Java在Docker容器中搭建运行环境的思路解析

Java应用Docker化需确保JDK版本一致、分层构建优化缓存、JVM显式限制内存、Spring Boot绑定0.0.0.0并配置健康检查。

Java应用打包进Docker前必须确认JDK版本和目标运行时一致性

Java应用在容器中启动失败，八成是因为镜像里的 JDK 版本和本地开发/构建环境不一致。比如用 javac 17 编译的 class 文件，在 openjdk:8-jre-slim 镜像里直接报 UnsupportedClassVersionError。

• 构建阶段用 maven:3.9-openjdk-17 这类带 JDK 的镜像编译，确保源码编译版本可控
• 运行阶

  

  段优先选 openjdk:17-jre-slim 而非 openjdk:17-jdk-slim，JRE 已足够，体积更小、攻击面更少
• 若依赖 JNI 或某些工具类（如 jstack），才考虑保留 JDK，否则 jre 是更安全的选择
• 检查 Maven 的 pom.xml 中 maven-compiler-plugin 的 source 和 target 是否与目标镜像 JDK 匹配

Dockerfile里避免直接COPY整个target目录，优先用分层缓存优化构建速度

很多 Dockerfile 写成 COPY target/*.jar ./，看似简单，但每次 mvn clean package 后，哪怕只改了一行代码，整个 jar 层都失效，Docker 构建无法复用上层缓存。

• 先 COPY pom.xml ./，再 RUN mvn dependency:go-offline -B，提前拉取依赖并缓存
• 再 COPY src ./src，最后 RUN mvn package -DskipTests，这样只有源码变才触发重打包
• 若用 Spring Boot，推荐 spring-boot-maven-plugin 的 repackage + LAYERED JAR 支持，配合 docker buildx build --platform linux/amd64 --load 可实现按 layer 复用
• 不要在容器内执行 mvn compile，那会让镜像带上 Maven、JDK 等冗余工具链，违背“镜像即运行时”原则

JVM参数在容器中必须显式限制内存，否则会因cgroup识别失败导致OOMKilled

Java 8u191+ 和 Java 10+ 默认支持容器 cgroup 内存限制，但老版本或未开启选项时，-Xmx 仍按宿主机总内存计算，结果就是容器被 Linux OOM Killer 杀掉，日志只显示 Killed process (java)，没有堆栈。

• 务必在 java -jar 命令中加上 -XX:+UseContainerSupport -XX:MaxRAMPercentage=75.0（Java 10+）
• Java 8u191+ 也支持 -XX:+UseContainerSupport，但需搭配 -XX:MaxRAM=512m 或 -XX:MaxRAMPercentage 才生效
• Docker run 时用 --memory=512m，同时 JVM 参数必须对齐，不能写 -Xmx1g
• 验证是否生效：容器内执行 java -XX:+PrintFlagsFinal -version | grep MaxHeapSize，输出值应接近你设的 --memory

Spring Boot应用暴露端口和健康检查要匹配容器网络模型

Spring Boot 默认监听 localhost:8080，在容器里会导致外部无法访问；而 actuator/health 若没配置 management.endpoints.web.exposure.include=health,info，Docker 的 HEALTHCHECK 就一直失败。

• 启动命令加 --server.address=0.0.0.0 或在 application.yml 设 server.address: 0.0.0.0，否则只绑本地回环
• Dockerfile 中写明 EXPOSE 8080，虽非强制，但能提醒运维和集成工具该端口用途
• 添加健康检查：HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 CMD curl -f http://localhost:8080/actuator/health || exit 1
• 若用 Spring Boot 3.x，默认 actuator 路径已变，健康检查 URL 应为 /actuator/health/liveness 或 /actuator/health/readiness，需同步调整

FROM openjdk:17-jre-slim
VOLUME /tmp
ARG JAR_FILE=target/myapp.jar
COPY ${JAR_FILE} app.jar
ENTRYPOINT ["java","-XX:+UseContainerSupport","-XX:MaxRAMPercentage=75.0","-Djava.security.egd=file:/dev/./urandom","-jar","/app.jar"]

容器里 JVM 行为不像本地那么“透明”，内存、线程、文件句柄、DNS 解析这些底层交互点，稍不注意就变成线上疑难杂症。尤其多模块项目混用不同 JDK 版本、或沿用老旧 Dockerfile 模板时，问题往往藏在默认行为差异里。