.releaseConnection(connection);
} catch (final LdapException e) {
throw new IOException(e.getMessage(), e);
}
}
}
}
然后我的 LDAP 服务现在 returns - 在函数中,而不只是 returning pool.getConnection() I return new PooledLdapConnection(pool.getConnection(), pool)
那我可以
try (final PooledLdapConnection connection = ldapService.getConnection()) {
// Do stuff with connection.getConnection()
}
当它完成并“关闭”时,它实际上只是 return 到池中。我本可以用我的 PooledLdapConnection 实现 LdapConnection 接口,并简单地将除 close 之外的所有功能的实现直接代理到我的底层连接对象,但这更容易,而且如果接口被更新也不需要重构.
我确实觉得这是图书馆应该为我做的!由池 returned 实现的对象应该与通过获取单个连接 returned 的对象不同,区别在于 auto-close 的作用。但这似乎有效。
我还有一个问题。我们的开发环境中的 DNS 配置错误,因此它指向错误的服务器以尝试连接到 LDAP。在这种情况下,它仍然会占用连接,直到我们达到 java 文件限制。还没有进一步调查