探索Docker容器的文件系统
技术背景
在使用Docker时,有时需要了解容器内部的运行情况,包括容器内存在哪些文件。例如,从Docker索引下载镜像时,用户通常不清楚镜像的具体内容,这可能导致无法正确启动应用程序。因此,探索Docker容器的文件系统对于调试和了解容器的运行状态至关重要。
实现步骤
方法A:使用docker exec(最简单)
此方法要求Docker版本为1.3或更高,可在已运行的容器中启动新进程。
- 运行以下命令以在容器中打开一个bash shell:
1
| docker exec -t -i mycontainer /bin/bash
|
- 可以在打开的shell中执行各种命令,如
ls -lsa查看文件列表。
方法B:使用快照
此方法可评估容器在特定时间点的文件系统。
- 查找正在运行的容器的ID:
- 从容器文件系统创建镜像(快照):
1
| docker commit 12345678904b5 mysnapshot
|
- 使用bash探索该文件系统:
1
| docker run -t -i mysnapshot /bin/bash
|
- 若不需要快照,可删除:
方法C:使用ssh
如果需要持续访问容器,可以在容器中安装并运行sshd守护进程。
- 运行容器并启动sshd:
1
| docker run -d -p 22 mysnapshot /usr/sbin/sshd -D
|
- 查找要连接的端口:
方法D:使用nsenter
可参考Why you don’t need to run SSHd in your Docker containers。使用nsenter可以在现有容器中获取一个shell,即使容器没有运行SSH或任何特殊用途的守护进程。
其他方法
- 对于运行中的容器:
- 若容器有bash,可使用
docker exec -it name-of-container bash;若使用docker-compose,可使用docker-compose exec web bash。 - 若容器没有bash但有sh,可使用
docker exec -it <container-name> sh。 - 若要复制容器内的文件到主机,可使用
docker cp <container-name>:<path/inside/container> <path/on/host/>。
- 对于停止的容器或没有shell的容器:
- 可将容器文件系统存档为tar文件:
docker export adoring_kowalevski > contents.tar,或列出文件:docker export adoring_kowalevski | tar t。 - 若想在容器创建前探索镜像结构,可使用
sudo docker image save image_name > image.tar和tar -xvf image.tar。
核心代码
以下是一些常用的核心代码示例:
1
2
3
4
5
6
7
8
9
10
11
|
docker exec -it mycontainer /bin/bash
docker commit 12345678904b5 mysnapshot
docker cp <container-name>:<path/inside/container> <path/on/host/>
docker export adoring_kowalevski > contents.tar
|
最佳实践
- 优先使用docker exec:对于运行中的容器,
docker exec是最简单和最常用的方法,它可以直接在容器中执行命令。 - 使用dive工具:
dive是一个用于交互式查看Docker镜像内容的工具,可以帮助你深入了解镜像的每一层。
1
2
3
4
5
6
|
curl -sSL https://github.com/wagoodman/dive/releases/download/v0.9.2/dive_0.9.2_linux_amd64.deb -o dive.deb
sudo dpkg -i dive.deb
dive name-of-image
|
常见问题
- 容器中没有bash或sh:如果容器中没有安装bash或sh,可以尝试安装它们。例如,在Alpine Linux中,可以使用
RUN apk add --no-cache bash。 - 容器已停止:对于已停止的容器,可以使用
docker export将其文件系统导出为tar文件,或使用docker cp复制文件到主机。 - 不同架构的容器:如果主机和容器的架构不同,直接在主机上运行容器内的命令可能会失败。可以考虑使用QEMU等工具进行模拟。