无法在受限服务器上安装/卸载Tomcat、Java、Maven，如何部署Java应用？

一、现象层：权限受限环境下的典型失败信号

• java: command not found —— 系统PATH中无JDK，且$HOME/bin不可写或被只读挂载
• mvn: command not found —— Maven未预装，且无法通过curl | bash动态下载（网络策略拦截/无执行权限）
• Permission denied: /opt/tomcat —— 标准中间件路径完全不可达，/usr/local同理
• read-only file system 错误频发于$HOME/.m2、$HOME/.gradle等默认缓存目录

二、根因层：强管控环境的四重约束模型

三、解法层：零安装架构的五支柱设计

1. 自包含JRE嵌入：使用jlink定制最小化JRE镜像（含java、keytool、jstat），打包进应用目录./jre/，通过./jre/bin/java -jar app.jar启动
2. 无依赖构建前移：CI阶段完成Maven构建+依赖扁平化（maven-dependency-plugin:copy-dependencies），产出lib/与classes/分离结构，规避目标机任何构建行为
3. 声明式进程管理：采用nohup ./jre/bin/java -Dspring.profiles.active=prod -jar app.jar > logs/stdout.log 2>&1 & + pidfile机制，配合ps -ef | grep app.jar实现启停
4. 可观测性轻量化：启用Spring Boot Actuator端点（/actuator/health, /actuator/metrics），通过HTTP轮询采集；日志统一输出至logs/app.log，禁用Logback异步Appender（避免线程创建权限问题）
5. 灰度更新原子化：部署脚本采用rsync --delete-after同步新版本到./app-new/，校验SHA256后执行mv app-current app-old && mv app-new app-current，全程无停机

四、验证层：关键路径流程图

五、演进层：面向政务信创的增强实践

• 适配国产CPU（鲲鹏/飞腾）：在CI中交叉编译ARM64版jlink定制JRE，验证OpenJDK 21+ZGC在低内存场景稳定性
• 符合等保2.0日志审计要求：所有start.sh/stop.sh操作记录至logs/audit.log，含UTC时间戳、操作者SSH连接IP、命令哈希值
• 国密SM4加密配置项：敏感配置（DB密码、API密钥）在CI阶段用SM4加密，运行时由CustomPropertySource解密注入，密钥通过环境变量传入（规避文件落盘）
• 容器化兜底方案：当物理机权限极致收紧时，提供podman run --rm -v $HOME/app-prod:/app -p 8080:8080 openjdk:17-jre-slim /app/jre/bin/java -jar /app/app.jar作为可选降级路径（无需root，podman可用户态运行）