零、問題描述

項目：Java Spring Boot 項目

Docker 環境：Docker Toolbox。不是 Windows10，用不了 Docker for Windows 只能用這個。

使用 Docker Compose 編排服務，并啟動 Mysql 和 Spring Boot 項目。

docker-compose.yml 文件內容：

version: ’2’services: mysql: build: ./docker/builds/mysql ports: - '3386:3306' volumes: - './docker/data/mysql/data:/var/lib/mysql' - './docker/data/mysql/conf:/etc/mysql/conf.d' restart: always environment: MYSQL_DATABASE: testdb MYSQL_USER: kinginblue MYSQL_PASSWORD: kinginblue MYSQL_ROOT_PASSWORD: kinginblue api: depends_on: - mysql build: ./docker/builds/api ports: - '8088:8080' volumes: - './api/target/api-0.0.1-SNAPSHOT.jar:/app/api.jar' entrypoint: - 'java' - '-jar' - '/app/api.jar' restart: always

./docker/builds/api 目錄下的 DockerFile 內容：

FROM openjdk:8

ENV LANG C.UTF-8

用的是 openjdk8。

項目部署在 CentOS 服務器上。項目偶爾會出現無響應的情況，這時理所當然要上去用 JDK 相關命令看看堆棧和GC等信息了。

進入 Java 程序所在容器：docekr-compose exec api bash，進入到 api 容器的 bash 終端。

jps 打印 Java 進程：

1 api.jar

74 Jps

嗯，jps 命令還是能正常使用的，api.jar 程序的進程號是1。

jmap 命令打印堆棧摘要信息：jmap -heap 1，然而，報錯了！

Attaching to process ID 1, please wait...Error attaching to process: sun.jvm.hotspot.debugger.DebuggerException: Can’t attach to the process: ptrace(PTRACE_ATTACH, ..) failed for 1: Operation not permittedsun.jvm.hotspot.debugger.DebuggerException: sun.jvm.hotspot.debugger.DebuggerException: Can’t attach to the process: ptrace(PTRACE_ATTACH, ..) failed for 1: Operation not permitted at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal$LinuxDebuggerLocalWorkerThread.execute(LinuxDebuggerLocal.java:163) at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal.attach(LinuxDebuggerLocal.java:278) at sun.jvm.hotspot.HotSpotAgent.attachDebugger(HotSpotAgent.java:671) at sun.jvm.hotspot.HotSpotAgent.setupDebuggerLinux(HotSpotAgent.java:611) at sun.jvm.hotspot.HotSpotAgent.setupDebugger(HotSpotAgent.java:337) at sun.jvm.hotspot.HotSpotAgent.go(HotSpotAgent.java:304) at sun.jvm.hotspot.HotSpotAgent.attach(HotSpotAgent.java:140) at sun.jvm.hotspot.tools.Tool.start(Tool.java:185) at sun.jvm.hotspot.tools.Tool.execute(Tool.java:118) at sun.jvm.hotspot.tools.JInfo.main(JInfo.java:138) at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) at java.lang.reflect.Method.invoke(Method.java:498) at sun.tools.jinfo.JInfo.runTool(JInfo.java:108) at sun.tools.jinfo.JInfo.main(JInfo.java:76)Caused by: sun.jvm.hotspot.debugger.DebuggerException: Can’t attach to the process: ptrace(PTRACE_ATTACH, ..) failed for 1: Operation not permitted at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal.attach0(Native Method) at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal.access$100(LinuxDebuggerLocal.java:62) at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal$1AttachTask.doit(LinuxDebuggerLocal.java:269) at sun.jvm.hotspot.debugger.linux.LinuxDebuggerLocal$LinuxDebuggerLocalWorkerThread.run(LinuxDebuggerLocal.java:138)

以上的關鍵信息就是：Can’t attach to the process: ptrace(PTRACE_ATTACH, ..) failed for 1: Operation not permitted，操作不允許。

一、解決方案

這其實不是什么 Bug，而是 Docker 自 1.10 版本開始加入的安全特性。

類似于 jmap 這些 JDK 工具依賴于 Linux 的 PTRACE_ATTACH，而是 Docker 自 1.10 在默認的 seccomp 配置文件中禁用了 ptrace。

這篇文章介紹了整個的緣由以及應對方法：JVM in Docker and PTRACE_ATTACH

主要提及三種：

1.1 ?security-opt seccomp=unconfined

簡單暴力（不推薦），直接關閉 seccomp 配置。用法：

docker run --security-opt seccomp:unconfined ...

1.2 ?cap-add=SYS_PTRACE

使用 --cap-add 明確添加指定功能：

docker run --cap-add=SYS_PTRACE ...

1.3 Docker Compose 的支持

Docker Compose 自 version 1.1.0 (2015-02-25) 起支持 cap_add。官方文檔：cap_add, cap_drop。用法：

前面的 docker-compose.yml 改寫后文件內容如下（相同內容部分就不重復貼了）：

version: ’2’services: mysql: ... api: ... cap_add: - SYS_PTRACE

補充知識：關于docker容器中使用jmap等工具報錯問題解決

首先貼出錯誤截圖：

錯誤產生的原因， 是因為docker 1.10版本之后 默認禁用了ptrace

解決辦法就是我們運行容器打開ptrace：

在docker-compose.yml中加入如下代碼可解決：

保存后運行docker-compose up -d， 然后進入容器， docker exec -it <容器名> /bin/bash

再次使用jmap等工具， 就不會報錯了。

以上這篇Docker 解決openjdk容器里無法使用JDK的jmap等命令問題就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支持好吧啦網。