docker inspect -f '{{.state.pid}}' 返回的是容器 init 进程(pid 1)在宿主机的真实 pid;若 jvm 是 pid 1,该值即为目标 pid;否则需进容器查 ps aux | grep java 或 cat /proc/1/cmdline 确认。
怎么用 docker inspect 拿到容器里 JVM 进程的真实 PID
容器内看到的 PID 是隔离后的,宿主机上查不到;调试必须用宿主机视角的 PID。直接 docker inspect 查不到进程 PID,得先拿到容器的 init 进程在宿主机上的 PID,再从它底下找 Java 进程。
-
docker inspect -f '{{.State.Pid}}' <container-id></container-id>返回的是容器 init 进程(即 PID 1)在宿主机的 PID,不是 Java 进程本身的 PID - Java 进程通常就是 PID 1(比如用
java -jar app.jar启动),但若用了sh -c、entrypoint封装或 supervisord,PID 1 就不是 JVM,得进容器查:docker exec <container-id> ps aux | grep java</container-id> - 更稳的办法是进容器执行
cat /proc/1/cmdline看 PID 1 是否为 java,避免误杀 shell 或 wrapper 进程
为什么 docker exec -it 进去后 jstack 报 “Unable to open socket file”
因为 JVM 默认只允许同用户、同 namespace 的进程 attach,而 docker exec 启动的 shell 虽然在同一个容器里,但它的 /proc/<pid>/root</pid> 指向的是容器 rootfs,而 jstack 需要访问目标 JVM 的 /tmp 下的 .java_pid 文件——这个文件默认由 JVM 在启动时创建,但权限受限或路径被挂载覆盖就找不到了。
- JVM 必须加启动参数
-XX:+UseContainerSupport -XX:+UnlockDiagnosticVMOptions -XX:+PrintContainerInfo(JDK 8u191+ / JDK 11+)才能正确识别容器环境并生成可访问的 attach socket - 如果没加参数,
jstack会尝试读/tmp/.java_pid<pid></pid>,但该文件可能属主是 root、权限 600,且宿主机挂载的/tmp和容器内不是同一份——常见于用-v /tmp:/tmp映射时权限错乱 - 临时解法:进容器后用
su -c 'jstack <pid>' java_user</pid>切换到 JVM 启动用户再执行(别用 root 直接跑 jstack,容易因 UID 不匹配失败)
挂载 /proc 和 /sys 时权限不够,jstat / jmap 失败怎么办
这些工具依赖读取 /proc/<pid>/</pid> 下的内存、线程、maps 等信息,而 Docker 默认只挂载了容器自己的 /proc,里面看不到完整进程视图;强行挂载宿主机 /proc 又会导致路径混乱和权限拒绝。
- 最简方案:用
docker run --pid=host启动容器(或docker update --pid=host <container></container>),这样容器内/proc就是宿主机视角,jstat -JVM才能读到真实数据 - 但注意:启用
--pid=host后,容器内ps会看到所有宿主机进程,需配合--user限制权限,否则jmap -histo可能因目标进程 UID 不匹配被拒 - 若不能开 host PID namespace,改用
docker exec --privileged(不推荐)或直接在宿主机用jstack <host-pid></host-pid>——前提是 JVM 启动时加了-XX:+StartAttachListener
调试用的挂载目录权限错乱:比如 /tmp 或 /data 容器内写不了
不是所有挂载都“自动适配”,尤其当宿主机目录属主是普通用户、而容器里 JVM 以非 root 用户运行时,chmod 或 chown 不生效,jmap -dump 写文件直接 Permission denied。
- 检查挂载点实际权限:
docker exec <c> ls -ld /tmp</c>,对比宿主机ls -ld /host/tmp;常见问题是宿主机目录属组不是容器用户所在组,或没有 group-writable 权限 - 启动容器时显式指定 UID/GID:
docker run -u 1001:1001 -v /host/tmp:/tmp:rw,确保容器内用户对挂载目录有写权限 - 更稳妥的做法是让 JVM 进程自己创建 dump 目录,并在启动前用
mkdir -p /tmp/dumps && chown java_user:java_group /tmp/dumps(写在 entrypoint 里),避免依赖挂载点初始状态
真正卡住人的往往不是命令记不住,而是 PID namespace、用户 UID、挂载传播模式(shared/slave)、JVM attach listener 开关这四者没对齐。少一个,jstack 就静默失败,连错误都不报。
