最近,Opensource.com 的同事 James Farrell 写了一篇精彩的文章,题为 Ansible 如何为我的家庭带来和平。除了这篇很棒的文章,我真的很喜欢这个标题,这是一个意想不到的短语,我相信它给许多人带来了微笑。
我最近也有过一次奇怪但积极的经历,也需要一个类似的意想不到的标签。我一直在努力解决一个难题,这个问题是在升级一些服务器和网络基础设施时出现的,这导致我从 2000 年代初期就开始支持的一个 Java 应用程序崩溃了。奇怪的是,我在一篇关于 Kubernetes 的信息量很大且非常好的文章中找到了解决方案,真是出乎意料。
事不宜迟,这是我的问题
我猜大多数读者看到这条消息会想到“我希望日志文件中有更多信息”,或者“我真的很高兴我从未收到过这样的消息”。
不幸的是,日志文件中没有太多信息,实际上只有相同的消息。为了调试这个问题,我做了三件事
-
我在网上搜索了这条消息。有趣的是,或者说是不祥之兆,只有大约 200 条关于这个字符串的搜索结果,其中一条建议 打开更多调试输出,这涉及到添加设置
-Djavax.net.debug=ssl:handshake:verbose
到运行应用程序的 java 命令。
-
我尝试了这个建议,结果产生了很多输出(很好),但其中大部分对我来说意义不大,因为我不是 SSL 等底层技术的专家。但我注意到的一件事是,在所有这些输出中,没有关于来自服务器的响应的信息;
-
所以我又搜索了一些。
这个问题的另一个有趣之处在于,当使用 OpenJDK 捆绑的 Java 命令执行时,代码运行良好,但当使用以这种方式从同一 OpenJDK 创建的自定义运行时时,代码会失败并出现此错误。因此,从上面的搜索 #1 中出现的相对较少的明显类似问题实际上并不完全相关,因为它们似乎主要是在处理服务器上错误的 SSL 证书,以及 PostgreSQL JDBC 检查服务器凭据的能力。
我还应该提到,我花了一段时间才意识到问题是由使用自定义 Java 运行时引入的,因为我设法检查了沿途的许多其他可能性(事实上,我确实修复了一些小错误)。我的努力包括获取最新的 OpenJDK,检查和重新检查所有 URL,以防出现拼写错误等等。
通常情况下,在将问题搁置几个小时后,我突然想到一个主意——也许我的自定义 Java 运行时缺少一些模块。虽然我没有收到任何直接暗示该问题的错误,但标准 OpenJDK 环境工作正常而自定义环境失败这一可观察到的事实似乎暗示了这种可能性。我在 OpenJDK 安装中的 jmods/ 文件夹中快速浏览了一下,但那里大约有 70 个模块,没有什么特别突出的。
但同样,奇怪的是,在打开调试的情况下(参见上面的 #1),没有迹象表明服务器会接受什么,只是客户端主要无法提供什么,很多行都像这样
Ignoring unavailable cipher suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA所以此时我至少在想,也许缺少的是提供这些类型密码套件的模块。所以我开始使用“jdbc crypto”之类的字符串进行搜索,在搜索过程中,最不可能的文章出现了:优化 Kubernetes 服务—第 2 部分:Spring Web,作者是 Juan Medina。在文章的中间部分,我发现了以下内容
哈!想象一下,他的脚本正在创建自定义 Java 运行时,就像我的脚本一样。但他说他需要手动添加模块 jdk.crypto.ec 才能通过 SSL 连接到他的 PostgreSQL 环境。听起来确实很熟悉。
事实上,这也是我问题的解决方案;缺少的模块是 jdk.crypto.ec,我能够像这样将其添加到我的构建中
DEPS=$(JAVA_HOME)/bin/jdeps --print-module-deps $(TEST_HOME)/MyApp.jar \ $(TEST_HOME)/lib/*.jar,jdk.crypto.ec;
$(JAVA_HOME)/bin/jlink --module-path $(W64_JAVA_HOME)/jmods
–no-header-files --no-man-pages --compress=2 –strip-debug
–add-modules $$DEPS --output $(TEST_HOME)/java-runtime(我在这里交叉构建 Windows Java 运行时;有关此主题的更多信息,请参阅我之前的文章)。
结论
对于像我这样对加密技术知之甚少的人来说,这真是一次死里逃生。再一次,开源,更重要的是,与开源相关的分享意愿,意义重大。哇,使用 Kubernetes 来修复 Java 桌面应用程序,这也很了不起!再次感谢 Juan Medina!
6 条评论