惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Security Archives - TechRepublic
Security Archives - TechRepublic
C
CXSECURITY Database RSS Feed - CXSecurity.com
A
Arctic Wolf
Know Your Adversary
Know Your Adversary
T
Tor Project blog
C
Cisco Blogs
G
GRAHAM CLULEY
S
Schneier on Security
AWS News Blog
AWS News Blog
Scott Helme
Scott Helme
C
Cybersecurity and Infrastructure Security Agency CISA
雷峰网
雷峰网
MongoDB | Blog
MongoDB | Blog
爱范儿
爱范儿
S
SegmentFault 最新的问题
S
Security Affairs
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
J
Java Code Geeks
美团技术团队
Hacker News - Newest:
Hacker News - Newest: "LLM"
U
Unit 42
Latest news
Latest news
T
Tailwind CSS Blog
GbyAI
GbyAI
月光博客
月光博客
PCI Perspectives
PCI Perspectives
Attack and Defense Labs
Attack and Defense Labs
Forbes - Security
Forbes - Security
S
Securelist
AI
AI
Recent Announcements
Recent Announcements
C
Check Point Blog
I
Intezer
宝玉的分享
宝玉的分享
Google DeepMind News
Google DeepMind News
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
NISL@THU
NISL@THU
Hacker News: Ask HN
Hacker News: Ask HN
O
OpenAI News
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
Project Zero
Project Zero
V2EX - 技术
V2EX - 技术
Y
Y Combinator Blog
博客园 - 【当耐特】
aimingoo的专栏
aimingoo的专栏
F
Full Disclosure
H
Hackread – Cybersecurity News, Data Breaches, AI and More
The Register - Security
The Register - Security
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Google DeepMind News
Google DeepMind News

暗无天日

读:AI Agent 安全日志——从可见性与隐私的两难说起 - 暗无天日 AI写作的语言指纹——如何让文字不那么像机器 - 暗无天日 读:50 条 Claude Code 技巧——一个工程经理的六个月使用心得 读:AI 辅助开发为什么让 E2E 测试更有价值 - 暗无天日 读:在Emacs中使用Claude Code(Spacemacs适配版) - 暗无天日 Claude Code 背后的工程哲学——读 Agent Harness Engineering 读:Agent Harness Engineering——AI 智能体不只是模型,还有套件 - 暗无天日 browser-harness:让 AI 直接接管你的浏览器 - 暗无天日 读:Security-First CI/CD —— DevSecOps 自动化实践指南 TIL: 数字小键盘的小数点陷阱与行内算术求值 - 暗无天日 读:Immutability 不是万能药,它是一种权衡 - 暗无天日 Conducty:给 Claude Code 加上项目记忆和并行执行能力 - 暗无天日 读 — GitHub Trending 里的 Claude Code 技能包 读 — Prompt Caching 省钱指南 TIL: Emacs 中那些跟鼠标配合的冷门快捷键 - 暗无天日 读:Anvil——把 Emacs 变成 AI 的工具服务器 读:Emacs 代码折叠终极指南 - 暗无天日 读:Clojure 搭车客指南 - 暗无天日 git推送失败后恢复仓库损坏的完整记录 - 暗无天日 多智能体系统的两个有效模式——以及对 Claude Code 用户的启示 - 暗无天日 用 Org Babel 写 Literate 博文:扩展执行 + 定制导出 proced:Emacs 内置的进程查看器 - 暗无天日 从 proced 定制中学到的 Elisp 模式 读:让 Emacs proced 在 macOS 上显示 CPU 和内存 异步编程的函数着色税 - 暗无天日 链式调用的代价:JavaScript 和 Clojure 的共同教训 - 暗无天日 hyperfine:命令行基准测试工具 - 暗无天日 管道中的变量去哪了?——子 shell 作用域陷阱 - 暗无天日 开源包装器的信任陷阱:四个危险信号 - 暗无天日 程序员愿意为 AI 写文档,却不愿为同事写 - 暗无天日 mktemp: Shell 脚本中临时文件的安全陷阱与最佳实践 - 暗无天日 WSL9x —— 在 Windows 9x 里跑 Linux 内核 6.19 用 ox.el 做你想做的事 —— org-export 高级编程指南 读:Hot-wiring the Lisp Machine —— 用纯 Elisp 构建零依赖的 Org 静态站点生成器 Elisp 性能优化的六个实战教训 - 暗无天日 fcitx5 下 Emacs 无法切换输入法的排查 - 暗无天日 ERT 测试交互命令的三种方式 - 暗无天日 SEM Assistant: 当 Elisp 守护进程遇上 LLM 用 dmsg 给 Elisp 加上结构化调试日志 用 org-habit 追踪非每日习惯 - 暗无天日 Clojure X-Men:当编程语言特性变成超能力 - 暗无天日 TIL: 用 diff-hl 在 fringe 中显示 git 变更 读:llm-test —— 用 LLM agent 驱动 Emacs 测试 TIL: AI 时代的橡皮鸭调试 - 暗无天日 fcitx 启动后键盘输入卡顿的排查 - 暗无天日 TIL: 早期网页的图片热区导航 - 暗无天日 读 Seeing the Whole System 用 Emacs 自动生成每周链接推荐 - 暗无天日 读:ASCII control characters in my terminal 读 What to learn - 暗无天日 Lisp 的括号之痛——一个愚人节玩笑揭开的老伤疤 - 暗无天日 一本书该"线性读"还是"并行读" - 暗无天日 读 How to Monetize a Blog:一篇伪装成变现指南的讽刺文 Python Mock 第三方依赖的四种策略 - 暗无天日 Emacs Lisp 热重载实用指南 - 暗无天日 Prot 的 Emacs 配置哲学 - 暗无天日 TIL: 从直播对谈中学到的三个 Emacs 技巧 - 暗无天日 TIL: 自动使用项目虚拟环境的 Python - 暗无天日 TIL: 让 Help buffer 自动获得焦点 一条命令让本地开发用上 HTTPS —— slim 工具介绍 用 fsck 检查和修复 Linux 文件系统 排查Linux进程"卡死"实战:从strace到gdb全流程 - 暗无天日 PostgreSQL 索引:从基础到你可能不知道的高级用法 - 暗无天日 用 .pdbrc 自定义 Python 调试器 ANSI 转义码的标准化现状 - 暗无天日 终端程序的潜规则 - 暗无天日 PARA Org-mode 测试配置 - 暗无天日 AI越强越辣鸡?控制论说这是必然的 - 暗无天日 AI 越强越需要你盯着——反馈循环实操指南 - 暗无天日 你的AI代理正在偷你的密钥——四种你没想到的泄露通道 - 暗无天日 LLM 在 DevOps 中的三种角色 - 暗无天日 写作风格的反建议 - 暗无天日 反驳本质复杂性——Dan Luu 论为什么《没有银弹》错了 - 暗无天日 文件充满了危险——Dan Luu 谈文件系统的可靠性陷阱 - 暗无天日 AI 时代的 PARA 方法:用 Org-mode 和 AI 打造个人知识管理系统 Linux 数据去重学习笔记 - 暗无天日 创建跨平台 ZIP 文件的隐藏陷阱:Extra Field - 暗无天日 X11 Forwarding 排障指南 - 暗无天日 IP欺骗端口扫描:当别人冒充你去扫描别人 - 暗无天日 Linux 输入栈全景解析:从硬件按键到屏幕响应 - 暗无天日 Unix 系统中那些被埋没的配置开关——以 FontConfig 为例 - 暗无天日 在Linux上限制儿童使用电脑 - 暗无天日 GIF不仅仅是一种图片格式——用GIF流做些奇怪的事 - 暗无天日 Leiningen 学习笔记:Clojure 项目构建与管理从入门到实战配置 - 暗无天日 Google SRE Book 读书笔记 - 暗无天日 yes 管道 head 发生了什么 - 暗无天日 为什么 nohup 在 crontab 中不起作用 Bash中的Indirection与Nameref - 暗无天日 Linux PAM 简介 - 暗无天日 从Linux ISO文件启动计算机 - 暗无天日 用 Bash 打造一个Screen Locker 用GitHub Actions自动构建EGO博客 - 暗无天日 blocking I/O 的作用 - 暗无天日 mobileog 手机端同步提示Error:2 No such file 的解决方法 回收 WSL2 VHDX 文件占用空间 使用 org-mode columnview 生成任务列表 - 暗无天日 Emacs 作为 MPD 客户端 - 暗无天日 移动文件路径却不破坏org file link的方法 - 暗无天日 如何合理的导出help link 成HTML - 暗无天日 笑话理解之Biology - 暗无天日
读:Java 容器化——从 Fat JAR 到高效 Docker 镜像
2026-05-01 · via 暗无天日

开篇:Java 容器化的典型困境

把 Java 应用塞进 Docker 容器看起来很简单:写个 Dockerfile,把 JAR 包扔进去,完事。但实际跑起来会遇到几个典型问题:

  • 镜像体积巨大(800MB+),每次 CI 构建都要推几百 MB
  • 启动慢(40 秒+),容器编排平台频繁超时
  • 负载高峰时容器被 OS 静默杀死(OOMKilled),查日志也看不出原因

这三个问题的根因其实一样:把容器当轻量虚拟机用,忽略了 JVM 与容器边界的交互方式。

我在 DZone 上读到一篇很好的总结(Java in a Container: Efficient Development and Deployment With Docker,作者 Ramya vani Rayala),把这些问题和解决方案串了起来。这篇笔记记下关键点和一些补充理解。

Fat JAR 反模式

最简单的 Dockerfile 大概是这样:

FROM openjdk:11
COPY target/myapp.jar app.jar
CMD ["java", "-jar", "app.jar"]

这里有两个问题。第一,用了完整的 JDK 镜像。生产环境只需要 JRE 来运行程序,不需要编译器、javadoc 等开发工具。JDK 镜像比 JRE 大很多,还增加了攻击面。

第二,所有依赖打包在一个 fat JAR 里,Docker 只有单层。改一行代码就要重新构建整个 JAR,Docker 层缓存全部失效。结果 CI 每次都得推送几百 MB 的未变更数据。

原文用 dive (一个 Docker 镜像层分析工具)查看,发现依赖占了镜像体积的 90%,应用代码只占 10%。

多阶段构建

最直接的改进是改用多阶段构建(multi-stage build):

FROM openjdk:11 AS builder
COPY . /src
RUN ./mvnw package

FROM openjdk:11-jre
COPY --from=builder /src/target/myapp.jar app.jar
CMD ["java", "-jar", "app.jar"]

构建阶段用包含编译工具的 JDK 镜像,运行阶段只复制编译产物到 JRE 镜像。这样运行镜像里没有编译器、没有源代码,只有运行必需的 JRE 和应用。

不过仔细看,这里仍然是一个 fat JAR 单层。依赖和应用代码混在一起,改代码仍然要重建整个 JAR。

Spring Boot 分层 JAR

Spring Boot 2.3+ 引入了分层 JAR(layered JAR)机制,把 JAR 包拆成多个内部层。默认分为四层:

  • dependencies :第三方依赖,几乎不变
  • spring-boot-loader :Spring Boot 启动加载器
  • snapshot-dependencies :快照版依赖(变化频率介于两者之间)
  • application :应用代码,经常变

利用这个分层结构,可以让 Docker 缓存住那些不常变的层,只重建有改动的层。

首先在 pom.xml 中启用分层打包:

<plugin>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-maven-plugin</artifactId>
    <configuration>
        <layers>
            <enabled>true</enabled>
        </layers>
    </configuration>
</plugin>

构建时先用 jarmodelayertools 命令把分层 JAR 解压到独立目录:

FROM openjdk:11-jre AS layers
WORKDIR /app
COPY target/myapp.jar app.jar
RUN java -Djarmode=layertools -jar app.jar extract

FROM openjdk:11-jre
COPY --from=layers /app/dependencies/ ./
COPY --from=layers /app/spring-boot-loader/ ./
COPY --from=layers /app/snapshot-dependencies/ ./
COPY --from=layers /app/application/ ./
ENTRYPOINT ["java", "org.springframework.boot.loader.JarLauncher"]

Dockerfile 中每一行 COPY 构成 Docker 的一层缓存。依赖层几乎不变,Docker 构建时直接从缓存取。改一行 Java 代码只需要重新构建最顶层的 application 层。原文称这项优化让 CI 构建时间减少了 60%,镜像推送时间减少了 75%。

JVM 容器感知

这是 Java 容器化最隐蔽的一个陷阱。

问题的根因 :JVM 在启动时会根据宿主机内存来算默认堆大小。在容器里,Docker 通过 cgroup 限制了内存上限,但 JVM 默认看不到这个限制,它以为仍然是宿主机的全部内存。比如容器限制 1GB,宿主机 64GB,JVM 按 64GB 算出默认堆大小,堆空间就远远超出了容器能给的容量。

而且堆只是 JVM 内存的一部分。JVM 除了堆还有线程栈、元空间(metaspace)、代码缓存等非堆内存。堆 + 非堆总和超过容器 cgroup 上限时,Linux 内核的 OOM killer 就会静默杀死进程。即使你设置了 Xmx 来限制堆大小,非堆部分的波动仍然可能撑爆容器。

解决办法 :停止使用固定的 Xmx 值,改用百分比参数,让 JVM 按容器内存上限的百分比算堆大小:

ENTRYPOINT ["java", \
  "-XX:MaxRAMPercentage=75", \
  "-XX:+ExitOnOutOfMemoryError", \
  "-jar", "app.jar"]

MaxRAMPercentage 告诉 JVM:最多用容器内存上限的 75% 来做堆,剩下 25% 留给非堆内存。JVM 默认的 MaxRAMPercentage 值只有 25%(用 -XX:+PrintFlagsFinal 可查看),容器环境下不调高的话堆空间会非常受限。调高到 75% 同时换容器内存规格(比如从 1GB 升到 2GB)时也无需改代码,JVM 自动适配。

ExitOnOutOfMemoryError 的作用是:OOM 时直接退出进程,让容器编排平台(Kubernetes 等)检测到崩溃后重启实例。默认行为是进程继续活着但功能异常,表现为"半死不活"的悬挂状态,更难排查。

版本的坑 :容器感知的 JVM 参数从 JDK 8u131 开始支持,但 MaxRAMPercentage 是从 JDK 8u191 才加入的(更早版本用 -Xmx-XX:MaxRAM )。如果你的基础镜像还在用 8u191 之前的 JDK 8,这个参数不生效,需要用 -XX:MaxRAM 来指定绝对上限。

安全加固

非 root 用户 :Java 镜像默认以 root 身份运行。如果应用被攻破,攻击者拿到的就是容器内的 root 权限。应该在 Dockerfile 中创建一个专用用户:

RUN groupadd -r appuser && useradd -r -g appuser appuser
USER appuser

健康检查 :在 Dockerfile 中添加健康检查指令,让编排平台能判断容器是否还在正常工作:

HEALTHCHECK --interval=30s --timeout=3s \
  CMD curl -f http://localhost:8080/actuator/health || exit 1

Spring Boot Actuator 提供了 /actuator/health 端点,返回应用的健康状态。Kubernetes 或 Docker Swarm 可以根据这个检查结果自动重启异常容器。

更进一步的方向 :原文还提到了 distroless 镜像(Google 维护的极简基础镜像,只包含应用运行所需的最小依赖,没有 shell、没有包管理器)。它的攻击面更小,但调试也更困难(没有 shell 可登入)。作者表示目前用 Alpine 已经够用,后续计划迁移到 distroless。

监控

生产环境中,光靠健康检查还不够。应用什么时候变慢、什么时候内存飙升、什么时候 GC 停顿过长,这些指标最好在问题发生前就暴露出来。

原文推荐的做法是用 Prometheus 从 Spring Boot Actuator 的 /actuator/prometheus 端点采集指标,关注三个核心信号:

  • JVM 内存使用量,确认是否接近容器上限
  • GC 暂停时间,频繁或暂停时间长说明堆大小可能不合理
  • 容器重启次数,频繁重启说明存在稳定性问题

总结

Java 容器化不是写个 Dockerfile 就完事。三个关键点:

  1. Dockerfile 要分层 :多阶段构建 + Spring Boot 分层 JAR,把依赖和应用代码分开缓存,构建效率提升明显
  2. JVM 需要容器教育 :用 MaxRAMPercentage 代替固定 Xmx,让 JVM 按容器上限分配内存,配合 ExitOnOutOfMemoryError 让异常容器自动重启
  3. 安全默认值 :非 root 用户、健康检查、健康指标监控——这些配置应该在项目初始化时就加上,而不是等出事了再补

就算你用的不是 Java,第一点和第三点也是通用的 Docker 实践。第二点是 Java 专有的问题,但背后是一个更通用的系统教训:运行时的资源假设在容器边界上不可靠,任何语言在容器里跑都不能假定自己能看到全部资源。