k8s:离线部署tomcatV11.0.9,报Cannot find /opt/bitnami/tomcat/bin/setclasspath.sh

云游2025-07-23 15:53

本文记录了在离线环境下部署Tomcat容器时遇到的权限问题及解决方案。在Docker环境中运行Tomcat时出现"找不到setclasspath.sh"错误,通过添加--security-opt seccomp=unconfined参数解决。在Kubernetes环境中部署时出现相同问题,通过设置containerSecurityContext.seccompProfile.type=Unconfined解决。文章对比了Unconfined和RuntimeDefault两种seccomp

一、离线环境

CPU:Hygon C86 7285 32-core Processor

操作系统:麒麟操作系统

containerd:1.7.27

Kubernetes:1.26.12

KubeSphere:4.1.2

kubekey:3.1.10

Harbor:2.13.1

二、docker下的现象

执行如下代码:

docker run -dit \

--name tomcat \

-p 8084:8080 \

-e TOMCAT_USERNAME=admin \

-e TOMCAT_PASSWORD=Sinops1234 \

bitnami/tomcat:latest

报如下错误:

Cannot find /opt/bitnami/tomcat/bin/setclasspath.sh

原因:

权限不够。

解决方案:

docker run -dit \

--name tomcat \

-p 8084:8080 \

--security-opt seccomp=unconfined \

-e TOMCAT_USERNAME=admin \

-e TOMCAT_PASSWORD=Sinops1234 \

bitnami/tomcat:latest

|------------|-------------------------------------|------------------------------------|
| 特性 | apparmor:unconfined | seccomp=unconfined |
| 所属模块 | AppArmor | seccomp |
| 控制内容 | 文件路径、网络访问、权限等 | 系统调用(syscalls) |
| 用途 | 限制程序对系统资源的访问 | 限制程序能执行的底层系统操作 |
| 安全影响 | 更细粒度的访问控制 | 防止危险系统调用被执行 |
| 默认行为 | Docker 会应用默认 AppArmor profile(如果启用) | Docker 默认启用 seccomp,限制部分危险 syscall |
| 何时使用 | 容器无法访问特定文件或资源 | 容器因系统调用失败而崩溃 |

三、k8s下的现象

执行如下命令:

helm install tomcat ./tomcat-12.0.0.tgz \

--namespace default \

--set image.registry=172.23.123.117:8443 \

--set image.repository=library/bitnami/tomcat \

--set image.tag=latest \

--set image.pullPolicy=IfNotPresent \

--set image.pullSecrets=sinopsreg \

--set global.security.allowInsecureImages=false \

--set usePasswordFiles=false \

--set existingSecret=tomcat-secrets \

--set secretKeys.adminUsernameKey=tomcat-username \

--set secretKeys.adminPasswordKey=tomcat-password

报如下错误:

Cannot find /opt/bitnami/tomcat/bin/setclasspath.sh

原因:

权限不够。

解决方案:

helm install tomcat ./tomcat-12.0.0.tgz \

--namespace default \

--set image.registry=172.23.123.117:8443 \

--set image.repository=library/bitnami/tomcat \

--set image.tag=latest \

--set image.pullPolicy=IfNotPresent \

--set image.pullSecrets=sinopsreg \

--set global.security.allowInsecureImages=false \

--set usePasswordFiles=false \

--set existingSecret=tomcat-secrets \

--set secretKeys.adminUsernameKey=tomcat-username \

--set secretKeys.adminPasswordKey=tomcat-password \

--set containerSecurityContext.seccompProfile.type=Unconfined

Unconfined:当你设置 seccompProfile.type: Unconfined,这意味着禁用了 Seccomp 安全策略,允许容器内的进程执行所有系统调用。这种方式提供了最大的灵活性,但也降低了安全性。

RuntimeDefault:相比之下,使用 "RuntimeDefault" 提供了一定程度的安全性提升,因为它限制了容器能够执行的系统调用,减少了潜在攻击面。

相关推荐
dyj0955 小时前
Dify - (一)、本地部署Dify+聊天助手/Agent
人工智能·docker·容器
Nice_Fold9 小时前
Kubernetes DaemonSet、StatefulSet与Service(自用笔记)
笔记·容器·kubernetes
Java后端的Ai之路13 小时前
Kubernetes是什么?(小白入门版)
云原生·容器·kubernetes·教程
木雷坞14 小时前
视觉算法环境 Docker 镜像拉取失败排查
运维·人工智能·docker·容器
瀚高PG实验室14 小时前
安全版V4.5版本docker容器license过期问题处理步骤
安全·docker·容器·瀚高数据库
逍遥德14 小时前
SpringBoot数据库连接池HikariCP,Druid,Tomcat JDBC,DBCP2,c3p0配置使用
数据库·spring boot·tomcat
冷小鱼15 小时前
MyBatis 与 MyBatis-Plus:从入门到精通的完整指南
java·tomcat·mybatis
筱_智16 小时前
Docker学习-超详细-通俗易懂(从入门到精通)
学习·docker·容器
EAIReport16 小时前
Docker与K8s核心解析:共同性、差异性及实战适配指南
docker·容器·kubernetes
长安链开源社区16 小时前
动手开发 | 如何通过k8s部署长安链
云原生·容器·kubernetes·区块链
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档032026年4月AI大事件深度解读:大模型竞争进入“深水区“04近期有什么ai的新消息,新动态? 2026.4月05【AI】2026 年具身智能模型和世界模型总结062026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot07实测可用|小米 MiMo 百万亿 Token 免费领,开发者速冲08在Windows 11上安装Docker的踩坑记录09要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法