Docker 快速驗證：不轉發讓 Tomcat 綁定 80 端口

前言

以前寫過 tomcat 單機多實例，最後解決 80 端口訪問用的是 iptables 轉發；

第三輪投產前，客戶作了遷移和擴容。重啓後，不但轉發策略失效，從新執行轉發命令後仍舊不能訪問 80。後來我還發現是完全關閉了防火牆。後來經研究，經過打開防火牆，配置自定義防火牆函數保存iptables策略，解決了 iptables 轉發重啓失效的問題；方案也提交了客戶。方案稍後整理髮布。

第三輪投產時，經過和一線溝通，得知客戶這邊的策略是生產一概關閉防火牆。so strange！可是，還得想辦法不是？總不能說這個系統必須得開防火牆吧？經過研究實驗和請教大神，最終搞定。整理以下。

# 進入docker容器啓動tomcat
root@40f7130d7832:/usr/local/tomcat/bin# ./startup.sh 
# get tomcat對應java進程：
root@40f7130d7832:/usr/local/tomcat/bin# ps -ef | grep java
# 添加kch用戶
root@40f7130d7832:/usr/local# # groupadd kch && useradd -d /kch -g kch -m kch && passwd kch
# 更改tomcat屬主爲kch
root@40f7130d7832:/usr/local# chown -R kch.kch tomcat
# 賦予 tomcat對應java進程 u+s 權限 (進程只能是exe，不能是腳本):普通用戶訪問時，臨時使進程具備root權限能夠綁定80端口
root@40f7130d7832:/usr/local# chmod u+s /docker-java-home/jre/bin/java

實驗以下

本能就用官方 tomcat7 鏡像。沒有的自行 pull 一個

docker pull tomcat:7.0

默認是 8080 端口的，啓動命令

docker run --name w1 -it -p 8080:8080  tomcat:7.0 /bin/bash

這裏咱們須要綁定 80 端口，因此啓動命令見下文，且須要修訂 server.xml，把 tomcat 的端口由 8080 改成 80；

啓動 Tomcat 鏡像

ChinaDreams:workspace kangcunhua$ docker images
REPOSITORY                          TAG                 IMAGE ID            CREATED             SIZE
....
tomcat                              7.0                 3402a4bb8ae6        4 months ago        357MB
....
ChinaDreams:workspace kangcunhua$ docker run --name www -it -p 80:80  tomcat:7.0 /bin/bash
root@40f7130d7832:/usr/local/tomcat# cd bin
root@40f7130d7832:/usr/local/tomcat/bin# ./startup.sh
root@40f7130d7832:/usr/local/tomcat/bin# ps -ef | grep java
root        12     1 37 15:12 pts/0    00:00:05 /docker-java-home/jre/bin/java -Djava.util.logging.config.file=/usr/local/tomcat/conf/logging.properties -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djdk.tls.ephemeralDHKeySize=2048 -Djava.endorsed.dirs=/usr/local/tomcat/endorsed -classpath /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar -Dcatalina.base=/usr/local/tomcat -Dcatalina.home=/usr/local/tomcat -Djava.io.tmpdir=/usr/local/tomcat/temp org.apache.catalina.startup.Bootstrap start
root        56     1  0 15:12 pts/0    00:00:00 grep java
root@40f7130d7832:/usr/local/tomcat/bin# curl localhost:8080
<!DOCTYPE html>
...
root@40f7130d7832:/usr/local/tomcat/bin#

get 到 tomcat 的進程（exe）：/docker-java-home/jre/bin/java。注：這裏查詢記下來的，必須是進程（exe），不能是腳本。後續有用；

修改 server.xml

ChinaDreams:workspace kangcunhua$ docker cp www:/usr/local/tomcat/conf/server.xml .
ChinaDreams:workspace kangcunhua$ vi server.xml 
ChinaDreams:workspace kangcunhua$ docker cp server.xml www:/usr/local/tomcat/conf/

將默認的 8080 改爲 80
找到

<Connector port="8080"

修改成

<Connector port="80"

新建 prms 用戶

對應容器已新建 prms 用戶

root@40f7130d7832:/usr/local# # groupadd kch && useradd -d /kch -g kch -m kch
root@40f7130d7832:/usr/local# # passwd kch

更改 tomcat 屬主

root@40f7130d7832:/usr/local# ls -la
drwxr-sr-x 14 root staff 4096 Dec 18 15:12 tomcat
root@40f7130d7832:/usr/local# chown -R kch.kch tomcat
root@40f7130d7832:/usr/local# ls -la
drwxr-sr-x 20 kch  kch   4096 Dec 18 15:22 tomcat
root@40f7130d7832:/usr/local#

啓動
發現能夠正常啓動，可是不能訪問80端口；

$ ./startup.sh
...
Tomcat started.
$ curl localhost
curl: (7) Failed to connect to localhost port 80: Connection refused
$ ./shutdown.sh

修訂 java 的屬主

root@40f7130d7832:/usr/local# ls -la /docker-java-home/jre/bin/java
-rwxr-xr-x 1 root root 6408 May 19  2017 /docker-java-home/jre/bin/java
root@40f7130d7832:/usr/local# chmod u+s /docker-java-home/jre/bin/java
root@40f7130d7832:/usr/local# ls -la /docker-java-home/jre/bin/java
-rwsr-xr-x 1 root root 6408 May 19  2017 /docker-java-home/jre/bin/java

啓動 tomcat

正常啓動，且能夠訪問 80 端口

經過瀏覽器http://localhost也能夠訪問，看到tomcat首頁；

root@40f7130d7832:/usr/local# su kch
$ ./startup.sh
Using CATALINA_BASE:   /usr/local/tomcat
Using CATALINA_HOME:   /usr/local/tomcat
Using CATALINA_TMPDIR: /usr/local/tomcat/temp
Using JRE_HOME:        /docker-java-home/jre
Using CLASSPATH:       /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar
Tomcat started.
$ curl localhost

<!DOCTYPE html>
...
$

收尾

提交鏡像

docker commit www tomcat-bind80:7.0

提交 dockerhub

ChinaDreams:workspace kangcunhua$ docker images
REPOSITORY                                  TAG                 IMAGE ID            CREATED             SIZE
tomcat-bind80                               7.0                 c6e1013adaf9        6 seconds ago       374MB
ChinaDreams:workspace kangcunhua$ docker tag c6e1013adaf9 aninputforce/tomcat7-bind80:latest
ChinaDreams:workspace kangcunhua$ docker images
REPOSITORY                                  TAG                 IMAGE ID            CREATED             SIZE
tomcat-bind80                               7.0                 c6e1013adaf9        2 minutes ago       374MB
aninputforce/tomcat7-bind80                 latest              c6e1013adaf9        2 minutes ago       374MB
ChinaDreams:workspace kangcunhua$ docker push aninputforce/tomcat7-bind80

使用鏡像

ChinaDreams:workspace kangcunhua$ docker pull aninputforce/tomcat7-bind80
ChinaDreams:workspace kangcunhua$ docker run --name www -it -p 80:80 aninputforce/tomcat7-bind80 /bin/bash
root@ff63d8ac4776:/usr/local/tomcat# su kch
$ pwd
/usr/local/tomcat
$ cd bin
$ ./startup.sh
Using CATALINA_BASE:   /usr/local/tomcat
Using CATALINA_HOME:   /usr/local/tomcat
Using CATALINA_TMPDIR: /usr/local/tomcat/temp
Using JRE_HOME:        /docker-java-home/jre
Using CLASSPATH:       /usr/local/tomcat/bin/bootstrap.jar:/usr/local/tomcat/bin/tomcat-juli.jar
Tomcat started.
$ curl localhost

<!DOCTYPE html>
....

參考連接

Is there a way for non-root processes to bind to 「privileged」 ports on Linux?請添加連接描述

Bye
這幾篇筆記寫完。對linux的認識更加深入了。不過對於80端口的綁定，被真實商業環境折磨許久，研究分析實現了種種可能。後續或許會追加筆記爲「茴香豆系列」 ：)

51Reboot  K8s專場分享

時間：2019年1月4號21:00-22:00​

分享講師：GY 老師

​10年一線軟件開發經驗，前後經歷了傳統安全公司，以及多家互聯網公司；在安全開發方面，曾開發過 Linux 防火牆、web 應用防火牆、Linux 安全內核加固，基於大流量的 Web 安全威脅分析等項目；在互聯網公司工做時，曾基於 DPDK 高性能網絡開發框架開發過基於全流量的網絡流量分析平臺和基於 Sflow 網絡流量分析平臺，基於 Golang 開發 SmartDNS 等；開發語言也是從C -> python -> golang 的轉變過程？現從事基於 K8S 和 Docker在私有云平臺建設方面的研發工做；具有豐富的Linux系統開發經驗、網絡開發經驗以及項目管理經驗；目前開發工做 90+% 都在用 Golang，Golang 是一門簡潔、高效、強大且靈活的編程語言。

參與方式：添加小助手wechat：18310139238，備註：公開課，拉入直播分享羣與老師互動