Comment vérifier si un processus est en cours d'exécution à l'intérieur de conteneurs docker

[Updated1] j'ai une coque qui va changer TCP paramètres du noyau dans certaines fonctions, mais maintenant j'ai besoin de faire cette coque exécuter dans le menu fixe conteneur, ce qui signifie que la coque devez savoir qu'il est en cours d'exécution à l'intérieur d'un conteneur et d'arrêt de la configuration du noyau.

Maintenant, je ne suis pas sûr de savoir comment y parvenir, voici le contenu de /proc/self/cgroup à l'intérieur du conteneur: 

9:hugetlb:/
8:perf_event:/
7:blkio:/
6:freezer:/
5:devices:/
4:memory:/
3:cpuacct:/
2:cpu:/docker/25ef774c390558ad8c4e9a8590b6a1956231aae404d6a7aba4dde320ff569b8b
1:cpuset:/

Tous les indicateurs ci-dessus, puis-je savoir si ce processus est en cours d'exécution à l'intérieur d'un conteneur?

[Updated2]: j'ai aussi remarqué Déterminer si un processus s'exécute à l'intérieur d'un conteneur lxc/Docker, mais il ne semble pas travailler dans ce cas, le contenu /proc/1/cgroup de mon conteneur:

8:perf_event:/
7:blkio:/
6:freezer:/
5:devices:/
4:memory:/
3:cpuacct:/
2:cpu:/docker/25ef774c390558ad8c4e9a8590b6a1956231aae404d6a7aba4dde320ff569b8b
1:cpuset:/

N /lxc/containerid

  • Pas très clairement la question. Pourquoi avez-vous besoin de cela?
  • Double de stackoverflow.com/questions/20010199/...
  • n /lxc/<containerid> dans mon cas, voir mise à jour
  • les paramètres du noyau est en lecture seule dans le conteneur Docker,donc j'ai besoin de savoir si ma coquille est en cours d'exécution à l'intérieur de conteneurs et de désactiver les fonctions du noyau dans ma coquille. voir mise à jour.
  • Certaines étapes dans le script d'essayer de modifier les paramètres du noyau, et doivent être ignorés lors de l'exécution dans le Panneau. Clair.
InformationsquelleAutor harryz | 2014-05-07
  1. 52

    À vérifier à l'intérieur d'un conteneur Docker si vous êtes à l'intérieur d'un conteneur Docker ou ne peut être fait via /proc/1/cgroup. Comme ce post suggère que vous puissiez les suivantes:

    À l'extérieur d'un conteneur docker toutes les entrées dans /proc/1/cgroup fin sur / comme vous pouvez le voir ici:

    vagrant@ubuntu-13:~$ cat /proc/1/cgroup
11:name=systemd:/
10:hugetlb:/
9:perf_event:/
8:blkio:/
7:freezer:/
6:devices:/
5:memory:/
4:cpuacct:/
3:cpu:/
2:cpuset:/

    À l'intérieur d'un conteneur Docker certains groupes de contrôle appartiennent à Docker (ou LXC):

    vagrant@ubuntu-13:~$ docker run busybox cat /proc/1/cgroup
11:name=systemd:/
10:hugetlb:/
9:perf_event:/
8:blkio:/
7:freezer:/
6:devices:/docker/3601745b3bd54d9780436faa5f0e4f72bb46231663bb99a6bb892764917832c2
5:memory:/
4:cpuacct:/
3:cpu:/docker/3601745b3bd54d9780436faa5f0e4f72bb46231663bb99a6bb892764917832c2
2:cpuset:/
    • la réponse est plus propre
    • il n'est pas strictement vrai que "à l'Extérieur d'un conteneur docker toutes les entrées dans /proc/1/cgroup fin sur /". Sur ubuntu 16.04, par exemple j'ai: 12:perf_event:/ 11:blkio:/init.scope 10:cpuset:/ 9:devices:/init.scope 8:hugetlb:/ 7:cpu,cpuacct:/init.scope 6:net_cls,net_prio:/ 5:memory:/init.scope 4:pids:/init.scope 3:rdma:/ 2:freezer:/ 1:name=systemd:/init.scope
    InformationsquelleAutor Thomas Uhrig
  2. 79

    Docker crée .dockerenv et .dockerinit (retiré dans v1.11) des fichiers à la partie supérieure du conteneur de l'arborescence de répertoires de sorte que vous pourriez vouloir vérifier si ceux-ci existent.

    Quelque chose comme cela devrait fonctionner.

    #!/bin/bash
if [ -f /.dockerenv ]; then
    echo "I'm inside matrix ;(";
else
    echo "I'm living in real world!";
fi
    • Je l'aime, merci.
    • À moins, bien sûr, de vous ou de quelqu'un d'autre a créé /.dockerinit sur votre ordinateur hôte (peut-être par accident), auquel cas il sera mal à l'extérieur d'un conteneur.
    • Si quelqu'un d'autre fait-il dans / puis ils sont à la racine et vous avez des problèmes plus graves que le fait de savoir si vous êtes dans le menu fixe ou pas.
    • .dockerinit a été supprimé dans les versions plus récentes de Docker.
    • Je n'ai trouvé /.dockerenv là.
    • Cela ne semble pas pertinente dans le panneau 1.12, je n'ai pas .dockerinit ou .dockerinit
    • Méfiez-vous de compter sur /.dockerenv dans le long terme. C'est pas destiné à être utilisé de cette façon.
    • Aussi ne fonctionne pas sur le Panneau de Windows.
    • Aucune solution de contournement pour ce faire?

    InformationsquelleAutor at0S
  3. 19

    Nous utilisons le proc sched (/proc/$PID/sched) pour extraire le PID du processus. Le processus de PID à l'intérieur du conteneur seront différents, alors il PID sur l'hôte (un non-système de conteneurs).

    Par exemple, la sortie de /proc/1/sched sur un conteneur
    sera de retour:

    root@33044d65037c:~# cat /proc/1/sched | head -n 1
bash (5276, #threads: 1)

    Tout sur un non-conteneur de l'hôte:

    $ cat /proc/1/sched  | head -n 1
init (1, #threads: 1)

    Ce qui permet de le différencier si vous êtes dans un conteneur ou pas. par exemple, vous pouvez faire:

    if [[ ! $(cat /proc/1/sched | head -n 1 | grep init) ]]; then {
    echo in docker
} else {
    echo not in docker
} fi
    • J'ai fait la réponse plus lisible
    • Pourquoi avez-vous en bas de voté ? Demande à l'état une raison.
    • c'est en fait assez une information précieuse. merci
    • Selon le système d'exploitation, "init" peut être remplacé par "systemd". Plus d'informations sur systemd ici.
    • Comme mentionné par @BrianV, cela ne fonctionne pas pour moi aussi.
    • Dans un conteneur Docker en cours d'exécution sur un k8s cluster, head -n1 /proc/1/sched retourne dumb-init (1, #threads: 1), de sorte que le chèque est suggéré dans cette réponse échoue. (Aussi, contrairement à ce que la réponse indique, le PID est indiqué comme "1" dans la ligne même si je suis en train de faire ceci dans un récipient.)

    InformationsquelleAutor Founder
  4. 15

    Thomas solution que code:

    running_in_docker() {
  (awk -F/ '$2 == "docker"' /proc/self/cgroup | read non_empty_input)
}

    Note

    La read avec une variable muette est un simple langage pour cela produit une sortie?. C'est une méthode compact pour le tournage d'une verbose grep ou awk dans un test d'un motif.

    Note complémentaire sur lire

    • Sauf que...cela ne fonctionne pas dans certains envrionments, parce que, par exemple, 3:cpu,cpuacct:/system.slice/docker-1ce79a0dec4a2084d54acf187a1e177e0339dc90d0218b48b4456576ecaf291e.scope ne correspondent pas. Plus simple à grep -q docker /proc/1/cgroup; le code de résultat de qui doit également être suffisant.
    • read pourraient travailler pour bash, mais dans le plus utilisé dash shell, vous devez utiliser soit read dummy (ou similaire), ou utiliser une construction comme [ -n "$(command)" ]
    • Bonne prise, Daniel. Je vais mettre à jour le texte.
    • Auparavant, il prétendait que tout Bourne compatible shell prend en charge la plaine read sans nom de la variable. Ce n'est vrai que pour bash et ksh93. Le Opengroup ne spécifie read var, et ne mentionne pas read comportement sans au moins une variable. Dans bash et ksh93, si aucun var est donné, lire utilise la variable d'environnement REPLY.
    • Cela permettrait de fixer votre solution: (awk -F: '$3 ~ /docker/' /proc/self/cgroup | lire non_empty_input)
    • Pourquoi ne peut-on pas utiliser awk -F: '$3 ~ /docker/' /proc/self/cgroup | read? Fonctionne pour moi.

    InformationsquelleAutor Henk Langeveld
  5. 1

    Nous devions exclure les processus en cours d'exécution dans des conteneurs, mais au lieu de vérifier juste docker cgroups nous avons décidé de comparer /proc/<pid>/ns/pid à l'initialisation du système à /proc/1/ns/pid. Exemple:

    pid=$(ps ax | grep "[r]edis-server \*:6379" | awk '{print $1}')
if [ $(readlink "/proc/$pid/ns/pid") == $(readlink /proc/1/ns/pid) ]; then
   echo "pid $pid is the same namespace as init system"
else
   echo "pid $pid is in a different namespace as init system"
fi

    Ou dans notre cas, nous voulions une chemise qui génère une erreur si le processus n'est PAS dans un contenant

    bash -c "test -h /proc/4129/ns/pid && test $(readlink /proc/4129/ns/pid) != $(readlink /proc/1/ns/pid)"

    qui, nous pouvons l'exécuter à partir d'un autre processus, et si le code de sortie est à zéro, alors le PID spécifié est en cours d'exécution dans un autre espace de noms.

    • Ne fonctionne pas pour moi. Dans un k8s-prévue conteneur Docker, readlink /proc/self/ns/pid et readlink /proc/1/ns/pid produire le même résultat.
    • Voudrez peut-être essayer d'utiliser github.com/jessfraz/amicontained pour voir quelles fonctions sont activées dans le conteneur d'exécution.
    InformationsquelleAutor Greg Bray
  6. 1

    Ce qui fonctionne pour moi est de vérifier le numéro d'inœud de '/.'
    À l'intérieur du panneau, c'est un nombre très élevé.
    À l'extérieur du panneau, son très faible nombre comme '2'.
    Je pense que cette approche pourrait également dépendre sur le système de fichiers utilisé.

    Exemple

    À l'intérieur du panneau:

    # ls -ali /| sed '2!d' |awk {'print $1'}
1565265

    À l'extérieur de l'docker

    $ ls -ali / | sed '2!d' |awk {'print $1'}
2

    Dans un script:

    #!/bin/bash
INODE_NUM=`ls -ali /| sed '2!d' |awk {'print $1'}`
if [ $INODE_NUM == '2' ];
then
        echo "Outside the docker"
else
        echo "Inside the docker"
fi
    InformationsquelleAutor trohit
  7. -1

    J'ai créé un petit script python. J'espère que quelqu'un le trouve utile. 🙂

    #!/usr/bin/env python3
#@author Jorge III Altamirano Astorga 2018
import re
import math

total = None
meminfo = open('/proc/meminfo', 'r')
for line in meminfo:
    line = line.strip()
    if "MemTotal:" in line:
        line = re.sub("[^0-9]*", "", line)
        total = int(line)
meminfo.close()
print("Total memory: %d kB"%total)

procinfo = open('/proc/self/cgroup', 'r')
for line in procinfo: 
    line = line.strip()
    if re.match('.{1,5}:name=systemd:', line):
        dockerd = "/sys/fs/cgroup/memory" + \
            re.sub("^.{1,5}:name=systemd:", "", line) + \
            "/memory.stat"
        #print(dockerd)
        memstat = open(dockerd, 'r')
        for memline in memstat:
            memline = memline.strip()
            if re.match("hierarchical_memory_limit", memline):
                memline = re.sub("[^0-9]*", \
                    "", memline)  
                total = math.floor(int(memline) / 2**10)
        memstat.close()
procinfo.close()
print("Total available memory to the container: %d kB"%total)
    • c'est cool, mais la façon dont il aide à déterminer si vous êtes à l'intérieur d'un conteneur, ou pas?
    InformationsquelleAutor Jorge Altamirano