Docker容器内执行宿主机指令

一 背景

        最近项目有个需求,需要程序配置服务器IP并且可以重启服务器。如果程序直接部署在服务器,相信大家都会操作。但是程序是用docker运行的,在docker中执行指令就很麻烦了。这时候需要添加容器一些特殊的权限和执行一些特殊的命令就可以执行宿主机上面的指令了。

二 解决办法

docker运行时添加参数 --pid=host --privileged=true

如下实例:

docker run -itd --pid=host --privileged=true -p 9683:9683 hss-server

同理,使用docker-compose部署时也添加

privileged: true
pid: host

如下图所示 

说明:

  • pid=host :

使用宿主机命名空间,方便容器获取到宿主机所有进程信息。将宿主机的/proc文件夹挂载进入容器的/proc路径 , 其中/proc/1作为nsenter的目标;

  • nsenter:

nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令,位于util-linux包中 。该命令作为容器向宿主机发送命令的关键部分 。

使用格式

nsenter -a -t <pid> <command> 或者nsenter -m -u -i -n -p -t <pid> <command> ;

-a表示进入宿主机的所有命名空间 , -t 表示获取/proc/{pid}进程 ,liniux旧版本可能不支持。需要使用 -m -u -i -n -p 。 -m -u -i -n -p,表示进入mount, UTS,System V IPC,网络,pid命名空间, 这几个命名空间包含了绝大多数的空间环境。

  • privileged=true

使得docker容器有root权限执行宿主机命令,确保从容器执行命令时不会报权限不足提示;

三 实战

1. 容器中直接操作

以重启服务器举例:

启动容器

在容器中执行

nsenter -m -u -i -n -p -t 1 sh -c "reboot"

可以看到服务器已重启,说明在容器中已可以执行宿主机的命令

2. 这里以golang项目代码举例

定义一个docker内执行指令的公共函数

func DockerRunCommand(command string) (err error) {

/*

nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令,位于util-linux包中 。该命令作为容器向宿主机发送命令的关键部分 。

使用格式:nsenter -a -t <pid> <command> 或者nsenter -m -u -i -n -p -t <pid> <command> ;

-a表示进入宿主机的所有命名空间 , -t 表示获取/proc/{pid}进程 ,liniux旧版本可能不支持。

需要使用 -m -u -i -n -p 。 -m -u -i -n -p,表示进入mount, UTS,System V IPC,网络,pid命名空间,

这几个命名空间包含了绝大多数的空间环境。

*/

cmd := exec.Command("nsenter", "-m", "-u", "-i", "-n", "-p", "-t", "1", "sh", "-c", command)

log.Debug("DockerRunCommand==", cmd.String())

var stderr bytes.Buffer

cmd.Stderr = &stderr

err = cmd.Run()

if err != nil {

log.Println("运行系统命令错误", err, ":", stderr.String())

return

}

return

}

调用该函数

  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值