我已经注意到,与docker,我需要了解什么发生在容器内或什么文件存在于那里。一个例子是从docker索引中下载图像-你不知道图像包含什么,所以不可能启动应用程序。

理想的情况是能够ssh进入它们或具有同等功能。是否有工具可以做到这一点,或者我对docker的概念错误,认为我应该能够做到这一点。


当前回答

我有一个未知的容器,它正在执行一些生产工作负载,不想运行任何命令。

所以,我使用docker diff。

这将列出容器已更改的所有文件,因此非常适合探索容器文件系统。

如果只获取一个文件夹,你可以使用grep:

docker diff <container> | grep /var/log

它不会显示来自docker映像的文件。根据您的用例,这可能有用,也可能没用。

其他回答

现有的答案都没有解决容器退出(并且不能重新启动)和/或没有安装任何shell(例如disroless的)的情况。只要你有对Docker主机的根权限,它就可以工作。

对于真正的手动检查,首先找出层id:

docker inspect my-container | jq '.[0].GraphDriver.Data'

在输出中,您应该看到如下内容

"MergedDir": "/var/lib/docker/overlay2/03e8df748fab9526594cfdd0b6cf9f4b5160197e98fe580df0d36f19830308d9/merged"

导航到这个文件夹(作为根目录)以找到容器文件系统的当前可见状态。

您可以使用dive与TUI交互查看图像内容

https://github.com/wagoodman/dive

仅适用于LINUX

我使用的最简单的方法是使用proc dir,容器必须运行以检查docker容器文件。

找出容器的进程id (PID)并将其存储到某个变量中 PID=$(docker inspect -f '{{. state。Pid}} ' your-container-name-here) 确保容器进程正在运行,并使用变量名进入容器文件夹 cd /proc/$ PID /根

如果您想在不找到PID编号的情况下访问dir,只需使用这个长命令

cd /proc/$(docker inspect -f '{{.State.Pid}}' your-container-name-here)/root

小贴士:

进入容器后,您所做的一切都会影响容器的实际进程,例如停止服务或更改端口号。

希望能有所帮助

注意:

此方法仅在容器仍在运行时有效,否则,如果容器已停止或删除,则目录将不再存在

这将为映像启动一个bash会话:

Docker运行——rm -it——entrypoint=/bin/bash

在运行Docker 1.3.1的Ubuntu 14.04上,我在主机上的以下目录中找到了容器根文件系统:

/var/lib/docker/devicemapper/mnt/<container id>/rootfs/

Docker完整版本信息:

Client version: 1.3.1
Client API version: 1.15
Go version (client): go1.3.3
Git commit (client): 4e9bbfa
OS/Arch (client): linux/amd64
Server version: 1.3.1
Server API version: 1.15
Go version (server): go1.3.3
Git commit (server): 4e9bbfa