自己动手写Docker系列 -- 5.4实现进入容器的namespace,exec命令

最新推荐文章于 2023-07-20 09:49:53 发布
最新推荐文章于 2023-07-20 09:49:53 发布
阅读量555 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Go Docker 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/github_35735591/article/details/124072001
本文介绍如何实现进入Docker容器的namespace,通过Cgo调用setns系统调用来实现在Go程序中执行exec命令。文章详细解释了Cgo代码的编写和exec命令的工作原理,包括如何借助/proc/self/exe来确保C代码在exec时运行,从而成功进入命名空间。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

在上篇中我们实现了将容器后台运行,本篇中我们将实现docker的ps命令,查看当前正在运行中的容器列表

源码说明

同时放到了Gitee和Github上,都可进行获取

本章节对应的版本标签是:5.4,防止后面代码过多,不好查看,可切换到标签版本进行查看

代码实现

这一部分实现起来就有点麻烦了,其中的一个nsenter始终不能运行正常,折腾了好一阵子发现,需要导出包才行,相关的会在代码中详细的说明

首先我们是需要使用setns去再次进入到我们容器的namespace中:

setns是一个系统调用,可以根据提供的PID再次进入到指定的Namespace 中。它需要先打开/proc/[pid]/ns/文件夹下对应的文件,然后使当前进程进入到指定的Namespace 中

但是一个具有多线程的进程是无法使用setns调用进入到对应的命名空间的,而Go启动一个程序就会进入多线程状态,所以无法简单使用命令调用去实现这个功能,需要借助C来实现

Cgo是一个很炫酷的功能,允许Go程序去调用C的函数与标准库。你只需要以一种特殊的方式在Go的源代码里写出需要调用的C的代码,Cgo就可以把你的C源码文件和Go文件整合成一个包

Cgo代码实现

新建一个文件夹 nsenter,新建文件:nsenter.go

编写Cgo的进入命名空间的代码,如下:

package nsenter

/*
#define _GNU_SOURCE
#include <unistd.h>
#include <errno.h>
#include <sched.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>

// 构造函数:这里作用是在被引用的时候,这段代码就会执行
__attribute__((constructor)) static void enter_namespace(void) {
	char *mydocker_pid;
    // 从环境变量中获取需要进入的PID
    // 如果没有PID,直接退出,不执行后面的处理逻辑
	mydocker_pid = getenv("mydocker_pid");
	if (mydocker_pid) {
		fprintf(stdout, "got mydocker_pid=%s\n", mydocker_pid);
	} else {
		fprintf(stdout, "missing mydocker_pid env skip nsenter");
		return;
	}
	char *mydocker_cmd;
    // 从环境变量中获取需要执行的命令,没有命令,直接退出
	mydocker_cmd = getenv("mydocker_cmd");
	if (mydocker_cmd) {
		fprintf(stdout, "got mydocker_cmd=%s\n", mydocker_cmd);
	} else {
		fprintf(stdout, "missing mydocker_cmd env skip nsenter");
		return;
	}
	int i;
	char nspath[1024];
	char *namespaces[] = { "ipc", "uts", "net", "pid", "mnt" };

	for (i=0; i<5; i++) {
		sprintf(nspath, "/proc/%s/ns/%s", mydocker_pid, namespaces[i]);
		int fd = open(nspath, O_RDONLY);
        / 调用setns进入对应的namespace
		if (setns(fd, 0) == -1) {
			fprintf(stderr, "setns on %s namespace failed: %s\n", namespaces[i], strerror(errno));
		} else {
			fprintf(stdout, "setns on %s namespace succeeded\n", namespaces[i]);
		}
		close(fd);
	}
    // 进入后执行指定的命令
	int res = system(mydocker_cmd);
	exit(0);
	return;
}
*/
import "C"

如上所示,这样就把进入命名空间的Cgo文件写好了,具体使用在后面会详细说明

Exec命令实现

我们在main中增加exec命令:

func main() {
   
   
	......
	app.Commands = []cli.Command{
   
   
		command.InitCommand,
		command.RunCommand,
		command.CommitCommand,
		command.ListCommand,
		command.LogCommand,
		command.ExecCommand,
	}
    ......
}

在main_command.go文件,增加Exec指令解析

var ExecCommand = cli.Command{
   
   
	Name:  "exec",
	Usage: "exec a command into container",
	Action: func(context *cli.Context)
最低0.47元/天 解锁文章

200万优质内容无限畅学
《CKA/CKAD应试指南/从docker到kubernetes 完全攻略》学习笔记 第5章 pod (5.2-5.3-5.4-5.5
日拱一足
04-28 422
先把这些准备工作做完,再运行容器C1就可以把容器A和容器B配置成容器C1的初始化容器。kubectl cp pod:/path2/file2 /path1/file2 把容器里目录 /path2/里的东西拷贝到物理机的/path1里 注意:如果从容器里拷贝的是文件不是目录的话,则需要在物理机里指定文件名。在普通容器podx里,会把存储卷workdir挂载到本容器的/xx里,访问/xx的时候实际上访问的就是存储卷workdir,这样在普通容器podx里应该是能看到/xx里面有aa.txt的。
云原生系列 - Docker(高级篇)
知行
07-30 786
Dockerfile是用来构建Docker镜像的文本文件,是由一条条构建镜像所需的指令和参数构成的脚本。编Dockerfile文件docker build命令构建镜像docker run依镜像运行容器实例从应用软件的角度来看,Dockerfile、Docker镜像与Docker容器分别代表软件的三个不同阶段,Dockerfile是软件的原材料Docker镜像是软件的交付品Docker容器则可以认为是软件镜像的运行态,也即依照镜像运行的容器实例。
exec()在不同namespace执行结果的区别
cout<<"Hello World!";
05-24 995
原因是exec(content)执行的时候import statement都直接修改了locals, 导致后面的code执行的时候在globals里找不到import的东西,但是如果给一个module的话相当于在一个独立的namespace里运行,就不会出现找不到的问题。记录一个很tricky的问题,下面这段code在执行'func1'时会出现NameError: name 'List' is not defined,但执行'func2'时一切正常。
namespace---用nsenter进入容器
weixin_30753873的博客
01-14 210
操作容器命令以“docker”开头,并在root用户下操作 docker ps :显示正在运行的容器,看有没有正在运行的容器 [root@localhost zh]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS ...
nsenter 进入容器命名空间
qq_32949893的博客
07-20 985
然后,使用nsenter命令进入容器的网络命令空间。查看docker 容器的pid。
docker exec namespaceB ps
PatrickZheng的博客
09-27 448
转自:https://forums.manning.com/posts/list/43093.page 以下是原文的提问: Running the following code: docker run -d --name namespaceA \ busybox:latest /bin/sh -c "sleep 30000" docker run -d --name namespaceB ...
Docker使用命名空间docker学习笔记)
qq_25393099的博客
06-10 1753
文章目录 命名空间的:命名空间是Linux内核的一个强大特性。每个容器都有自己单独的命名空间,运行其中的应用都像在独立的操作系统中运行一样。命名空间保证了容器之间彼此互不影响。 linux内核实现NameSpace 的主要目的就是为了实现轻量级虚拟化(容器)服务,构建一个相对隔离的shell环境。在同一个NameSpace下的进程可以感知彼此的变化,而对外界的进程则一无所知,这样可让容器内的进程运行在一个独立的系统环境中,以此达到隔离的目的。 查看容器的进程Pid docker inspect --fo
自己动手 Docker 系列文章总览
github_35735591的博客
04-30 2180
本文章系列起源于:《自己动手 Docker》,编程实践方得真知,虽然大部分代码书中都有,但还是遇到了不少困难,下面是对于自己Docker Demo 的总览
自己动手Docker
fatfatearth的博客
11-17 2844
小编分享 《自己动手Docker》在详细分析Docker所依赖的技术栈的基础上,一步一步地通过代码实例,让读者可以自己循序渐进地用Go语言构建出一个容器的引擎。不同于其他Docker原理介绍或代码剖析的书籍,《自己动手Docker》旨在提供给读者一条动手路线,一步一步地实现Docker的隔离性,构建Docker的镜像、容器的生命周期及Docker的网络等。《自己动手Docker》涉及的代码都托管在GitHub上,读者可以对照书中的步骤从代码层面学习构建流程,从而精通整个容器技术栈。《自己动手D
如何进入容器和网络的netns命名空间
weixin_33953249的博客
07-23 1481
原文链接:http://dockone.io/article/5272docker使用namespace实现网络,计算等资源的隔离,当需要排查网络问题时,使用p netns命令却无法在主机上看到任何network namespace,这是因为默认docker把创建的网络命名空间链接文件隐藏起来了,导致ip netns命令无法读取,给分析网络原理和排查问题带来了麻烦。下面是...
docker背景知识1 命名空间Namespace(nsenter、lsns命令)
m0_45406092的博客
12-10 3268
如下操作都是在centos7上执行,通过cat /proc/version查看系统信息。 Linux namespace linux namespaces是Linux提供的一种内核级别环境隔离的方法,也是Container环境隔离的底层技术,Linux Namespaces共有如下种类 分类 系统调用参数 相关内核版本 ...
使用nsenter进入docker namespace
bob的博客
04-06 772
我们知道docker容器使用namespace实现资源隔离。 我们知道,有很多image内部是没有bash的,所以我们docker exec是无法进入容器的,此时如果还想看一下容器内的情况,其实只需要想办法加入到容器对应的namespace就可以了。 我们使用nsenter工具即可实现,该工具启动后会将自己加入到指定的namespace中,然后exec执行我们指定的程序(通常就是bash)。 找到容器的进程ID 首先确定你要进入哪个容器,找到它的容器ID。 然后docker inspect找到这个容器的1号
六、Docker命名空间
洛阳城下逢公子
09-17 564
一、准备工作 我需要先准备两台vagrant虚拟机,其vagrantFile如下: Vagrantfile # -*- mode: ruby -*- # vi: set ft=ruby : Vagrant.require_version ">= 1.6.0" boxes = [ { :name => "docker-node1", ...
namespace命名空间的使用
我的博客
08-01 1445
一、何为命名空间 PHP 命名空间(namespace)是在PHP 5.3中加入的。“什么是命名空间?从广义上来说,命名空间是一种封装事物的方法。在很多地方都可以见到这种抽象概念。例如,在操作系统中目录用来将相关文件分组,对于目录中的文件来说,它就扮演了命名空间的角色。具体举个例子,文件 foo.txt 可以同时在目录/home/greg 和 /home/other 中存在,但在同一个目录中不能...
linux namespace基本操作命令
sweetSunny123的博客
10-29 3423
1.创建两个namespace ip netns add 空间1 ip netns add 空间2 备注: 删除namespace命令为:ip netns delete 空间名称 查看所有namespace命令为:ip netns ls 2.为两个namespace创建双向通信管道pair ip link add type veth 备注:pair是成对出现的,一次创建会生成两个,默认是在名称后拼接数字来区分 3.查看系统中所有的通信管道pair ip link 备注:删除pair:ip link d
13.docker 网络 docker NameSpace (networkNamespace)
weixin_30338481的博客
08-06 248
. 案例 1.创建一个 container   docker run -d --name test1 busybox /bin/sh -c "while true; do sleep 3600; done" 2.进入到 container 内   docker exec -it test1 /bin/sh 3.查看 当前网络 ip a   可以看出 其使用的 ip 地址为...
k8s查看所有容器进入容器
qq_34631220的博客
11-25 2万+
kubectl get namespace//获得所有命名空间 kubectl get pod --all-namespaces -o wide//获得命名空间下的所有容器 通过kubectl get pods查询,然后通过下面命令进入 kubectl exec -it nas-all-0 /bin/bash //进入命名空间下的容器,application是命名空间,psqls-0是容器 kubectl exec -it -n application psqls-0 /bin/bash //拷贝内.
ip netns 常用的namespace命令
热门推荐
ztejiagn的专栏
07-03 3万+
netns是在linux中提供网络虚拟化的一个项目,使用netns网络空间虚拟化可以在本地虚拟化出多个网络环境,目前netns在lxc容器中被用来为容器提供网络。 使用netns创建的网络空间独立于当前系统的网络空间,其中的网络设备以及iptables规则等都是独立的,就好像进入了另外一个网络一样。 netns虚拟网络空间的网络通信依赖于物理接口,光讲听上去很虚,我们来操练点实际的看看: 1
容器运行时runc内部实现深入解读
y_chen_007的博客
05-11 1998
runc 内部实现深入解读 最近把runc的实现代码仔细的看了一遍,有点复杂,特别是nsenter那块反反复复看了不下三遍才搞懂是个什么机制,不过确实得不错,防止日后遗忘,另外也给其他朋友一点参考(网上有一些关于runc的介绍文章,但是没有nsenter这块的介绍) 概要设计 runc的实现分为两个大阶段: 第一个阶段叫bootstrap, 设置一些环境以及配置信息, 创建匿名管道, 把容器...
使用docker exec -it <ID> 命令进入容器A
最新发布
03-17
### 如何正确使用 `docker exec -it` 命令进入 Docker 容器 A 并启动交互式终端 要通过命令进入指定的 Docker 容器 A 并启动交互式终端,可以按照以下方式操作: #### 获取目标容器 ID 或名称 首先需要获取目标容器 A 的容器 ID (`containerId`) 或者容器名称 (`containerName`)。可以通过以下命令列出当前所有的容器及其状态: ```bash docker ps -a ``` 上述命令会显示所有已创建的容器列表,包括其 ID、名称以及其他相关信息[^4]。 #### 使用 `docker exec -it` 启动交互式终端 一旦获得了目标容器 A 的 ID 或名称,就可以使用以下命令来启动交互式的 Bash 终端: ```bash docker exec -it <container_id_or_name> /bin/bash ``` - `-i`: 表示保持标准输入流打开,允许用户与容器内的进程进行交互。 - `-t`: 分配一个伪终端 (pseudo-TTY),从而支持更丰富的终端体验,比如颜色高亮等。 - `<container_id_or_name>`: 替换为目标容器的实际 ID 或名称。 - `/bin/bash`: 是要在容器内部运行的具体命令,在这里我们希望启动的是一个交互式的 Bash Shell[^3]。 注意:如果该容器未配置 bash,则可能需要改用其他可用 shell,例如 sh。 当成功执行以上命令后,你应该能够看到进入了对应容器环境下的提示符,此时即可在此环境下自由操作文件系统或是调试应用等问题了。 另外需要注意的一点是,只有当目标容器处于运行状态时才能正常执行此类指令;对于停止状态下的容器则需先将其重新启动再尝试访问[^1]。 最后提醒一点,离开这个新开启的 session 而不终止整个容器的方法很简单,只需键入 `exit` 即可安全退出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值