最稳妥的基础镜像是 openjdk:17-jre-slim 或 openjdk:21-jre-slim;避免 latest 和 -jdk 镜像,jre 足够运行、更小更安全;amazoncorretto/zulu 更新不如官方透明,自建镜像维护成本高。
用哪个基础镜像最稳妥?
直接选 openjdk:17-jre-slim 或 openjdk:21-jre-slim。别用 latest,也别用带 -jdk 后缀的镜像——除非你真要编译代码。容器里只运行 Java 应用,jre 足够,体积更小、攻击面更少。
常见踩坑点:
-
openjdk:17(没后缀)默认是jdk,含javac和调试工具,镜像大出 100MB+,没必要 -
amazoncorretto或zulu镜像虽可选,但更新节奏和 CVE 响应不如官方openjdk镜像透明 - 别基于
ubuntu:22.04自己装 Java——维护成本高,容易漏掉安全更新
Dockerfile 中如何正确复制和启动 JAR?
关键不是“能不能跑”,而是“能不能稳定、可观测地跑”。以下是最简但生产可用的写法:
FROM openjdk:17-jre-slim WORKDIR /app COPY target/myapp.jar . EXPOSE 8080 USER nonroot:nonroot ENTRYPOINT ["java", "-Djava.security.egd=file:/dev/./urandom", "-jar", "myapp.jar"]
说明:
-
WORKDIR /app必须显式声明,避免依赖镜像默认路径(不同版本可能不同) -
COPY后不加/,否则会把整个目录当归档解压,导致路径错乱 -
USER nonroot:nonroot是硬性要求:Docker 默认以 root 运行,Java 进程若监听 80 端口或写日志到根目录,会因权限失败;提前创建该用户需在Dockerfile里加两行:RUN addgroup -g 1001 -f nonroot && adduser -S nonroot -u 1001 -
-Djava.security.egd=file:/dev/./urandom防止 Spring Boot 等框架在容器中因熵池不足卡住启动
如何让 JVM 参数适配容器内存限制?
直接写死 -Xmx512m 是危险的。容器设置了 memory: 1g,但 JVM 仍按宿主机内存自动设堆,极易 OOM Kill。
必须启用容器感知支持:
- JDK 10+ 默认开启
+UseContainerSupport,无需额外参数 - 显式指定堆比例(推荐):
-XX:MaxRAMPercentage=75.0,JVM 会按容器cgroup内存上限的 75% 设最大堆 - 避免用
-Xmx绝对值,除非你确定容器内存永不变更 - 验证是否生效:进入容器执行
java -XX:+PrintFlagsFinal -version | grep -i maxheapsize,看输出值是否接近容器内存限制 × 0.75
Spring Boot 应用启动慢或健康检查失败怎么办?
典型现象是 kubectl get pods 显示 CrashLoopBackOff,或 Docker 日志停在 “Starting Servlet Web Server” 不动。
优先排查三项:
- 确认
application.properties中server.port和Dockerfile的EXPOSE一致,且应用未绑定127.0.0.1(应为0.0.0.0) - 健康检查路径(如
/actuator/health)是否返回 200?Spring Boot 2.3+ 默认关闭liveness端点,需显式配置:management.endpoints.web.exposure.include=liveness,readine
ss,health
- 容器启动后是否被立即 kill?检查
docker logs最末行是否有Killed字样——大概率是 JVM 堆超限触发 OOM Killer,回头调MaxRAMPercentage
容器里没有 ps aux 或 top 别慌,用 docker exec -it 查 GC 状态,比猜快得多。
