如何進入 Docker 容器

英文原文：How to enter a Docker container

在這篇文章裏，我將討論四種連接Docker容器並與其進行交互的方法。例子中所有的代碼都可以在GitHub中找到，你可以親自對它們進行測試。

nsenter

從util-linux版本2.23開始，nsenter工具就包含在其中。它用來訪問另一個進程的名字空間。nsenter要正常工作需要有root權限。很不幸，Ubuntu 14.4仍然使用的是util-linux版本2.20。安裝最新版本的util-linux（2.24)版，請按照以下步驟：

cd /tmp

curl https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util-linux-2.24.tar.gz | tar -zxf-cd util-linux-2.24./configure --without-ncursesmake nsentercp nsenter /usr/local/bin

為了連接到容器，你還需要找到容器的第一個進程的PID。

docker inspect --format "{{ .State.Pid }}" <container-id>

通過這個PID，你就可以連接到這個容器：

nsenter --target $PID --mount --uts --ipc --net --pid

nsinit

從0.9版本開始，Docker自身就具有一個管理容器的庫，名字為 libcontainer。libcontainer中的nsinit工具允許用戶直接訪問linux名字空間和cgroup內核。在安裝nsinit之前，你首先需要安裝Go運行時環境：

apt-get install git golang-go

mkdir -p $HOME/go-dev/binmkdir -p $HOME/go-dev/src

echo "export GOPATH=\$HOME/go-dev" >> ~/.profileecho "PATH=\$PATH:\$GOPATH/bin" >> ~/.profile

source ~/.profile

接下來才安裝nsinit:

mkdir -p $GOPATH/src/github.com/dotcloudcd $GOPATH/src/github.com/dotcloud

git clone https://github.com/dotcloud/docker.gitcd $GOPATH/src/github.com/dotcloud/docker

/usr/bin/go get -v github.com/dotcloud/docker/vendor/src/github.com/docker/libcontainer/nsinit

nsinit讀取的是位於/var/lib/docer/execdriver/native/<container-id>容器目錄下的配置數據。要運行nsinit，你需要切換到容器目錄下。由於/var/lib/docker目錄對於root用戶是只讀權限，因此你還需要root權限。通過docker的ps命令，你可以確定容器ID。一旦你進入/var/lib/docker目錄，你就可以連接容器了：

nsinit exec /bin/bash

lxc(-attach)

直到Docker 0.8.1版本為止，LXC一直是管理容器的基本工具，Docker一直支持這個工具。但是從0.9.0版本開始，Docker默認使用libcontainer管理容器，不再依賴LXC了。因此默認情況下，你不能使用lxc-attach了。

如果你仍然希望使用lxc-attach，那麽你需要使用-e lxc選項來重新啟動Docker服務進程。使用這個選項，Docker的內部將再次使用LXC管理容器了。完成這個任務最簡單的做法就是創建/etc/default/docker文件（如果這個文件仍然不存在），並添加以下內容：

DOCKER_OPTS=" -e lxc"

現在你可以重新啟動Docker服務了。要連接容器，你需要知道完整的容器ID:

docker ps --no-trunc

接下來，你就可以連接這個容器了。要完成下面工作，你還需要root權限：

lxc-attach -n <container-id> -- /bin/bash

sshd

上面所有三種方法都要求具有主機系統的root權限。為了不采用root權限，通過ssh訪問容器將是一個很好的選擇。

要做到這一點，你需要構建一個支持SSH服務的基礎映像。此時，我們可能遇到這樣的問題：我們是不是用Docker CMD或者ENTRYPOINT運行一條命令就可以了？如果此時有sshd進程運行，那麽我們就不要再運行其他進程了。接下來的工作是創建一個腳本或者使用像supervisord這樣的進程管理工具來啟動其它所有需要啟動的進程。有關如何使用supervisord的 優秀的文檔可以在Docker的web站點上找到。一旦你啟動了具有sshd進程的容器，你就可以像以往一樣通過ssh客戶端了連接這個容器了。

結論

sshd方法可能是最簡單的連接容器的方法，而且大多數用戶習慣通過ssh連接虛擬機。另外，連接容器時你也不需要一定使用root權限。不過，對於是否一個容器是否應當管理不止一個進程仍然存在許多爭議。這種方法最終使得每個容器了多了一個sshd進程，這從根本上來說不是進程虛擬化的所提倡的。

另外三種方法都需要root權限。到0.8.1版本為止，Docker都是使用LXC來管理容器的。正是由於這個原因，使用lxc-attach連接容器就非常容易。不過從版本0.9.0開始Docker服務就必須使用 -e lxc選項啟動才能在內部支持LXC管理容器。不過，由於設置了這個選項，Docker將再次依賴LXC，而LXC可能隨著發布或者安裝的不同可能被剔除。

nsenter和nsinit總的來說是相同的。這兩個工具的主要區別是nsinit在本身的容器了建立了一個新的進程，而nsenter只是訪問了名字空間。Jerome Petazzoni在Docker博客文章裏對這一點說的很透徹。

再分享一下我老師大神的人工智能教程吧。零基礎！通俗易懂！風趣幽默！還帶黃段子！希望你也加入到我們人工智能的隊伍中來！http://www.captainbed.net

分布式進階 七 Ubuntu下如何進入 Docker 容器