使用docker的过程中,我们会有多重情况需要访问容器。比如希望直接进入MySql容器执行命令,或是希望查看容器环境,进行某些操作或访问。这时就会用到这个命令:docker exec。
命令:
docker container exec
描述:
在运行的容器中执行命令。
您使用 docker exec 指定的命令只会在容器的首要进程(PID 1)运行时执行,如果容器重启,该命令不会被重新启动。
该命令在容器的默认工作目录中运行。
该命令必须是一个可执行程序。链式命令或引号内的命令不起作用。
这样是有效的:docker exec -it my_container sh -c “echo a && echo b”
这样是无效的:docker exec -it my_container “echo a && echo b”
用法:
docker container exec [OPTIONS] CONTAINER COMMAND [ARG...]别名:
docker exec(docker的一些命令可以简写,docker exec和docker container exec是等价的)
选项:
| 选项 | 描述 |
|---|---|
| -d, –detach | 分离模式:在后台运行命令 |
| –detach-keys | 覆盖用于分离容器的键序列 |
| -e, –env | API 1.25+ 设置环境变量 |
| –env-file | 读取的环境变量文件 |
| -i, –interactive | 即使未附着也保持 STDIN 打开 |
| –privileged | 为命令提供扩展权限 |
| -t, –tty | 分配一个伪TTY |
| -u, –user | 用户名或用户ID(格式:<name|uid>[:<group|gid>]) |
| -w, –workdir | 容器内的工作目录 |
示例1:选项-d, –detach、-i, –interactive、-t, –tty
-d相当于后台运行,使用这个选项,不影响终端的进一步操作。-i和-t两个选项通常一起使用,在【Docker学习】docker run之黄金搭档-it选项 – 筑天兄的清净小站 (skycreator.top)有详细介绍。
关于这三个选项,官方给出的例子挺好。我就直接使用官方例子,在我的阿里云上操作,借花献佛了。
使用exec,首先要确保有一个运行着的容器。使用以下命令创建并启动一个名为mycontainer的基于alpine的容器,该容器以sh shell作为其主进程。其中,-d选项(–detach的简写形式)会让容器以后台运行的方式启动,即分离模式,并附加一个伪TTY(-t)。-i选项设置为保持STDIN附加(-i),这可以防止sh进程立即退出。
docker run --name mycontainer -d -i -t alpine /bin/sh执行之后,使用ps来查看一下:
在这之后,我们使用-d选项,在运行的mycontainer容器中运行一个命令touch /tmp/execWorks。该命令在容器的根目录tmp下创建execWorks文件。
docker exec -d mycontainer touch /tmp/execWorks这条命令执行之后没效果,需要进入容器的sh下查看。使用-it选项(-i加-t选项),直接与容器交互。
docker exec -it mycontainer sh在容器的终端进入tmp文件夹查看,发现execWorks被创建。
示例2:选项–detach-keys
这个选项说起来比较复杂,在【Docker学习】docker start深入研究 – 筑天兄的清净小站 (skycreator.top)中有详细讲解,大家可以对照着来学习。
示例3:选项-e, –env和选项–env-file
这两个选项都是设置环境变量的,前者是直接设置,后者是通过一个文件设置。在【Docker学习】docker run的环境变量相关选项(-e, –env, –env-file) – 筑天兄的清净小站 (skycreator.top)中有详细讲解,这个不再赘述了。
示例4:–privileged
这个选项用于提升容器权限,它为容器提供了以下功能:
- 启用所有Linux内核功能
- 禁用默认的seccomp配置文件
- 禁用默认的AppArmor配置文件
- 禁用SELinux进程标签
- 授予访问所有主机设备的权限
- 使/sys变为可读写
- 使cgroups挂载变为可读写
换句话说,容器几乎可以做主机能做的任何事情。这个标志的存在是为了允许特殊用途,比如在Docker中运行Docker。
这个选项很强大,未来详细讲解,这里只简要介绍。
我们使用刚才的容器作测试,进入容器的终端,执行命令
docker exec -it mycontainer sh在终端输入以下命令,将一个tmpfs文件系统挂载到/mnt目录,允许在这个目录下存储临时数据,这些数据在系统重启后不会保留。
/ # mount -t tmpfs none /mnt这个命令具体作用如下:
mount:这是用来挂载文件系统的命令。-t tmpfs:这指定了要挂载的文件系统类型为tmpfs,这是一种基于内存的文件系统,也称为临时文件系统。数据存储在内存中,而不是写入磁盘,这意味着它的读写速度非常快,但数据在系统重启后会丢失。none:这里指定了设备的源,none表示没有实际的设备或文件名与tmpfs关联。因为tmpfs不依赖于具体的设备,所以使用none作为占位符。/mnt:这是挂载点,即文件系统在目录树中的位置。在这个例子中,tmpfs将被挂载到/mnt目录下。
看看运行结果。显示permission denied,说明没有权限。默认情况下,Docker会丢弃大多数可能危险的核心功能,包括CAP_SYS_ADMIN(挂载文件系统所必需的)。
那么我们执行–privileged选项看看。
居然没有效果!!!好吧,看来只能放大招了。
官网讲解–privileged选项时,也讲解了docker run 的–cap-add选项,该选项可以为容器添加linux功能。而SYS-ADMIN是linux系统管理必备的功能。因此我使用该选项,先给mycontainer加入这个功能。
docker run --cap-add SYS_ADMIN --name mycontainer -dit alpine /bin/sh执行之后,我尝试进行挂载,这次成功了。通过df -h命令查看文件系统磁盘空间使用情况。可以看到最下面一行,文件系统是none的就是我进行的挂载。不过这么做也用不着–privileged选项了。
官网的例子使用的并不是alpine,而是ubuntu。通过对比–privileged使用与否的情况,可以看到ubuntu的/dev目录发生了明显的变化:
上面是不使用–privileged选项的/dev目录。
上面是使用–privileged选项的/dev目录。
可以明显看出两者的不同,说明使用–privileged选项,为/dev目录增加了不少特性。
回过头再来看alpine,使用不使用/dev的目录是相同的。如下图所示:
也就是说,alpine这个镜像并没有为–privileged选项预留功能。毕竟alpine是阉割版的linux系统,它的大小只有4m多。下面是几个linux官方镜像的大小对比。
另外,docker run的–cap-add选项,没有加入到docker exec中,可能是因为这只能是创建时加入,运行中的容器是不能直接设置的。
示例5:-u, –user选项
这个选项用于以某个用户身份进入容器。
还是使用alpine这个镜像的mycontainer容器,进入容器的shell下,添加一个普通用户zl
adduser zl然后exit退出,重新使用docker exec进入,这次加入-u选项
docker exec -it -u zl mycontainer sh在shell中输入id,查看当前用户的信息
可以看出,当前用户是zl,uid,gid和groups均显示出来了。
示例6:-w, –workdir选项
该选项用于设置容器的工作目录。不指定的情况下,工作目录就是/,如下图所示:
下面指定了工作目录为/etc,使用pwd查看当前工作目录,即是/etc。
关于alpine
Alpine是一个轻量级的Linux发行版,它基于musl libc和 BusyBox,旨在提供一个小巧、安全、简单且高效的操作系统。Alpine特别适合用于容器和云环境,因为它的大小很小,启动速度快,同时提供了一个包管理器工具apk,可以用来安装、更新和管理软件包。
在Docker等容器平台中,Alpine经常被用作基础镜像,因为它可以创建出非常小的容器镜像,这对于开发和部署都非常有利。由于它的体积小,Alpine在资源有限的场景下也非常受欢迎,比如在嵌入式设备或者需要快速部署的应用中。
Alpine官网:https://www.alpinelinux.org/Alpine官方仓库:https://github.com/alpinelinux
Alpine 官方镜像:https://hub.docker.com/_/alpine/
Alpine 官方镜像仓库:https://github.com/gliderlabs/docker-alpine
关于–privileged
请谨慎使用–privileged标志。带有–privileged的容器并不是一个安全沙箱化的进程。在此模式下的容器可以在主机上获取root权限的shell并控制系统。
对于大多数用例来说,这个标志不应该是首选解决方案。如果您的容器需要提升的权限,您应该更愿意明确授予必要的权限,例如通过使用–cap-add添加单个内核功能。
关于df -h命令
在Linux和类Unix操作系统中,df -h是一个常用的命令,用于显示文件系统的磁盘空间使用情况。df代表disk free,即磁盘空闲空间。-h选项表示human-readable,它会以更易于阅读的格式显示大小,例如将字节转换为千字节、兆字节或吉字节,并附加适当的单位(K、M、G)。
df -h命令的输出通常包括以下信息:
- 文件系统的挂载点(Mounted on)
- 文件系统的总大小(Size)
- 已使用的空间大小(Used)
- 可用的空闲空间(Avail)
- 使用百分比(Use%)
- 文件系统的标识(Filesystem)
![Weblogic XML反序列化漏洞 [CVE-2017-10271]](https://img-blog.csdnimg.cn/direct/78d132001adf45bc8599128c1fec9a49.png)
