Menjelajahi sistem file Docker

Saya perhatikan dengan buruh pelabuhan bahwa saya perlu memahami apa yang terjadi di dalam wadah atau file apa yang ada di sana. Salah satu contohnya adalah mengunduh gambar dari indeks buruh pelabuhan - Anda tidak memiliki petunjuk tentang isi gambar sehingga tidak mungkin untuk memulai aplikasi.

Apa yang ideal adalah untuk dapat ssh ke mereka atau setara. Apakah ada alat untuk melakukan ini, atau konsep saya tentang buruh pelabuhan salah dalam berpikir saya harus bisa melakukan ini.

PEMBARUAN
Metode termudah: Menggunakan docker exec

Docker versi 1.3 atau yang lebih baru mendukung perintah execyang berperilaku mirip dengan nsenter. Perintah ini dapat menjalankan proses baru dalam wadah yang sudah berjalan (wadah harus sudah menjalankan proses PID 1). Anda dapat berlari /bin/bashuntuk menjelajahi keadaan wadah:

docker exec -t -i mycontainer /bin/bash

lihat dokumentasi baris perintah Docker

Metode alternatif 1
Snapshotting

Anda dapat mengevaluasi sistem file kontainer dengan cara ini:

# find ID of your running container:
docker ps

# create image (snapshot) from container filesystem
docker commit 12345678904b5 mysnapshot

# explore this filesystem using bash (for example)
docker run -t -i mysnapshot /bin/bash

Dengan cara ini, Anda dapat mengevaluasi sistem file wadah yang sedang berjalan pada saat yang tepat. Kontainer masih berjalan, tidak ada perubahan di masa depan yang disertakan.

Anda nanti dapat menghapus snapshot menggunakan (filesystem wadah yang sedang berjalan tidak terpengaruh!):

docker rmi mysnapshot

Metode alternatif 2
ssh

Jika Anda memerlukan akses terus menerus, Anda dapat menginstal sshd ke wadah Anda dan menjalankan daemon sshd:

 docker run -d -p 22 mysnapshot /usr/sbin/sshd -D

 # you need to find out which port to connect:
 docker ps

Dengan cara ini, Anda dapat menjalankan aplikasi menggunakan ssh (hubungkan dan jalankan apa yang Anda inginkan).

UPDATE: Alternatif metode 3
nsenter

Gunakan nsenter, lihat https://web.archive.org/web/20160305150559/http://blog.docker.com/2014/06/why-you-dont-need-to-run-sshd-in-docker/

Versi singkatnya adalah: dengan nsenter, Anda bisa mendapatkan shell ke wadah yang sudah ada, bahkan jika wadah itu tidak menjalankan SSH atau jenis daemon tujuan khusus apa pun

PEMBARUAN: MENJELAJAHI!

Perintah ini memungkinkan Anda menjelajahi wadah buruh pelabuhan yang sedang beroperasi :

docker exec -it name-of-container bash

Persamaan untuk ini dalam komposisi buruh pelabuhan adalah:

docker-compose exec web bash

(web adalah nama layanan dalam kasus ini dan memiliki tty secara default.)

Setelah Anda berada di dalam, lakukan:

ls -lsa

atau perintah bash lainnya seperti:

cd ..

Perintah ini memungkinkan Anda menjelajahi gambar buruh pelabuhan :

docker run --rm -it --entrypoint=/bin/bash name-of-image

sekali di dalam do:

ls -lsa

atau perintah bash lainnya seperti:

cd ..

The -itsingkatan interaktif ... dan tty.

Perintah ini harus memungkinkan Anda memeriksa wadah buruh pelabuhan atau gambar :

docker inspect name-of-container-or-image

Anda mungkin ingin melakukan ini dan mencari tahu apakah ada bashatau shdi sana. Cari entrypoint atau cmd di json return.

lihat dokumentasi exec buruh pelabuhan

lihat dokumentasi exec buruh pelabuhan

lihat buruh pelabuhan memeriksa dokumentasi

Jika wadah Anda dihentikan atau tidak memiliki cangkang (misalnya hello-worlddisebutkan dalam panduan instalasi , atau bukan alpine traefik), ini mungkin satu-satunya metode yang mungkin untuk menjelajahi sistem file.

Anda dapat mengarsipkan sistem file wadah Anda ke file tar:

docker export adoring_kowalevski > contents.tar

Atau daftar file:

docker export adoring_kowalevski | tar t

Perhatikan, bahwa tergantung pada gambar, mungkin butuh waktu dan ruang disk.

Sistem file wadah ada di folder data buruh pelabuhan, biasanya di / var / lib / docker. Untuk memulai dan memeriksa sistem file kontainer yang berjalan, lakukan hal berikut:

hash=$(docker run busybox)
cd /var/lib/docker/aufs/mnt/$hash

Dan sekarang direktori kerja saat ini adalah akar dari wadah.

Sebelum Pembuatan Wadah:

Jika Anda menjelajahi struktur gambar yang dipasang di dalam wadah, Anda bisa melakukannya

sudo docker image save image_name > image.tar
tar -xvf image.tar

Ini akan memberi Anda visibilitas semua lapisan gambar dan konfigurasinya yang hadir dalam file json.

Setelah pembuatan wadah:

Untuk ini sudah ada banyak jawaban di atas. cara pilihan saya untuk melakukan ini adalah -

docker exec -t -i container /bin/bash

Jawaban yang paling banyak dipilih adalah bekerja untuk saya ketika wadah benar-benar dimulai, tetapi ketika itu tidak mungkin dijalankan dan Anda misalnya ingin menyalin file dari wadah ini telah menyelamatkan saya sebelumnya:

docker cp <container-name>:<path/inside/container> <path/on/host/>

Berkat docker cp ( tautan ) Anda dapat menyalin langsung dari wadah karena itu adalah bagian lain dari sistem file Anda. Misalnya, memulihkan semua file di dalam sebuah wadah:

mkdir /tmp/container_temp
docker cp example_container:/ /tmp/container_temp/

Perhatikan bahwa Anda tidak perlu menentukan bahwa Anda ingin menyalin secara rekursif.

Pada Ubuntu 14.04 menjalankan Docker 1.3.1 , saya menemukan filesystem root kontainer pada mesin host di direktori berikut:

/var/lib/docker/devicemapper/mnt/<container id>/rootfs/

Informasi versi Docker lengkap:

Client version: 1.3.1
Client API version: 1.15
Go version (client): go1.3.3
Git commit (client): 4e9bbfa
OS/Arch (client): linux/amd64
Server version: 1.3.1
Server API version: 1.15
Go version (server): go1.3.3
Git commit (server): 4e9bbfa

Coba gunakan

docker exec -it <container-name> /bin/bash

Mungkin ada kemungkinan bash tidak diterapkan. untuk itu bisa kamu gunakan

docker exec -it <container-name> sh

Saya menggunakan trik kotor lain yaitu aufs / devicemapper agnostic.

Saya melihat perintah bahwa wadah berjalan misalnya docker ps dan jika itu adalah apache atau javasaya hanya melakukan hal berikut:

sudo -s
cd /proc/$(pgrep java)/root/

dan kau ada di dalam wadah.

Pada dasarnya Anda dapat me-root cd ke /proc/<PID>/root/folder selama proses itu dijalankan oleh kontainer. Waspadalah symlink tidak akan masuk akal menggunakan mode itu.

Jawaban yang paling banyak dipilih adalah baik kecuali jika wadah Anda bukan sistem Linux yang sebenarnya.

Banyak kontainer (terutama yang berbasis go) tidak memiliki biner standar (tidak /bin/bashatau /bin/sh). Dalam hal ini, Anda perlu mengakses file kontainer yang sebenarnya secara langsung:

Bekerja seperti pesona:

name=<name>
dockerId=$(docker inspect -f {{.Id}} $name)
mountId=$(cat /var/lib/docker/image/aufs/layerdb/mounts/$dockerId/mount-id)
cd /var/lib/docker/aufs/mnt/$mountId

Catatan: Anda harus menjalankannya sebagai root.

Dalam kasus saya tidak ada cangkang didukung dalam wadah kecuali sh. Jadi, ini bekerja seperti pesona

docker exec -it <container-name> sh

Anda dapat menggunakan dive untuk melihat konten gambar secara interaktif dengan TUI

https://github.com/wagoodman/dive

Ini akan meluncurkan sesi bash untuk gambar:

run docker --rm -it --entrypoint = / bin / bash

Bagi saya, ini berfungsi dengan baik (berkat komentar terakhir untuk menunjukkan direktori / var / lib / docker / ):

chroot /var/lib/docker/containers/2465790aa2c4*/root/

Di sini, 2465790aa2c4 adalah ID pendek dari wadah yang sedang berjalan (seperti yang ditampilkan oleh buruh pelabuhan ps ), diikuti oleh bintang.

Pada versi Docker yang lebih baru Anda dapat menjalankan docker exec [container_name]yang menjalankan shell di dalam wadah Anda

Jadi untuk mendapatkan daftar semua file dalam suatu wadah jalankan saja docker exec [container_name] ls

Untuk driver buruh pelabuhan:

Script akan menemukan direktori root kontainer (Tes pada buruh pelabuhan 1.7.1 dan 1.10.3)

if [ -z "$1" ] ; then
 echo 'docker-find-root $container_id_or_name '
 exit 1
fi
CID=$(docker inspect   --format {{.Id}} $1)
if [ -n "$CID" ] ; then
    if [ -f  /var/lib/docker/image/aufs/layerdb/mounts/$CID/mount-id ] ; then
        F1=$(cat /var/lib/docker/image/aufs/layerdb/mounts/$CID/mount-id)
       d1=/var/lib/docker/aufs/mnt/$F1
    fi
    if [ ! -d "$d1" ] ; then
        d1=/var/lib/docker/aufs/diff/$CID
    fi
    echo $d1
fi

Tidak satu pun dari jawaban yang ada menangani wadah yang keluar (dan tidak dapat dimulai kembali) dan / atau tidak memiliki shell yang terpasang (mis. Yang tidak distro). Yang ini berfungsi selama Anda memiliki akses root ke host Docker.

Untuk inspeksi manual nyata, cari tahu ID lapisan pertama:

docker inspect my-container | jq '.[0].GraphDriver.Data'

Dalam output, Anda akan melihat sesuatu seperti

"MergedDir": "/var/lib/docker/overlay2/03e8df748fab9526594cfdd0b6cf9f4b5160197e98fe580df0d36f19830308d9/merged"

Arahkan ke folder ini (sebagai root) untuk menemukan keadaan sistem file kontainer yang terlihat saat ini.

Jawaban ini akan membantu mereka (seperti saya) yang ingin menjelajahi sistem file volume buruh pelabuhan bahkan jika wadah tidak berjalan.

Daftar wadah buruh pelabuhan yang sedang beroperasi:

docker ps

=> ID KONTAINER "4c721f1985bd"

Lihatlah titik pemasangan volume buruh pelabuhan di mesin fisik lokal Anda ( https://docs.docker.com/engine/tutorials/dockervolumes/ ):

docker inspect -f {{.Mounts}} 4c721f1985bd

=> [{/ tmp / container-garren / tmp true rprivate}]

Ini memberitahu saya bahwa direktori mesin fisik lokal / tmp / container-garren dipetakan ke / volume tujuan docker docker.

Mengetahui direktori mesin fisik lokal (/ tmp / container-garren) berarti saya dapat menjelajahi filesystem apakah wadah buruh pelabuhan berjalan atau tidak. Ini penting untuk membantu saya mengetahui bahwa ada beberapa data residual yang seharusnya tidak bertahan bahkan setelah wadah tidak berjalan.

Trik lain adalah dengan menggunakan alat atom untuk melakukan sesuatu seperti:

mkdir -p /path/to/mnt && atomic mount IMAGE /path/to/mnt

Gambar Docker akan dipasang ke / path / ke / mnt untuk Anda memeriksanya.

Hanya untuk LINUX

Cara paling sederhana yang saya gunakan adalah menggunakan proc, yang merupakan wadah harus dijalankan untuk memeriksa file kontainer buruh pelabuhan.

1. Cari tahu id proses (PID) dari wadah dan simpan ke dalam beberapa variabel

   PID = $ (buruh pelabuhan memeriksa -f '{{.State.Pid}}' nama-wadah-Anda-di sini)

2. Pastikan proses penampung berjalan, dan gunakan nama variabel untuk masuk ke folder penampung

   cd / proc / $ PID / root

Jika Anda ingin melewati dir tanpa mengetahui nomor PID hanya dengan menggunakan perintah panjang ini

cd /proc/$(docker inspect -f '{{.State.Pid}}' your-container-name-here)/root

Kiat:

Setelah Anda masuk ke dalam wadah, semua yang Anda lakukan akan memengaruhi proses aktual wadah tersebut, seperti menghentikan layanan atau mengubah nomor port.

Semoga ini bisa membantu

catatan:

Metode ini hanya berfungsi jika wadah masih berjalan, jika tidak direktori tidak akan ada lagi jika wadah sudah berhenti atau dihapus

Cara pilihan saya untuk memahami apa yang terjadi di dalam wadah adalah:

1. mengekspos -p 8000

   docker run -it -p 8000:8000 image
   

2. Mulai server di dalamnya

   python -m SimpleHTTPServer
   

Untuk wadah yang sudah berjalan, Anda dapat melakukan:

dockerId=$(docker inspect -f {{.Id}} [docker_id_or_name])

cd /var/lib/docker/btrfs/subvolumes/$dockerId

Anda harus menjadi root untuk melakukan cd ke dir itu. Jika Anda tidak root, coba 'sudo su' sebelum menjalankan perintah.

Sunting: Mengikuti v1.3, lihat jawaban Jiri - lebih baik.

Jika Anda menggunakan Docker v19.03, Anda ikuti langkah-langkah di bawah ini.

# find ID of your running container:

  docker ps

# create image (snapshot) from container filesystem

  docker commit 12345678904b5 mysnapshot

# explore this filesystem 

  docker run -t -i mysnapshot /bin/sh

Jika Anda menggunakan driver penyimpanan AUFS, Anda dapat menggunakan skrip docker-layer saya untuk menemukan root sistem file (mnt) kontener dan baca-tulis layer:

# docker-layer musing_wiles
rw layer : /var/lib/docker/aufs/diff/c83338693ff190945b2374dea210974b7213bc0916163cc30e16f6ccf1e4b03f
mnt      : /var/lib/docker/aufs/mnt/c83338693ff190945b2374dea210974b7213bc0916163cc30e16f6ccf1e4b03f

Sunting 2018-03-28:
docker-layer telah digantikan oleh docker-backup

The docker execperintah untuk menjalankan perintah dalam wadah berjalan dapat membantu dalam beberapa kasus.

Penggunaan: docker exec [OPTIONS] CONTAINER COMMAND [ARG ...]

Jalankan perintah dalam wadah yang berjalan

Pilihan:
  -d, --detach Detached mode: jalankan perintah di latar belakang
      --detach-keys string Mengganti urutan kunci untuk melepaskan a
                             wadah
  -e, --env list Menetapkan variabel lingkungan
  -i, --interactive Tetap buka STDIN walaupun tidak terpasang
      --privileged Berikan hak istimewa yang diperluas untuk perintah
  -t, --tty Mengalokasikan pseudo-TTY
  -u, --user string Username atau UID (format:
                             [:])
  -w, --workdir string Direktori kerja di dalam wadah

Sebagai contoh :

1) Mengakses secara bash ke sistem file container yang sedang berjalan:

docker exec -it containerId bash 

2) Mengakses secara bash ke sistem file container yang sedang berjalan sebagai root untuk dapat memiliki hak yang diperlukan:

docker exec -it -u root containerId bash  

Ini sangat berguna untuk dapat melakukan beberapa pemrosesan sebagai root di wadah.

3) Mengakses secara bash ke sistem file kontainer yang sedang berjalan dengan direktori kerja tertentu:

docker exec -it -w /var/lib containerId bash 

Anda dapat menjalankan bash di dalam wadah dengan ini: $ docker run -it ubuntu /bin/bash