我已经注意到,与docker,我需要了解什么发生在容器内或什么文件存在于那里。一个例子是从docker索引中下载图像-你不知道图像包含什么,所以不可能启动应用程序。
理想的情况是能够ssh进入它们或具有同等功能。是否有工具可以做到这一点,或者我对docker的概念错误,认为我应该能够做到这一点。
我已经注意到,与docker,我需要了解什么发生在容器内或什么文件存在于那里。一个例子是从docker索引中下载图像-你不知道图像包含什么,所以不可能启动应用程序。
理想的情况是能够ssh进入它们或具有同等功能。是否有工具可以做到这一点,或者我对docker的概念错误,认为我应该能够做到这一点。
当前回答
我使用了另一个肮脏的技巧,即aufs/devicemapper不可知论。
我查看容器正在运行的命令,例如docker ps 如果它是apache或Java,我只做以下事情:
sudo -s
cd /proc/$(pgrep java)/root/
voilá你在容器内。
基本上你可以作为根cd到/proc/<PID>/root/文件夹,只要这个进程是由容器运行的。注意符号链接将没有意义的使用这种模式。
其他回答
投票最多的答案是好的,除非你的容器不是一个真正的Linux系统。
许多容器(特别是基于go的容器)没有任何标准二进制文件(没有/bin/bash或/bin/sh)。在这种情况下,你需要直接访问实际的容器文件:
效果非常好:
name=<name>
dockerId=$(docker inspect -f {{.Id}} $name)
mountId=$(cat /var/lib/docker/image/aufs/layerdb/mounts/$dockerId/mount-id)
cd /var/lib/docker/aufs/mnt/$mountId
注意:您需要以root用户运行它。
这里有一些不同的方法……
A)使用docker exec(最简单)
Docker 1.3或更新版本支持exec命令,其行为类似于nsenter。该命令可以在已经运行的容器中运行新进程(容器必须已经运行PID 1进程)。你可以运行/bin/bash来查看容器状态:
docker exec -t -i mycontainer /bin/bash
参见Docker命令行文档
B)使用快照
你可以这样评估容器文件系统:
# find ID of your running container:
docker ps
# create image (snapshot) from container filesystem
docker commit 12345678904b5 mysnapshot
# explore this filesystem using bash (for example)
docker run -t -i mysnapshot /bin/bash
通过这种方式,您可以在精确的时间时刻评估运行容器的文件系统。容器仍在运行,不包括未来的更改。
您可以稍后使用以下命令删除快照(运行容器的文件系统不受影响!):
docker rmi mysnapshot
C)使用ssh
如果你需要持续访问,你可以在容器中安装sshd并运行sshd守护进程:
docker run -d -p 22 mysnapshot /usr/sbin/sshd -D
# you need to find out which port to connect:
docker ps
这样,你就可以使用ssh(连接并执行你想要的)运行你的应用程序。
D)使用nsenter
使用nsenter,参见为什么你不需要在Docker容器中运行SSHd
简短的版本是:使用nsenter,您可以将shell转换为 现有的容器,即使该容器不运行SSH或任何类型 特殊用途守护进程
docker exec命令在运行中的容器中运行命令在多种情况下都有帮助。
Usage: docker exec [OPTIONS] CONTAINER COMMAND [ARG...] Run a command in a running container Options: -d, --detach Detached mode: run command in the background --detach-keys string Override the key sequence for detaching a container -e, --env list Set environment variables -i, --interactive Keep STDIN open even if not attached --privileged Give extended privileges to the command -t, --tty Allocate a pseudo-TTY -u, --user string Username or UID (format: [:]) -w, --workdir string Working directory inside the container
例如:
1)在bash中访问正在运行的容器文件系统:
docker exec -it containerId bash
2)在bash中以root身份访问正在运行的容器文件系统,以获得所需的权限:
docker exec -it -u root containerId bash
这对于能够在容器中作为根执行一些处理特别有用。
3)在bash中访问特定工作目录下运行的容器文件系统:
docker exec -it -w /var/lib containerId bash
对于docker aufs驱动程序:
脚本将找到容器根目录(在docker 1.7.1和1.10.3上进行测试)
if [ -z "$1" ] ; then
echo 'docker-find-root $container_id_or_name '
exit 1
fi
CID=$(docker inspect --format {{.Id}} $1)
if [ -n "$CID" ] ; then
if [ -f /var/lib/docker/image/aufs/layerdb/mounts/$CID/mount-id ] ; then
F1=$(cat /var/lib/docker/image/aufs/layerdb/mounts/$CID/mount-id)
d1=/var/lib/docker/aufs/mnt/$F1
fi
if [ ! -d "$d1" ] ; then
d1=/var/lib/docker/aufs/diff/$CID
fi
echo $d1
fi
这个答案将帮助那些(像我一样)想要探索docker卷文件系统的人,即使容器没有运行。
列出正在运行的docker容器:
码头工人ps
=>集装箱ID "4c721f1985bd"
查看本地物理机器上的docker卷挂载点(https://docs.docker.com/engine/tutorials/dockervolumes/):)
Docker inspect -f{{。坐骑}}4 c721f1985bd
=> [/tmp/接触-garren /tmp true rprivate]
这告诉我,本地物理机目录/tmp/container-garren被映射到/tmp docker卷目标。
知道本地物理机器目录(/tmp/container-garren)意味着我可以查看文件系统,无论docker容器是否正在运行。这对于帮助我找出即使在容器停止运行后也不应该保留的一些残留数据非常重要。