本文记录了在离线环境下部署Tomcat容器时遇到的权限问题及解决方案。在Docker环境中运行Tomcat时出现"找不到setclasspath.sh"错误,通过添加--security-opt seccomp=unconfined参数解决。在Kubernetes环境中部署时出现相同问题,通过设置containerSecurityContext.seccompProfile.type=Unconfined解决。文章对比了Unconfined和RuntimeDefault两种seccomp
一、离线环境
CPU:Hygon C86 7285 32-core Processor
操作系统:麒麟操作系统
containerd:1.7.27
Kubernetes:1.26.12
KubeSphere:4.1.2
kubekey:3.1.10
Harbor:2.13.1
二、docker下的现象
执行如下代码:
docker run -dit \
--name tomcat \
-p 8084:8080 \
-e TOMCAT_USERNAME=admin \
-e TOMCAT_PASSWORD=Sinops1234 \
bitnami/tomcat:latest
报如下错误:
Cannot find /opt/bitnami/tomcat/bin/setclasspath.sh
原因:
权限不够。
解决方案:
docker run -dit \
--name tomcat \
-p 8084:8080 \
--security-opt seccomp=unconfined \
-e TOMCAT_USERNAME=admin \
-e TOMCAT_PASSWORD=Sinops1234 \
bitnami/tomcat:latest
特性 | apparmor:unconfined | seccomp=unconfined |
所属模块 | AppArmor | seccomp |
控制内容 | 文件路径、网络访问、权限等 | 系统调用(syscalls) |
用途 | 限制程序对系统资源的访问 | 限制程序能执行的底层系统操作 |
安全影响 | 更细粒度的访问控制 | 防止危险系统调用被执行 |
默认行为 | Docker 会应用默认 AppArmor profile(如果启用) | Docker 默认启用 seccomp,限制部分危险 syscall |
何时使用 | 容器无法访问特定文件或资源 | 容器因系统调用失败而崩溃 |
三、k8s下的现象
执行如下命令:
helm install tomcat ./tomcat-12.0.0.tgz \
--namespace default \
--set image.registry=172.23.123.117:8443 \
--set image.repository=library/bitnami/tomcat \
--set image.tag=latest \
--set image.pullPolicy=IfNotPresent \
--set image.pullSecrets=sinopsreg \
--set global.security.allowInsecureImages=false \
--set usePasswordFiles=false \
--set existingSecret=tomcat-secrets \
--set secretKeys.adminUsernameKey=tomcat-username \
--set secretKeys.adminPasswordKey=tomcat-password
报如下错误:
Cannot find /opt/bitnami/tomcat/bin/setclasspath.sh
原因:
权限不够。
解决方案:
helm install tomcat ./tomcat-12.0.0.tgz \
--namespace default \
--set image.registry=172.23.123.117:8443 \
--set image.repository=library/bitnami/tomcat \
--set image.tag=latest \
--set image.pullPolicy=IfNotPresent \
--set image.pullSecrets=sinopsreg \
--set global.security.allowInsecureImages=false \
--set usePasswordFiles=false \
--set existingSecret=tomcat-secrets \
--set secretKeys.adminUsernameKey=tomcat-username \
--set secretKeys.adminPasswordKey=tomcat-password \
--set containerSecurityContext.seccompProfile.type=Unconfined
Unconfined:当你设置 seccompProfile.type: Unconfined,这意味着禁用了 Seccomp 安全策略,允许容器内的进程执行所有系统调用。这种方式提供了最大的灵活性,但也降低了安全性。
RuntimeDefault:相比之下,使用 "RuntimeDefault" 提供了一定程度的安全性提升,因为它限制了容器能够执行的系统调用,减少了潜在攻击面。
:线程封装)
)
 的用法与实战案例)
)