Docker 解決openjdk容器里無(wú)法使用JDK的jmap等命令問(wèn)題
零、問(wèn)題描述
項(xiàng)目:Java Spring Boot 項(xiàng)目
Docker 環(huán)境:Docker Toolbox。不是 Windows10,用不了 Docker for Windows 只能用這個(gè)。
使用 Docker Compose 編排服務(wù),并啟動(dòng) Mysql 和 Spring Boot 項(xiàng)目。
docker-compose.yml 文件內(nèi)容:
version: ’2’services: mysql: build: ./docker/builds/mysql ports: - '3386:3306' volumes: - './docker/data/mysql/data:/var/lib/mysql' - './docker/data/mysql/conf:/etc/mysql/conf.d' restart: always environment: MYSQL_DATABASE: testdb MYSQL_USER: kinginblue MYSQL_PASSWORD: kinginblue MYSQL_ROOT_PASSWORD: kinginblue api: depends_on: - mysql build: ./docker/builds/api ports: - '8088:8080' volumes: - './api/target/api-0.0.1-SNAPSHOT.jar:/app/api.jar' entrypoint: - 'java' - '-jar' - '/app/api.jar' restart: always
./docker/builds/api 目錄下的 DockerFile 內(nèi)容:
FROM openjdk:8
ENV LANG C.UTF-8
用的是 openjdk8。
項(xiàng)目部署在 CentOS 服務(wù)器上。項(xiàng)目偶爾會(huì)出現(xiàn)無(wú)響應(yīng)的情況,這時(shí)理所當(dāng)然要上去用 JDK 相關(guān)命令看看堆棧和GC等信息了。
進(jìn)入 Java 程序所在容器:docekr-compose exec api bash,進(jìn)入到 api 容器的 bash 終端。
jps 打印 Java 進(jìn)程:
1 api.jar
74 Jps
嗯,jps 命令還是能正常使用的,api.jar 程序的進(jìn)程號(hào)是1。
jmap 命令打印堆棧摘要信息:jmap -heap 1,然而,報(bào)錯(cuò)了!
Attaching to process ID 1, please wait...Error attaching to process: sun.jvm.hotspot.debugger.DebuggerException: Can’t attach to the process: ptrace(PTRACE_ATTACH, ..) failed for 1: Operation not permittedsun.jvm.hotspot.debugger.DebuggerException: sun.jvm.hotspot.debugger.DebuggerException: Can’t attach to the process: ptrace(PTRACE_ATTACH, ..) failed for 1: Operation not permitted at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal$LinuxDebuggerLocalWorkerThread.execute(LinuxDebuggerLocal.java:163) at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal.attach(LinuxDebuggerLocal.java:278) at sun.jvm.hotspot.HotSpotAgent.attachDebugger(HotSpotAgent.java:671) at sun.jvm.hotspot.HotSpotAgent.setupDebuggerLinux(HotSpotAgent.java:611) at sun.jvm.hotspot.HotSpotAgent.setupDebugger(HotSpotAgent.java:337) at sun.jvm.hotspot.HotSpotAgent.go(HotSpotAgent.java:304) at sun.jvm.hotspot.HotSpotAgent.attach(HotSpotAgent.java:140) at sun.jvm.hotspot.tools.Tool.start(Tool.java:185) at sun.jvm.hotspot.tools.Tool.execute(Tool.java:118) at sun.jvm.hotspot.tools.JInfo.main(JInfo.java:138) at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) at java.lang.reflect.Method.invoke(Method.java:498) at sun.tools.jinfo.JInfo.runTool(JInfo.java:108) at sun.tools.jinfo.JInfo.main(JInfo.java:76)Caused by: sun.jvm.hotspot.debugger.DebuggerException: Can’t attach to the process: ptrace(PTRACE_ATTACH, ..) failed for 1: Operation not permitted at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal.attach0(Native Method) at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal.access$100(LinuxDebuggerLocal.java:62) at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal$1AttachTask.doit(LinuxDebuggerLocal.java:269) at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal$LinuxDebuggerLocalWorkerThread.run(LinuxDebuggerLocal.java:138)
以上的關(guān)鍵信息就是:Can’t attach to the process: ptrace(PTRACE_ATTACH, ..) failed for 1: Operation not permitted,操作不允許。
一、解決方案
這其實(shí)不是什么 Bug,而是 Docker 自 1.10 版本開(kāi)始加入的安全特性。
類似于 jmap 這些 JDK 工具依賴于 Linux 的 PTRACE_ATTACH,而是 Docker 自 1.10 在默認(rèn)的 seccomp 配置文件中禁用了 ptrace。
這篇文章介紹了整個(gè)的緣由以及應(yīng)對(duì)方法:JVM in Docker and PTRACE_ATTACH
主要提及三種:
1.1 ?security-opt seccomp=unconfined
簡(jiǎn)單暴力(不推薦),直接關(guān)閉 seccomp 配置。用法:
docker run --security-opt seccomp:unconfined ...
1.2 ?cap-add=SYS_PTRACE
使用 --cap-add 明確添加指定功能:
docker run --cap-add=SYS_PTRACE ...
1.3 Docker Compose 的支持
Docker Compose 自 version 1.1.0 (2015-02-25) 起支持 cap_add。官方文檔:cap_add, cap_drop。用法:
前面的 docker-compose.yml 改寫后文件內(nèi)容如下(相同內(nèi)容部分就不重復(fù)貼了):
version: ’2’services: mysql: ... api: ... cap_add: - SYS_PTRACE
補(bǔ)充知識(shí):關(guān)于docker容器中使用jmap等工具報(bào)錯(cuò)問(wèn)題解決
首先貼出錯(cuò)誤截圖:
錯(cuò)誤產(chǎn)生的原因, 是因?yàn)閐ocker 1.10版本之后 默認(rèn)禁用了ptrace
解決辦法就是我們運(yùn)行容器打開(kāi)ptrace:
在docker-compose.yml中加入如下代碼可解決:
保存后運(yùn)行docker-compose up -d, 然后進(jìn)入容器, docker exec -it <容器名> /bin/bash
再次使用jmap等工具, 就不會(huì)報(bào)錯(cuò)了。
以上這篇Docker 解決openjdk容器里無(wú)法使用JDK的jmap等命令問(wèn)題就是小編分享給大家的全部?jī)?nèi)容了,希望能給大家一個(gè)參考,也希望大家多多支持好吧啦網(wǎng)。
相關(guān)文章:
1. asp文件用什么軟件編輯2. IntelliJ IDEA中Project與Module的概念以及區(qū)別3. idea給項(xiàng)目打war包的方法步驟4. IntelliJ IDEA創(chuàng)建web項(xiàng)目的方法5. Django項(xiàng)目如何正確配置日志(logging)6. ASP新手必備的基礎(chǔ)知識(shí)7. 詳解PHP laravel中的加密與解密函數(shù)8. java設(shè)計(jì)模式之Visitor9. docker容器調(diào)用yum報(bào)錯(cuò)的解決辦法10. Android seekbar實(shí)現(xiàn)可拖動(dòng)進(jìn)度條
網(wǎng)公網(wǎng)安備