Docker容器内执行宿主机指令_docker 调用宿主程序

一 背景

        最近项目有个需求，需要程序配置服务器IP并且可以重启服务器。如果程序直接部署在服务器，相信大家都会操作。但是程序是用docker运行的，在docker中执行指令就很麻烦了。这时候需要添加容器一些特殊的权限和执行一些特殊的命令就可以执行宿主机上面的指令了。

二 解决办法

docker运行时添加参数 --pid=host --privileged=true

如下实例：

docker run -itd --pid=host --privileged=true -p 9683:9683 hss-server

同理，使用docker-compose部署时也添加

privileged: true
pid: host

如下图所示 

说明：

• pid=host :

使用宿主机命名空间，方便容器获取到宿主机所有进程信息。将宿主机的/proc文件夹挂载进入容器的/proc路径 , 其中/proc/1作为nsenter的目标；

• nsenter:

nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令，位于util-linux包中 。该命令作为容器向宿主机发送命令的关键部分 。

使用格式

nsenter -a -t <pid> <command> 或者nsenter -m -u -i -n -p -t <pid> <command> ；

-a表示进入宿主机的所有命名空间 , -t 表示获取/proc/{pid}进程 ，liniux旧版本可能不支持。需要使用 -m -u -i -n -p 。 -m -u -i -n -p，表示进入mount, UTS,System V IPC,网络,pid命名空间, 这几个命名空间包含了绝大多数的空间环境。

• privileged=true

使得docker容器有root权限执行宿主机命令，确保从容器执行命令时不会报权限不足提示;

三 实战

1. 容器中直接操作

以重启服务器举例：

启动容器

在容器中执行

nsenter -m -u -i -n -p -t 1 sh -c "reboot"

可以看到服务器已重启，说明在容器中已可以执行宿主机的命令

2. 这里以golang项目代码举例

定义一个docker内执行指令的公共函数

func DockerRunCommand(command string) (err error) {

/*

nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令，位于util-linux包中 。该命令作为容器向宿主机发送命令的关键部分 。

使用格式：nsenter -a -t <pid> <command> 或者nsenter -m -u -i -n -p -t <pid> <command> ；

-a表示进入宿主机的所有命名空间 , -t 表示获取/proc/{pid}进程 ，liniux旧版本可能不支持。

需要使用 -m -u -i -n -p 。 -m -u -i -n -p，表示进入mount, UTS,System V IPC,网络,pid命名空间,

这几个命名空间包含了绝大多数的空间环境。

*/

cmd := exec.Command("nsenter", "-m", "-u", "-i", "-n", "-p", "-t", "1", "sh", "-c", command)

log.Debug("DockerRunCommand==", cmd.String())

var stderr bytes.Buffer

cmd.Stderr = &stderr

err = cmd.Run()

if err != nil {

log.Println("运行系统命令错误", err, ":", stderr.String())

return

}

return

}

调用该函数