虽然Docker是通过namespace隔离技术实现容器间进程的隔离,但在运行Docker的主机中,Docker容器内的进程与主机内运行的进程是在同一个namespace(假设叫A)的。虽然在Docker容器内应用进程的父进程都是pid为1的那个进程(这些进程都是单独的namespace,这个namespace与前面提到的namespace不是同一个,此处假设为B),但在namespace A中Docker内容器实际的父进程都是Docker daemon,由于父进程具有对子进程管理的能力,而子进程不能影响到父进程也不能影响到其他namespace的进程,所以能实现进程隔离。

    由于Docker容器内的进程与主机内运行的进程是在同一个namespace,所以在主机中使用ps -ef命令可以查找出当前系统中运行的所有进程,这些进程包含了完整的与Docker有关的所有进程,在这个namespace中,这些进程的父进程(不管是父进程还是父父进程)都包含Docker daemon,因此可以从Docker容器某进程的pid开始,一直找到主机的init进程。

    有时我们需要根据docker容器进程的pid找到这个容器的容器id,这时通过Linux系统自带的基础命令是无法完成这一操作的。但要想通过pid获取容器id,办法还是有的。其中有两种可行的办法。

    第一种根据:docker inspect <CONTAINER ID>可以获取容器的pid,通过docker ps可以获取容器的容器id,因此可以将这两个命令结合在一起,利用下面的命令行就可以解决:

docker inspect -f '``.`State`.`Pid` ``.`Id`' $(docker ps -a -q) | grep 

 

    但是第一种有一个缺陷,那就是如果这个进程恰好是容器内进程的子进程,那么这个进程就不会再在主机的namespace中出现,因为只有容器的pid为1的进程才会在主机的namespace中出现。因此就必须使用第二种方法。

    第二种:在Docker Version 1.11后,增加了“containerd”,根据这个特性的实现方式可以直接通过此进程的父进程的cmdline找到它的容器id。这个方法的缺点就是不适用于Docker Version 1.11之前的版本。

    根据这两种特性,编写了一个Python脚本,用于发现:

    1.查找pid所对应的容器id,并打印容器的详细信息

    2.获取此进程的进程树和含有命令行的进程树

    脚本中还隐藏了一种根据进程推导出进程所占用端口号的函数。这个功能在此脚本中用处不大,但在别处有用处。

    由于脚本内容比较长,因此可以从Gitub上获取此脚本:

运行效果图(如果看不清,请使用新标签页打开图片查看原图)如下:

Docker Server Version < 1.11

一个第一种方法失败的例子。

此时,就有必要借助第二种方法实现(如果看不清,请使用新标签页打开图片查看原图)

 

题外话:

    关于init进程,“init进程是所有Linux进程的父进程”,这句话其实是错的!也许应该说init进程是所有Linux用户空间进程的父进程,pid 2 [kthreadd]是Linux系统内核空间进程的父进程。除了2以外,3、4、5等也是特殊进程pid,它们的父进程都不是init。除此之外,0也是一个特殊的进程,用于进程调度。

tag: 通过pid获得容器id,容器namespace,如何查找容器id

--end--