[docker] Docker 컨테이너의 호스트에서 쉘 스크립트를 실행하는 방법은 무엇입니까?
Docker 컨테이너에서 호스트를 제어하는 방법은 무엇입니까?
예를 들어, 호스트 bash 스크립트에 복사를 실행하는 방법은 무엇입니까?
답변
그것은 정말로 bash 스크립트가 필요한 것에 달려 있습니다!
예를 들어 bash 스크립트가 일부 출력 만 에코하면 다음을 수행 할 수 있습니다.
docker run --rm -v $(pwd)/mybashscript.sh:/mybashscript.sh ubuntu bash /mybashscript.sh
또 다른 가능성은 bash 스크립트가 일부 소프트웨어를 설치하도록하는 것입니다 (예 : docker-compose를 설치하는 스크립트). 당신은 다음과 같은 것을 할 수 있습니다
docker run --rm -v /usr/bin:/usr/bin --privileged -v $(pwd)/mybashscript.sh:/mybashscript.sh ubuntu bash /mybashscript.sh
그러나이 시점에서 컨테이너 내부에서 호스트에 필요한 특정 권한을 허용하기 위해 스크립트가 수행하는 작업을 자세히 알아야합니다.
답변
내가 사용하는 해결책은 호스트에 연결하고 다음 SSH과 같은 명령을 실행하는 것입니다.
ssh -l ${USERNAME} ${HOSTNAME} "${SCRIPT}"
최신 정보
이 답변이 계속 투표를 받기 때문에 스크립트를 호출하는 데 사용되는 계정은 권한이 전혀없는 계정이어야하지만 해당 스크립트를 다음과 같이 실행해야한다는 점을 상기시키고 싶습니다 sudo. sudoers파일 에서 완료 ).
답변
명명 된 파이프를 사용했습니다. 호스트 os에서 명령을 반복하고 읽는 스크립트를 만든 다음 eval을 호출합니다.
Docker 컨테이너가 명명 된 파이프를 읽도록합니다.
파이프에 액세스하려면 볼륨을 통해 마운트해야합니다.
이것은 SSH 메커니즘 (또는 유사한 소켓 기반 방법)과 유사하지만 호스트 장치로 적절하게 제한하므로 아마도 더 좋을 것입니다. 또한 인증 정보를 전달할 필요가 없습니다.
나의 유일한 경고는 당신이 이것을하는 이유에 대해 조심하라는 것입니다. 사용자 입력 등으로 자체 업그레이드하는 방법을 만들고 싶다면 완전히해야 할 일이지만, 적절한 방법은 args로 전달하는 것이기 때문에 일부 구성 데이터를 가져 오는 명령을 호출하고 싶지 않을 것입니다. / 볼륨을 도커에 넣습니다. 또한 회피하고 있다는 사실에주의해야하므로 허가 모델에 대해 생각해보십시오.
볼륨에서 스크립트를 실행하는 것과 같은 다른 답변 중 일부는 전체 시스템 리소스에 액세스 할 수 없기 때문에 일반적으로 작동하지 않지만 사용량에 따라 더 적절할 수 있습니다.
답변
보안에 대해 걱정하지 않고 단순히 OP와 같은 다른 도커 컨테이너 내에서 호스트에서 도커 컨테이너를 시작하려는 경우 청취 소켓을 공유하여 호스트에서 실행중인 도커 컨테이너를 도커 컨테이너와 공유 할 수 있습니다.
https://docs.docker.com/engine/security/security/#docker-daemon-attack-surface를 참조 하십시오. 귀하의 개인 위험 허용이 특정 응용 프로그램이 허용하는 경우를 참조하십시오.
시작 명령에 다음 볼륨 인수를 추가하여이를 수행 할 수 있습니다.
docker run -v /var/run/docker.sock:/var/run/docker.sock ...
또는 도커 내에서 /var/run/docker.sock을 공유하여 다음과 같이 파일을 작성합니다.
version: '3'
services:
ci:
command: ...
image: ...
volumes
- /var/run/docker.sock:/var/run/docker.sock
Docker 컨테이너 내에서 docker start 명령을 실행하면 호스트에서 실행중인 Docker 서버가 요청을보고 형제 컨테이너를 프로비저닝합니다.
크레딧 : http://jpetazzo.github.io/2015/09/03/do-not-use-docker-in-docker-for-ci/
답변
이 답변은 Bradford Medeiros 솔루션의 더 자세한 버전 일 뿐이며 저에게도 가장 좋은 답변으로 판명되었으므로 그에게 신용이 돌아갑니다.
그의 대답에서 그는 무엇을해야하는지 ( 파이프 명명 ) 설명하지만 정확히 어떻게해야하는지 설명하지 않습니다.
나는 그의 해결책을 읽을 당시에 명명 된 파이프가 무엇인지 몰랐다는 것을 인정해야한다. 그래서 구현하는 데 어려움을 겪었지만 (실제로는 정말 간단하지만) 성공 했으므로 어떻게했는지 설명함으로써 기꺼이 도와 드리겠습니다. 그래서 내 대답의 요점은 작동하기 위해 실행해야 할 명령을 자세히 설명하는 것입니다.
1 부-Docker없이 명명 된 파이프 개념 테스트
기본 호스트에서 명명 된 파이프 파일을 저장할 폴더 (예 /path/to/pipe/: 파이프 이름)를 mypipe선택한 후 다음을 실행합니다.
mkfifo /path/to/pipe/mypipe
파이프가 생성됩니다. 유형
ls -l /path/to/pipe/mypipe
그리고 액세스 권한이 “p”로 시작하는지 확인하십시오.
prw-r--r-- 1 root root 0 mypipe
이제 실행 :
tail -f /path/to/pipe/mypipe
터미널은 이제 데이터가이 파이프로 전송되기를 기다리고 있습니다.
이제 다른 터미널 창을 엽니 다.
그리고 실행 :
echo "hello world" > /path/to/pipe/mypipe
첫 번째 터미널 (가있는 터미널)을 확인하면 tail -f“hello world”가 표시되어야합니다.
2 부-파이프를 통해 명령 실행
호스트 컨테이너에서 tail -f입력으로 전송 된 내용 만 출력 하는 실행 대신 명령으로 실행하는 다음 명령을 실행합니다.
eval "$(cat /path/to/pipe/mypipe)"
그런 다음 다른 터미널에서 다음을 실행 해보십시오.
echo "ls -l" > /path/to/pipe/mypipe
첫 번째 터미널로 돌아 가면 결과가 표시됩니다. ls -l 명령 .
파트 3-영원히들을 수 있도록
이전 부분에서 ls -l 출력이 표시된 에 명령 수신이 중지 .
대신 다음을 eval "$(cat /path/to/pipe/mypipe)"실행하십시오.
while true; do eval "$(cat /path/to/pipe/mypipe)"; done
(당신은 그것을 할 수 있습니다)
이제 무제한의 명령을 차례로 보낼 수 있으며 첫 번째 명령뿐만 아니라 모두 실행됩니다.
파트 4-재부팅이 발생해도 작동하도록 만들기
유일한주의 사항은 호스트를 재부팅해야하는 경우 “while”루프가 작동을 중지한다는 것입니다.
재부팅을 처리하기 위해 내가 한 일은 다음과 같습니다.
를 붙이 while true; do eval "$(cat /path/to/pipe/mypipe)"; done라는 파일 execpipe.sh과 #!/bin/bash헤더
잊지 마세요 chmod +x그것을
실행하여 crontab에 추가하십시오.
crontab -e
그리고 추가
@reboot /path/to/execpipe.sh
이 시점에서 테스트하십시오. 서버를 재부팅하고 백업이 완료되면 일부 명령을 파이프에 에코하고 실행 여부를 확인하십시오. 물론 명령의 출력을 볼 수 ls -l없으므로 도움이되지 않지만touch somefile 이 될 것입니다.
또 다른 옵션은 다음과 같이 출력을 파일에 저장하도록 스크립트를 수정하는 것입니다.
while true; do eval "$(cat /path/to/pipe/mypipe)" &> /somepath/output.txt; done
이제 실행 ls -l및 출력 (stdout 및 stderr 모두&> bash에서 )은 output.txt에 있어야합니다.
5 부-Docker와 함께 작동하도록 만들기
나처럼 docker compose와 dockerfile을 모두 사용하는 경우 다음 작업을 수행했습니다.
/hostpipe컨테이너에서 와 같이 mypipe의 상위 폴더를 마운트한다고 가정 해 보겠습니다.
이거 추가 해봐:
VOLUME /hostpipe
마운트 지점을 만들기 위해 dockerfile에서
그런 다음 이것을 추가하십시오.
volumes:
- /path/to/pipe:/hostpipe
도커에서 / path / to / pipe를 / hostpipe로 마운트하기 위해 파일을 작성하십시오.
Docker 컨테이너를 다시 시작하십시오.
6 부-테스트
Docker 컨테이너로 실행하십시오.
docker exec -it <container> bash
마운트 폴더로 이동하여 파이프를 볼 수 있는지 확인하십시오.
cd /hostpipe && ls -l
이제 컨테이너 내에서 명령을 실행 해보십시오.
echo "touch this_file_was_created_on_main_host_from_a_container.txt" > /hostpipe/mypipe
그리고 작동합니다!
경고 : OSX (Mac OS) 호스트와 Linux 컨테이너가있는 경우 작동하지 않습니다 (설명은 여기 https://stackoverflow.com/a/43474708/10018801 및 발행은 여기 https://github.com/docker / for-mac / issues / 483 ) 파이프 구현이 동일하지 않기 때문에 Linux에서 파이프에 쓴 내용은 Linux에서만 읽을 수 있고 Mac OS에서 파이프에 쓴 내용은 Mac OS (이 문장은 정확하지 않을 수 있지만 크로스 플랫폼 문제가 존재한다는 점만 기억하십시오).
예를 들어, Mac OS 컴퓨터에서 DEV에서 Docker 설정을 실행하면 위에서 설명한대로 명명 된 파이프가 작동하지 않습니다. 그러나 스테이징 및 프로덕션에서는 Linux 호스트 및 Linux 컨테이너가 있으며 완벽하게 작동합니다.
7 부-Node.JS 컨테이너의 예
다음은 노드 js 컨테이너에서 기본 호스트로 명령을 보내고 출력을 검색하는 방법입니다.
const pipePath = "/hostpipe/mypipe"
const outputPath = "/hostpipe/output.txt"
const commandToRun = "pwd && ls-l"
console.log("delete previous output")
if (fs.existsSync(outputPath)) fs.unlinkSync(outputPath)
console.log("writing to pipe...")
const wstream = fs.createWriteStream(pipePath)
wstream.write(commandToRun)
wstream.close()
console.log("waiting for output.txt...") //there are better ways to do that than setInterval
let timeout = 10000 //stop waiting after 10 seconds (something might be wrong)
const timeoutStart = Date.now()
const myLoop = setInterval(function () {
if (Date.now() - timeoutStart > timeout) {
clearInterval(myLoop);
console.log("timed out")
} else {
//if output.txt exists, read it
if (fs.existsSync(outputPath)) {
clearInterval(myLoop);
const data = fs.readFileSync(outputPath).toString()
if (fs.existsSync(outputPath)) fs.unlinkSync(outputPath) //delete the output file
console.log(data) //log the output of the command
}
}
}, 300);
답변
포트 (예 : 8080)에서 수신 대기하는 간단한 서버 파이썬 서버를 작성하고, -p 8080 : 8080 포트를 컨테이너에 바인딩하고, localhost : 8080에 HTTP 요청을 수행하여 popen으로 쉘 스크립트를 실행하는 파이썬 서버에 요청하고, curl 또는 HTTP 요청을 만드는 코드 작성 curl -d ‘{ “foo”: “bar”}’localhost : 8080
#!/usr/bin/python
from BaseHTTPServer import BaseHTTPRequestHandler,HTTPServer
import subprocess
import json
PORT_NUMBER = 8080
# This class will handles any incoming request from
# the browser
class myHandler(BaseHTTPRequestHandler):
def do_POST(self):
content_len = int(self.headers.getheader('content-length'))
post_body = self.rfile.read(content_len)
self.send_response(200)
self.end_headers()
data = json.loads(post_body)
# Use the post data
cmd = "your shell cmd"
p = subprocess.Popen(cmd, stdout=subprocess.PIPE, shell=True)
p_status = p.wait()
(output, err) = p.communicate()
print "Command output : ", output
print "Command exit status/return code : ", p_status
self.wfile.write(cmd + "\n")
return
try:
# Create a web server and define the handler to manage the
# incoming request
server = HTTPServer(('', PORT_NUMBER), myHandler)
print 'Started httpserver on port ' , PORT_NUMBER
# Wait forever for incoming http requests
server.serve_forever()
except KeyboardInterrupt:
print '^C received, shutting down the web server'
server.socket.close()
답변
내 게으름으로 인해 여기에 답변으로 게시되지 않은 가장 쉬운 해결책을 찾게되었습니다.
그것은 luc juggery 의 위대한 기사 를 기반으로합니다 .
Docker 컨테이너 내에서 Linux 호스트에 대한 전체 셸을 얻으려면 다음을 수행하면됩니다.
docker run --privileged --pid=host -it alpine:3.8 \
nsenter -t 1 -m -u -n -i sh
설명:
–privileged : 컨테이너에 추가 권한을 부여하고 컨테이너가 호스트 (/ dev)의 장치에 액세스 할 수 있도록합니다.
–pid = host : 컨테이너가 Docker 호스트 (Docker 데몬이 실행중인 VM)의 프로세스 트리를 사용할 수 있도록합니다. nsenter 유틸리티 : 기존 네임 스페이스 (컨테이너에 격리를 제공하는 빌딩 블록)에서 프로세스를 실행할 수 있습니다.
nsenter (-t 1 -m -u -n -i sh)를 사용하면 PID 1이있는 프로세스와 동일한 격리 컨텍스트에서 sh 프로세스를 실행할 수 있습니다. 그러면 전체 명령이 VM에 대화 형 sh 셸을 제공합니다.
이 설정은 보안에 중요한 영향을 미치며주의하여 사용해야합니다 (있는 경우).
