Spark Operator 3.5.0 版本应用部署权限问题解析与解决方案

问题背景

在使用 Spark Operator 部署 Spark 应用时，从 3.1.1 版本升级到 3.5.0 版本后，应用启动失败并报出权限错误。核心错误信息显示 Spark 无法删除 /opt/spark-jars/DataAnalyticsReporting.jar 文件，这实际上是一个权限管理问题。

问题分析

Spark 3.5.0 的基础镜像采用了特定的用户权限模型，默认使用 UID 185 和 GID 185 的 spark 用户运行。当容器尝试访问或修改文件时，如果文件权限设置不当，就会导致操作失败。

错误日志中显示的关键问题点：

1. Spark 尝试删除 JAR 文件时失败
2. 使用 Unix 原生命令删除失败后回退到 Java IO 方式仍然失败
3. 这表明文件系统权限配置存在问题

解决方案

经过实践验证，正确的 Dockerfile 配置应包含以下关键点：

1. 工作目录设置：虽然将 JAR 文件放在 /opt/spark-jars/ 目录，但工作目录应设置为 /opt/spark/work-dir

2. 权限管理：

   • 明确将文件所有权设置为 185:185（spark 用户的 UID/GID）
   • 设置适当的文件权限（777）

3. 用户切换：最后切换回 spark 用户运行

完整解决方案示例

FROM spark:3.5.0

WORKDIR /opt/spark-jars/

ADD build/libs/DataAnalytics*.jar ./DataAnalytics.jar
ADD log4j-core-2.19.0.jar ./log4j-core-2.19.0.jar
ADD log4j-api-2.19.0.jar ./log4j-api-2.19.0.jar
ADD src/main/resources/log4j2.xml ./log4j2.xml
ADD spark-3-rules.yaml ./spark-3-rules.yaml
ADD jmx_prometheus_javaagent-0.11.0.jar ./jmx_prometheus_javaagent-0.11.0.jar

# Spark 基础镜像使用 185:185 用户和组
USER root
RUN chown -R 185:185 /opt/spark-jars && chmod 777 /opt/spark-jars/*

WORKDIR /opt/spark/work-dir
USER spark

补充说明

1. 日志配置问题：即使解决了权限问题，部分用户可能还会遇到日志不输出的情况。这通常与 log4j2 配置文件的路径或权限有关，需要确保：

   • log4j2.xml 文件有正确权限
   • Spark 配置中正确指定了日志配置文件路径

2. 版本选择考量：虽然 3.1.1 版本可能更稳定，但新版通常包含性能改进和安全修复。建议解决权限问题而非回退版本。

3. 安全最佳实践：生产环境中，应避免使用 777 权限，而是采用更精细的权限控制，仅授予必要的访问权限。

总结

Spark 3.5.0 版本在权限管理上更加严格，这要求开发者在构建镜像时特别注意文件所有权和工作目录的设置。通过正确配置 Dockerfile 中的用户权限和工作目录，可以顺利解决应用启动失败的问题。这一经验也提醒我们，在升级 Spark 版本时，需要关注基础镜像的变化，特别是安全相关的变更。