不论是开发人员还是运维人员,都经常有进入运行中容器的诉求。进入Docker容器比较常见的几种做法如下:

  • 使用SSH
  • 使用nsenter,nsinit等等第三方工具
  • 使用docker attach
  • 使用docker exec (推荐)

一.SSH

在虚拟机时代,SSH是我们最常用的登录远程服务器的方式,在docker容器中通过安装SSH Server也可以保证多人同时进入同一个容器且互相之间不受干扰。但是在使用docker时是不建议这么使用的,主要存在以下问题:

  • 增加容器的资源开销。
  • 容易增加容器受到恶意攻击的概率。
  • 不符合Docker所倡导的一个容器一个进程的原则。

二.nsenter,nsinit等第三方工具

关于nsenter的相关内容请参考如下文章: nsenter

如果之前没有安装过nsenter,那么按下面步骤安装即可(注意是主机而非容器或镜像),具体的安装命令如下:

$ wget https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util-linux-2.24.tar.gz  
$ tar -xzvf util-linux-2.24.tar.gz  
$ cd util-linux-2.24/  
$ ./configure --without-ncurses  
$ make nsenter  
$ sudo cp nsenter /usr/local/bin

安装好nsenter之后可以查看一下该命令的使用。

nsenter

nsenter可以访问另一个进程的名称空间。所以为了连接到某个容器我们还需要获取该容器的第一个进程的PID。可以使用docker inspect命令来拿到该PID。

docker inspect命令使用如下:

$ sudo docker inspect --help

inspect命令可以分层级显示一个镜像或容器的信息。比如我们当前有一个正在运行的容器

nsenter

可以使用docker inspect来查看该容器的详细信息。

$ sudo docker inspect 44fc0f0582d9

nsenter

由其该信息非常多,此处只截取了其中一部分进行展示。如果要显示该容器第一个进行的PID可以使用如下方式

$ sudo docker inspect -f {{.State.Pid}} 44fc0f0582d9

docker inspect -f

在拿到该进程PID之后我们就可以使用nsenter命令访问该容器了。

$ sudo nsenter --target 3326 --mount --uts --ipc --net --pid

其中的3326即刚才拿到的进程的PID

三.docker attach

Docker提供了attach命令来进入Docker容器。

接下来我们创建一个守护态的Docker容器,然后使用docker attach命令进入该容器。

$ sudo docker run -itd ubuntu:14.04 /bin/bash

然后我们使用docker ps查看到该容器信息,接下来就使用docker attach进入该容器

$ sudo docker attach 44fc0f0582d9

但在,使用该命令有一个问题。当多个窗口同时使用该命令进入该容器时,所有的窗口都会同步显示。如果有一个窗口阻塞了,那么其他窗口也无法再进行操作。如果从这个窗口中exit,那么会导致容器停止。

因为这个原因,所以docker attach命令不太适合于生产环境,平时自己开发应用时可以使用该命令。

四.docker exec

docker在1.3.X版本之后还提供了一个新的命令exec用于进入容器,这种方式相对更简单一些,下面我们来看一下该命令的使用:

$ sudo docker exec --help

docker_exec

接下来我们使用该命令进入一个已经在运行的容器

$ sudo docker ps  
$ sudo docker exec -it 775c7c9ee1e1 /bin/bash

docker exec 主要会涉及到3个参数的使用,-it是我们最常用的组合。

  • -d :分离模式: 在后台运行
  • -i :即使没有附加也保持STDIN 打开
  • -t :分配一个伪终端

使用-it时,则和我们平常操作console界面类似。而且也不会像attach方式因为退出,导致整个容器退出。这种方式可以替代ssh或者nsenter、nsinit方式,在容器内进行操作。

只用-i时,由于没有分配伪终端,看起来像pipe执行一样。但是执行结果、命令返回值都可以正确获取。

只使用-t参数,则可以看到一个console窗口,但是执行命令会发现由于没有获得stdin的输出,无法看到命令执行情况。

-d可以在后台执行一个进程。如果一个命令需要长时间进程,使用-d参数会很快返回,程序在后台运行。如果不使用-d参数,由于命令需要长时间执行,docker exec会卡住,一直等命令执行完成 才返回。