如何确定一个进程是否运行在lxc/Docker内部?

有什么方法可以确定一个进程(脚本)是否在lxc容器中运行(~ Docker runtime)?我知道一些程序能够检测它们是否在虚拟机中运行，lxc/docker是否也有类似的功能?

当前回答

截至2022年，在lxd v4.0+中，到目前为止，没有一个答案可以同时适用于docker和lxc。

dockerenv文件不适用于非docker容器。检查/proc/1/cgroup中的所有层次结构都是/有点可能工作。然而，非容器上的一些层次结构是/init。scope (Ubuntu 20.04 cgroup 0和1).所以也不完全可靠。在/proc/1/environ中检查container=lxc适用于lxc，但不适用于docker。此外，它还需要根权限。

到目前为止，我发现唯一一种在CentOS和Ubuntu上使用lxc(4.0)容器和Docker可靠工作的方法，而且不需要root权限，就是检查PID 2。

在所有主机系统中，PID 2是kthread:

$ ps -p 2
  PID TTY          TIME CMD
    2 ?        00:00:00 kthreadd

在容器中，这个PID要么不存在，要么不是kthread。docker和lxc都显示:

root@85396f8bce58:/# ps -p 2
    PID TTY          TIME CMD
root@85396f8bce58:/#

最好的方法似乎是检查/proc/2/status:

$ head -n1 /proc/2/status
Name:   kthreadd

所以像这样的东西似乎是有效的:

if [ -n "$(grep 'kthreadd' /proc/2/status 2>/dev/null)" ]; then
    echo "Not in container"
else
    echo "In container";
fi

2022-05-06 06:08:58

其他回答

Docker每天都在发展，所以我们不能肯定他们将来是否会保留.dockerenv .dockerinit。

在大多数Linux版本中，init是第一个启动的进程。但在容器的情况下，这不是真的。

#!/bin/bash
if ps -p1|grep -q init;then  
  echo "non-docker" 
else 
  echo "docker" 
fi

2016-05-11 03:36:24

最简单的方法是检查环境。如果你有container=lxc变量，你就在一个容器中。

否则，如果您是根用户，您可以尝试执行mknod或mount操作，如果失败，则很可能处于已删除功能的容器中。

2013-11-15 21:09:00

这是Ruby中的一个解决方案，

# Usage: DockerHelper.running_in_docker?
module DockerHelper
  extend self

  def running_in_docker?
    !!(File.read("/proc/1/cgroup") =~ %r[^\d+:\w+:/docker/]) # !! => true/false
  rescue Errno::ENOENT
    false
  end
end

如果您喜欢对代码进行测试，这里有一个要点说明。

2020-09-24 20:56:00

最可靠的方法是检查/proc/1/cgroup.它会告诉你init进程的控制组，当你不在容器中时，它会是/ for所有层次结构。当您在容器内时，您将看到锚点的名称。对于LXC/Docker容器，它将分别类似于/ LXC/ <containerid>或/Docker /<containerid>。

2013-11-15 23:36:06