不论是开发人员还是运维人员,都经常有进入运行中容器的诉求。进入Docker容器比较常见的几种做法如下:
- 使用SSH
- 使用nsenter,nsinit等等第三方工具
- 使用docker attach
- 使用docker exec (推荐)
一.SSH
在虚拟机时代,SSH是我们最常用的登录远程服务器的方式,在docker容器中通过安装SSH Server也可以保证多人同时进入同一个容器且互相之间不受干扰。但是在使用docker时是不建议这么使用的,主要存在以下问题:
- 增加容器的资源开销。
- 容易增加容器受到恶意攻击的概率。
- 不符合Docker所倡导的一个容器一个进程的原则。
二.nsenter,nsinit等第三方工具
关于nsenter的相关内容请参考如下文章: nsenter
如果之前没有安装过nsenter,那么按下面步骤安装即可(注意是主机而非容器或镜像),具体的安装命令如下:
$ wget https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util-linux-2.24.tar.gz
$ tar -xzvf util-linux-2.24.tar.gz
$ cd util-linux-2.24/
$ ./configure --without-ncurses
$ make nsenter
$ sudo cp nsenter /usr/local/bin
安装好nsenter之后可以查看一下该命令的使用。
nsenter可以访问另一个进程的名称空间。所以为了连接到某个容器我们还需要获取该容器的第一个进程的PID。可以使用docker inspect命令来拿到该PID。
docker inspect命令使用如下:
$ sudo docker inspect --help
inspect命令可以分层级显示一个镜像或容器的信息。比如我们当前有一个正在运行的容器
可以使用docker inspect来查看该容器的详细信息。
$ sudo docker inspect 44fc0f0582d9
由其该信息非常多,此处只截取了其中一部分进行展示。如果要显示该容器第一个进行的PID可以使用如下方式
$ sudo docker inspect -f {{.State.Pid}} 44fc0f0582d9
在拿到该进程PID之后我们就可以使用nsenter命令访问该容器了。
$ sudo nsenter --target 3326 --mount --uts --ipc --net --pid
其中的3326即刚才拿到的进程的PID
三.docker attach
Docker提供了attach命令来进入Docker容器。
接下来我们创建一个守护态的Docker容器,然后使用docker attach命令进入该容器。
$ sudo docker run -itd ubuntu:14.04 /bin/bash
然后我们使用docker ps查看到该容器信息,接下来就使用docker attach进入该容器
$ sudo docker attach 44fc0f0582d9
但在,使用该命令有一个问题。当多个窗口同时使用该命令进入该容器时,所有的窗口都会同步显示。如果有一个窗口阻塞了,那么其他窗口也无法再进行操作。如果从这个窗口中exit,那么会导致容器停止。
因为这个原因,所以docker attach命令不太适合于生产环境,平时自己开发应用时可以使用该命令。
四.docker exec
docker在1.3.X版本之后还提供了一个新的命令exec用于进入容器,这种方式相对更简单一些,下面我们来看一下该命令的使用:
$ sudo docker exec --help
接下来我们使用该命令进入一个已经在运行的容器
$ sudo docker ps
$ sudo docker exec -it 775c7c9ee1e1 /bin/bash
docker exec 主要会涉及到3个参数的使用,-it是我们最常用的组合。
- -d :分离模式: 在后台运行
- -i :即使没有附加也保持STDIN 打开
- -t :分配一个伪终端
使用-it时,则和我们平常操作console界面类似。而且也不会像attach方式因为退出,导致整个容器退出。这种方式可以替代ssh或者nsenter、nsinit方式,在容器内进行操作。
只用-i时,由于没有分配伪终端,看起来像pipe执行一样。但是执行结果、命令返回值都可以正确获取。
只使用-t参数,则可以看到一个console窗口,但是执行命令会发现由于没有获得stdin的输出,无法看到命令执行情况。
-d可以在后台执行一个进程。如果一个命令需要长时间进程,使用-d参数会很快返回,程序在后台运行。如果不使用-d参数,由于命令需要长时间执行,docker exec会卡住,一直等命令执行完成 才返回。