dubbo2.5.3升级到2.7.3

dubbo框架升级

dubbo框架因为阿里有一段时间没有维护，所以项目中用的还是2.5.3的版本，近期公司做安全渗透发现存在反序列化漏洞，利用该漏洞可以获取到部署provider服务主机的信息，属于高危漏洞，必须尽快修复。

修复方案

这种框架上的漏洞修复对于研究dubbo不深的人来说，升级版本是最快的修复方案。在dubbo2.7版本介绍中，明确说了会修复该漏洞。具体介绍可参考链接：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.0 。Dubbo 2.7.0版本在改造的过程中遵循了一个原则，即保持与低版本的兼容性，因此从功能层面来说它是与2.6.x及更低版本完全兼容的。因此不用担心会大改业务代码。

升级介绍

1. dubbo2.7.0以后的版本需要Java 8及以上版本。
2. Maven坐标变更，groupId 由 com.alibaba 改为 org.apache.dubbo。
3. package变更，package 由 com.alibaba.dubbo 改为 org.apache.dubbo。
4. 引入curator依赖，dubbo2.5.3版本以后新增了对curator的依赖。
5. 新增元数据中心，新增dubbo.metadata-report.address配置（这个配置不写不会生效且不会影响服务）
6. 修改xml文件中的xsd

升级内容

1.Maven坐标变更

< groupId>com.alibaba
< artifactId>dubbo
2.6.0

升级为：

org.apache.dubbo
dubbo
2.7.3

2. 引入curator依赖,并排除zookeeper依赖，zookeeper依赖需要单独引用
   
   org.apache.curator
   curator-recipes
   4.2.0
   
   
   org.apache.zookeeper
   zookeeper
   
   
   
   单独引用zookeeper依赖如下：
   
   org.apache.zookeeper
   zookeeper
   3.4.6
   

3. 修改xml文件中的xsd
   
   xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance” xmlns:dubbo=“http://code.alibabatech.com/schema/dubbo”
   xsi:schemaLocation=“http://www.springframework.org/schema/beans
   http://www.springframework.org/schema/beans/spring-beans.xsd
   http://code.alibabatech.com/schema/dubbo
   http://code.alibabatech.com/schema/dubbo/dubbo.xsd”>
   …
   

修改为：

xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance”
xmlns:dubbo=“http://dubbo.apache.org/schema/dubbo”
xsi:schemaLocation=“http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://dubbo.apache.org/schema/dubbo
http://dubbo.apache.org/schema/dubbo/dubbo.xsd”>
…

升级过程中出现的问题

1. 因为curator不同版本需要依赖不同的zookeeper版本，实际升级过程中，因为curator版本与zookeeper版本不兼容问题会导致打包部署到生产上以后cpu爆满的问题，该问题百度curator兼容zookeeper即可解决。
2. elastic-job在dubbo升级以后报错问题，该问题同样是curator版本与zookeeper版本不兼容导致的，具体可以查看elastic-job依赖的包。解决办法是修改pom文件，将elastic-job的curator版本降下来。

PS

有时间再介绍升级过程中出现的问题吧，感觉这会对dubbo框架使用者有帮助。毕竟坑就这么些。