在 Docker 容器中运行时，JVM 无法映射保留的内存

Question

我似乎根本无法在我的服务器上的 Docker 容器中运行 java。即使发出java -version，我也会收到以下错误。

root@86088d679103:/# java -version
OpenJDK 64-Bit Server VM warning: INFO: os::commit_memory(0x0000035ce1000000, 2555904, 1) failed; error='Operation not permitted' (errno=1)
#
# There is insufficient memory for the Java Runtime Environment to continue.
# Native memory allocation (mmap) failed to map 2555904 bytes for committing reserved memory.
# An error report file with more information is saved as:
# //hs_err_pid17.log

据此，java不能为保留内存映射2.5Mb的空间？这似乎不对...

我在最后包含了完整的日志，但是为了提供一些额外的信息，我的系统报告了以下内容：

root@86088d679103:/# uname -m
x86_64
root@86088d679103:/# free -mh
             total       used       free     shared    buffers     cached
Mem:           15G       9.7G       5.8G       912K       148M       8.9G
-/+ buffers/cache:       639M        14G
Swap:          15G         0B        15G

谁能指出我正确的方向？

完整日志：https://gist.github.com/KayoticSully/e206c44681ce261674ba

更新

@Yobert 解决了这个问题，我强烈建议您通读 cmets 和聊天记录。里面有很好的信息。

对于那些想要使 Java 工作的最终命令的人：setfattr -n user.pax.flags -v "mr" /usr/bin/java

如果你的发行版默认没有安装setfattr，它应该通过paceman、apt-get等包含在可安装包attr中。

Answer 1

我在使用启用 Grsec 的内核时遇到了同样的问题。为了让 java 发挥出色，我不得不在 java 二进制文件上禁用 MPROTECT。您可以为此使用paxctl 实用程序：

paxctl -m /usr/lib/jvm/java-7-openjdk/jre/bin/java

如果您之前从未在该二进制文件上使用过paxctl -c，则需要先对该二进制文件执行此操作：

paxctl -c /usr/lib/jvm/java-7-openjdk/jre/bin/java

有关 paxctl 的更多信息，请访问：http://en.wikibooks.org/wiki/Grsecurity/Additional_Utilities

Answer 2

我在 Alpine Linux 上运行 Docker 时遇到了同样的问题，在启用 PaX 软模式后它可以工作：

sysctl -w kernel.pax.softmode=1

软模式默认会禁用大部分 PaX 功能，因此不建议启用它。正确的方法是使用 paxctl，如上所述。

也可以看看这里： https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Support_soft_mode

Answer 3

这也发生在我身上， 我们减少了 VM 上的 RAM 大小，几天后开始出现此错误，并且服务一直没有出现。

解决方案 :: 我们减少了遇到此问题的应用程序或服务的堆大小，服务又恢复正常了。