[อัปเดต 1] ฉันมีเชลล์ซึ่งจะเปลี่ยนพารามิเตอร์เคอร์เนล TCP ในบางฟังก์ชัน แต่ตอนนี้ฉันจำเป็นต้องทำให้เชลล์นี้ทำงานในคอนเทนเนอร์ Docker นั่นหมายความว่าเชลล์จำเป็นต้องรู้ว่ามันกำลังทำงานอยู่ภายในคอนเทนเนอร์และหยุดการกำหนดค่าเคอร์เนล

ตอนนี้ฉันไม่แน่ใจว่าจะบรรลุได้อย่างไรนี่คือเนื้อหา/proc/self/cgroupภายในคอนเทนเนอร์:

9:hugetlb:/
8:perf_event:/
7:blkio:/
6:freezer:/
5:devices:/
4:memory:/
3:cpuacct:/
2:cpu:/docker/25ef774c390558ad8c4e9a8590b6a1956231aae404d6a7aba4dde320ff569b8b
1:cpuset:/

แฟล็กใด ๆ ด้านบนที่ฉันสามารถใช้เพื่อดูว่ากระบวนการนี้กำลังทำงานอยู่ในคอนเทนเนอร์หรือไม่

[อัปเดต 2]: ฉันสังเกตเห็นด้วยว่าการพิจารณาว่ากระบวนการทำงานภายใน lxc / Dockerหรือไม่ แต่ดูเหมือนว่าจะไม่ทำงานในกรณีนี้เนื้อหาใน/proc/1/cgroupคอนเทนเนอร์ของฉันคือ

8:perf_event:/
7:blkio:/
6:freezer:/
5:devices:/
4:memory:/
3:cpuacct:/
2:cpu:/docker/25ef774c390558ad8c4e9a8590b6a1956231aae404d6a7aba4dde320ff569b8b
1:cpuset:/

ไม่ใช่ / lxc / containerid

หากต้องการตรวจสอบภายในคอนเทนเนอร์ Docker ว่าคุณอยู่ในคอนเทนเนอร์ Docker หรือไม่สามารถทำได้ผ่านทาง/proc/1/cgroup. ในฐานะที่เป็นโพสต์นี้แนะนำคุณสามารถทำสิ่งต่อไปนี้:

ภายนอกคอนเทนเนอร์นักเทียบท่ารายการทั้งหมดใน/proc/1/cgroupท้ายที่สุด/ดังที่คุณเห็นที่นี่:

vagrant@ubuntu-13:~$ cat /proc/1/cgroup
11:name=systemd:/
10:hugetlb:/
9:perf_event:/
8:blkio:/
7:freezer:/
6:devices:/
5:memory:/
4:cpuacct:/
3:cpu:/
2:cpuset:/

ภายในคอนเทนเนอร์ Docker กลุ่มควบคุมบางกลุ่มจะเป็นของ Docker (หรือ LXC):

vagrant@ubuntu-13:~$ docker run busybox cat /proc/1/cgroup
11:name=systemd:/
10:hugetlb:/
9:perf_event:/
8:blkio:/
7:freezer:/
6:devices:/docker/3601745b3bd54d9780436faa5f0e4f72bb46231663bb99a6bb892764917832c2
5:memory:/
4:cpuacct:/
3:cpu:/docker/3601745b3bd54d9780436faa5f0e4f72bb46231663bb99a6bb892764917832c2
2:cpuset:/

Docker สร้าง.dockerenvและ.dockerinit( ลบออกใน v1.11 ) ไฟล์ที่ด้านบนสุดของของคอนเทนเนอร์ดังนั้นคุณอาจต้องการตรวจสอบว่ามีอยู่หรือไม่

สิ่งนี้ควรใช้งานได้

#!/bin/bash
if [ -f /.dockerenv ]; then
    echo "I'm inside matrix ;(";
else
    echo "I'm living in real world!";
fi

เราใช้ proc's sched (/ proc / $ PID / sched) เพื่อแยก PID ของกระบวนการ PID ของกระบวนการภายในคอนเทนเนอร์จะแตกต่างกันจากนั้นเป็น PID บนโฮสต์ (ระบบที่ไม่ใช่คอนเทนเนอร์)

ตัวอย่างเช่นผลลัพธ์ของ / proc / 1 / sched บนคอนเทนเนอร์จะส่งคืน:

root@33044d65037c:~# cat /proc/1/sched | head -n 1
bash (5276, #threads: 1)

ขณะอยู่บนโฮสต์ที่ไม่ใช่คอนเทนเนอร์:

$ cat /proc/1/sched  | head -n 1
init (1, #threads: 1)

สิ่งนี้ช่วยแยกความแตกต่างว่าคุณอยู่ในตู้คอนเทนเนอร์หรือไม่ เช่นคุณสามารถทำได้:

if [[ ! $(cat /proc/1/sched | head -n 1 | grep init) ]]; then {
    echo in docker
} else {
    echo not in docker
} fi

โซลูชันของโทมัสเป็นรหัส:

running_in_docker() {
  (awk -F/ '$2 == "docker"' /proc/self/cgroup | read non_empty_input)
}

บันทึก

readกับตัวแปรดัมมี่เป็นสำนวนที่ง่ายสำหรับการนี้ไม่ได้ผลิตออกใด ๆ . เป็นวิธีการที่กะทัดรัดสำหรับการเปลี่ยนรูปแบบที่เป็นไปได้grepหรือawkเป็นการทดสอบรูปแบบ

หมายเหตุเพิ่มเติมเกี่ยวกับการอ่าน

สิ่งที่ใช้ได้ผลสำหรับฉันคือการตรวจสอบหมายเลขไอโหนดของ "/." ภายในนักเทียบท่ามีตัวเลขที่สูงมาก นอกนักเทียบท่าตัวเลขที่ต่ำมากเช่น '2' ฉันคิดว่าวิธีนี้จะขึ้นอยู่กับ FileSystem ที่ใช้

ตัวอย่าง

ภายในนักเทียบท่า:

# ls -ali / | sed '2!d' |awk {'print $1'}
1565265

นอกนักเทียบท่า

$ ls -ali / | sed '2!d' |awk {'print $1'}
2

ในสคริปต์:

#!/bin/bash
INODE_NUM=`ls -ali / | sed '2!d' |awk {'print $1'}`
if [ $INODE_NUM == '2' ];
then
        echo "Outside the docker"
else
        echo "Inside the docker"
fi

เราจำเป็นต้องยกเว้นกระบวนการทำงานในภาชนะ แต่แทนที่จะตรวจสอบ cgroups นักเทียบท่าเพียงแค่เราตัดสินใจที่จะเปรียบเทียบ/proc/<pid>/ns/pidกับระบบ init /proc/1/ns/pidที่ ตัวอย่าง:

pid=$(ps ax | grep "[r]edis-server \*:6379" | awk '{print $1}')
if [ $(readlink "/proc/$pid/ns/pid") == $(readlink /proc/1/ns/pid) ]; then
   echo "pid $pid is the same namespace as init system"
else
   echo "pid $pid is in a different namespace as init system"
fi

หรือในกรณีของเราเราต้องการซับเดียวที่สร้างข้อผิดพลาดหากกระบวนการไม่ได้อยู่ในคอนเทนเนอร์

bash -c "test -h /proc/4129/ns/pid && test $(readlink /proc/4129/ns/pid) != $(readlink /proc/1/ns/pid)"

ซึ่งเราสามารถดำเนินการจากกระบวนการอื่นและหากรหัสออกเป็นศูนย์แสดงว่า PID ที่ระบุจะทำงานในเนมสเปซอื่น

จากความคิดเห็นของ Dan Walsh เกี่ยวกับการใช้ SELinux ps -eZ | grep container_tแต่ไม่จำเป็นpsต้องติดตั้ง:

$ podman run --rm fedora:31 cat /proc/1/attr/current
system_u:system_r:container_t:s0:c56,c299
$ podman run --rm alpine cat /proc/1/attr/current
system_u:system_r:container_t:s0:c558,c813
$ docker run --rm fedora:31 cat /proc/1/attr/current
system_u:system_r:container_t:s0:c8,c583
$ cat /proc/1/attr/current
system_u:system_r:init_t:s0

นี่เป็นการบอกว่าคุณกำลังทำงานในไฟล์ภาชนะ แต่ไม่ซึ่งรันไทม์

ไม่ได้ตรวจสอบระยะเวลาการทำงานของคอนเทนเนอร์อื่น ๆ แต่https://opensource.com/article/18/2/understand-selinux-labels-container-runtimesให้ข้อมูลเพิ่มเติมและแนะนำว่าสิ่งนี้ใช้กันอย่างแพร่หลายอาจใช้ได้กับ rkt และ lxc หรือไม่

รหัส golang

func GetContainerID(pid int32) string {
    cgroupPath := fmt.Sprintf("/proc/%s/cgroup", strconv.Itoa(int(pid)))
    return getContainerID(cgroupPath)
}

func GetImage(containerId string) string {
    if containerId == "" {
        return ""
    }
    image, ok := containerImage[containerId]
    if ok {
        return image
    } else {
        return ""
    }
}
func getContainerID(cgroupPath string) string {
    containerID := ""
    content, err := ioutil.ReadFile(cgroupPath)
    if err != nil {
        return containerID
    }
    lines := strings.Split(string(content), "\n")
    for _, line := range lines {
        field := strings.Split(line, ":")
        if len(field) < 3 {
            continue
        }
        cgroup_path := field[2]
        if len(cgroup_path) < 64 {
            continue
        }
        // Non-systemd Docker
        //5:net_prio,net_cls:/docker/de630f22746b9c06c412858f26ca286c6cdfed086d3b302998aa403d9dcedc42
        //3:net_cls:/kubepods/burstable/pod5f399c1a-f9fc-11e8-bf65-246e9659ebfc/9170559b8aadd07d99978d9460cf8d1c71552f3c64fefc7e9906ab3fb7e18f69
        pos := strings.LastIndex(cgroup_path, "/")
        if pos > 0 {
            id_len := len(cgroup_path) - pos - 1
            if id_len == 64 {
                //p.InDocker = true
                // docker id
                containerID = cgroup_path[pos+1 : pos+1+64]
                // logs.Debug("pid:%v in docker id:%v", pid, id)
                return containerID
            }
        }
        // systemd Docker
        //5:net_cls:/system.slice/docker-afd862d2ed48ef5dc0ce8f1863e4475894e331098c9a512789233ca9ca06fc62.scope
        docker_str := "docker-"
        pos = strings.Index(cgroup_path, docker_str)
        if pos > 0 {
            pos_scope := strings.Index(cgroup_path, ".scope")
            id_len := pos_scope - pos - len(docker_str)
            if pos_scope > 0 && id_len == 64 {
                containerID = cgroup_path[pos+len(docker_str) : pos+len(docker_str)+64]
                return containerID
            }
        }
    }
    return containerID
}

ฉันได้สร้างสคริปต์ python ขนาดเล็ก หวังว่าจะมีคนพบว่ามีประโยชน์ :-)

#!/usr/bin/env python3
#@author Jorge III Altamirano Astorga 2018
import re
import math

total = None
meminfo = open('/proc/meminfo', 'r')
for line in meminfo:
    line = line.strip()
    if "MemTotal:" in line:
        line = re.sub("[^0-9]*", "", line)
        total = int(line)
meminfo.close()
print("Total memory: %d kB"%total)

procinfo = open('/proc/self/cgroup', 'r')
for line in procinfo: 
    line = line.strip()
    if re.match('.{1,5}:name=systemd:', line):
        dockerd = "/sys/fs/cgroup/memory" + \
            re.sub("^.{1,5}:name=systemd:", "", line) + \
            "/memory.stat"
        #print(dockerd)
        memstat = open(dockerd, 'r')
        for memline in memstat:
            memline = memline.strip()
            if re.match("hierarchical_memory_limit", memline):
                memline = re.sub("[^0-9]*", \
                    "", memline)  
                total = math.floor(int(memline) / 2**10)
        memstat.close()
procinfo.close()
print("Total available memory to the container: %d kB"%total)