时区 on Liangweidong's blog

CentOS 8 EOL 善后：换源 vault.centos.org、时间同步与时区设置

Sun, 15 Sep 2019 00:00:00 +0800

一、为什么 2019 年要聊 CentOS 8

CentOS 8.0 正式发布是 2019-09-24——RHEL 8.0 GA 后的 CentOS 重建版。本文写于 2019-09-15，相当于 CentOS 8 正式发布前一周。但文章真正"管用"的时间是 2022 年 1 月 31 日之后——那天 CentOS 团队把 CentOS 8 的所有包从 mirror.centos.org 移到 vault.centos.org，已经装好的 CentOS 8 跑 yum 会全部报：

1

Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

时间线：

2019-09-24：CentOS 8.0 GA

2020-12-08：CentOS 宣布战略调整，CentOS 8 提前 EOL

2021-12-31：CentOS 8 EOL（生命周期结束）

2022-01-31：包从 mirror.centos.org 移到 vault.centos.org

2021-05-12：Rocky Linux 8.3 RC1 发布

2021-05-18：AlmaLinux 8.3 正式发布

新机器建议直接上 Rocky Linux 9 / AlmaLinux 9 / Oracle Linux 9——跟 CentOS 8 / 7 生态兼容，迁移成本最低。本篇只解决"已经上了 CentOS 8 又不想重装"的善后问题。

二、CentOS 8 EOL 后 yum 报错的修复

症状（2022-01-31 后）：

1
2


sudo yum update
# Error: Failed to download metadata for repo 'appstream': Cannot prepare internal mirrorlist: No URLs in mirrorlist

根因：CentOS 8 已经 EOL，包从 mirror.centos.org 移走，但 /etc/yum.repos.d/CentOS-*.repo 还指向 mirror.centos.org。

2.1 一次性 sed 改源

1
2


sudo sed -i -e "s|mirrorlist=|#mirrorlist=|g" /etc/yum.repos.d/CentOS-*
sudo sed -i -e "s|#baseurl=http://mirror.centos.org|baseurl=http://vault.centos.org|g" /etc/yum.repos.d/CentOS-*

这两条命令做的事：

把所有 mirrorlist= 注释掉（#mirrorlist=）
把 #baseurl=http://mirror.centos.org 替换成 baseurl=http://vault.centos.org

2.2 验证

1
2
3


sudo yum clean all
sudo yum makecache
sudo yum update

如果 vault.centos.org 也访问不到（更老的版本），可以临时改 https://mirrors.aliyun.com/centos-vault/8.x.x/... 阿里云镜像，但只限能联网的服务器。

坑提醒：vault.centos.org 没有 HTTPS-only 限制，但没有签名验证——意味着如果源被劫持，包可能被替换。生产环境建议尽快迁移到 Rocky/Alma/Oracle Linux。

三、CentOS 8 的 dnf 包管理器

CentOS 8 弃用了 yum（虽然命令还能用），新工具是 dnf——兼容 yum 4.x 系列，大部分命令一致。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 装包
sudo dnf install -y <package>

# 查包
dnf search <keyword>
dnf info <package>

# 列出已装
dnf list installed

# 卸包
sudo dnf remove <package>

# 仓库管理
sudo dnf config-manager --add-repo https://example.com/repo.repo
sudo dnf config-manager --set-enabled <repo-id>
sudo dnf config-manager --set-disabled <repo-id>

CentOS 8 默认有两个主仓库：

BaseOS：核心 OS 包（kernel、systemd、bash 等）
AppStream：应用流（多个 Python / Node.js 版本可并存）

应用流（Module）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 查可用 python 模块
sudo dnf module list python

# 装 Python 3.9（默认）
sudo dnf module install python39

# 切到 Python 3.6
sudo dnf module reset python
sudo dnf module enable python36
sudo dnf install python3

坑提醒：dnf module 的"版本"切换是全系统的——切换后所有 dnf 装的 Python 都用这个版本。多 Python 版本请用 conda 或源码编译。

四、时间同步：ntpdate / chrony

CentOS 7 用 ntpdate + crontab。CentOS 8 改用 chrony（chronyd daemon），开机自启：

1
2
3
4
5


systemctl status chronyd
# Active: active (running)

chronyc sources -v
# 查 NTP 源状态

4.1 想用回 ntpdate 风格

2019-2020 那段时间国内服务器常用 wlnmp 源（https://mirrors.wlnmp.com/centos/wlnmp-release-centos.noarch.rpm）一次性装 wntp：

1
2
3


rpm -ivh https://mirrors.wlnmp.com/centos/wlnmp-release-centos.noarch.rpm
dnf install wntp
ntpdate ntp1.aliyun.com

坑提醒：wlnmp-release 包没有 GPG 签名验证——商用生产环境慎用，仅适合临时调试。

4.2 配阿里云 NTP

1
2
3
4
5
6
7
8
9


vi /etc/chrony.conf
# 注释掉默认的 pool，改成阿里云
# pool 2.centos.pool.ntp.org iburst
server ntp1.aliyun.com iburst
server ntp2.aliyun.com iburst
server ntp3.aliyun.com iburst

systemctl restart chronyd
chronyc sources -v

五、时区设置

timedatectl 是 CentOS 7+ 标准的时区工具。

5.1 看当前时区

1
2
3
4
5
6
7
8


timedatectl status
# Local time: Thu 2026-06-04 12:34:56 CST
# Universal time: Thu 2026-06-04 04:34:56 UTC
# RTC time: Thu 2026-06-04 04:34:56
# Time zone: Asia/Shanghai (CST, +0800)
# NTP enabled: yes
# NTP synchronized: yes
# RTC in local TZ: no

5.2 改时区

1
2
3


sudo timedatectl set-timezone Asia/Shanghai
date
# Thu Jun 4 12:34:56 CST 2026

5.3 列出所有时区

1
2
3
4
5
6


timedatectl list-timezones | grep Asia
# Asia/Shanghai
# Asia/Hong_Kong
# Asia/Tokyo
# Asia/Singapore
# ...

5.4 手动改时间（一般不要）

1

sudo timedatectl set-time '2026-06-04 12:34:56'

改完时间记得 hwclock --systohc 把系统时间写回硬件时钟，否则重启就丢。

六、CentOS 8 → Rocky / AlmaLinux 迁移

如果想保住 CentOS 8 的环境又不想重装，官方提供 migrate2rocky / almalinux-deploy 脚本：

1
2
3
4
5
6


# Rocky Linux 迁移
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r
# 重启
sudo reboot

1
2
3
4


# AlmaLinux 迁移
sudo dnf install -y almalinux-deploy
sudo almalinux-deploy
sudo reboot

坑提醒：迁移脚本会改一堆包，包括内核、grub、repo。迁移前一定要做快照（云盘 / LVM 快照），回退成本高。

七、典型坑速查

现象	原因	处理
`yum update` 报 “No URLs in mirrorlist”	CentOS 8 EOL 后 mirror.centos.org 失效	走 §2.1 sed 改源
`dnf install` 报包冲突	Module 多版本并存	`dnf module reset <mod>` 再装
`chronyc sources` 显示 `??`	NTP 服务器不可达	改 `chrony.conf` 加阿里云 NTP
时间不准	没装 chronyd / 时区不对	装 chronyd + `timedatectl set-timezone`
迁移 Rocky 失败	网络 / 仓库访问	配阿里云 Vault 源后重试

八、下一步

想从 CentOS 8 直接迁到 Rocky 9 / Alma 9 → 走 migrate2rocky 或重装（重装最稳）
想继续留 CentOS 7 → 7 已 2024-06-30 EOL，尽快迁出
想换更现代的发行版 → Ubuntu 22.04 LTS / Debian 12
想学 K8s 时间同步最佳实践 → 容器里别用宿主机的本地时间，用 NTP 或 sidecar

参考资料

2024 视角：CentOS 8 时代早已过去，Rocky / Alma 9 才是"未来"

本文写于 2019-09-15（CentOS 8 GA 前一周），2024 视角下 CentOS 8 已 EOL 3 年。本文的方法在 vault 源上仍管用，但新项目早应该迁到 Rocky / Alma 9。

一、CentOS 8 EOL 时间线回顾

2019-09-24：CentOS 8.0 GA
2020-12-08：CentOS 战略调整公告（CentOS 8 提前 EOL，CentOS 转向 Stream）
2021-12-31：CentOS 8 EOL（生命周期结束，比原计划 2029-05 提前 7.5 年）
2022-01-31：包从 mirror.centos.org 移到 vault.centos.org
2024-06-30：CentOS 8 走完 6 个月的 ELS（Extended Lifecycle Support）

2024 视角：CentOS 8 完全没有安全更新——必须迁出。

二、`vault.centos.org` 2024 状态

2024-06-30 后：vault.centos.org 仍可访问，但仅供归档查询。
生产环境仍用 CentOS 8 = 裸奔在公网。
不推荐继续用 vault.centos.org 做生产源——无 GPG 签名验证（包可能被劫持）。

三、dnf 包管理器的"2024 现状"

2019 那篇介绍了 CentOS 8 的 dnf 4.x。2024 视角：

dnf 5（2024-03 在 Fedora 40 首次 GA，RHEL 9.4+ 默认）—— 完全重写：
- 基于 libsolv（比 dnf 4 的 hawkey 快 10 倍）
- Python 3.12+ 替代 Python 3.6
- 新命令：dnf install 改成 dnf install（不变）但有 dnf5 install
- 更严格的依赖解析

1
2
3
4
5
6
7


# 2024 dnf 5 用法
dnf5 --version
# 5.1.12

dnf5 install nginx
dnf5 remove nginx
dnf5 search python

四、chrony 在 2024 仍是 NTP 默认

2019 那篇的 chrony 配置 2024 仍管用。2024 新增：

chrony 4.5+（2024-02 起）：支持 NTS（Network Time Security）—— 加密的 NTP 协议。

1
2
3
4


# /etc/chrony.conf
# 启用 NTS
ntsserver ntp1.aliyun.com
ntsserver time.cloudflare.com

NTS 比传统 NTP 更安全（防中间人篡改时间）。

五、timedatectl 的"现代"用法

2019 那篇给的 timedatectl set-timezone Asia/Shanghai 2024 仍管用。2024 增强：

NTP 同步 + RTC 同步：

1
2
3
4
5
6
7
8


# 看同步状态
timedatectl show-timesync
# SystemNTPServers=ntp1.aliyun.com
# SystemNTPSynchronized=yes
# RTCInLocalTZ=no

# 强制 RTC 用 UTC（避免时区混乱）
timedatectl set-local-rtc 0

六、CentOS Stream 8 → Rocky / Alma 8 的迁移

2019 那篇只是"保留旧系统"。2024 主流：

migrate2rocky.sh 脚本（Rocky Linux 官方）：

1
2
3
4
5
6
7
8
9


# CentOS Stream 8 → Rocky Linux 8
curl -O https://raw.githubusercontent.com/rocky-linux/rocky-tools/main/migrate2rocky/migrate2rocky.sh
chmod +x migrate2rocky.sh
sudo bash migrate2rocky.sh -r

# 重启
sudo reboot
uname -r
# Rocky Linux 8.x

almalinux-deploy 脚本（AlmaLinux 官方）：

1
2


sudo dnf install -y almalinux-deploy
sudo almalinux-deploy

七、CentOS Stream 的"真实价值"

2019 那篇 CentOS Stream 8 还没出。
CentOS Stream 8/9（2021+）：RHEL 的"上游开发版"—— 比 RHEL 早 1-2 个 minor 版本。
2024 视角：
- 生产环境：不用 CentOS Stream（不稳定），用 Rocky / Alma 9。
- 开发环境：CentOS Stream 9 可以体验"未来 RHEL"。
- CI/CD 测试：RHEL UBI（Universal Base Image，2020+）—— 在容器里跑 RHEL。

八、AlmaLinux / Rocky / Oracle 三选一

Rocky Linux：CIQ 公司主导，社区最活跃。
AlmaLinux：CloudLinux 公司主导，外企用得多。
Oracle Linux：Oracle 公司主导，企业级支持（UEK 内核自研）。
2024 市场份额：
- Rocky Linux ~ 35%
- AlmaLinux ~ 30%
- Oracle Linux ~ 20%
- CentOS Stream ~ 15%

九、CentOS 8 的"运维遗物"：`dnf module`

2019 那篇提到 dnf module。2024 状态：

dnf module 在 Rocky / Alma 9 仍存在（继承自 RHEL 8 AppStream）。
2024 趋势：用 pyenv / conda / uv 装 Python，不用 dnf module install python39。
应用流（Module）示例（2024 仍可用）：

1
2
3
4


# Node.js 多版本（dnf module）
dnf module list nodejs
dnf module enable nodejs:18
dnf install nodejs

十、CentOS 8 EOL 后的"实践教训"

2019 → 2024 五年间，CentOS 经历了：
- GA（2019-09）
- 战略调整（2020-12）
- 提前 EOL（2021-12）
- 完全归档（2024-06）
教训：
- 不要把生产系统"绑死"在单一发行版—— 用 Docker / 容器化
- 订阅 Red Hat 或 商业支持（Alma / Rocky / Oracle）—— 别用"免费无支持"的 CentOS
- 新项目永远用"未来 5 年有支持"的发行版
- 2024 推荐：
  - 服务器：Rocky / Alma / Oracle 9（支持到 2027-2029）
  - 桌面 / 开发：Ubuntu 24.04 LTS（支持到 2029-04）
  - 容器：Distroless / Alpine / UBI（无 OS 依赖）

Java 应用 Docker 化：Tomcat / Spring Boot 打包 + HTTPS / 时区 / 字体坑

Sat, 15 Dec 2018 00:00:00 +0800

Java 应用的 Docker 化比 Go / Node 麻烦得多——JVM、字体、时区、HTTPS 证书、Tomcat 配置每一个都是坑。本篇把"从 Spring Boot fat jar 到可生产的 Java 容器"完整流程整理清楚。

阅读对象：Java 后端 / 运维工程师 覆盖范围：Tomcat 镜像选型 + Spring Boot fat jar 打包 + anapsix/alpine-java 镜像使用 + HTTPS 证书导入 + 时区 / 中文乱码 / 字体 / DNS 解决 + 镜像瘦身 + 完整 docker-compose 部署

一、Java 容器化三大流派

1.1 流派对比

方案	镜像	体积	启动速度	适用
完整 JDK	`openjdk:8`	~ 800 MB	慢	需要 javac
JRE only	`openjdk:8-jre-slim`	~ 250 MB	中	生产应用
Alpine JRE	`anapsix/alpine-java:8u201b09_server-jre_nashorn`	~ 150 MB	快	生产首选
Native（GraalVM）	`ghcr.io/graalvm/native-image`	~ 50 MB	极快	性能要求高

默认推荐 anapsix/alpine-java——体积小、glibc 兼容好、社区维护。

1.2 为什么需要 alpine

alpine 镜像小 5x（musl libc vs glibc）
冷启动快：JVM 加载速度快 30%+
CVE 少：alpine 包更新频繁，CVE 修复更及时

二、Tomcat 镜像

2.1 官方 Tomcat 镜像

1
2
3
4
5


docker pull tomcat:8.5
docker run -d -p 8098:8080 \
 -v /data/my_tomcat_3/webapps:/usr/local/tomcat/webapps \
 --name my_tomcat_3 \
 tomcat:8.5

2.2 自建 Tomcat 镜像

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 准备目录
mkdir tomcat_web && cd tomcat_web
touch Dockerfile start.sh

# 2. Dockerfile
cat > Dockerfile <<'EOF'
FROM tomcat:8.5
ADD ./webapps /usr/local/tomcat/webapps
CMD ["catalina.sh", "run"]
EOF

# 3. 构建
docker build -t tomcat_web:v2 .

# 4. 保存 / 加载（离线分发）
docker save -o tomcat_web.tar.gz tomcat_web:v2
docker load -i tomcat_web.tar.gz

2.3 完整 Tomcat 部署示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 创建工作目录
mkdir -p /home/epadmZZ && cd /home/epadmZZ
touch server.xml
mkdir logs ROOT

# 部署容器
docker run -tid --restart=always --name epadmZZ \
 -p 28081:8080 \
 -v /home/project/epadmZZ/:/Webs \
 -v /etc/localtime:/etc/localtime \
 -m 2048m --memory-swap=2048m --cpu-shares=256 \
 tomcat_web:v2 start.sh run -config /Webs/server.xml

关键参数：

-m 2048m --memory-swap=2048m：内存硬限——避免 OOM 影响宿主机
--cpu-shares 256：CPU 权重（默认 1024，相对值）
-v /etc/localtime:/etc/localtime：时区同步

三、Spring Boot fat jar 容器化

3.1 构建 Spring Boot 应用

1
2


mvn clean package
# 生成 target/myapp-1.0.0.jar

3.2 最小化 Dockerfile

1
2
3
4
5


FROM anapsix/alpine-java:8u201b09_server-jre_nashorn
VOLUME /tmp
ADD myapp-1.0.0.jar /app.jar
EXPOSE 8080
ENTRYPOINT ["java", "-jar", "/app.jar"]

3.3 启动参数注入

1
2
3
4
5
6
7
8


# 普通启动
docker run -d --restart=always \
 --name myapp \
 -p 8080:8080 \
 -v /home/project/myapp:/jar \
 -v /etc/localtime:/etc/localtime \
 anapsix/alpine-java:8u201b09_server-jre_nashorn \
 java -jar -Duser.timezone=GMT+08 /jar/myapp-1.0.0.jar

多端口 + 特殊权限（IoT 项目）：

1
2
3
4
5
6
7
8
9


docker run -d --restart=always \
 -v /home/project/iot:/jar \
 -v /home/project/iot/logs:/kde-iot-log \
 -v /etc/localtime:/etc/localtime \
 -p 8080:8080 -p 443:443 -p 18888:18888 \
 --net mynetwork --ip 172.18.0.5 \
 --privileged=true \
 --name iot anapsix/alpine-java:8u201b09_server-jre_nashorn \
 java -jar -Duser.timezone=GMT+08 /jar/iot-0.0.1-SNAPSHOT.jar

3.4 JVM 参数调优

1
2
3
4
5
6
7


docker run -d \
 -e JAVA_OPTS="-Xms2g -Xmx2g -Xmn1g -Xss1m \
 -XX:SurvivorRatio=8 \
 -XX:MetaspaceSize=256m \
 -XX:MaxMetaspaceSize=256m \
 -XX:NativeMemoryTracking=detail" \
 myapp:latest

容器内 JVM 调优要点：

JVM 看到的 CPU 数可能与宿主机不同——加 -XX:+UseContainerSupport（Java 10+）
JVM 看到的内存可能不准——加 -XX:MaxRAMPercentage=75.0
容器感知：java -XX:+PrintFlagsFinal -version | grep UseContainerSupport

1

ENV JAVA_OPTS="-XX:+UseContainerSupport -XX:MaxRAMPercentage=75.0 -XX:+PrintFlagsFinal"

四、HTTPS 证书导入

4.1 场景

小程序后台 + 数据接收 + 第三方 HTTPS 对接——需要 SSL 证书。

4.2 阿里云免费证书申请

1
2
3
4


1. 阿里云控制台 → SSL 证书 → 购买证书
2. 选择：单域名 / DV SSL / 免费版 / DigiCert
3. 域名验证（DNS 解析添加 TXT 记录）
4. 下载证书：Tomcat 类型（.pfx + password.txt）

4.3 PFX → JKS 转换

容器内 Java 用 JKS 格式：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 进入 JDK 容器
docker exec -it myapp bash

# 2. 找 keytool
which keytool
# /usr/lib/jvm/default-jvm/bin/keytool

# 3. 转换 PFX → JKS
keytool -importkeystore \
 -srckeystore /path/to/xxx.pfx \
 -destkeystore /app/wx.jks \
 -srcstoretype PKCS12 \
 -deststoretype JKS

# 4. 输入 PFX 密码（password.txt 中的密码）
# 5. 记好 alias（jks 文件别名）

4.4 挂载到容器

1
2
3


docker run -d \
 -v /home/project/wx.jks:/app/wx.jks \
 myapp:latest

4.5 Spring Boot 配置

1
2
3
4
5
6
7


server:
 port: 443
 ssl:
 key-store: classpath:wx.jks
 key-store-password: {{JKS_PASS}}
 key-store-type: JKS
 key-alias: alias

4.6 强制 HTTPS

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34


@SpringBootApplication
public class Application {

 @Bean
 public TomcatServletWebServerFactory servletContainer() {
 TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
 @Override
 protected void postProcessContext(Context context) {
 SecurityConstraint constraint = new SecurityConstraint();
 constraint.setUserConstraint("CONFIDENTIAL");
 SecurityCollection collection = new SecurityCollection();
 collection.addPattern("/*");
 constraint.addCollection(collection);
 context.addConstraint(constraint);
 }
 };
 tomcat.addAdditionalTomcatConnectors(httpConnector());
 return tomcat;
 }

 @Bean
 public Connector httpConnector() {
 Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
 connector.setScheme("http");
 connector.setPort(8080);
 connector.setSecure(false);
 connector.setRedirectPort(443);
 return connector;
 }

 public static void main(String[] args) {
 SpringApplication.run(Application.class, args);
 }
}

效果：

80 / 8080 收到请求 → 自动 302 重定向到 443
443 走 HTTPS

五、时区问题

5.1 三种方法

方法 A：挂载宿主机时区（最简单）

1

docker run -v /etc/localtime:/etc/localtime:ro ...

方法 B：环境变量 TZ（Java 8u72+）

1

docker run -e TZ=Asia/Shanghai ...

方法 C：JVM 参数

1

java -Duser.timezone=GMT+08 -jar app.jar

生产推荐 A + B 一起用。

5.2 容器内修改

1
2
3
4
5
6


# 进入容器
docker exec -it 2c87bcc41378 /bin/bash

# 拷贝时区文件
cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
echo "Asia/Shanghai" > /etc/timezone

alpine 镜像特殊处理：

1
2
3


RUN apk add --no-cache tzdata \
 && ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime \
 && echo "Asia/Shanghai" > /etc/timezone

六、中文乱码

6.1 三处必设

Dockerfile / 启动参数：

1
2
3
4
5


java -Dfile.encoding=UTF-8 \
 -Dsun.jnu.encoding=UTF-8 \
 -Duser.language=zh \
 -Duser.country=CN \
 -jar app.jar

MySQL 连接串：

1
2
3


spring:
 datasource:
 url: jdbc:mysql://10.0.1.1:3306/mydb?useUnicode=true&characterEncoding=UTF-8

Linux locale（容器内）：

1
2
3
4
5
6
7


docker exec -it myapp locale
# 看到 POSIX / C 是错的

# 设置
docker exec -it myapp bash
localedef -i en_US -f UTF-8 en_US.UTF-8
export LANG=en_US.UTF-8

根治：

1
2


ENV LANG=C.UTF-8
ENV LC_ALL=C.UTF-8

七、字体问题

7.1 症状

Java 应用：

导出 PDF 中文变方块
生成图形验证码 OOM
POI 操作 Excel 报错

原因：JDK 本身不带字体，alpine / slim 镜像里 fontconfig 也没装。

7.2 修复

Debian / Ubuntu 基础：

1

RUN apt-get update && apt-get install -y fontconfig

Alpine 基础（alpine 3.15+ 必需）：

1

RUN apk add --no-cache fontconfig

完整中文字体（把 Windows 字体拷进容器）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 1. 宿主机准备字体目录
mkdir -p /home/fonts

# 2. 从 Windows 拷贝
# C:\Windows\Fonts\msyh.ttc (微软雅黑)
# C:\Windows\Fonts\simfang.ttf (仿宋)
# C:\Windows\Fonts\simhei.ttf (黑体)
# C:\Windows\Fonts\simsun.ttc (宋体)

# 3. 挂载到容器
docker run \
 -v /home/fonts:/usr/share/fonts/win \
 ...

容器内更新字体缓存：

1
2
3


docker exec -it myapp bash
fc-cache -fv
fc-list :lang=zh

7.3 Spring Boot PDF 字体

1
2
3
4
5
6
7
8
9


@Bean
public PdfReportFontConfig pdfFontConfig() {
 return new PdfReportFontConfig() {
 @Override
 public String getFontFile() {
 return "/usr/share/fonts/win/msyh.ttc";
 }
 };
}

八、容器化常用工具

8.1 必备工具清单

1
2
3
4
5


# Alpine 镜像（最小化，几乎啥都没有）
apk add --no-cache curl wget iputils-ping iproute2 bash vim fontconfig tzdata

# Debian 镜像
apt-get install -y curl wget iputils-ping iproute2 vim fontconfig dnsutils

8.2 容器内调试

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 进容器
docker exec -it myapp bash

# 看进程
ps -ef
ps aux

# 看端口
netstat -tnlp # alpine: apk add net-tools
ss -tnlp # 通用

# 看内存
free -h

九、DNS 问题

症状：容器内 ping internal.example.com 失败。

修复：

1
2
3
4
5
6
7
8
9


# 1. 修改 docker daemon DNS
vim /etc/docker/daemon.json
{
 "dns": ["114.114.114.114", "8.8.8.8"]
}
systemctl restart docker

# 2. 或容器内指定
docker run --dns 114.114.114.114 --dns 8.8.8.8 ...

十、镜像瘦身

10.1 多阶段构建

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 阶段 1：编译
FROM maven:3.9-eclipse-temurin-17 AS build
COPY pom.xml .
RUN mvn dependency:go-offline
COPY src ./src
RUN mvn clean package -DskipTests

# 阶段 2：运行时
FROM anapsix/alpine-java:8u201b09_server-jre_nashorn
COPY --from=build /target/myapp-1.0.0.jar /app.jar
EXPOSE 8080
ENTRYPOINT ["java", "-jar", "/app.jar"]

效果：编译镜像 ~ 800MB，运行时镜像 ~ 150MB。

10.2 清理缓存

1
2


RUN apt-get update && apt-get install -y fontconfig \
 && rm -rf /var/lib/apt/lists/* # 必须清！

10.3 JLink 定制 JRE

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 用 jlink 裁剪 JDK（Java 9+）
jlink \
 --module-path $JAVA_HOME/jmods \
 --add-modules java.base,java.logging,java.sql,java.naming,java.management,java.security.jgss,java.desktop \
 --output /opt/jre-mini \
 --strip-debug --no-man-pages --compress=2

# 用自定义 JRE 做基础镜像
FROM scratch
COPY --from=builder /opt/jre-mini /opt/jre
ENV JAVA_HOME=/opt/jre
ENV PATH=$JAVA_HOME/bin:$PATH

效果：JRE 50MB 级别。

十一、完整生产 Dockerfile

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36


# 阶段 1：构建
FROM maven:3.9-eclipse-temurin-17 AS build
WORKDIR /build
COPY pom.xml .
RUN mvn dependency:go-offline -B
COPY src ./src
RUN mvn clean package -DskipTests

# 阶段 2：运行时
FROM anapsix/alpine-java:8u201b09_server-jre_nashorn

# 必备工具
RUN apk add --no-cache \
 fontconfig \
 tzdata \
 tini \
 && cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime \
 && echo "Asia/Shanghai" > /etc/timezone \
 && fc-cache -fv

# JVM 容器感知
ENV JAVA_OPTS="-XX:+UseContainerSupport -XX:MaxRAMPercentage=75.0 -XX:+ExitOnOutOfMemoryError"

# 中文环境
ENV LANG=C.UTF-8 \
 LC_ALL=C.UTF-8 \
 TZ=Asia/Shanghai

WORKDIR /app
COPY --from=build /build/target/*.jar /app/app.jar

# 暴露端口
EXPOSE 8080

# tinit 收僵尸进程
ENTRYPOINT ["/sbin/tini", "--", "sh", "-c", "exec java $JAVA_OPTS -jar /app/app.jar"]

十二、典型坑位

12.1 容器里 `ping` 找不到

1

RUN apt-get install -y iputils-ping

12.2 容器里 `curl` / `wget` 找不到

1

RUN apt-get install -y curl wget

12.3 catalina.out 无限膨胀

1
2
3
4


# 清空
cat /dev/null > /opt/sxt/logs/catalina.out

# 配置 logrotate

12.4 DNS 解析失败

1
2


# 容器内
docker run --dns 114.114.114.114 ...

12.5 内存超限被 OOM

1
2
3
4
5


# 加硬限
docker run -m 2g --memory-swap=2g ...

# JVM 也限
java -Xmx1500m ...

十三、生产部署清单

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 构建
docker build -t myapp:20240315 .

# 2. 保存离线
docker save -o myapp.tar.gz myapp:20240315

# 3. 推 Harbor
docker push myapp.example.com/library/myapp:20240315

# 4. 部署
docker run -d --restart=always \
 --name myapp \
 --net=mynetwork \
 -p 8080:8080 \
 -v /home/myapp/logs:/app/logs \
 -v /home/myapp/config:/app/config \
 -v /etc/localtime:/etc/localtime:ro \
 -m 2g --memory-swap=2g \
 myapp.example.com/library/myapp:20240315

# 5. 接入日志
docker logs -f myapp 2>&1 | tee -a /var/log/myapp/app.log

十四、最佳实践清单

JRE 镜像而非 JDK（生产不需要 javac）
anapsix/alpine-java 默认推荐（社区维护 + glibc 兼容）
-XX:+UseContainerSupport JVM 容器感知
-XX:MaxRAMPercentage=75.0 内存自适应
-XX:+ExitOnOutOfMemoryError OOM 退出（让编排系统重启）
tini 收僵尸进程（Java 不会自动 reap）
LANG=C.UTF-8 + 字体 解决中文乱码
/etc/localtime 挂载 解决时区
-m 2g --memory-swap=2g 硬限内存
多阶段构建 镜像瘦身

2024+ 视角补充

本文写于 2018-12，2024-2026 期间 Java 应用容器化关键演进：

JDK 17 / 21 主流化：JDK 8 官方支持 2024-03 已结束（最后 LTS）——新项目必须 JDK 17 或 21；JDK 21（2023-09 LTS，支持到 2031）已成 2024+ 主流
Spring Boot 3.2+ 全面 Jakarta EE：从 javax.* 迁移到 jakarta.*——Tomcat 10+ 是默认；JDK 17 最低要求
Spring Boot 3.4+（2025）：Virtual Threads（虚拟线程）默认集成——JDK 21 协程天然适配
GraalVM Native Image 1.0+（2024-2026）：Spring Boot 3.x 官方支持——spring-boot:build-image 直接生成 native 可执行文件，启动 < 100ms，内存 < 100MB
CRaC（Coordinated Restore at Checkpoint）：OpenJDK 17+ 实验，JVM 启动 < 10ms——Serverless / K8s 冷启动杀手
容器镜像生态：
- Eclipse Temurin（2024-2026）：前 Adoptium，JDK 21 主流发行版——OpenJDK + 商业支持
- BellSoft Liberica JDK（2024-2026）：Native Image Kit + Alpine glibc 兼容——容器首选
- Azul Zulu Prime（2024-2026）：C4 Pauseless GC——延迟敏感场景
- Amazon Corretto（2024-2026）：AWS 维护，生产级 LTS
多阶段构建 已成 Java 容器化标准
JLink 定制 JRE：50MB 级别运行时镜像

实战建议（2025-2026 视角）：

新项目 → JDK 21 LTS + Spring Boot 3.4+ + GraalVM Native Image（Serverless / 冷启动敏感场景）
存量项目 → 升 JDK 17 LTS（避免 JDK 8 / 11 停服）→ 再逐步升 21
Serverless / K8s 冷启动 → GraalVM Native Image 或 CRaC
基础镜像：BellSoft Liberica JDK 21 是 2024+ 容器首选

下一步

想看 JDK 自建镜像实战（Debian / Ubuntu / Alpine 三大流派）→ JDK 自建镜像实战
想看 Nginx 自建镜像实战（前端 dist / 反代）→ Nginx 自建镜像实战
想看 Java 微服务治理（Sentinel 限流 / Spring Boot Admin）→ Java 微服务治理
想看 XXL-Job 分布式调度（任务调度平台）→ XXL-Job 分布式调度