容器外观察容器内的进程

最新推荐文章于 2023-05-17 16:54:28 发布
最新推荐文章于 2023-05-17 16:54:28 发布
阅读量596 收藏
点赞数
分类专栏: 运维 文章标签: 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhzsdiligence/article/details/121154924
版权

可以通过用户名观察

容器内运行程序的用户的UID, 会与容器外主机UID的用户对应,在主机top查看进程时,就可以看到容器内现在都有谁在运行程序。

问题:如果主机/etc/passwd中,没有对应的UID用户会怎么显示? 经过实验后,top命令会显示容器内用户的ID.

一开始,产生了极其错误的想法:先在主机上创建一个使用容器的普通用户,假设为zhangsan. UID为1000。 由于登录容器的用户是root, 把容器内/etc/passwd中的root的UID修改为1000.

这样当容器内运行程序时,主机的top会显示User为张三。

但是修改了root的UID,root就变成了普通用户,因为当UID=0时,用户是超级用户。

这样容器内就只有普通用户,没有了超级用户,之前用root创建的文件都不能访问。

由于没有了超级用户,/etc/passwd也无法会修改了。

解决:

关闭容器;开启容器;在连接容器。在连接容器时,运行相应命令,在重新创建一个超级用户。

docker exec -it 87b877346f41 /bin/bash -c 'useradd -u 0   -o  -g root  -G root -d /yuri yuri'

命令解析:

-u 0:指将uid指定为0(零)与root相同,登录后的提示符为#而非$。
-o:指因为重复了uid(与root帐号的uid重复)必须指定这个参数。
-g root:初始化组的组名,当用户属于多个组时,(在-G参数中指定),登录时所在组。缺省该项时,系统新建一个与用户名同名的组,并且初始化时设为该组名。而不论-G指定为哪些组。
-G root:指定用户名所属的组列表,一个用户可以属于多个组,组名间用逗号分隔,组名必须已经存在。
-d /yuri:指定用户的属主目录
yuri 新建的用户名为yuri

这样yuri就变成了超级用户。用yuri把/etc/passwd修改root成超级用户。

问题解决后,改变思想:在容器内重新一个普通用户,其UID与主机对应用户UID相同。在赋予普通用户root权限。这样用普通用户的身份去登录容器。

进程PID有没有关联?

zhzsdiligence
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker容器从入门到痴迷(推荐)
01-20
1. docker 是什么 大家都知道虚拟机吧,windows 上装个 linux 虚拟机是大部分程序员的常用方案。公司生产环境大多也是虚拟机,虚拟机将物理硬件资源虚拟化,按需分配和使用,虚拟机使用起来和真实操作系统一模一样,当废弃不用时直接删除虚拟机文件即可回收资源,很方便集中管理。 由于虚拟机非常庞大,同时对硬件资源的消耗也大,linux 发展出了另一种虚拟化技术,即 linux 容器(Linux Containers,缩写为 LXC),它并不像虚拟机那样模拟一个完整的操作系统,却提供虚拟机一样的效果。如果说虚拟机是操作系统级别的隔离,那么容器就是进程级别的隔离,可以想象这种级别隔离的
docker之容器管理
01-20
文章目录创建容器查看容器运行容器停止容器暂停/唤醒容器进入容器删除容器容器状态机 创建容器 语法 docker run [OPTIONS] IMAGE [COMMAND] [ARG...] 常用选项: --name string : 给启动的容器 起一个名字,如果不使用 –name 。docker的守护进程会自动给容器命名 -d, --detach :让容器在后台运行,用于运行服务 -i, --interactive :交互式 -t, --tty :分配一个伪终端 --rm :容器运行介绍后自动删除 -e, --env :设置环境变量 -p, --publish list :发布容器端口到主机
Docker如何限制容器可用的内存
01-10
默认情况下容器使用的资源是不受限制的。也就是可以使用主机内核调度器所允许的最大资源。但是在容器的使用过程中,经常需要对容器可以使用的主机资源进行限制,本文介绍如何限制容器可以使用的主机内存。 为什么要限制容器对内存的使用? 限制容器不能过多的使用主机的内存是非常重要的。对于 linux 主机来说,一旦内核检测到没有足够的内存可以分配,就会扔出 OOME(Out Of Memmory Exception),并开始杀死一些进程用于释放内存空间。糟糕的是任何进程都可能成为内核猎杀的对象,包括 docker daemon 和其它一些重要的程序。更危险的是如果某个支持系统运行的重要进程被干掉了,整个系
Docker实战——项目容器化改造实战
02-24
容器是一种轻量级、可移植、自包含的软件打包技术,使应用程序可以在几乎任何地方以相同的方式运行。开发人员在自己笔记本上创建并测试好的容器,无需任何修改就能够在生产系统的虚拟机、物理服务器或公有云主机上运行。谈到容器,就不得不将它与虚拟机进行对比,因为两者都是为应用提供封装和隔离。容器由两部分组成:应用程序本身依赖:比如应用程序需要的库或其他软件容器在Host操作系统的用户空间中运行,与操作系统的其他进程隔离。这一点显著区别于的虚拟机。传统的虚拟化技术,比如VMWare,KVM,Xen,目标是创建完整的虚拟机。为了运行应用,除了部署应用本身及其依赖(通常几十MB),还得安装整个操作系统(几十GB)
在Docker容器中不需要运行sshd的原因浅析
01-10
当开始使用Docker时,人们经常问:“我该如何进入容器?”,其他人会说“在你的容器里运行一个SSH服务器”。但是,从这篇博文中你将会了解到你根本不需要运行SSHd守护进程来进入你的容器。当然,除非你的容器就是一个SSH服务器。 运行SSH服务器是很想当然的,因为它提供了进入容器的简便方式。在我们公司基本上每个人都最少使用过一次SSH。我们中有很大一部分人每天都会使用它,并且他们很熟悉公钥与私钥,无密码登录,密钥代理,甚至有时会使用端口转发和其他不常用的功能。正因如此,人们建议你在容器中运行SSH并不奇怪。但你应该仔细考虑下。 假设你正在假设一个Redis Server或Java Webser
容器内的进程能否在容器查看
漫步量化
03-30 2650
问题描述 进入容器后,无法在容器内查看进程启动情况,那能在容器查看容器内部进程情况么? 解决方案 1.docker容器内的一个进程对应于宿主机器上的一个进程 2.容器内的进程,与相对应的宿主进程,由相同的uid、gid拥有。也就是说,如果在容器内主进程属于用户uid=1000,那么这个容器进程在宿主机器上也属于用户uid=1000。容器内的用户uid=1000就是容器的用户uid=...
docekr逃逸原理初学
weixin_45540609的博客
08-10 211
一、docker原理 Docker是一种容器容器的官方定义是:将软件打包成标准化单元、以用于开发、交付和部署。容器的特点在于格式统一,运行速度快,所需资源小,并且可以层层重叠。 二、环境判断 判断是否是docker环境,有两种方法 1、是否存在.dockerenv文件 docker环境下存在:ls -alh /.dockerenv 文件,非docker环境没有该文件 2、查询系统进程的cgroup信息 docker环境下 cat /proc/1/cgroup有信息输出,非docker环境下没
docker实践入门之一
猛禽的编程艺术
04-14 7088
前戏……呃,前言docker是什么?docker是一种容器技术,它的主要功能就是能够让进程在一个隔离的容器环境里运行——在进程看来,它有一整套“独立”的OS环境,包括文件系统,类似于虚拟机。docker不是什么?docker 不是虚拟机,它只是一套虚拟运行环境,实际上在host机上用ps可以看到容器里面的进程。实际上docker里用到的环境都是来自于host机,只是相 对隔离而已,类似于pytho
docker如何在容器执行容器内命令
热门推荐
liu_chen_yang的博客
03-30 1万+
文章目录前言参考实例注意事项: 前言 有时候我们想执行某个容器的某条命令,但又不想进入容器内。那该怎么办? 所以就有一种办法,我们直接在容器执行容器内的命令,来进行一些容器内的操作。 可以根据容器名来执行,也可以根据容器的CONTAINER ID来执行 参考实例 根据容器名来执行容器内的命令 #查看容器名 docker ps -a #例如nginx;-c后面是要执行的容器内的命令 sudo docker exec -it nginx /bin/bash -c 'cd /packages/detectr
查看docker container内进程信息及与宿主机上进程的映射关系
勿忘初心
01-05 9654
1、docker ps 找到对应的容器 2、根据container id 找到容器在宿主机上映射后的进程信息 docker top 8c900d3fe375(容器id) 就会得到类似下面的信息,其中PID是容器进程在宿主机上的pid,ppid是容器进程在宿主机上的父进程pid UID PID PPID ...
容器适配经验分享-V2.1(已脱敏)-第1节-K8S容器入门.pptx
02-24
5. 观察发布过程:使用Kubernetes观察应用程序的发布过程和状态。 Kubernetes的优点包括: 1. 高度自动化:Kubernetes能够自动化部署、扩展和管理容器化应用程序。 2. 高度可扩展:Kubernetes能够支持大规模的容器...
【内核模块auth_rpcgss】netns引用计数泄露导致容器弹性网卡残留
01-06
这个bug会影响所有在特权容器中启用了use-gss-proxy的Linux环境,表现为容器的网络命名空间(net namespace)无法彻底释放,导致容器终止后关联的虚拟网卡未能自动清除,运行时间长的机器上会观察到内存泄露。...
压力容器全面检验方案.doc
10-02
- 对压力容器进行充压并观察泄漏情况,验证其在工作压力下的密封性。 全面检验的目的是确保压力容器在继续运行前处于安全状态,预防可能出现的故障。检验过程中应严格遵守相关规程,保证人员安全,确保检验的准确...
压力容器定期检验规则年检查.doc
09-28
使用单位需要清理压力容器表面和周围环境,确保检查的顺利进行。同时,应准备相关技术档案、运行记录、安全管理制度、操作规程和操作人员证书等,以便检查人员查阅。在检查过程中,使用单位的相关管理人员需到场...
Docker-资源隔离和限制实现原理
江无羡
05-17 674
Linux Namespace 是 Linux 提供的一种内核级别环境隔离的方法。用官方的话来说,Linux Namespace 将全局系统资源封装在一个抽象中,从而使 namespace 内的进程认为自己具有独立的资源实例。这项技术本来没有掀起多大的波澜,是容器技术的崛起让它重新引起了大家的注意。Linux Cgroups 是Linux提供的一种用于隔离限制资源的机制,能够实现对资源(CPU、内存、磁盘I/O、网络等)进行使用量限制、优先级排序、资源使用量统计及进程状态控制。
Docker(四)——查看容器进程
zxq6661的博客
11-21 3845
Docker(四)——查看容器进程 容器是一个进程。 docker top 容器名字 #部分参数解释 #PID进程ID #PPID进程对应的父进程ID #CMD 该进程执行的命令
docker 查看容器内的进程
whatday的专栏
01-05 1万+
针对上述例子,如果想进行过滤的话,则可以使用下述命令。:查看指定容器中所有正在运行的进程
用户基本权限
qq_42427219的博客
12-25 396
用户与用户组管理、权限 用户是什么?用户的类型 实现资源分派 认证的过程 uid:用户标识号 gid:组标识号(默认情况下,用户gid和uid一样) ①超级用户root 权限特别大(uid=0 gid=0 生产环境建议不要使用) ②普通用户 ( uid>=500,ubuntu一般>=1000 一般权限系统管理,权限有限) ③程序用户 (1<=uid<500 ...
linux查看容器线程,如何查看docker容器内的进程
weixin_39857480的博客
05-08 4365
如何查看docker top | 命令,可列出指定容器中运行的进程信息。示例如下yili@yili-mbp:~$ docker top329a8e40a3b0UID PIDPPID C STIME TTYTIMECMD99932153 321060Aug06 ? 00:23:56 redis-server *:6379注意:这里的PID显示的是宿主机操作系统上的PI...
docker容器中的负载均衡搭建步骤
最新发布
06-11
5. 测试负载均衡是否正常工作,可以使用curl或浏览器访问负载均衡服务的IP地址和端口,观察请求是否分发到不同的容器上。 需要注意的是,负载均衡服务的配置和优化是一个复杂的过程,需要根据实际情况进行调整和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值