ClickHouse在Amazon Linux 2023上的Segmentation Fault问题分析

在Amazon Linux 2023操作系统上，用户通过curl下载并运行ClickHouse时遇到了Segmentation Fault错误。这个问题源于OpenSSL初始化过程中的静态初始化顺序问题，特别是在新版本OpenSSL的系统配置加载机制上。

问题背景

当用户在Amazon Linux 2023上执行ClickHouse时，程序会在启动阶段崩溃并抛出Segmentation Fault。通过调试分析发现，这个问题发生在OpenSSL的初始化阶段。具体来说，是当ClickHouse尝试加载系统OpenSSL配置时发生的。

根本原因分析

深入分析后，我们发现几个关键因素导致了这个问题：

1. 静态初始化顺序问题：ClickHouse中OpenSSL初始化器的构造函数优先级(202)可能与其他组件的初始化顺序存在冲突。

2. 系统OpenSSL配置问题：Amazon Linux 2023的OpenSSL配置文件(/etc/ssl/openssl.cnf)包含了一些特定的扩展配置，特别是与SHA1签名相关的设置，这些配置在新版OpenSSL中可能不被支持。

3. 异常处理不当：在OpenSSL初始化失败时，代码使用了ClickHouse内部的异常处理机制，而此时系统可能还未完全初始化，导致了段错误。

技术细节

在OpenSSL 1.1.x版本中，初始化流程不会自动加载系统配置。而在新版OpenSSL中，这一行为发生了变化，导致ClickHouse尝试加载系统配置时出现问题。特别是Amazon Linux 2023的配置文件中包含以下内容：

[provider_sect]
default = default_sect

[default_sect]
activate = 1

此外，系统还尝试加载名为"rh-allow-sha1-signatures"的扩展，这在OpenSSL的新版本中已被标记为不支持的选项。

解决方案

针对这个问题，开发团队提出了以下解决方案：

1. 修改OpenSSL配置加载策略：只有当OPENSSL_CONF环境变量显式设置时，才加载OpenSSL配置，避免自动加载系统配置带来的问题。

2. 异常处理改进：在早期初始化阶段，使用标准C++异常(std::runtime_error)替代ClickHouse内部异常机制，避免因异常系统未完全初始化而导致的段错误。

3. 兼容性处理：对于不支持的系统配置选项，进行适当的兼容性处理或提供明确的错误提示。

最佳实践建议

对于需要在Amazon Linux 2023上运行ClickHouse的用户，建议：

1. 使用最新版本的ClickHouse，该问题已在后续版本中得到修复。

2. 如果必须使用受影响版本，可以通过设置OPENSSL_CONF环境变量为空来避免自动加载系统配置：

OPENSSL_CONF= ./clickhouse

3. 在容器化部署时，考虑使用已修复此问题的特定基础镜像。

这个问题展示了在跨平台部署时，系统库版本和配置差异可能带来的挑战，也提醒我们在开发中需要考虑不同环境下的初始化顺序和兼容性问题。