浅谈阿里开源JVM Sandbox（内含代码实战）

举几个典型的JVM-Sandbox应用场景：

• 流量回放：如何录制线上应用每次接口请求的入参和出参？改动应用代码固然可以，但成本太大，通过JVM-Sandbox，可以直接在不修改代码的情况下，直接抓取接口的出入参。

• 安全漏洞热修复：假设某个三方包（例如出名的fastjson）又出现了漏洞，集团内那么多应用，一个个发布新版本修复，漏洞已经造成了大量破坏。通过JVM-Sandbox，直接修改替换有漏洞的代码，及时止损。

• 接口故障模拟：想要模拟某个接口超时5s后返回false的情况，JVM-Sandbox很轻松就能实现。

• 故障定位：像Arthas类似的功能。

• 接口限流：动态对指定的接口做限流。

• 日志打印

• ...

本文围绕JVM SandBox展开，主要介绍如下内容：

• JVM SandBox的诞生背景

• JVM SandBox的架构设计

• 代码实战：Spring Bean初始化耗时统计

• JVM SandBox的底层技术

• 总结

JVM SandBox 是阿里开源的一款 JVM 平台非侵入式运行期 AOP 解决方案，本质上是一种 AOP 落地形式。那么可能有同学会问：已有成熟的 Spring AOP 解决方案，阿里巴巴为什么还要“重复造轮子”？这个问题要回到 JVM SandBox 诞生的背景中来回答。在 2016 年中，天猫双十一催动了阿里巴巴内部大量业务系统的改动，恰逢徐冬晨（阿里巴巴测试开发专家）所在的团队调整，测试资源保障严重不足，迫使他们必须考虑更精准、更便捷的老业务测试回归验证方案。开发团队面临的是新接手的老系统，老的业务代码架构难以满足可测性的要求，很多现有测试框架也无法应用到老的业务系统架构中，于是需要新的测试思路和测试框架。

很多框架通过破坏双亲委派（我更愿意称之为直系亲属委派）来实现类隔离，JVM SandBox也不例外。它通过自定义的SandboxClassLoader破坏了双亲委派的约定，实现了几个隔离特性：

• 和目标应用的类隔离：不用担心加载沙箱会引起原应用的类污染、冲突。

• 模块之间类隔离：做到模块与模块之间、模块和沙箱之间、模块和应用之间互不干扰。

在沙箱的世界观中，任何一个Java方法的调用都可以分解为BEFORE、RETURN和THROWS三个环节，由此在三个环节上引申出对应环节的事件探测和流程控制机制。

基于BEFORE、RETURN和THROWS三个环节事件分离，沙箱的模块可以完成很多类AOP的操作。

1. 可以感知和改变方法调用的入参

2. 可以感知和改变方法调用返回值和抛出的异常

3. 可以改变方法执行的流程 

• 在方法体执行之前直接返回自定义结果对象，原有方法代码将不会被执行

• 在方法体返回之前重新构造新的结果对象，甚至可以改变为抛出异常

• 在方法体抛出异常之后重新抛出新的异常，甚至可以改变为正常返回

（引用自官方文档）

一切都是事件驱动的，这一点你可能很迷糊，但是别担心，请继续往下阅读，在下文的实战环节中，可以帮助你理解事件驱动的含义。

图4 主入口代码实现

• Agent：随着JVM启动一起启动

• Attach：在已经运行的JVM进程中，动态的插入

其中ModuleLifecycle包含了整个模块的生命周期回调函数。

• onLoad：模块加载，模块开始加载之前调用！模块加载是模块生命周期的开始，在模块生命中期中有且只会调用一次。这里抛出异常将会是阻止模块被加载的唯一方式，如果模块判定加载失败，将会释放掉所有预申请的资源，模块也不会被沙箱所感知。

• onUnload：模块卸载，模块开始卸载之前调用！模块卸载是模块生命周期的结束，在模块生命中期中有且只会调用一次。这里抛出异常将会是阻止模块被卸载的唯一方式，如果模块判定卸载失败，将不会造成任何资源的提前关闭与释放，模块将能继续正常工作。

• onActive：模块被激活后，模块所增强的类将会被激活，所有com.alibaba.jvm.sandbox.api.listener.EventListener将开始收到对应的事件。

• onFrozen：模块被冻结后，模块所持有的所有com.alibaba.jvm.sandbox.api.listener.EventListener将被静默，无法收到对应的事件。需要注意的是，模块冻结后虽然不再收到相关事件，但沙箱给对应类织入的增强代码仍然还在。

• loadCompleted：模块加载完成，模块完成加载后调用！模块完成加载是在模块完成所有资源加载、分配之后的回调，在模块生命中期中有且只会调用一次。这里抛出异常不会影响模块被加载成功的结果。模块加载完成之后，所有的基于模块的操作都可以在这个回调中进行。

图5 过滤器代码实现

图6 initializeBean入口源码注释

图7 监听逻辑代码实现

图8 工具生成的SpringBean耗时报表

• 不能通过字节码文件和自定义的类名重新定义一个本来不存在的类；

• 增强类和老类必须遵循很多限制：比如新类和老类的父类必须相同；新类和老类实现的接口数也要相同，并且是相同的接口；新类和老类访问符必须一致。新类和老类字段数和字段名要一致；新类和老类新增或删除的方法必须是private static/final修饰的；

这两种方式各有不同用途，一般来说，Attach方式适合于动态的对代码进行功能修改，在排查问题的时候用的比较多。而Agent模式随着应用启动，所以经常用于提前实现一些增强功能，比如我上面实战中的启动观测，应用防火墙，限流策略等等。

参考：

[1] JVM SandBox 的技术原理与应用分析 

https://www.infoq.cn/article/tsy4lgjvsfweuxebw*gp

[2] Github jvm-sandbox 

https://github.com/alibaba/jvm-sandbox/wiki

[3] javaagent使用指南 

https://www.cnblogs.com/rickiyang/p/11368932.html

[4] Java JVMTI和Instrumention机制介绍 

https://www.jianshu.com/p/eff047d4480a