Dockerコンテナ内でプロセスが実行されているかどうかを確認する方法

Question 1

[Updated1]一部の関数でTCPカーネルパラメーターを変更するシェルがありますが、このシェルをDockerコンテナーで実行する必要があります。つまり、シェルはコンテナー内で実行されていることを認識し、カーネルの構成を停止する必要があります。

これを実現する方法がわかりません。/proc/self/cgroupコンテナ内の内容は次のとおりです。

9:hugetlb:/
8:perf_event:/
7:blkio:/
6:freezer:/
5:devices:/
4:memory:/
3:cpuacct:/
2:cpu:/docker/25ef774c390558ad8c4e9a8590b6a1956231aae404d6a7aba4dde320ff569b8b
1:cpuset:/

上記のフラグを使用して、このプロセスがコンテナー内で実行されているかどうかを確認できますか？

[Updated2]：プロセスがlxc / Docker内で実行されているかどうかの判断にも気づきましたが、この場合は機能していないよう/proc/1/cgroupです。コンテナーのコンテンツは次のとおりです。

8:perf_event:/
7:blkio:/
6:freezer:/
5:devices:/
4:memory:/
3:cpuacct:/
2:cpu:/docker/25ef774c390558ad8c4e9a8590b6a1956231aae404d6a7aba4dde320ff569b8b
1:cpuset:/

/ lxc / containeridはありません

Question 2

Dockerコンテナー内にいるかどうかを確認するには、を介して実行できます/proc/1/cgroup。このポストは示唆して次のことをするためにすることができます：

Dockerコンテナの外では、 /proc/1/cgroup/ここに表示されているように終了します。

vagrant@ubuntu-13:~$ cat /proc/1/cgroup
11:name=systemd:/
10:hugetlb:/
9:perf_event:/
8:blkio:/
7:freezer:/
6:devices:/
5:memory:/
4:cpuacct:/
3:cpu:/
2:cpuset:/

Dockerコンテナー内では、いくつかのコントロールグループがDocker（またはLXC）に属します。

vagrant@ubuntu-13:~$ docker run busybox cat /proc/1/cgroup
11:name=systemd:/
10:hugetlb:/
9:perf_event:/
8:blkio:/
7:freezer:/
6:devices:/docker/3601745b3bd54d9780436faa5f0e4f72bb46231663bb99a6bb892764917832c2
5:memory:/
4:cpuacct:/
3:cpu:/docker/3601745b3bd54d9780436faa5f0e4f72bb46231663bb99a6bb892764917832c2
2:cpuset:/

Question 3

Dockerが作成し.dockerenv、~~.dockerinit~~（v1.11で削除）、コンテナーのディレクトリー・ツリーの最上位にファイルを）、それらが存在するかどうかを確認することをお勧めします。

このようなものが機能するはずです。

#!/bin/bash
if [ -f /.dockerenv ]; then
    echo "I'm inside matrix ;(";
else
    echo "I'm living in real world!";
fi

Question 4

procのsched（/ proc / $ PID / sched）を使用して、プロセスのPIDを抽出します。コンテナ内のプロセスのPIDは、ホスト（コンテナ以外のシステム）のPIDとは異なります。

たとえば、コンテナでの/ proc / 1 / schedの出力は次のようになります。

root@33044d65037c:~# cat /proc/1/sched | head -n 1
bash (5276, #threads: 1)

コンテナ以外のホスト上にある場合：

$ cat /proc/1/sched  | head -n 1
init (1, #threads: 1)

これは、コンテナ内にいるかどうかを区別するのに役立ちます。たとえば、次のことができます。

if [[ ! $(cat /proc/1/sched | head -n 1 | grep init) ]]; then {
    echo in docker
} else {
    echo not in docker
} fi

Question 5

コードとしてのThomasのソリューション：

running_in_docker() {
  (awk -F/ '$2 == "docker"' /proc/self/cgroup | read non_empty_input)
}

注意

readダミー変数とするための単純なイディオムである任意の出力このプロデュースしていますか？。これは、おそらく冗長grepまたはパターンのテストにawk変換するためのコンパクトな方法です。

読むことに関する追加の注記

Question 6

私にとってうまくいくのは、「/」のiノード番号を確認することです。Dockerの内部では、非常に多くなっています。Dockerの外では、「2」のような非常に少ない数です。このアプローチは、使用されているファイルシステムにも依存すると思います。

例

Dockerの内部：

# ls -ali / | sed '2!d' |awk {'print $1'}
1565265

Dockerの外

$ ls -ali / | sed '2!d' |awk {'print $1'}
2

スクリプト内：

#!/bin/bash
INODE_NUM=`ls -ali / | sed '2!d' |awk {'print $1'}`
if [ $INODE_NUM == '2' ];
then
        echo "Outside the docker"
else
        echo "Inside the docker"
fi

Question 7

コンテナで実行されているプロセスを除外する必要がありましたが、docker cgroupだけをチェックする代わり/proc/<pid>/ns/pidに、のinitシステムと比較することにしました/proc/1/ns/pid。例：

pid=$(ps ax | grep "[r]edis-server \*:6379" | awk '{print $1}')
if [ $(readlink "/proc/$pid/ns/pid") == $(readlink /proc/1/ns/pid) ]; then
   echo "pid $pid is the same namespace as init system"
else
   echo "pid $pid is in a different namespace as init system"
fi

または、私たちの場合、プロセスがコンテナ内にない場合にエラーを生成する1つのライナーが必要でした

bash -c "test -h /proc/4129/ns/pid && test $(readlink /proc/4129/ns/pid) != $(readlink /proc/1/ns/pid)"

これは別のプロセスから実行でき、終了コードがゼロの場合、指定されたPIDは別の名前空間で実行されています。

Question 8

SELinuxの使用に関するDanWalshのコメントに基づいていますが、インストールps -eZ | grep container_tする必要psはありません。

$ podman run --rm fedora:31 cat /proc/1/attr/current
system_u:system_r:container_t:s0:c56,c299
$ podman run --rm alpine cat /proc/1/attr/current
system_u:system_r:container_t:s0:c558,c813
$ docker run --rm fedora:31 cat /proc/1/attr/current
system_u:system_r:container_t:s0:c8,c583
$ cat /proc/1/attr/current
system_u:system_r:init_t:s0

これはちょうどあなたが実行しているかを示しますAコンテナでどのランタイムを実行しているのかはわかりません。

他のコンテナランタイムをチェックしませんでしたが、https： //opensource.com/article/18/2/understanding-selinux-labels-container-runtimesはより多くの情報を提供し、これが広く使用されていることを示唆しています。rktとlxcでも機能する可能性がありますか？

Question 9

golangコード

func GetContainerID(pid int32) string {
    cgroupPath := fmt.Sprintf("/proc/%s/cgroup", strconv.Itoa(int(pid)))
    return getContainerID(cgroupPath)
}

func GetImage(containerId string) string {
    if containerId == "" {
        return ""
    }
    image, ok := containerImage[containerId]
    if ok {
        return image
    } else {
        return ""
    }
}
func getContainerID(cgroupPath string) string {
    containerID := ""
    content, err := ioutil.ReadFile(cgroupPath)
    if err != nil {
        return containerID
    }
    lines := strings.Split(string(content), "\n")
    for _, line := range lines {
        field := strings.Split(line, ":")
        if len(field) < 3 {
            continue
        }
        cgroup_path := field[2]
        if len(cgroup_path) < 64 {
            continue
        }
        // Non-systemd Docker
        //5:net_prio,net_cls:/docker/de630f22746b9c06c412858f26ca286c6cdfed086d3b302998aa403d9dcedc42
        //3:net_cls:/kubepods/burstable/pod5f399c1a-f9fc-11e8-bf65-246e9659ebfc/9170559b8aadd07d99978d9460cf8d1c71552f3c64fefc7e9906ab3fb7e18f69
        pos := strings.LastIndex(cgroup_path, "/")
        if pos > 0 {
            id_len := len(cgroup_path) - pos - 1
            if id_len == 64 {
                //p.InDocker = true
                // docker id
                containerID = cgroup_path[pos+1 : pos+1+64]
                // logs.Debug("pid:%v in docker id:%v", pid, id)
                return containerID
            }
        }
        // systemd Docker
        //5:net_cls:/system.slice/docker-afd862d2ed48ef5dc0ce8f1863e4475894e331098c9a512789233ca9ca06fc62.scope
        docker_str := "docker-"
        pos = strings.Index(cgroup_path, docker_str)
        if pos > 0 {
            pos_scope := strings.Index(cgroup_path, ".scope")
            id_len := pos_scope - pos - len(docker_str)
            if pos_scope > 0 && id_len == 64 {
                containerID = cgroup_path[pos+len(docker_str) : pos+len(docker_str)+64]
                return containerID
            }
        }
    }
    return containerID
}

Question 10

小さなPythonスクリプトを作成しました。誰かがそれが役に立つと思うことを願っています。:-)

#!/usr/bin/env python3
#@author Jorge III Altamirano Astorga 2018
import re
import math

total = None
meminfo = open('/proc/meminfo', 'r')
for line in meminfo:
    line = line.strip()
    if "MemTotal:" in line:
        line = re.sub("[^0-9]*", "", line)
        total = int(line)
meminfo.close()
print("Total memory: %d kB"%total)

procinfo = open('/proc/self/cgroup', 'r')
for line in procinfo: 
    line = line.strip()
    if re.match('.{1,5}:name=systemd:', line):
        dockerd = "/sys/fs/cgroup/memory" + \
            re.sub("^.{1,5}:name=systemd:", "", line) + \
            "/memory.stat"
        #print(dockerd)
        memstat = open(dockerd, 'r')
        for memline in memstat:
            memline = memline.strip()
            if re.match("hierarchical_memory_limit", memline):
                memline = re.sub("[^0-9]*", \
                    "", memline)  
                total = math.floor(int(memline) / 2**10)
        memstat.close()
procinfo.close()
print("Total available memory to the container: %d kB"%total)