腳本之家服務器常用軟件

快捷導航

Docker進入容器并運行命令的方法及常見問題解決

更新時間：2025年05月16日 09:30:46 作者：小魏冬瑯

Docker?是一個開源的應用容器引擎,它允許開發(fā)者打包他們的應用以及依賴包到一個可移植的容器中,然后發(fā)布到任何流行的?Linux?機器上,也可以實現(xiàn)虛擬化,這篇文章主要介紹了Docker進入容器并運行命令的方法及常見問題,需要的朋友可以參考下

前言

Docker 已經(jīng)成為現(xiàn)代軟件開發(fā)和部署的核心工具，它提供了一種輕量級的方式來運行和管理容器化應用程序。在日常使用中，開發(fā)者和運維人員經(jīng)常需要進入容器內(nèi)部進行調(diào)試、查看日志、運行命令等操作。本文將深入探討各種進入 Docker 容器并運行命令的方法，包括基本命令、進階技巧以及常見問題的解決方案，力求全面覆蓋相關(guān)知識點。

理解 Docker 容器的基本概念

在深入探討如何進入 Docker 容器之前，有必要對 Docker 容器的基本概念有一個清晰的理解。Docker 容器是運行在 Docker 引擎上的一個隔離的進程環(huán)境，它包含了應用程序及其所有依賴項。

Docker 容器的特點：

輕量級：共享主機的內(nèi)核，啟動速度快，占用資源少。
可移植性：容器化的應用可以在任何安裝了 Docker 的機器上運行。
隔離性：通過命名空間和控制組，實現(xiàn)進程和資源的隔離。

理解這些特點有助于我們更好地掌握如何與容器進行交互。

使用 docker exec 進入運行中的容器

docker exec 命令是進入運行中的 Docker 容器并在其中執(zhí)行命令的主要方式。它允許我們在容器內(nèi)啟動一個新的進程，這對于調(diào)試和管理容器非常有用。

基本用法

docker exec [選項] <容器ID或名稱> <命令>

常用選項解析

選項	描述
`-i`	保持標準輸入打開，即使沒有附加（attach）
`-t`	分配一個偽終端（tty）
`-d`	分離模式下運行命令
`-u`, `--user`	以指定用戶運行命令
`-e`, `--env`	設(shè)置環(huán)境變量
`-w`, `--workdir`	指定工作目錄
`--privileged`	授予擴展權(quán)限
`--detach-keys`	覆蓋容器的分離鍵序列

選項詳解

-i 和 -t

這兩個選項通常一起使用，-i 選項讓容器的標準輸入保持打開狀態(tài)，-t 選項為容器分配一個偽終端。這使得我們可以與容器內(nèi)的進程進行交互。
-d

在后臺運行命令，不會附加到容器的控制臺。這對于在容器中運行后臺任務很有用。
-u

指定在容器內(nèi)運行命令的用戶，可以是用戶名或 UID。例如，-u root 表示以 root 用戶身份運行。
-e

設(shè)置環(huán)境變量，可以多次使用該選項來設(shè)置多個環(huán)境變量。
-w

設(shè)置容器內(nèi)的工作目錄，類似于在命令行中使用 cd 切換目錄。

實際案例演示

1. 進入容器的交互式 Shell

docker exec -it <容器ID或名稱> /bin/bash

如果容器的基礎(chǔ)鏡像是基于 Debian 或 Ubuntu，那么 /bin/bash 通?？捎谩Ｈ绻腔?Alpine，則需要使用 /bin/sh。

示例：

docker exec -it my_container /bin/bash

2. 在容器中運行單個命令

https://store.steampowered.com/

這將在容器內(nèi)的 /app 目錄下列出文件，但不會進入交互式 Shell。

3. 以指定用戶運行命令

docker exec -u www-data -it <容器ID或名稱> /bin/bash

以 www-data 用戶的身份進入容器的 Shell。

4. 設(shè)置環(huán)境變量并運行命令

docker exec -e ENV_VAR=value -it <容器ID或名稱> /bin/bash

在容器內(nèi)設(shè)置環(huán)境變量 ENV_VAR，然后進入 Shell。

5. 指定工作目錄

docker exec -w /app -it <容器ID或名稱> /bin/bash

進入容器后，當前目錄為 /app。

使用 docker attach 附加到容器

docker attach 命令用于附加到一個已經(jīng)運行的容器的主進程上，與 docker exec 不同，它不會創(chuàng)建新的進程。

docker attach 與 docker exec 的區(qū)別

特性	`docker exec`	`docker attach`
是否創(chuàng)建新進程	是	否
是否需要指定命令	是	否
是否附加到主進程	否，創(chuàng)建并附加到新進程	是，附加到容器的主進程
多個會話支持	可以創(chuàng)建多個獨立的會話	會共享同一個標準輸入/輸出
主要用途	在容器內(nèi)運行新命令或啟動新 Shell	查看容器主進程的輸出或進行交互

使用場景及注意事項

查看容器主進程的輸出

如果容器的主進程是一個交互式應用程序，如 redis-cli，可以使用 docker attach 進行交互。
注意輸入沖突

多個會話同時使用 docker attach 附加到同一個容器時，輸入會發(fā)生沖突，所有會話共享同一個標準輸入。
分離容器

使用 Ctrl + P 和 Ctrl + Q 可以安全地從容器分離，而不終止容器。

示例

附加到容器

docker attach <容器ID或名稱>

分離容器而不終止

在附加到容器的會話中，按下 Ctrl + P，然后按 Ctrl + Q，即可分離。

使用 nsenter 命令進入容器

nsenter 是 Linux 下的一個工具，可以讓我們進入另一個進程的命名空間。Docker 容器的隔離性是通過命名空間實現(xiàn)的，使用 nsenter 可以直接進入容器的命名空間。

什么是 nsenter

nsenter 命令允許我們進入指定的命名空間，例如進程、網(wǎng)絡、IPC、UTS、用戶和掛載命名空間。

使用步驟

1. 獲取容器的 PID

首先，需要獲取容器在宿主機上的進程 ID。

docker inspect --format "{{ .State.Pid }}" <容器ID或名稱>

示例：

CONTAINER_PID=$(docker inspect --format "{{ .State.Pid }}" my_container)

2. 使用 nsenter 進入容器

nsenter -t $CONTAINER_PID -n -m -u -i -p /bin/bash

選項解析：

-t：指定目標進程的 PID。
-n：進入網(wǎng)絡命名空間。
-m：進入掛載命名空間。
-u：進入 UTS 命名空間（主機名和域名）。
-i：進入 IPC 命名空間。
-p：進入 PID 命名空間。

3. 簡化操作

可以編寫一個腳本或函數(shù)來簡化上述操作。

示例腳本：

docker-enter() {
  CONTAINER_PID=$(docker inspect --format "{{ .State.Pid }}" $1)
  nsenter -t $CONTAINER_PID -n -m -u -i -p /bin/bash
}

然后使用：

docker-enter my_container

通過 SSH 進入容器

盡管 Docker 的設(shè)計初衷是不在容器內(nèi)運行 SSH 服務，而是使用 docker exec 等命令，但某些情況下，可能需要通過 SSH 進入容器。

配置 SSH 服務

1. 安裝 SSH 服務

在容器內(nèi)安裝 SSH 服務，例如 OpenSSH。

apt-get update && apt-get install -y openssh-server

2. 配置 SSH

生成主機密鑰：

ssh-keygen -A

設(shè)置 root 密碼：

echo 'root:password' | chpasswd

啟動 SSH 服務：

/usr/sbin/sshd

3. 暴露端口

在啟動容器時，映射 SSH 服務的端口。

docker run -d -p 2222:22 my_ssh_image

安全性考慮

增加攻擊面

在容器內(nèi)運行 SSH 服務會增加安全風險，因為它為潛在的攻擊者提供了額外的入口點。
最佳實踐
- 盡可能使用 docker exec 代替 SSH。
- 如果必須使用 SSH，確保使用強密碼或密鑰認證。
- 限制 SSH 的監(jiān)聽地址，僅允許內(nèi)部網(wǎng)絡訪問。

進入停止狀態(tài)的容器

有時候，容器已經(jīng)停止運行，但我們需要查看其中的文件或配置。因為容器已經(jīng)停止，無法直接進入，這里介紹幾種方法來處理這種情況。

使用 docker commit 創(chuàng)建新鏡像

將停止的容器提交為一個新鏡像，然后基于該鏡像啟動一個新的容器。

1. 提交鏡像

docker commit <容器ID或名稱> new_image_name

2. 啟動新容器

docker run -it new_image_name /bin/bash

使用 docker export 和 docker import

導出容器的文件系統(tǒng)，然后重新導入為新鏡像。

1. 導出容器文件系統(tǒng)

docker export <容器ID或名稱> -o container.tar

2. 導入為新鏡像

docker import container.tar new_image_name

3. 啟動新容器

docker run -it new_image_name /bin/bash

常見問題及解決方案

無法進入容器的常見原因

1. 容器已經(jīng)停止

如果容器已經(jīng)停止，docker exec 和 docker attach 都無法進入容器。

解決方案：

使用 docker start 啟動容器。
使用 docker commit 或 docker export 創(chuàng)建新鏡像。

2. 容器內(nèi)缺少必要的 Shell

有些輕量級的基礎(chǔ)鏡像（如 alpine）可能沒有 /bin/bash，只有 /bin/sh。

解決方案：

使用 /bin/sh 進入容器：

docker exec -it <容器ID或名稱> /bin/sh

容器中命令不可用的處理

1. 缺少必要的工具

容器內(nèi)可能缺少某些命令或工具，如 vi、ping 等。

解決方案：

使用包管理器安裝所需工具。

Debian/Ubuntu：
```
apt-get update && apt-get install -y vim
```
Alpine：
```
apk update && apk add vim
```

2. 文件系統(tǒng)為只讀

某些容器可能以只讀模式運行，無法安裝新軟件。

解決方案：

重新啟動容器，移除只讀限制。

docker run -it --read-only=false <鏡像名稱> /bin/bash

總結(jié)

掌握如何進入 Docker 容器并在其中運行命令是日常開發(fā)和運維工作中必不可少的技能。本文詳細介紹了多種進入容器的方法，包括 docker exec、docker attach、nsenter、通過 SSH 進入容器，以及處理停止狀態(tài)容器的方法。還討論了常見問題及解決方案。

以下是各種方法的對比總結(jié)：

方法	適用場景	是否創(chuàng)建新進程	是否需要容器運行
`docker exec`	在運行中的容器內(nèi)執(zhí)行新命令或進入交互式 Shell	是	是
`docker attach`	附加到容器的主進程，查看輸出或進行交互	否	是
`nsenter`	需要深入容器命名空間，或在特殊情況下使用	否	是
通過 SSH 進入容器	特殊需求下的遠程登錄，但不推薦	是	是
`docker commit` + 新容器	處理停止狀態(tài)的容器，查看文件系統(tǒng)	是	否（創(chuàng)建新容器）
`docker export` + 導入	處理停止狀態(tài)的容器，備份或遷移	是	否（創(chuàng)建新鏡像）