Apache Pulsar REST API发布消息导致DirectMemory内存泄漏问题分析

问题背景

在Apache Pulsar 4.0.3版本中，当用户通过REST API向带有TTL(300秒)的主题发布消息时，经过一段时间运行后，Broker服务会出现直接内存(DirectMemory)的OOM(Out Of Memory)错误，导致进程崩溃。这个问题在使用任何HTTP客户端时都能复现，包括Go语言的net/http客户端。

问题现象

从监控数据可以看到，Broker的JVM直接内存使用量持续增长，最终耗尽所有分配的DirectMemory资源。Netty的泄漏检测机制捕获到了内存泄漏的痕迹，日志中显示存在未释放的直接内存缓冲区。

技术分析

根本原因

经过深入分析，发现问题出在TopicsBase.java文件中的消息处理逻辑。当通过REST API发布消息时，系统会分配直接内存缓冲区来存储消息内容，但在某些情况下(特别是异常路径)，这些内存没有被正确释放。

具体来说，在消息发布过程中，系统会创建ByteBuf对象来保存消息内容，但在处理完成后，没有确保这些ByteBuf对象被正确释放。这导致了直接内存的持续累积，最终引发OOM。

更深层次的问题

除了内存泄漏问题外，还发现REST发布接口存在另一个严重问题：它完全绕过了Pulsar Broker原有的流量控制和背压机制。这意味着：

1. 客户端可以不受限制地向Broker推送消息，无视maxMessagePublishBufferSizeInMB等配置参数
2. 当客户端推送消息的速度超过Broker处理能力时，同样会导致内存耗尽
3. 缺乏有效的速率限制和内存限制机制

解决方案

针对内存泄漏问题，社区已经提交了修复PR。修复方案主要确保在所有代码路径(包括异常路径)都正确释放直接内存缓冲区。

对于流量控制缺失的问题，社区已经创建了单独的问题跟踪，计划在后续版本中实现完整的背压和速率限制机制。

影响与建议

这个问题会影响所有使用REST API发布消息的场景，特别是在高吞吐量环境下。建议用户：

1. 及时升级到包含修复的版本
2. 在修复版本发布前，可以考虑以下临时方案：
   • 限制REST API的发布速率
   • 增加Broker的直接内存配置
   • 优先使用原生客户端而非REST API
3. 监控Broker的直接内存使用情况，设置适当的告警阈值

技术启示

这个案例给我们几个重要的技术启示：

1. 直接内存管理在Netty应用中至关重要，必须确保所有分配的内存都被正确释放
2. 异常处理路径往往容易被忽视，但正是内存泄漏的高发区
3. API设计需要考虑完整的流量控制机制，不能只处理正常流程
4. 全面的单元测试(包括内存泄漏检测)对于发现这类问题非常有效

对于使用Pulsar的开发者和运维人员，理解这些底层机制有助于更好地诊断和预防类似问题。