Dockerコンテナーのファイルシステムの探索

コンテナー内で何が起こっているのか、またはコンテナー内にどのファイルが存在するのかを理解する必要があることが、Dockerでわかりました。1つの例は、Dockerインデックスから画像をダウンロードすることです。画像に何が含まれているかがわからないため、アプリケーションを起動できません。

理想的には、sshでそれらまたは同等のものにアクセスできるようにすることです。これを行うためのツールはありますか、または私がこれを行うことができるはずであると考える私の港湾労働者の概念化は間違っていますか？

UPDATE
最も簡単な方法：docker execを使用する

Dockerバージョン1.3以降は、execと同様に動作するコマンドをサポートしていますnsenter。このコマンドは、すでに実行中のコンテナで新しいプロセスを実行できます（コンテナには、すでに実行されているPID 1プロセスが必要です）。実行/bin/bashしてコンテナの状態を調べることができます。

docker exec -t -i mycontainer /bin/bash

Dockerコマンドラインドキュメントを参照してください

代替方法1
スナップショット

この方法でコンテナファイルシステムを評価できます。

# find ID of your running container:
docker ps

# create image (snapshot) from container filesystem
docker commit 12345678904b5 mysnapshot

# explore this filesystem using bash (for example)
docker run -t -i mysnapshot /bin/bash

このようにして、実行中のコンテナのファイルシステムを正確なタイミングで評価できます。コンテナはまだ実行中で、将来の変更は含まれていません。

後でスナップショットを削除できます（実行中のコンテナーのファイルシステムは影響を受けません！）：

docker rmi mysnapshot

代替方法2
ssh

継続的なアクセスが必要な場合は、sshdをコンテナーにインストールして、sshdデーモンを実行できます。

 docker run -d -p 22 mysnapshot /usr/sbin/sshd -D

 # you need to find out which port to connect:
 docker ps

このように、sshを使用してアプリを実行できます（接続して必要なものを実行します）。

更新：代替方法3
nsenter

を使用nsenterします。https：//web.archive.org/web/20160305150559/http：//blog.docker.com/2014/06/why-you-dont-need-to-run-sshd-in-docker/を参照してください

短いバージョンは次のとおりです。nsenterを使用すると、既存のコンテナーがSSHまたは任意の種類の専用デーモンを実行していない場合でも、シェルを既存のコンテナーに入れることができます。

更新：探索！

このコマンドを実行すると、実行中のDockerコンテナーを探索できます。

docker exec -it name-of-container bash

docker-composeでこれに相当するものは次のようになります。

docker-compose exec web bash

（この場合、webはサービス名であり、デフォルトでttyを持っています。）

いったん中に入ると：

ls -lsa

または次のような他のbashコマンド：

cd ..

このコマンドを使用すると、Dockerイメージを探索できます。

docker run --rm -it --entrypoint=/bin/bash name-of-image

中に入ったら：

ls -lsa

または次のような他のbashコマンド：

cd ..

-it対話型とtty の略です。

このコマンドにより、実行中のDockerコンテナーまたはイメージを検査できます。

docker inspect name-of-container-or-image

あなたはこれを行うと、任意のあったかどうかを確認することがありますbashかsh、そこには。json returnでentrypointまたはcmdを探します。

docker execのドキュメントを参照してください

docker-compose execのドキュメントを参照してください

docker inspectのドキュメントを参照してください

コンテナが停止しているか、シェルがない場合（たとえばhello-world、インストールガイドに記載されている、または以外alpine traefik）は、おそらくこれがファイルシステムを探索する唯一の可能な方法です。

コンテナのファイルシステムをtarファイルにアーカイブできます。

docker export adoring_kowalevski > contents.tar

または、ファイルを一覧表示します。

docker export adoring_kowalevski | tar t

イメージによっては、多少の時間とディスク容量が必要になる場合があることに注意してください。

コンテナーのファイルシステムは、dockerのデータフォルダーにあり、通常は/ var / lib / dockerにあります。実行中のコンテナーファイルシステムを起動して検査するには、次の手順を実行します。

hash=$(docker run busybox)
cd /var/lib/docker/aufs/mnt/$hash

そして現在、現在の作業ディレクトリはコンテナのルートです。

コンテナ作成前：

コンテナー内にマウントされているイメージの構造を調べる場合は、次のことができます

sudo docker image save image_name > image.tar
tar -xvf image.tar

これにより、jsonファイルに存在する画像とその構成のすべてのレイヤーの可視性が得られます。

コンテナ作成後：

これについてはすでに上記の答えがたくさんあります。これを行うための私の好ましい方法は-

docker exec -t -i container /bin/bash

コンテナが実際に起動したときに最も賛成された答えが私のために働いていますが、実行することができず、たとえばコンテナからファイルをコピーしたい場合、これは以前に私を救いました：

docker cp <container-name>:<path/inside/container> <path/on/host/>

docker cp（link）のおかげで、ファイルシステムの他の部分と同じように、コンテナーから直接コピーできます。たとえば、コンテナ内のすべてのファイルを回復します。

mkdir /tmp/container_temp
docker cp example_container:/ /tmp/container_temp/

再帰的にコピーすることを指定する必要がないことに注意してください。

上のUbuntu 14.04で実行ドッカー1.3.1を、私は次のディレクトリにホストマシン上のコンテナのルートファイルシステムが見つかりました：

/var/lib/docker/devicemapper/mnt/<container id>/rootfs/

完全なDockerバージョン情報：

Client version: 1.3.1
Client API version: 1.15
Go version (client): go1.3.3
Git commit (client): 4e9bbfa
OS/Arch (client): linux/amd64
Server version: 1.3.1
Server API version: 1.15
Go version (server): go1.3.3
Git commit (server): 4e9bbfa

使ってみてください

docker exec -it <container-name> /bin/bash

bashが実装されていない可能性があります。そのために使用できます

docker exec -it <container-name> sh

私はaufs / devicemapperにとらわれない別の汚いトリックを使用しています。

コンテナが実行しているコマンドを確認します。たとえばdocker ps 、それがapacheであるかjava、次のようにすればよいですか。

sudo -s
cd /proc/$(pgrep java)/root/

そして、あなたはコンテナの中にいます。

基本的に/proc/<PID>/root/、そのプロセスがコンテナーによって実行されている限り、ルートcdとしてフォルダーに移動できます。シンボリックリンクはそのモードを使用しても意味がないことに注意してください。

コンテナが実際のLinuxシステムではない場合を除いて、最も投票された答えが適切です。

多くのコンテナ（特に、goベースのコンテナ）には、標準のバイナリ（no /bin/bashまたは/bin/sh）がありません。その場合、実際のコンテナーファイルに直接アクセスする必要があります。

魅力のように機能します：

name=<name>
dockerId=$(docker inspect -f {{.Id}} $name)
mountId=$(cat /var/lib/docker/image/aufs/layerdb/mounts/$dockerId/mount-id)
cd /var/lib/docker/aufs/mnt/$mountId

注：ルートとして実行する必要があります。

私の場合、以外のシェルはコンテナでサポートされていませんでしたsh。だから、これは魅力のように働きました

docker exec -it <container-name> sh

ダイビングを使用して、TUIでインタラクティブに画像コンテンツを表示できます

https://github.com/wagoodman/dive

これにより、画像のbashセッションが起動します。

docker run --rm -it --entrypoint = / bin / bash

私にとって、これはうまくいきます（ディレクトリ/ var / lib / docker /を指摘するための最後のコメントに感謝します）：

chroot /var/lib/docker/containers/2465790aa2c4*/root/

ここで、2465790aa2c4は実行中のコンテナーの短いID （docker psによって表示される）で、その後に星が続きます。

Dockerの新しいバージョンではdocker exec [container_name]、コンテナー内でシェルを実行することができます

コンテナー内のすべてのファイルのリストを取得するには、次のコマンドを実行します docker exec [container_name] ls

docker aufsドライバーの場合：

スクリプトはコンテナのルートディレクトリを見つけます（docker 1.7.1および1.10.3でテスト）

if [ -z "$1" ] ; then
 echo 'docker-find-root $container_id_or_name '
 exit 1
fi
CID=$(docker inspect   --format {{.Id}} $1)
if [ -n "$CID" ] ; then
    if [ -f  /var/lib/docker/image/aufs/layerdb/mounts/$CID/mount-id ] ; then
        F1=$(cat /var/lib/docker/image/aufs/layerdb/mounts/$CID/mount-id)
       d1=/var/lib/docker/aufs/mnt/$F1
    fi
    if [ ! -d "$d1" ] ; then
        d1=/var/lib/docker/aufs/diff/$CID
    fi
    echo $d1
fi

既存の回答のいずれも、終了した（そして再起動できない）コンテナのケースに対処していないか、シェルがインストールされていません（たとえば、ディストリビューションのないコンテナ）。これは、Dockerホストへのrootアクセス権があれば機能します。

実際の手動検査では、最初にレイヤーIDを調べます。

docker inspect my-container | jq '.[0].GraphDriver.Data'

出力では、次のようなものが表示されます

"MergedDir": "/var/lib/docker/overlay2/03e8df748fab9526594cfdd0b6cf9f4b5160197e98fe580df0d36f19830308d9/merged"

このフォルダーに（ルートとして）ナビゲートして、コンテナーファイルシステムの現在の表示状態を見つけます。

この答えは、コンテナーが実行されていない場合でも、Dockerボリュームファイルシステムを探索する（私のような）人々に役立ちます。

実行中のDockerコンテナを一覧表示します。

docker ps

=>コンテナID "4c721f1985bd"

ローカル物理マシン（https://docs.docker.com/engine/tutorials/dockervolumes/）のDockerボリュームマウントポイントを確認します。

docker inspect -f {{.Mounts}} 4c721f1985bd

=> [{/ tmp / container-garren / tmp true rprivate}]

これにより、ローカルの物理マシンディレクトリ/ tmp / container-garrenが/ tmp dockerボリュームの宛先にマップされていることがわかります。

ローカルの物理マシンディレクトリ（/ tmp / container-garren）を知っているということは、Dockerコンテナーが実行されているかどうかに関係なく、ファイルシステムを探索できることを意味します。これは、コンテナーが実行されていなくても保持されるべきではないいくつかの残余データがあったことを理解するために重要でした。

別のトリックは、アトミックツールを使用して次のようなことを行うことです。

mkdir -p /path/to/mnt && atomic mount IMAGE /path/to/mnt

Dockerイメージは、検査するために/ path / to / mntにマウントされます。

LINUXのみ

私が使用する最も簡単な方法は、Dockerコンテナーファイルを検査するためにコンテナーが実行されている必要があるproc dirを使用することでした。

1. コンテナーのプロセスID（PID）を見つけて、いくつかの変数に格納します

   PID = $（docker inspect -f '{{.State.Pid}}' your-container-name-here）

2. コンテナープロセスが実行されていることを確認し、変数名を使用してコンテナーフォルダーに移動します

   cd / proc / $ PID / root

この長いコマンドを使用するだけでPID番号を見つけることなくディレクトリを通過したい場合

cd /proc/$(docker inspect -f '{{.State.Pid}}' your-container-name-here)/root

チップ：

コンテナーの内部に入った後、サービスの停止やポート番号の変更など、コンテナーの実際のプロセスに影響を与えます。

それが役に立てば幸い

注意：

この方法は、コンテナーがまだ実行中の場合にのみ機能します。それ以外の場合、コンテナーが停止または削除されている場合、ディレクトリはもう存在しません。

コンテナ内で何が起こっているかを理解するための私の好ましい方法は次のとおりです。

1. -p 8000を公開

   docker run -it -p 8000:8000 image
   

2. 内部でサーバーを起動

   python -m SimpleHTTPServer
   

すでに実行中のコンテナの場合、次のことができます。

dockerId=$(docker inspect -f {{.Id}} [docker_id_or_name])

cd /var/lib/docker/btrfs/subvolumes/$dockerId

そのディレクトリにcdするには、rootになる必要があります。rootでない場合は、コマンドを実行する前に「sudo su」を試してください。

編集：v1.3に続いて、Jiriの回答を参照してください。

Docker v19.03を使用している場合は、次の手順に従います。

# find ID of your running container:

  docker ps

# create image (snapshot) from container filesystem

  docker commit 12345678904b5 mysnapshot

# explore this filesystem 

  docker run -t -i mysnapshot /bin/sh

AUFSストレージドライバーを使用している場合は、私のdocker-layerスクリプトを使用して、コンテナーのファイルシステムルート（mnt）とreadwriteレイヤーを見つけることができます。

# docker-layer musing_wiles
rw layer : /var/lib/docker/aufs/diff/c83338693ff190945b2374dea210974b7213bc0916163cc30e16f6ccf1e4b03f
mnt      : /var/lib/docker/aufs/mnt/c83338693ff190945b2374dea210974b7213bc0916163cc30e16f6ccf1e4b03f

2018-03-28を編集：docker
-layerはdocker -backupに置き換えられました

docker execコマンドが複数の場合に役立つことができます実行されているコンテナ内のコマンドを実行します。

使用法：docker exec [オプション] CONTAINER COMMAND [ARG ...]

実行中のコンテナでコマンドを実行する

オプション：
  -d、--detachデタッチモード：コマンドをバックグラウンドで実行
      --detach-keys文字列を切り離すためのキーシーケンスを上書きする
                             容器
  -e、--env list環境変数を設定します
  -i、--interactive接続されていなくてもSTDINを開いたままにします
      --privilegedコマンドに拡張特権を与える
  -t、-tty疑似TTYを割り当てる
  -u、--user stringユーザー名またはUID（形式：
                             [：]）
  -w、--workdir stringコンテナ内の作業ディレクトリ

例えば ​​：

1）実行中のコンテナファイルシステムにbashでアクセスする：

docker exec -it containerId bash 

2）必要な権限を持つことができるように、rootとして実行中のコンテナファイルシステムにbashでアクセスします。

docker exec -it -u root containerId bash  

これは、コンテナーでrootとしていくつかの処理を実行できるようにする場合に特に便利です。

3）特定の作業ディレクトリを使用して、実行中のコンテナファイルシステムにbashでアクセスします。

docker exec -it -w /var/lib containerId bash 

これでコンテナ内でbashを実行できます： $ docker run -it ubuntu /bin/bash