Docker低版本下容器启动失败?试试 security_opt: seccomp:unconfined
问题现象
在低版本 Docker 环境(如 20.10.7 )中,某些服务(如 MySQL、Spring Boot 后端)容器启动时报错,无法正常运行。但在高版本 Docker 上完全正常。
容器启动失败后,先查看日志,确认报错类型:
1 | # 查看容器日志 |
1 | # There is insufficient memory for the Java Runtime Environment to continue. |
MySQL 则可能表现为反复重启,或提示 Operation not permitted。
注意:这里的 EPERM(权限错误)是核心线索。报错看起来像”内存不足”,实际上是操作系统拒绝了线程创建请求,JVM 因无法启动垃圾回收线程而判定”无法继续运行”。
原因简述
Docker 默认启用 Seccomp(安全计算模式)来限制容器内的系统调用。低版本 Docker(<< 20.10.10)自带的 seccomp 配置较旧,不认识新版 glibc 使用的 clone3 等系统调用,于是直接拦截并返回 EPERM。
而新版 JDK(基于 glibc 2.34+)、MySQL 8.0+ 在启动时需要这些调用,于是被”误伤”。
临时解决
在 docker-compose.yml 中给对应服务加上:
1 | services: |
seccomp:unconfined 的意思是:关闭 Seccomp 限制,让容器内的程序可以正常执行所需的系统调用。
我的实际配置
以下是我项目中受影响的服务:
1 | services: |
注意:Redis、Nginx 等轻量服务通常不需要加,可以先不加,出问题了再补。
更好的方案
seccomp:unconfined 会降低容器安全性,最佳做法是升级 Docker:
1 | # Ubuntu/Debian 示例 |
升级后,通常可以直接删掉所有 security_opt 配置。
总结
| 方案 | 适用场景 | 安全性 |
|---|---|---|
seccomp:unconfined |
临时解决、本地开发 | 较低 |
| 升级 Docker | 长期方案、生产环境 | 高 |
如果暂时无法升级 Docker,给 MySQL、Java 后端加上 security_opt: seccomp:unconfined 是最快的解决办法。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 hnugreycrow's blog!
相关推荐
2025-08-14
Docker学习笔记(三):部署MySQL
在之前的服务器环境中,手动安装并配置MySQL的过程较为繁琐,因此我转而采用Docker容器化方案进行部署,通过标准化镜像和持久化存储机制,实现了更高效的数据库环境管理与版本控制。 这篇笔记就记录下用 Docker 部署 MySQL 的全过程,给自己留个存档。 一、准备工作1. 搜索MySQL镜像(可选)1docker search mysql ❌问题:搜索出现超时,配置了国内镜像源也没用 2. 拉取MySQL 5.7镜像因为听说指定版本拉取更稳妥,避免后续出现版本兼容问题,所以我选择了 5.7 版本: 1docker pull mysql:5.7 3. 创建MySQL目录1234mkdir -p ~/mysql/{log,data,conf}# 进入创建好的mysql目录cd ~/mysql log目录打算用来存 MySQL 的运行日志 data目录很重要,用来存数据库的数据,这样就算容器没了,数据也还在 conf目录用来放一些自定义的配置文件 二、部署MySQL容器1. 运行MySQL容器123456docker run -p 3307:3...
2025-08-13
解决SpringBoot中Lombok注解失效的那些坑
在 SpringBoot 项目开发中,Lombok 注解突然失效是一个很常见的问题,表现为明明添加了 @Data 等注解,却在编译时出现 “找不到符号”(如缺失 getter/setter 方法)的错误。本文记录了我在项目中遇到该问题的排查过程,分析了 Lombok 注解失效与 Maven 编译插件(maven-compiler-plugin)配置、版本管理之间的关系,并总结了可行的解决方案和最佳实践。 在开发SpringBoot项目时,相信很多同学都遇到过Lombok注解突然失效的问题:代码里明明加了@Data注解,编译时却报”找不到符号”(比如缺失getter/setter方法)。最近我在项目中就遇到了类似问题,通过排查终于找到原因,在这里记录一下整个过程和解决方案。 问题现象项目中使用了Lombok的@Data、@Getter等注解,但编译时出现一系列”找不到符号”错误: 1234567java: 找不到符号 符号: 变量 log 位置: 类 org.hnu.tablerecognition.common.interceptor.JwtTok...
2025-08-14
Docker学习笔记(二):容器数据卷
一、数据卷核心概念1.1 定义数据卷是宿主机文件系统中的一个目录或文件,通过挂载机制与容器内指定路径关联,实现宿主机与容器的双向数据共享。 1.2 本质 类似Linux的mount命令,容器访问挂载路径时实际操作的是宿主机数据卷 数据卷独立于容器生命周期,容器删除后数据仍保存在宿主机 二、数据卷的三大核心作用数据卷的设计初衷,就是为了解决容器与数据分离的问题,其核心作用可以概括为三点: 2.1 容器数据持久化 场景:数据库、日志文件等需要长期保存的数据 案例:MySQL容器挂载数据卷后,即使容器崩溃,数据库文件仍可通过数据卷恢复 2.2 宿主机与容器双向交互 实时同步特性: 宿主机修改卷目录文件 → 容器内立即生效(如本地代码编辑后容器热更新) 容器生成数据(日志、配置)→ 实时同步到宿主机(方便本地查看分析) 2.3 多容器数据共享 场景:前端容器与后端容器共享静态资源、多个服务共享配置文件 案例:Nginx(展示静态页)与Node.js(生成静态页)通过数据卷自动同步资源 三、数据卷的基础操作实践3.1 创建并挂载数据卷(基础命令)使用docker run命令时,...
2025-08-13
Docker学习笔记(一):Docker常用命令
整理了 Docker 核心命令的用法,从服务管理到容器操作,方便后续复习查阅。 一、Docker服务基础操作(守护进程管理)1.1 服务启停控制 启动:systemctl start docker✅ 核心功能:启动Docker守护进程(dockerd),初始化镜像/容器管理环境⚠️ 注意:启动失败用journalctl -u docker查日志 停止:systemctl stop docker✅ 核心功能:终止守护进程及所有运行中容器⚠️ 注意:先手动停止重要容器,避免数据未持久化 重启:systemctl restart docker✅ 核心场景:修改配置文件(如/etc/docker/daemon.json)后生效 1.2 服务状态查询 命令:systemctl status docker✅ 核心功能:查看服务运行状态及最近日志🔍 状态解读: 绿色active (running):正常运行 红色inactive (dead):已停止 二、镜像操作命令(Image)2.1 镜像获取与搜索 拉取镜像:docker pull <镜像名:标签...
2025-09-01
Electron中导入better-sqlite3:为什么import不行,require却可以?
在Electron开发过程中,我遇到一个有趣的问题:使用import Database from "better-sqlite3"导入模块时,不仅出现类型声明文件缺失的警告,还会报__filename is not defined的运行时错误。而换成const Database = require("better-sqlite3")后,一切正常。这个现象背后,其实是JavaScript两种主流模块系统——ESM与CommonJS的差异在作祟。 问题现象与直接原因当使用ES模块语法导入better-sqlite3时,会遇到两个问题: 类型检查错误:无法找到模块“better-sqlite3”的声明文件 运行时错误:ReferenceError: __filename is not defined 而切换到CommonJS的require语法后,这两个问题都消失了。要理解其中的原因,我们需要先深入了解ESM与CommonJS这两种模块系统的核心差异。 模块化的两种 “流派”:ESM 和 CommonJSJavaScript 一开始是没有 “...
评论
