自己动手写Docker系列 -- 5.4实现进入容器的namespace,exec命令

最新推荐文章于 2025-09-21 10:54:42 发布
原创 最新推荐文章于 2025-09-21 10:54:42 发布 · 604 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker

本文介绍如何实现进入Docker容器的namespace,通过Cgo调用setns系统调用来实现在Go程序中执行exec命令。文章详细解释了Cgo代码的编写和exec命令的工作原理,包括如何借助/proc/self/exe来确保C代码在exec时运行,从而成功进入命名空间。

简介

在上篇中我们实现了将容器后台运行,本篇中我们将实现docker的ps命令,查看当前正在运行中的容器列表

源码说明

同时放到了Gitee和Github上,都可进行获取

本章节对应的版本标签是:5.4,防止后面代码过多,不好查看,可切换到标签版本进行查看

代码实现

这一部分实现起来就有点麻烦了,其中的一个nsenter始终不能运行正常,折腾了好一阵子发现,需要导出包才行,相关的会在代码中详细的说明

首先我们是需要使用setns去再次进入到我们容器的namespace中:

setns是一个系统调用,可以根据提供的PID再次进入到指定的Namespace 中。它需要先打开/proc/[pid]/ns/文件夹下对应的文件,然后使当前进程进入到指定的Namespace 中

但是一个具有多线程的进程是无法使用setns调用进入到对应的命名空间的,而Go启动一个程序就会进入多线程状态,所以无法简单使用命令调用去实现这个功能,需要借助C来实现

Cgo是一个很炫酷的功能,允许Go程序去调用C的函数与标准库。你只需要以一种特殊的方式在Go的源代码里写出需要调用的C的代码,Cgo就可以把你的C源码文件和Go文件整合成一个包

Cgo代码实现

新建一个文件夹 nsenter,新建文件:nsenter.go

编写Cgo的进入命名空间的代码,如下:

package nsenter

/*
#define _GNU_SOURCE
#include <unistd.h>
#include <errno.h>
#include <sched.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>

// 构造函数:这里作用是在被引用的时候,这段代码就会执行
__attribute__((constructor)) static void enter_namespace(void) {
	char *mydocker_pid;
    // 从环境变量中获取需要进入的PID
    // 如果没有PID,直接退出,不执行后面的处理逻辑
	mydocker_pid = getenv("mydocker_pid");
	if (mydocker_pid) {
		fprintf(stdout, "got mydocker_pid=%s\n", mydocker_pid);
	} else {
		fprintf(stdout, "missing mydocker_pid env skip nsenter");
		return;
	}
	char *mydocker_cmd;
    // 从环境变量中获取需要执行的命令,没有命令,直接退出
	mydocker_cmd = getenv("mydocker_cmd");
	if (mydocker_cmd) {
		fprintf(stdout, "got mydocker_cmd=%s\n", mydocker_cmd);
	} else {
		fprintf(stdout, "missing mydocker_cmd env skip nsenter");
		return;
	}
	int i;
	char nspath[1024];
	char *namespaces[] = { "ipc", "uts", "net", "pid", "mnt" };

	for (i=0; i<5; i++) {
		sprintf(nspath, "/proc/%s/ns/%s", mydocker_pid, namespaces[i]);
		int fd = open(nspath, O_RDONLY);
        / 调用setns进入对应的namespace
		if (setns(fd, 0) == -1) {
			fprintf(stderr, "setns on %s namespace failed: %s\n", namespaces[i], strerror(errno));
		} else {
			fprintf(stdout, "setns on %s namespace succeeded\n", namespaces[i]);
		}
		close(fd);
	}
    // 进入后执行指定的命令
	int res = system(mydocker_cmd);
	exit(0);
	return;
}
*/
import "C"

如上所示,这样就把进入命名空间的Cgo文件写好了,具体使用在后面会详细说明

Exec命令实现

我们在main中增加exec命令:

func main() {
   
   
	......
	app.Commands = []cli.Command{
   
   
		command.InitCommand,
		command.RunCommand,
		command.CommitCommand,
		command.ListCommand,
		command.LogCommand,
		command.ExecCommand,
	}
    ......
}

在main_command.go文件,增加Exec指令解析

var ExecCommand = cli.Command{
   
   
	Name:  "exec",
	Usage: "exec a command into container",
	Action: func(context *cli.Context)
最低0.47元/天 解锁文章
《CKA/CKAD应试指南/从docker到kubernetes 完全攻略》学习笔记 第5章 pod (5.2-5.3-5.4-5.5
日拱一足
04-28 450
先把这些准备工作做完,再运行容器C1就可以把容器A和容器B配置成容器C1的初始化容器。kubectl cp pod:/path2/file2 /path1/file2 把容器里目录 /path2/里的东西拷贝到物理机的/path1里 注意:如果从容器里拷贝的是文件不是目录的话,则需要在物理机里指定文件名。在普通容器podx里,会把存储卷workdir挂载到本容器的/xx里,访问/xx的时候实际上访问的就是存储卷workdir,这样在普通容器podx里应该是能看到/xx里面有aa.txt的。
exec()在不同namespace执行结果的区别
cout<<"Hello World!";
05-24 1027
原因是exec(content)执行的时候import statement都直接修改了locals, 导致后面的code执行的时候在globals里找不到import的东西,但是如果给一个module的话相当于在一个独立的namespace里运行,就不会出现找不到的问题。记录一个很tricky的问题,下面这段code在执行'func1'时会出现NameError: name 'List' is not defined,但执行'func2'时一切正常。
namespace---用nsenter进入容器
weixin_30753873的博客
01-14 227
操作容器命令以“docker”开头,并在root用户下操作 docker ps :显示正在运行的容器,看有没有正在运行的容器 [root@localhost zh]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS ...
Docker基础教程(173)Docker Compose命令基础之进入服务的exec命令容器里的“任意门”:Docker Compose exec命令深度解剖与实战指南
最新发布
jxf_jxfcsdn的博客
09-21 349
Docker Compose的exec命令容器操作的“万能钥匙”,允许用户直接进入服务内部执行命令,仿佛开启一扇任意门。本文深度解析exec的核心参数、使用场景及常见陷阱,附完整示例从调试到运维全覆盖。掌握exec,轻松化身容器世界的“时空旅人”!
nsenter 进入容器命名空间
qq_32949893的博客
07-20 1138
然后,使用nsenter命令进入容器的网络命令空间。查看docker 容器的pid。
docker exec namespaceB ps
PatrickZheng的博客
09-27 476
转自:https://forums.manning.com/posts/list/43093.page 以下是原文的提问: Running the following code: docker run -d --name namespaceA \ busybox:latest /bin/sh -c "sleep 30000" docker run -d --name namespaceB ...
Docker使用命名空间docker学习笔记)
qq_25393099的博客
06-10 1774
文章目录 命名空间的:命名空间是Linux内核的一个强大特性。每个容器都有自己单独的命名空间,运行其中的应用都像在独立的操作系统中运行一样。命名空间保证了容器之间彼此互不影响。 linux内核实现NameSpace 的主要目的就是为了实现轻量级虚拟化(容器)服务,构建一个相对隔离的shell环境。在同一个NameSpace下的进程可以感知彼此的变化,而对外界的进程则一无所知,这样可让容器内的进程运行在一个独立的系统环境中,以此达到隔离的目的。 查看容器的进程Pid docker inspect --fo
自己动手 Docker 系列文章总览
github_35735591的博客
04-30 2221
本文章系列起源于:《自己动手 Docker》,编程实践方得真知,虽然大部分代码书中都有,但还是遇到了不少困难,下面是对于自己Docker Demo 的总览
自己动手Docker
fatfatearth的博客
11-17 2864
小编分享 《自己动手Docker》在详细分析Docker所依赖的技术栈的基础上,一步一步地通过代码实例,让读者可以自己循序渐进地用Go语言构建出一个容器的引擎。不同于其他Docker原理介绍或代码剖析的书籍,《自己动手Docker》旨在提供给读者一条动手路线,一步一步地实现Docker的隔离性,构建Docker的镜像、容器的生命周期及Docker的网络等。《自己动手Docker》涉及的代码都托管在GitHub上,读者可以对照书中的步骤从代码层面学习构建流程,从而精通整个容器技术栈。《自己动手D
Docker介绍、安装、namespace、cgroup、镜像-Dya 01
qq_42515722的博客
12-16 967
本章主要介绍了docker安装、基础优化、Namespace、Cgroup、镜像组成
如何进入容器和网络的netns命名空间
weixin_33953249的博客
07-23 1508
原文链接:http://dockone.io/article/5272docker使用namespace实现网络,计算等资源的隔离,当需要排查网络问题时,使用p netns命令却无法在主机上看到任何network namespace,这是因为默认docker把创建的网络命名空间链接文件隐藏起来了,导致ip netns命令无法读取,给分析网络原理和排查问题带来了麻烦。下面是...
docker背景知识1 命名空间Namespace(nsenter、lsns命令)
m0_45406092的博客
12-10 3368
如下操作都是在centos7上执行,通过cat /proc/version查看系统信息。 Linux namespace linux namespaces是Linux提供的一种内核级别环境隔离的方法,也是Container环境隔离的底层技术,Linux Namespaces共有如下种类 分类 系统调用参数 相关内核版本 ...
使用nsenter进入docker namespace
bob的博客
04-06 813
我们知道docker容器使用namespace实现资源隔离。 我们知道,有很多image内部是没有bash的,所以我们docker exec是无法进入容器的,此时如果还想看一下容器内的情况,其实只需要想办法加入到容器对应的namespace就可以了。 我们使用nsenter工具即可实现,该工具启动后会将自己加入到指定的namespace中,然后exec执行我们指定的程序(通常就是bash)。 找到容器的进程ID 首先确定你要进入哪个容器,找到它的容器ID。 然后docker inspect找到这个容器的1号
六、Docker命名空间
洛阳城下逢公子
09-17 581
一、准备工作 我需要先准备两台vagrant虚拟机,其vagrantFile如下: Vagrantfile # -*- mode: ruby -*- # vi: set ft=ruby : Vagrant.require_version ">= 1.6.0" boxes = [ { :name => "docker-node1", ...
namespace命名空间的使用
我的博客
08-01 1468
一、何为命名空间 PHP 命名空间(namespace)是在PHP 5.3中加入的。“什么是命名空间?从广义上来说,命名空间是一种封装事物的方法。在很多地方都可以见到这种抽象概念。例如,在操作系统中目录用来将相关文件分组,对于目录中的文件来说,它就扮演了命名空间的角色。具体举个例子,文件 foo.txt 可以同时在目录/home/greg 和 /home/other 中存在,但在同一个目录中不能...
linux namespace基本操作命令
sweetSunny123的博客
10-29 3536
1.创建两个namespace ip netns add 空间1 ip netns add 空间2 备注: 删除namespace命令为:ip netns delete 空间名称 查看所有namespace命令为:ip netns ls 2.为两个namespace创建双向通信管道pair ip link add type veth 备注:pair是成对出现的,一次创建会生成两个,默认是在名称后拼接数字来区分 3.查看系统中所有的通信管道pair ip link 备注:删除pair:ip link d
13.docker 网络 docker NameSpace (networkNamespace)
weixin_30338481的博客
08-06 264
. 案例 1.创建一个 container   docker run -d --name test1 busybox /bin/sh -c "while true; do sleep 3600; done" 2.进入到 container 内   docker exec -it test1 /bin/sh 3.查看 当前网络 ip a   可以看出 其使用的 ip 地址为...
k8s查看所有容器进入容器
qq_34631220的博客
11-25 2万+
kubectl get namespace//获得所有命名空间 kubectl get pod --all-namespaces -o wide//获得命名空间下的所有容器 通过kubectl get pods查询,然后通过下面命令进入 kubectl exec -it nas-all-0 /bin/bash //进入命名空间下的容器,application是命名空间,psqls-0是容器 kubectl exec -it -n application psqls-0 /bin/bash //拷贝内.
ip netns 常用的namespace命令
热门推荐
ztejiagn的专栏
07-03 3万+
netns是在linux中提供网络虚拟化的一个项目,使用netns网络空间虚拟化可以在本地虚拟化出多个网络环境,目前netns在lxc容器中被用来为容器提供网络。 使用netns创建的网络空间独立于当前系统的网络空间,其中的网络设备以及iptables规则等都是独立的,就好像进入了另外一个网络一样。 netns虚拟网络空间的网络通信依赖于物理接口,光讲听上去很虚,我们来操练点实际的看看: 1
docker exec -it进入容器
03-20
<think>好的,用户想要了解如何使用docker exec -it进入容器。首先,我需要回忆一下Docker的基本命令,特别是关于容器操作的。记得docker exec是用来在运行中的容器里执行命令的,而-it参数通常是结合使用的,用于交互式终端。 接下来,我得确认用户可能的需求层次。他们可能已经知道一些Docker基础,但具体到exec-it参数的使用可能不太清楚。需要解释清楚这两个参数的作用,以及为什么需要一起使用。比如,-i是保持STDIN打开,-t是分配伪终端,这样用户才能像在本地终端一样与容器交互。 然后,要举一些例子,这样用户更容易理解。比如进入一个运行中的Ubuntu容器,执行bash。这时候命令应该是docker exec -it container_name bash。但要注意,容器里必须有bash,否则可能需要用sh或者其他shell。 还要提醒用户常见的错误,比如容器没有在运行,这时候exec会失败。或者容器里没有所需的shell,导致无法进入。这时候可能需要先确认容器状态,或者安装相应的shell。 另外,用户可能会混淆docker attach和docker exec的区别,可能需要简单对比一下。attach是连接到正在运行的进程,而exec是在容器内启动新进程,这样退出时不会影响原来容器的运行。 最后,总结一下步骤,确保用户能按照步骤操作,同时避免常见错误。可能还需要提到如何查看容器名称或ID,使用docker ps命令来确认容器是否在运行。</think>Docker中`docker exec -it`进入容器的分步说明: 1. **基础命令结构** ```shell $$ docker exec -it <容器名称或ID> <命令> $$ ``` 示例:`docker exec -it my_nginx bash` 2. **参数解析** - `-i` (--interactive):保持标准输入流(STDIN)打开 - `-t` (--tty):分配伪终端(pseudo-TTY) - 组合使用`-it`可实现交互式终端操作 3. **典型使用场景** - 进入正在运行的容器执行命令 ```shell $ docker exec -it redis-server redis-cli $ ``` - 调试容器环境 ```shell $ docker exec -it web_app sh $ ``` 4. **常见问题处理** - **错误提示**:`Error response from daemon: Container is not running` - 解决方法:先用`docker start <容器名>`启动容器 - **无法找到shell**:`OCI runtime exec failed: exec failed:... no such file or directory` - 确认容器镜像是否包含`/bin/bash`或`/bin/sh` - 改用通用shell:`docker exec -it my_container sh` 5. **退出容器** - 输入`exit`或按`Ctrl+D`退出终端会话 - 注意:退出不会停止容器运行 6. **与`docker attach`的区别** - `exec`新建进程,`attach`连接主进程 - `exec`退出不会影响容器运行,`attach`退出可能导致容器停止 7. **实用技巧** - 查看运行中容器列表: ```shell $ docker ps $ ``` - 进入Windows容器: ```shell $ docker exec -it winserver cmd $ ``` 关键点:必须确保容器处于运行状态(`Up`状态),且目标命令容器内存在。对于Alpine等精简镜像,建议使用`sh`代替`bash`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值