生产服务器上应安装JDK而非仅JRE,因需jstack等诊断工具及热更新支持;JAVA_HOME须全局硬编码配置;禁用裸JDWP和未防护JMX;应用须以低权限用户运行并配置OOM退出与绝对日志路径。
Java服务器运行环境依赖的是
生产服务器上绝大多数Java应用(如Spring Boot打包成jar)只需JRE即可运行,但实际部署几乎都装JDK。原因很实在:运维排查时要跑jstack、jmap、jstat这些诊断工具,它们只在JDK里;另外热更新、JMX监控、甚至某些反编译调试也依赖tools.jar(JDK 9+ 合并进jdk.internal.jvmstat等模块)。本地开发用JDK是必须的,但服务器上“只装JRE”看似精简,反而埋下故障定位障碍。
服务器上JAVA_HOME和PATH的设置方式更严格
本地开发常靠IDE自动管理JAVA_HOME,或通过shell配置文件临时生效;服务器则必须全局、持久、无歧义。常见错误包括:
-
JAVA_HOME指向/usr/bin/java这种软链接路径——实际应指向/usr/lib/jvm/java-17-openjdk-amd64这类真实安装根目录 - 用
export JAVA_HOME=...写在~/.bashrc里,但Java服务由systemd启动,它不读用户shell配置 - 多个JDK共存时,
update-alternatives --config java只改/usr/bin/java软链,但JAVA_HOME没同步更新
正确做法:在/etc/environment或服务unit文件的Environment=段硬编码JAVA_HOME,例如:
Environment="JAVA_HOME=/usr/lib/jvm/java-17-openjdk-amd64"
服务器默认不启用JVM调试和远程JMX,本地却常开着
本地IDE调试时习惯加-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:5005,服务器上这等于直接暴露调试端口——只要没配防火墙或iptables拦截,任意IP都能连上来执行代码。同理,-Dcom.sun.management.jmxremote系列参数若未限制host、未启用SSL和认证,就是远程管理后门。
生产环境该关的必须关,真要监控就走标准方案:
- 用
micrometer + prometheus替代裸JMX - 调试需求改用
arthas按需attach,而非常驻JDWP - 确需JMX时,绑定到
127.0.0.1,再通过SSH端口转发访问
服务器上文件权限、用户隔离和OOM行为更关键
本地跑java -jar app.jar通常以当前用户身份执行,出错顶多崩掉自己终端;服务器上若用root启动,日志写满磁盘、堆外内存泄漏、临时文件乱建,后果严重。必须做到:
- 新建专用低权限用户(如
appuser),chown -R appuser:appuser /opt/myapp - 用
systemd限制MemoryLimit、TasksMax、NoNewPrivileges=yes -
-XX:+ExitOnOutOfMemoryError必须加上,避免OOM后进程假死、线程卡住、连接堆积 - 日志路径不能写
./logs——相对路径在systemd下工作目录不确定,得用绝对路径如/var/log/myapp/
这些细节本地测试很难暴露,一上生产就成定时炸弹。
