2018年的Docker和JVM

為什麼我要將JAVA放在容器中呢？
這是一個很好的問題。Java不是用“ 一次編寫，隨處執行 ”的口號構建的嗎？儘管如此，該語句的意思Java應用僅包含Java二進位制檔案。
您的位元組碼（Jar檔案）將可能在每個的JVM版本上正常執行。然而，資料庫驅動程式呢？檔案系統訪問？聯網？可用熵？您依賴的第三方應用程式？所有這些因素都會因作業系統而異。
通常，您的應用程式需要在Java二進位制檔案和任何第三方依賴項之間取得良好的平衡。如果您曾經支援過客戶安裝的Java應用程式，那麼您就會知道我的意思。

首先是虛擬機器
在容器之前，通用解決方案是使用虛擬機器。使用您選擇的作業系統建立一個新的空白虛擬計算機，安裝所有第三方依賴項，複製Java二進位制檔案，獲得快照並最終遞交。
使用VM，您可以確定所傳送的內容與其執行方式完全相同，並且每次都一致。環境配置問題沒有空間。
它們還提供強大的封裝。如果您在雲中執行應用程式，則每個虛擬機器都將被隔離。在同一硬體上執行的VM之間的損壞空間非常有限。
但是，總有一個但是，卻很重！如果您在應用程式中發現了一個錯誤並且必須更改一行程式碼，則必須重新編譯Jar檔案，重新安裝VM並運送整個程式碼。一行程式碼變成 幾個GB檔案，可以上傳到雲端或下載到客戶端。作業系統檔案很重，可能比Java二進位制檔案重得多，並且每次都必須傳送它們，即使它們沒有真正改變。

Docker來救援
如上所述，VM擁有自己的作業系統副本，而容器則更小，並且只包含您要傳送的內容。

使用容器，作業系統（確切地說，它是正在共享的核心，您可以選擇從不同的發行版（如Ubuntu，Debian，Alpine等）構建影像）由引擎（例如Docker）提供，並且您不需要將其和你的應用一起交付。
使用Docker，您可以交付以層為單位構建的影像。構建映象的說明放在Dockerfile中。

從概念上講，Dockerfile可能是這樣的：

1. 從空白的Ubuntu發行版開始
2. 安裝Java
3. 安裝依賴項A.
4. 安裝依賴關係B.
5. 複製jar檔案

JAVA + DOCKER = ???
在我們研究如何在Docker容器中打包Jar檔案之前，我們需要涵蓋一些重要的限制。Java 1.0於1996年釋出，而Linux容器起源於2008年左右。由此可見，預計JVM不會容納Linux容器。

Docker的一個關鍵功能是能夠限制容器的記憶體和CPU使用。這是在雲中執行許多Docker容器在經濟上有趣的主要原因之一。像Kubernetes（k8s）這樣的業務流程解決方案將嘗試在多個節點上有效地 “包裝” 容器。這裡的“包裝”是指打包記憶體和CPU。如果為Docker容器提供記憶體和CPU的合理界限，K8將能夠在多個節點上有效地安排它們。

不幸的是，這正是Java缺乏的地方。讓我們用一個例子來理解這個問題。

想象一下，你有一個32GB記憶體的節點，你想使用Docker執行一個限制為1GB的Java應用程式。如果未提供-Xmx引數，則JVM將使用其預設配置：

• JVM將檢查總可用記憶體。因為JVM不知道Linux容器（特別是限制記憶體的控制組），所以它認為它在主機上執行並且可以訪問完整的 32GB可用記憶體。
• 預設情況下，JVM將使用MaxMemory / 4，在這種情況下為8GB（32GB / 4）。
• 隨著堆大小的增長並超過1GB，容器將被Docker殺死。

• -XX：MaxRAMFraction = 1最大堆大小為1GB。這不是很好，因為你不能給JVM 100％的允許記憶體。該容器上可能還有其他元件正在執行
• -XX：MaxRAMFraction = 2最大堆大小為500MB。那更好但現在看來我們浪費了很多記憶體。
• -XX：MaxRAMFraction = 3最大堆大小為250MB。你正在支付1GB的記憶體，你的Java應用程式可以使用250MB。這有點荒謬
• -XX：MaxRAMFraction = 4　太小。

-XX:+UnlockExperimentalVMOptions
-XX:+UseCGroupMemoryLimitForHeap
-XX:MaxRAMFraction=2
-Djava.util.concurrent.ForkJoinPool.common.parallelism=2

• Docker記憶體限制：1GB
• -XX：InitialRAMPercentage = 50
• -XX：MaxRAMPercentage = 70

Java2Docker
將Java應用程式轉換為Docker映象的方法有很多種。
您可以使用Maven外掛（fabric8或Spotify）或Graddle外掛。但也許最簡單和更語義的方法是自己編寫Dockerfile。這種方法還允許您利用在JDK9引入的JLINK。使用jlink，您可以構建一個自定義JDK二進位制檔案，其中只包含應用程式所需的模組。
我們來看一個例子：

FROM adoptopenjdk/openjdk11 AS jdkBuilder
RUN $JAVA_HOME/bin/jlink \
--module-path /opt/jdk/jmods \
--verbose \
--**add**-modules java.base \
--output /opt/jdk-minimal \
--compress 2 \
--no-header-files
 
FROM debian:9-slim
COPY --from=jdkBuilder /opt/jdk-minimal /opt/jdk-minimal
ENV JAVA_HOME=/opt/jdk-minimal
COPY target/*.jar /opt/
CMD $JAVA_HOME/bin/java $JAVA_OPTS -jar /opt/*.jar

RUN $JAVA_HOME/bin/jlink \
--module-path /opt/jdk/jmods \
--verbose \
--add-modules java.base \
--output /opt/jdk-minimal \
--compress 2 \
--no-header-files

--add-modules java.base,java.logging,java.xml,
java.xml.bind,java.sql,jdk.unsupported,
java.naming,java.desktop,java.management,
java.security.jgss,java.security.sasl,
jdk.crypto.cryptoki,jdk.crypto.ec,
java.instrument,jdk.management.agent,
jdk.localedata

FROM adoptopenjdk/openjdk11 AS jdkBuilder
COPY path/to/module-info.class /opt/myModules
RUN $JAVA_HOME/bin/jlink \
--module-path /opt/jdk/jmods:/opt/myModules \
--verbose \
--**add**-modules my-module \
--output /opt/jdk-minimal \
--compress 2 \
--no-header-files

rm -rf /var/lib/apt/lists/* \
apt-get clean && apt-get update && apt-get upgrade -y \
apt-get install -y --no-install-recommends curl ca-certificates \
rm -rf /var/lib/apt/lists/* \
...