TOMCAT 8.5以上可支援HTTP/2,而HTTP/2+ALPN為目前瀏覽器支援的主流,
需要openssl的支援,而舊版本openssl只支援NPN,
若要支援ALPN,那麼openssl版本需 >= 1.0.2,
若未滿足上述條件,瀏覽器會自動降級為使用HTTP/1.1協定,
或瀏覽器本來就不支援HTTP/2,伺服器會改使用HTTP/1.1協定。
TOMCAT 8.5要支援HTTP/2需要使用APR(Tomcat Native library)
TOMCAT9.X要支援HTTP/2,可以使用APR,或使用Java >=9版本(建議)。
(UPDATE: TOMCAT 8.5 +JDK8使用APR有不太穩定的現象,建議升級為TOMCAT 9)
(UPDATE: TOMCAT 9 +JDK8使用APR運行了幾天後突然噴掉,查了 /tmp/hs_err_pid22617.log
,stack trace顯示錯誤為:
Stack: [0x00007f2eb16f8000,0x00007f2eb17f9000], sp=0x00007f2eb17f74a0, free space=1021k
Native frames: (J=compiled Java code, j=interpreted, Vv=VM code, C=native code)
C [libc.so.6+0x7c418] _int_free+0x2f8
Java frames: (J=compiled Java code, j=interpreted, Vv=VM code)
J 7361 org.apache.tomcat.jni.Socket.destroy(J)V (0 bytes) @ 0x00007f2ec140ba81 [0x00007f2ec140ba40+0x41]
看起來是底層系統做記憶體回收時噴掉,網路上一查似乎很多人都有不定時噴掉的情形,
看來APR似乎是不太可靠…或者是libc.so要去更新才行,因此為了暫時解決此問題,
在tomcat.service加了crash後自動restart的機制:
[Service]
...
Restart=on-failure
RestartSec=5
TimeoutStartSec=60
TimeoutStopSec=60
1.先確定OPENSSL >= 1.0.2,若不是請先升級
openssl version
==> OpenSSL 1.0.2k-fips 26 Jan 2017
2.安裝gcc、OpenSSL libraries及APR library,等下編譯 tc-native需用到
apt-get install gcc libapr1.0-dev libssl-dev
或
yum install apr-devel openssl-devel
/usr/bin/apr-1-config --version
==> 1.4.8
注意最後訊息所顯示的apr安裝位置,譬如CentOS用yum是安裝在/usr/bin/apr-1-config
3.下載Apache Tomcat Native Library,解壓縮,./configure,make,make install
(可直接使用tomcat/bin/tomcat-native.tar.gz)
(新版下載位置:http://tomcat.apache.org/download-native.cgi)
cd path/to/tomcat/bin/
tar zxvf ttomcat-native.tar.gz
cd tomcat-native-1.2.16-src/native
自動安裝到tomcat/lib:
./configure --prefix=$CATALINA_HOME
make
make install
或不make install,手動搬移library(建議):
./configure && make
mkdir -p path/to/tomcat/lib_tc
cp .libs/* path/to/tomcat/lib_tc
chown -R tomcat.tomcat path/to/tomcat/lib_tc
cd path/to/tomcat/lib_tc
ln -f -s libtcnative-1.so libtcnative-1.so.0.2.16
ln -f -s libtcnative-1.so.0 libtcnative-1.so.0.2.16
4.make install後,會在tomcat/lib多了
libtcnative-1.a
libtcnative-1.la
libtcnative-1.lai
libtcnative-1.so (link)
libtcnative-1.so.0 (link)
libtcnative-1.so.0.2.16
這些函式庫檔案跟目錄,記得檢查並chmod及chown一下。
5.之後我們需要把這些lib路徑加到環境變數LD_LIBRARY_PATH,
可以用編輯tomcat/bin/setenv.sh的方法(無此檔案請自行新增),加入:
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:$CATALINA_HOME/lib_tc
export LD_LIBRARY_PATH
記得chmod +x setenv.sh
6.修改tomcat/conf/server.xml
檢查一下AprLifecycleListener是否有加入此行啟動監聽:
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
修改Connector,注意憑證需轉換為PEM格式
<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
maxThreads="150" SSLEnabled="true" >
<UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
<SSLHostConfig>
<Certificate certificateKeyFile="conf/private_key.pkcs8"
certificateChainFile="conf/ca_chain.cer"
certificateFile="conf/ca.cer"/>
</SSLHostConfig>
</Connector>
若無申請正式憑證,可先自行生成自簽憑證使用:
openssl genrsa -out private_key.pkcs8 2048
openssl rsa -in private_key.pkcs8 -out private_key.pkcs8
openssl req -new -x509 -key private_key.pkcs8 -out ca.crt -days 3650
7.重啟TOMCAT,
檢查catalina logs是否成功載入APR
INFO: Loaded APR based Apache Tomcat Native library [1.x.y]
["https-openssl-apr-8443"]
如有以上訊息代表成功。
上述做法我在tomcat 9是成功的,但tomcat 8.5.4似乎有掉資料的現象,所以建議升級至TOMCAT 9。
TOMCAT9的HTTP/2若不使用APR,需使用JDK >= 9,這樣Connector就直接使用NIO2就好而不需要用到APR。
ref:
http://tomcat.apache.org/whichversion.html
https://tomcat.apache.org/tomcat-9.0-doc/config/http2.html
https://linux.cn/article-7934-1.html
https://dzone.com/articles/configure-tomcat-9-forhttp2
https://stackoverflow.com/questions/30855281/tomcat-support-for-http-2-0/37889873#37889873
https://readlearncode.com/configure-tomcat-9-for-http2/
http://tomcat.apache.org/native-doc/
https://tomcat.apache.org/tomcat-8.5-doc/apr.html
http://jmchung.github.io/blog/2013/09/06/centos-installing-apache-portable-runtime-apr-for-tomcat/
沒有留言:
張貼留言