도커 컨테이너의 파일 시스템 탐색

도커 컨테이너의 파일 시스템 탐색

저는 도커를 통해 컨테이너 내부에서 무슨 일이 일어나고 있는지 또는 컨테이너 안에 어떤 파일이 있는지 파악해야 한다는 것을 알게 되었습니다.한 예로 도커 인덱스에서 이미지를 다운로드하는 것이 있습니다. 이미지에 무엇이 포함되어 있는지 전혀 모르기 때문에 응용 프로그램을 시작할 수 없습니다.

이상적인 것은 그것들에 맞먹는 것입니다.이것을 할 수 있는 도구가 있습니까, 아니면 도커에 대한 제 개념화가 제가 이것을 할 수 있어야 한다고 생각하는 것이 잘못된 것입니까?

여기에 몇 가지 다른 방법이 있습니다.

A) 도커 실행 사용(가장 쉬운)

은 1.3 합니다 합니다.exec와 비슷하게 nsenter은 이미 중인 새할 수 1 중이어야 이 명령은 이미 실행 중인 컨테이너에서 새 프로세스를 실행할 수 있습니다(컨테이너에 PID 1 프로세스가 이미 실행 중이어야 함).합니다./bin/bash컨테이너 상태 탐색하기:

docker exec -t -i mycontainer /bin/bash

도커 명령줄 설명서 참조

B) 스냅샷 생성 사용

컨테이너 파일 시스템은 다음과 같은 방법으로 평가할 수 있습니다.

# find ID of your running container:
docker ps

# create image (snapshot) from container filesystem
docker commit 12345678904b5 mysnapshot

# explore this filesystem using bash (for example)
docker run -t -i mysnapshot /bin/bash

이렇게 하면 실행 중인 컨테이너의 파일 시스템을 정확한 시간 내에 평가할 수 있습니다.컨테이너가 계속 실행 중이므로 이후 변경 사항은 포함되지 않습니다.

나중에 스냅샷을 삭제할 수 있습니다(실행 중인 컨테이너의 파일 시스템은 영향을 받지 않음!).

docker rmi mysnapshot

C) ssh 사용

지속적인 액세스가 필요한 경우 컨테이너에 sshd를 설치하고 sshd 데몬을 실행할 수 있습니다.

 docker run -d -p 22 mysnapshot /usr/sbin/sshd -D
 
 # you need to find out which port to connect:
 docker ps

이렇게 하면 ssh를 사용하여 앱을 실행할 수 있습니다(원하는 것을 연결하여 실행).

D) 사용자입력

사용하다nsenter, 도커 컨테이너에서 SSHD를 실행할 필요가 없는 이유 보기

간단한 버전은 다음과 같습니다. nsenter를 사용하면 해당 컨테이너에서 SSH나 특수 목적 데몬을 실행하지 않더라도 셸을 기존 컨테이너에 가져올 수 있습니다.

업데이트: 탐색 중!

이 명령을 사용하면 실행 중인 도커 컨테이너를 탐색할 수 있습니다.

docker exec -it name-of-container bash

도커 컴포지트에 해당하는 것은 다음과 같습니다.

docker-compose exec web bash

(web은 이 경우 서비스 이름이며 기본적으로 hastty입니다.)

안에 들어가면 다음을 수행합니다.

ls -lsa

또는 다음과 같은 다른 bash 명령어.

cd ..

---

이 명령을 사용하면 도커 이미지를 탐색할 수 있습니다.

docker run --rm -it --entrypoint=/bin/bash name-of-image

일단 안에 들어가면:

ls -lsa

또는 다음과 같은 다른 bash 명령어.

cd ..

-it대화형의 약자로...그리고 tty.

---

이 명령을 사용하면 실행 중인 도커 컨테이너 또는 이미지를 검사할 수 있습니다.

docker inspect name-of-container-or-image

입니다가 것 같습니다.bash아니면sh저 안에 json json return 에서 진입점 또는 cmd 를 찾습니다에서 .

참고: 이 답변은 댓글 도구가 존재하지만 존재하지 않는 경우에 따라 달라집니다.bash구 인 도구.ls수할 수 있습니다.Dockerfile예:

RUN apk add --no-cache bash

수 .Dockerfile그런 다음 새로 만든 컨테이너에서 파일을 복사하고 다음 작업을 수행하여 파일을 검색합니다.

docker create <image>  # returns container ID the container is never started.
docker cp <container ID>:<source_path> <destination_path>
docker rm <container ID>
cd <destination_path> && ls -lsah

도커 Exec 설명서 참조

도커- compose Exec 설명서 참조

도커 검사 설명서 참조

참고 항목도커 설명서 만들기

컨테이너가 정지되었거나 셸이 없는 경우(예: 설치 가이드에 언급된 경우 또는 비-alpine traefik), 파일 시스템을 탐색할 수 있는 유일한 방법일 것입니다.

컨테이너의 파일 시스템을 tar 파일로 보관할 수 있습니다.

docker export adoring_kowalevski > contents.tar

또는 파일을 나열합니다.

docker export adoring_kowalevski | tar t

이미지에 따라 시간과 디스크 공간이 다소 소요될 수 있습니다.

가장 많이 선택된 답변은 컨테이너가 실제로 시작되었을 때 사용할 수 있지만 실행이 불가능하고 예를 들어 컨테이너에서 파일을 복사하려는 경우 이전에 저장된 답변입니다.

docker cp <container-name>:<path/inside/container> <path/on/host/>

도커 cp(link) 덕분에 파일 시스템의 다른 부분이었기 때문에 컨테이너에서 바로 복사할 수 있습니다.예를 들어 컨테이너 내부의 모든 파일 복구:

mkdir /tmp/container_temp
docker cp example_container:/ /tmp/container_temp/

재귀적으로 복사할 것을 지정할 필요는 없습니다.

컨테이너 작성 전:

컨테이너 내부에 장착된 이미지의 구조를 탐색하는 경우 수행할 수 있습니다.

sudo docker image save image_name > image.tar
tar -xvf image.tar

이렇게 하면 json 파일에 있는 이미지의 모든 레이어와 이미지의 구성을 볼 수 있습니다.

컨테이너 생성 후:

이를 위해서는 이미 위에 많은 답이 있습니다. 제가 가장 선호하는 방법은 - 입니다.

docker exec -t -i container /bin/bash

다이브를 사용하여 TUI와 상호작용적으로 이미지 컨텐츠를 볼 수 있습니다.

https://github.com/wagoodman/dive

컨테이너의 파일 시스템은 보통 /var/lib/docker의 데이터 폴더에 있습니다.실행 중인 컨테이너 파일 시스템을 시작하고 검사하려면 다음을 수행합니다.

hash=$(docker run busybox)
cd /var/lib/docker/aufs/mnt/$hash

그리고 현재 작업 디렉토리가 컨테이너의 루트입니다.

LINUX 전용

제가 사용하는 가장 간단한 방법은 procdir를 사용하는 것이었습니다. 도커 컨테이너 파일을 검사하기 위해서는 컨테이너가 실행되어야 합니다.

1. 컨테이너의 process id(PID)를 알아보고 변수에 저장

   PID= $(도커 검사 -f'{{.상태.Pid}}'사용자-용기-이름-여기)

2. 컨테이너 프로세스가 실행 중인지 확인하고 변수 이름을 사용하여 컨테이너 폴더로 들어갑니다.

   cd/proc/$PID/루트

PID 번호를 찾지 않고 dir를 통과하려면 이 long 명령을 사용합니다.

cd /proc/$(docker inspect -f '{{.State.Pid}}' your-container-name-here)/root

팁:

컨테이너 안에 들어간 후에는 서비스를 중단하거나 포트 번호를 변경하는 등 컨테이너의 실제 프로세스에 영향을 미칩니다.

도움이 되길 바랍니다.

참고:

이 메서드는 컨테이너가 여전히 실행 중인 경우에만 작동합니다. 그렇지 않으면 컨테이너가 중지되거나 제거된 경우 디렉터리가 더 이상 존재하지 않습니다.

사용해보기

docker exec -it <container-name> /bin/bash

bash가 실행되지 않을 가능성이 있습니다.사용할 수 있는

docker exec -it <container-name> sh

도커 1.3.1을 실행하는 Ubuntu 14.04에서 호스트 시스템의 컨테이너 루트 파일 시스템을 다음 디렉토리에서 찾았습니다.

/var/lib/docker/devicemapper/mnt/<container id>/rootfs/

전체 도커 버전 정보:

Client version: 1.3.1
Client API version: 1.15
Go version (client): go1.3.3
Git commit (client): 4e9bbfa
OS/Arch (client): linux/amd64
Server version: 1.3.1
Server API version: 1.15
Go version (server): go1.3.3
Git commit (server): 4e9bbfa

제 에는 를 이 없었습니다.sh이게 으로 느껴졌어요. 그래서 이게 정말 매력적으로.

docker exec -it <container-name> sh

컨테이너가 실제 Linux 시스템이 아닌 경우를 제외하고 가장 많은 투표를 받은 답변이 좋습니다.

많은 에는 () 가 이/bin/bash아니면/bin/sh 이 컨테이너 에 직접 .

매력적으로 작동:

name=<name>
dockerId=$(docker inspect -f {{.Id}} $name)
mountId=$(cat /var/lib/docker/image/aufs/layerdb/mounts/$dockerId/mount-id)
cd /var/lib/docker/aufs/mnt/$mountId

참고: 루트로 실행해야 합니다.

저는 aufs/devicemapper에 구애받지 않는 또 다른 더러운 속임수를 사용합니다.

컨테이너가 실행 중인 명령어를 봅니다.docker psjava저는 단지 다음과 같은 일을 합니다.

sudo -s
cd /proc/$(pgrep java)/root/

그리고 당신은 컨테이너 안에 있습니다.

를 cd 로에 수 ./proc/<PID>/root/해당 프로세스가 컨테이너에 의해 실행되는 한 폴더.이 모드를 사용하는 동안에는 심볼 링크가 말이 되지 않도록 주의해야 합니다.

기존의 답변 중 어떤 것도 컨테이너가 종료되거나(다시 시작할 수 없거나) 셸이 설치되지 않은 경우(예: 디스트로이어가 없는 경우)를 다루지 않습니다.이것은 도커 호스트에 대한 루트 액세스 권한이 있는 한 작동합니다.

실제 수동 검사의 경우 계층 ID를 먼저 찾습니다.

docker inspect my-container | jq '.[0].GraphDriver.Data'

출력에서, 당신은 다음과 같은 것을 봐야 합니다.

"MergedDir": "/var/lib/docker/overlay2/03e8df748fab9526594cfdd0b6cf9f4b5160197e98fe580df0d36f19830308d9/merged"

이 폴더(루트)로 이동하여 컨테이너 파일 시스템의 현재 표시 상태를 찾습니다.

그러면 이미지에 대한 배시 세션이 시작됩니다.

도커 실행 --rm -it --entrypoint=/bin/

에서는 를 할 수 .docker exec [container_name] 포탄을 있는

컨테이너에 있는 모든 파일의 목록을 가져오려면 실행하기만 하면 됩니다.docker exec [container_name] ls

이 작업을 수행하고 싶었지만 코드에 오류가 발생하여 컨테이너가 중지되고 다시 시작되지 않아 컨테이너를 실행할 수 없었습니다.

저에게 효과가 있었던 것은 컨테이너 전체의 내용물을 다음과 같이 새 폴더에 간단히 복사하는 것이었습니다.

docker cp container_name:/app/ new_dummy_folder

그런 다음 일반 폴더처럼 이 폴더의 내용을 탐색할 수 있었습니다.

Docker v19.03을 사용하는 경우 다음 단계를 따릅니다.

# find ID of your running container:

  docker ps

# create image (snapshot) from container filesystem

  docker commit 12345678904b5 mysnapshot

# explore this filesystem 

  docker run -t -i mysnapshot /bin/sh

저에게 이 방법은 잘 작동합니다. (마지막으로 /var/lib/docker/ 디렉토리를 지적해 주신 의견 덕분에).

chroot /var/lib/docker/containers/2465790aa2c4*/root/

여기서 2465790aa2c4는 실행 중인 컨테이너의 짧은 ID이며(도커 ps로 표시됨), 그 다음에 별이 표시됩니다.

도커 aufs 드라이버의 경우:

스크립트는 컨테이너 루트 디어(도커 1.7.1 및 1.10.3에서 테스트)를 찾습니다.

if [ -z "$1" ] ; then
 echo 'docker-find-root $container_id_or_name '
 exit 1
fi
CID=$(docker inspect   --format {{.Id}} $1)
if [ -n "$CID" ] ; then
    if [ -f  /var/lib/docker/image/aufs/layerdb/mounts/$CID/mount-id ] ; then
        F1=$(cat /var/lib/docker/image/aufs/layerdb/mounts/$CID/mount-id)
       d1=/var/lib/docker/aufs/mnt/$F1
    fi
    if [ ! -d "$d1" ] ; then
        d1=/var/lib/docker/aufs/diff/$CID
    fi
    echo $d1
fi

이 답변은 컨테이너가 실행되고 있지 않더라도 도커 볼륨 파일 시스템을 탐색하고 싶은 사람(나 같은 사람)에게 도움이 될 것입니다.

실행 중인 도커 컨테이너 목록:

docker ps

=> 컨테이너 ID "4c721f 1985bd"

로컬 물리적 시스템(https://docs.docker.com/engine/tutorials/dockervolumes/) 에서 도커 볼륨 마운트 지점을 확인합니다.

docker inspect -f {{.Mounts}} 4c721f1985bd

=> [{ /tmp/container-garen/tmp true rprivate}]

이것은 로컬 물리적 시스템 디렉토리 /tmp/container-garren이 /tmp 도커 볼륨 대상에 매핑되어 있음을 알려줍니다.

로컬 물리적 시스템 디렉토리(/tmp/container-garen)를 알면 도커 컨테이너의 실행 여부와 관계없이 파일 시스템을 탐색할 수 있습니다.이것은 컨테이너가 가동되지 않은 후에도 지속해서는 안 될 잔여 데이터가 있다는 것을 파악하는 데 매우 중요했습니다.

이미 실행 중인 컨테이너의 경우 다음 작업을 수행할 수 있습니다.

dockerId=$(docker inspect -f {{.Id}} [docker_id_or_name])

cd /var/lib/docker/btrfs/subvolumes/$dockerId

그 dir에 cd를 넣기 위해서는 당신이 뿌리를 내려야 합니다.루트가 아니라면 명령을 실행하기 전에 'sudosu'를 시도해 보십시오.

편집: v1.3에 이어 지리의 답변 보기 - 더 좋아졌습니다.

또 다른 방법은 원자 도구를 사용하여 다음과 같은 것을 하는 것입니다.

mkdir -p /path/to/mnt && atomic mount IMAGE /path/to/mnt

도커 영상이 /path/to/mnt에 장착되어 검사할 수 있습니다.

컨테이너 내부에서 무슨 일이 일어나고 있는지 알기 위해 선호하는 방법은 다음과 같습니다.

1. -p 8000 노출

   docker run -it -p 8000:8000 image
   

2. 서버 내부 시작

   python -m SimpleHTTPServer
   

AUFS 스토리지 드라이버를 사용하는 경우 내 도커 계층 스크립트를 사용하여 컨테이너의 파일 시스템 루트(mnt)를 찾고 쓰기 계층을 읽을 수 있습니다.

# docker-layer musing_wiles
rw layer : /var/lib/docker/aufs/diff/c83338693ff190945b2374dea210974b7213bc0916163cc30e16f6ccf1e4b03f
mnt      : /var/lib/docker/aufs/mnt/c83338693ff190945b2374dea210974b7213bc0916163cc30e16f6ccf1e4b03f

: 2018-03-28 :
도커 계층이 도커 백업으로 대체되었습니다.

docker exec실행 중인 컨테이너에서 명령을 실행하는 명령은 여러 경우에 도움이 될 수 있습니다.

용도: 도커 실행 [옵션] 컨테이너 명령 [ARG...]
실행 중인 컨테이너에서 명령 실행
옵션:-d, --detach Distached mode: 백그라운드에서 명령 실행--detach-keys string a를 분리하기 위한 키 시퀀스를 재정의합니다.컨테이너.-e, --envlist 환경변수 설정-i, --interactive 첨부되지 않은 경우에도 STDIN을 계속 열어 둡니다.--특권 기벡스명령에 따른 특권-t, --tty 유사 TTY 할당-u, --사용자 문자열 사용자 이름 또는 UID(형식:[:])-w, --workdir 문자열 컨테이너 내부의 작업 디렉토리

예를 들어 다음과 같습니다.

1) 실행 중인 컨테이너 파일 시스템에 bash로 액세스하는 중:

docker exec -it containerId bash 

2) 실행 중인 컨테이너 파일 시스템에 루트로 bash에서 액세스하여 필요한 권한을 가질 수 있습니다.

docker exec -it -u root containerId bash  

이것은 컨테이너에서 루트로서 일부 처리를 수행할 수 있는 경우에 특히 유용합니다.

3) 특정 작업 디렉토리를 사용하여 실행 중인 컨테이너 파일 시스템에 bash에서 액세스:

docker exec -it -w /var/lib containerId bash 

파일 .docker run -it <container_name> bash비현실적입니다.을 복사하는 데 다.docker cp <container_name>:<path> <target_path>현실성도 없습니다.

, 하는 것을 합니다.lsDocker 파일의 마지막 명령어로 다음을 수행합니다.

CMD [ "ls", "-R" ]

실행 중인 거의 모든 컨테이너 안에서 GUI 앱으로 파일 보기, 편집, 복사를 할 수 있는 가장 쉬운 올인원 솔루션을 찾았습니다.

mc 도커에서 파일 편집

1. install mc 에 mc 를합니다 ssh .docker exec -it <container> /bin/bash그런 및하여 mc ssh 합니다를 합니다.
2. 한 exec-을 합니다.mc
3. ESC를 누른 다음 9를 누른 다음 ENTER를 눌러 메뉴를 열고 "Shell link.."를 선택합니다.."
4. "쉘 링크"를 사용합니다.." 실행 중인 ssh 서버(실행 중인 도커 포함)가 있는 모든 호스트에 대해 IP 주소로 SCP 기반 파일 시스템 액세스 열기
5. 그래픽 UI에서 작업을 수행합니다.

이 방법은 사용 권한, 스냅 격리 등과 관련된 모든 문제를 극복하고, 어떤 기계에도 직접 복사가 가능하며, 저에게 가장 사용하기 좋은 방법입니다.

알 수 없는 컨테이너가 있어서 프로덕션 워크로드를 수행하고 있었고 어떤 명령도 실행하고 싶지 않았습니다.

그래서 도커디프를 썼어요.

컨테이너가 변경되어 컨테이너 파일 시스템을 탐색하기에 적합한 모든 파일이 나열됩니다.

폴더만 가져오려면 grep:

docker diff <container> | grep /var/log

도커 이미지의 파일은 표시되지 않습니다.사용 사례에 따라 도움이 될 수도 있고 그렇지 않을 수도 있습니다.

파티는 늦었지만 2022년에는 VS Code가 있습니다.

언급URL : https://stackoverflow.com/questions/20813486/exploring-docker-containers-file-system