dubbo2.5.3升级到2.7.3

  • dubbo框架升级
  • 修复方案
  • 升级介绍
  • 升级内容
  • 升级过程中出现的问题
  • PS


dubbo框架升级

dubbo框架因为阿里有一段时间没有维护,所以项目中用的还是2.5.3的版本,近期公司做安全渗透发现存在反序列化漏洞,利用该漏洞可以获取到部署provider服务主机的信息,属于高危漏洞,必须尽快修复。

修复方案

这种框架上的漏洞修复对于研究dubbo不深的人来说,升级版本是最快的修复方案。在dubbo2.7版本介绍中,明确说了会修复该漏洞。具体介绍可参考链接:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.0 。Dubbo 2.7.0版本在改造的过程中遵循了一个原则,即保持与低版本的兼容性,因此从功能层面来说它是与2.6.x及更低版本完全兼容的。因此不用担心会大改业务代码。

升级介绍

  1. dubbo2.7.0以后的版本需要Java 8及以上版本。
  2. Maven坐标变更,groupId 由 com.alibaba 改为 org.apache.dubbo。
  3. package变更,package 由 com.alibaba.dubbo 改为 org.apache.dubbo。
  4. 引入curator依赖,dubbo2.5.3版本以后新增了对curator的依赖。
  5. 新增元数据中心,新增dubbo.metadata-report.address配置(这个配置不写不会生效且不会影响服务)
  6. 修改xml文件中的xsd

升级内容

1.Maven坐标变更

<dependency>
 < groupId>com.alibaba</groupId>
 < artifactId>dubbo</artifactId>
 <version>2.6.0</version>
 </dependency>
 升级为:
 <dependency>
 <groupId>org.apache.dubbo</groupId>
 <artifactId>dubbo</artifactId>
 <version>2.7.3</version>
 </dependency>2. 引入curator依赖,并排除zookeeper依赖,zookeeper依赖需要单独引用
 <dependency>
 <groupId>org.apache.curator</groupId>
 <artifactId>curator-recipes</artifactId>
 <version>4.2.0</version>
 <exclusions>
 <exclusion>
 <groupId>org.apache.zookeeper</groupId>
 <artifactId>zookeeper</artifactId>
 </exclusion>
 </exclusions>
 </dependency>
 单独引用zookeeper依赖如下:
 <dependency>
 <groupId>org.apache.zookeeper</groupId>
 <artifactId>zookeeper</artifactId>
 <version>3.4.6</version>
 </dependency>3. 修改xml文件中的xsd
 <?xml version=“1.0” encoding=“UTF-8”?>
 <beans xmlns=“http://www.springframework.org/schema/beans”
 xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xmlns:dubbo=“http://code.alibabatech.com/schema/dubbo”
 xsi:schemaLocation=“http://www.springframework.org/schema/beans
 http://www.springframework.org/schema/beans/spring-beans.xsd http://code.alibabatech.com/schema/dubbo
 http://code.alibabatech.com/schema/dubbo/dubbo.xsd”>
 …
 </beans>修改为:
<?xml version=“1.0” encoding=“UTF-8”?>
 <beans xmlns=“http://www.springframework.org/schema/beans”
 xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance”
 xmlns:dubbo=“http://dubbo.apache.org/schema/dubbo”
 xsi:schemaLocation=“http://www.springframework.org/schema/beans
 http://www.springframework.org/schema/beans/spring-beans.xsd http://dubbo.apache.org/schema/dubbo
 http://dubbo.apache.org/schema/dubbo/dubbo.xsd”>
 …
 </beans>

升级过程中出现的问题

  1. 因为curator不同版本需要依赖不同的zookeeper版本,实际升级过程中,因为curator版本与zookeeper版本不兼容问题会导致打包部署到生产上以后cpu爆满的问题,该问题百度curator兼容zookeeper即可解决。
  2. elastic-job在dubbo升级以后报错问题,该问题同样是curator版本与zookeeper版本不兼容导致的,具体可以查看elastic-job依赖的包。解决办法是修改pom文件,将elastic-job的curator版本降下来。

PS

有时间再介绍升级过程中出现的问题吧,感觉这会对dubbo框架使用者有帮助。毕竟坑就这么些。