【Docker学习】深入研究命令docker exec

使用docker的过程中,我们会有多重情况需要访问容器。比如希望直接进入MySql容器执行命令,或是希望查看容器环境,进行某些操作或访问。这时就会用到这个命令:docker exec。

命令:

docker container exec

描述:

在运行的容器中执行命令。

您使用 docker exec 指定的命令只会在容器的首要进程(PID 1)运行时执行,如果容器重启,该命令不会被重新启动。

该命令在容器的默认工作目录中运行。

该命令必须是一个可执行程序。链式命令或引号内的命令不起作用

这样是有效的:docker exec -it my_container sh -c “echo a && echo b” 

这样是无效的:docker exec -it my_container “echo a && echo b”

用法:

docker container exec [OPTIONS] CONTAINER COMMAND [ARG...]

别名:

docker exec(docker的一些命令可以简写,docker exec和docker container exec是等价的)

选项:

选项描述
-d, –detach分离模式:在后台运行命令
–detach-keys覆盖用于分离容器的键序列
-e, –envAPI 1.25+ 设置环境变量
–env-file读取的环境变量文件
-i, –interactive即使未附着也保持 STDIN 打开
–privileged为命令提供扩展权限
-t, –tty分配一个伪TTY
-u, –user用户名或用户ID(格式:<name|uid>[:<group|gid>])
-w, –workdir容器内的工作目录

示例1:选项-d, –detach、-i, –interactive、-t, –tty

-d相当于后台运行,使用这个选项,不影响终端的进一步操作。-i和-t两个选项通常一起使用,在【Docker学习】docker run之黄金搭档-it选项 – 筑天兄的清净小站 (skycreator.top)有详细介绍。

关于这三个选项,官方给出的例子挺好。我就直接使用官方例子,在我的阿里云上操作,借花献佛了。

使用exec,首先要确保有一个运行着的容器。使用以下命令创建并启动一个名为mycontainer的基于alpine的容器,该容器以sh shell作为其主进程。其中,-d选项(–detach的简写形式)会让容器以后台运行的方式启动,即分离模式,并附加一个伪TTY(-t)。-i选项设置为保持STDIN附加(-i),这可以防止sh进程立即退出。

docker run --name mycontainer -d -i -t alpine /bin/sh

执行之后,使用ps来查看一下:

在这之后,我们使用-d选项,在运行的mycontainer容器中运行一个命令touch /tmp/execWorks。该命令在容器的根目录tmp下创建execWorks文件。

docker exec -d mycontainer touch /tmp/execWorks

这条命令执行之后没效果,需要进入容器的sh下查看。使用-it选项(-i加-t选项),直接与容器交互。

docker exec -it mycontainer sh

在容器的终端进入tmp文件夹查看,发现execWorks被创建。

示例2:选项–detach-keys

这个选项说起来比较复杂,在【Docker学习】docker start深入研究 – 筑天兄的清净小站 (skycreator.top)中有详细讲解,大家可以对照着来学习。

示例3:选项-e, –env和选项–env-file

这两个选项都是设置环境变量的,前者是直接设置,后者是通过一个文件设置。在【Docker学习】docker run的环境变量相关选项(-e, –env, –env-file) – 筑天兄的清净小站 (skycreator.top)中有详细讲解,这个不再赘述了。

示例4:–privileged

这个选项用于提升容器权限,它为容器提供了以下功能:

  • 启用所有Linux内核功能
  • 禁用默认的seccomp配置文件
  • 禁用默认的AppArmor配置文件 
  • 禁用SELinux进程标签 
  • 授予访问所有主机设备的权限 
  • 使/sys变为可读写 
  • 使cgroups挂载变为可读写 

换句话说,容器几乎可以做主机能做的任何事情。这个标志的存在是为了允许特殊用途,比如在Docker中运行Docker。

这个选项很强大,未来详细讲解,这里只简要介绍。

我们使用刚才的容器作测试,进入容器的终端,执行命令

docker exec -it mycontainer sh

在终端输入以下命令,将一个tmpfs文件系统挂载到/mnt目录,允许在这个目录下存储临时数据,这些数据在系统重启后不会保留。

/ # mount -t tmpfs none /mnt

这个命令具体作用如下:

  • mount:这是用来挂载文件系统的命令。
  • -t tmpfs:这指定了要挂载的文件系统类型为tmpfs,这是一种基于内存的文件系统,也称为临时文件系统。数据存储在内存中,而不是写入磁盘,这意味着它的读写速度非常快,但数据在系统重启后会丢失。
  • none:这里指定了设备的源,none表示没有实际的设备或文件名与tmpfs关联。因为tmpfs不依赖于具体的设备,所以使用none作为占位符。
  • /mnt:这是挂载点,即文件系统在目录树中的位置。在这个例子中,tmpfs将被挂载到/mnt目录下。

看看运行结果。显示permission denied,说明没有权限。默认情况下,Docker会丢弃大多数可能危险的核心功能,包括CAP_SYS_ADMIN(挂载文件系统所必需的)。

那么我们执行–privileged选项看看。

居然没有效果!!!好吧,看来只能放大招了。

官网讲解–privileged选项时,也讲解了docker run 的–cap-add选项,该选项可以为容器添加linux功能。而SYS-ADMIN是linux系统管理必备的功能。因此我使用该选项,先给mycontainer加入这个功能。

docker run --cap-add SYS_ADMIN --name mycontainer -dit  alpine /bin/sh

执行之后,我尝试进行挂载,这次成功了。通过df -h命令查看文件系统磁盘空间使用情况。可以看到最下面一行,文件系统是none的就是我进行的挂载。不过这么做也用不着–privileged选项了。

官网的例子使用的并不是alpine,而是ubuntu。通过对比–privileged使用与否的情况,可以看到ubuntu的/dev目录发生了明显的变化:

上面是不使用–privileged选项的/dev目录。

上面是使用–privileged选项的/dev目录。

可以明显看出两者的不同,说明使用–privileged选项,为/dev目录增加了不少特性。

回过头再来看alpine,使用不使用/dev的目录是相同的。如下图所示:

也就是说,alpine这个镜像并没有为–privileged选项预留功能。毕竟alpine是阉割版的linux系统,它的大小只有4m多。下面是几个linux官方镜像的大小对比。

另外,docker run的–cap-add选项,没有加入到docker exec中,可能是因为这只能是创建时加入,运行中的容器是不能直接设置的。

示例5:-u, –user选项

这个选项用于以某个用户身份进入容器。

还是使用alpine这个镜像的mycontainer容器,进入容器的shell下,添加一个普通用户zl

adduser zl

然后exit退出,重新使用docker exec进入,这次加入-u选项

docker exec -it -u zl  mycontainer sh

在shell中输入id,查看当前用户的信息

可以看出,当前用户是zl,uid,gid和groups均显示出来了。

示例6:-w, –workdir选项

该选项用于设置容器的工作目录。不指定的情况下,工作目录就是/,如下图所示:

下面指定了工作目录为/etc,使用pwd查看当前工作目录,即是/etc。

关于alpine

Alpine是一个轻量级的Linux发行版,它基于musl libc和 BusyBox,旨在提供一个小巧、安全、简单且高效的操作系统。Alpine特别适合用于容器和云环境,因为它的大小很小,启动速度快,同时提供了一个包管理器工具apk,可以用来安装、更新和管理软件包。

在Docker等容器平台中,Alpine经常被用作基础镜像,因为它可以创建出非常小的容器镜像,这对于开发和部署都非常有利。由于它的体积小,Alpine在资源有限的场景下也非常受欢迎,比如在嵌入式设备或者需要快速部署的应用中。

Alpine 官网:https://www.alpinelinux.org/

Alpine 官方仓库:https://github.com/alpinelinux

Alpine 官方镜像:https://hub.docker.com/_/alpine/

Alpine 官方镜像仓库:https://github.com/gliderlabs/docker-alpine

关于–privileged

请谨慎使用–privileged标志。带有–privileged的容器并不是一个安全沙箱化的进程。在此模式下的容器可以在主机上获取root权限的shell并控制系统。

对于大多数用例来说,这个标志不应该是首选解决方案。如果您的容器需要提升的权限,您应该更愿意明确授予必要的权限,例如通过使用–cap-add添加单个内核功能。

关于df -h命令

在Linux和类Unix操作系统中,df -h是一个常用的命令,用于显示文件系统的磁盘空间使用情况。df代表disk free,即磁盘空闲空间。-h选项表示human-readable,它会以更易于阅读的格式显示大小,例如将字节转换为千字节、兆字节或吉字节,并附加适当的单位(K、M、G)。

df -h命令的输出通常包括以下信息:

  • 文件系统的挂载点(Mounted on)
  • 文件系统的总大小(Size)
  • 已使用的空间大小(Used)
  • 可用的空闲空间(Avail)
  • 使用百分比(Use%)
  • 文件系统的标识(Filesystem)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/15810.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Jmeter预习第1天

Jmeter参数化&#xff08;重点&#xff09; 本质&#xff1a;使用参数的方式来替代脚本中的固定为测试数据 实现方式&#xff1a; 定义变量&#xff08;最基础&#xff09; 文件定义的方式&#xff08;所有测试数据都是固定的情况下[死数据]&#xff0c;eg:注册登录&#xff0…

Linux -- 进程间通信的五种方式

IPC&#xff08;InterProcess Communication&#xff09;的方式通常有管道&#xff08;包括无名管道和命名管道&#xff09;、消息队列、信号量、共享存储、Socket、Streams等。其中Socket和Stream支持不同主机上的两个进程IPC。 管道&#xff08;Pipes&#xff09;&#xff1a…

STM32中断编程入门

文章目录 一、 理论部分1.中断系统2.中断执行流程3.NVIC的基本结构4.EXTI介绍5.AFIO复用IO口 二、实验目的&#xff1a;学习stm32中断原理和开发编程方法。使用标准完成以下任务&#xff1a;&#xff08;一&#xff09;实验一 开关控制LED的亮灭1.代码部分2.运行结果 &#xff…

【简单易用,新人友好】一个轻量级生物信息学流程框架,从此解决99%的生物信息学流程搭建问题...

生物信息学数据分析流程的搭建是一项繁重而复杂的工作。随着行业的发展&#xff0c;各种生信流程框架层出不穷&#xff0c;比如有: NextflowSnakemakeCWLWDL 各种标准&#xff0c;各种规则&#xff0c;令人眼花缭乱。选择太多&#xff0c;往往令人无所适从。特别是新进入行业的…

小程序的深层了解

一:wxss的全局样式和局部样式 写在文件上,第一个路径会执行全局和局部自带的wxss给wxml,会执行wxml,会执行json和js. 无论那个文件都会执行文件夹内的和外部的app.wxss,但是如果有一样的属性,则看属性的权重,权重一样,则设置局部样式. 二:全局配置 wx:key"写的是data内…

17.7K星开源产品分析平台:Posthog

Posthog&#xff1a;开源洞察&#xff0c;产品优化的得力助手 - 精选真开源&#xff0c;释放新价值。 概览 PostHog是一个全面开源的平台&#xff0c;旨在帮助团队构建更好的产品。它提供了从产品分析到会话回放、功能标志和A/B测试等一系列工具&#xff0c;支持自托管&#x…

读人工智能时代与人类未来笔记14_管控人工智能

1. 管控人工智能 1.1. 历史上的战场进一步推进到与数字网络相连的所有地方 1.2. 数字程序现在控制着一个由众多实体系统构成的庞大且仍在不断增长的领域&#xff0c;而且越来越多的此类系统已实现网络化 1.2.1. 在某些情况下甚至连门锁和冰箱都实现了网络化 1.2.2. 这催生出…

2024年汉字小达人活动4个多月开赛:18道历年选择题和答案、解析

根据近年的安排&#xff0c;2024年第11届汉字小达人比赛还有4个多月就启动&#xff0c;那么孩子们如何利用这段时间有条不紊地备考呢&#xff1f;我的建议是两手准备&#xff1a;①把小学1-5年级的语文课本上的知识点熟悉&#xff0c;重点是字、词、成语、古诗。②把历年真题刷…

联想端游联运SDK接入指南

1. 接入流程 本文档主要介绍了 联想PC游戏SDK接入流程、联想游戏提供的功能、接入注意事项等。 1.1. 接入方式 1. 联想游戏SDK2.1版本支持“账号防沉迷支付”接入方式&#xff1b; a. 联想提供账号注册、登录等能力 b. 联想提供防沉迷服务 c. 联想提供游戏内支付 1.2. 对…

【学习笔记】计算机组成原理(八)

CPU 的结构和功能 文章目录 CPU 的结构和功能8.1 CPU的结构8.1.1 CPU的功能8.1.2 CPU结构框图8.1.3 CPU的寄存器8.1.4 控制单元CU和中断系统 8.2 指令周期8.2.1 指令周期的基本概念8.2.2 指令周期的数据流 8.3 指令流水8.3.1 指令流水原理8.3.2 影响流水线性能的因素8.3.3 流水…

数据库-SQL性能分析

SQL执行频率 慢查询日志 慢查询日志记录了所有执行时间超过指定参数&#xff08;long_query_time&#xff0c;单位&#xff1a;秒&#xff0c;默认10秒&#xff09;的所有 SQL语句的日志。 MySQL的慢查询日志默认没有开启&#xff0c;我们可以查看一下系统变量 slow_query_l…

html5 笔记02

目录 01 svg的基本使用 02 svg绘图 03 进程和线程 01 svg的基本使用 svg和canvas的区别: canvas: 1.canvas作为一个容器只有一个dom元素 ,内部元素无法使用dom操作 (canvas不能展开然后选择不到 svg查看元素能选中因为是通过标签控制的) 2.canvas 是配合js完成各种绘制效果 …

指纹识别概念解析

目录 1. 指纹是物证之首 1.1 起源于中国 1.2 发展于欧洲 1.3 流行于全世界 2. 指纹图像 3. 指纹特征 4. 指纹注册 5. 指纹验证 6. 指纹辨识 1. 指纹是物证之首 指纹识别技术起源于中国、发展于欧洲、流行于全世界。自20世纪以来&#xff0c;指纹在侦破刑事案件、解决诉…

水泥超低排平台哪家好?

随着环保政策的加强和绿色发展理念的深入人心&#xff0c;水泥行业的超低排放改造已成为行业发展的新趋势。选择一个合适的水泥超低排平台对于确保改造效果和实现企业的可持续发展至关重要。朗观视觉小编将从多个角度出发&#xff0c;为您提供一份综合评估与选择攻略&#xff0…

[C语言]自定义类型详解:结构体、联合体、枚举

目录 &#x1f680;结构体 &#x1f525;结构体类型的声明 &#x1f525;结构的自引用 &#x1f525;结构体变量的定义和初始化 &#x1f525;结构体内存对齐 &#x1f525;结构体传参 &#x1f525;结构体实现位段&#xff08;位段的填充&可移植性&#xff09; &a…

安装 Ubuntu桌面版,详细步骤(附引导 U盘制作工具)

下载镜像 安装Ubuntu首先要下载镜像包&#xff0c;访问下面网址下载镜像包 https://releases.ubuntu.com/ 选择你要安装的Ubuntu版本 将 .iso 文件保存到所需位置&#xff0c;下面会使用此文件创建可引导 U盘。 制作 Ubuntu 引导 U 盘 首先要找到一个大于4G的U盘&#xff…

猫头虎 解析:为什么AIGC在国内适合做TOB,在国外适合做TOC?

猫头虎 解析&#xff1a;为什么AIGC在国内适合做TOB&#xff0c;在国外适合做TOC&#xff1f; 博主 猫头虎 的技术世界 &#x1f31f; 欢迎来到猫头虎的博客 — 探索技术的无限可能&#xff01; 专栏链接&#xff1a; &#x1f517; 精选专栏&#xff1a; 《面试题大全》 — 面…

ps进程查看命令详解

1、PS 命令是什么 查看它的man手册可以看到&#xff0c;ps命令能够给出当前系统中进程的快照。它能捕获系统在某一事件的进程状态。如果你想不断更新查看的这个状态&#xff0c;可以使用top命令。 2、ps命令支持三种使用的语法格式 UNIX 风格&#xff0c;选项可以组合在一起…

鸿蒙ArkUI-X平台差异化:【运行态差异化(@ohos.deviceInfo)】

平台差异化 简介 跨平台使用场景是一套ArkTS代码运行在多个终端设备上&#xff0c;如Android、iOS、OpenHarmony&#xff08;含基于OpenHarmony发行的商业版&#xff0c;如HarmonyOS Next&#xff09;。当不同平台业务逻辑不同&#xff0c;或使用了不支持跨平台的API&#xf…

Postman快捷功能-批量断言与快速查询替换

大家好&#xff0c;在我们日常的接口测试工作中&#xff0c;经常需要对接口返回的数据进行断言&#xff0c;以确保接口的正确性。当接口数量较多时&#xff0c;逐个编写断言语句会变得非常繁琐。此外&#xff0c;在接口测试过程中&#xff0c;我们还可能需要频繁地查找和替换某…