第10章 容器交互与调试

在第9章学习了容器生命周期管理后，本章将深入探讨如何与运行中的容器进行交互，以及常用的调试技巧。这些技能在日常开发和问题排查中至关重要。

10.1 进入容器：docker exec

10.1.1 基本用法

# 进入容器并执行bashdockerexec-it webbash# 如果容器使用的是Alpine Linux（没有bash）dockerexec-it websh# 执行单个命令dockerexecwebls/appdockerexecwebpsauxdockerexecwebcat/etc/nginx/nginx.conf# 以特定用户身份执行dockerexec-u root webwhoamidockerexec-u1000:1000 webid

10.1.2 参数详解

# -i: 保持STDIN打开（交互式）# -t: 分配伪终端dockerexec-it webbash# -d: 后台执行dockerexec-d webtouch/tmp/test.txt# -e: 设置环境变量dockerexec-eMY_VAR=value webenv|grepMY_VAR# -w: 指定工作目录dockerexec-w /app webpwd# --privileged: 特权模式dockerexec--privileged webfdisk-l# --user: 指定用户dockerexec--user nginx webwhoami

10.1.3 实战场景

场景1：查看应用日志

# 进入容器查看日志dockerexec-it webbashtail-f /var/log/nginx/access.log# 或直接查看dockerexecwebtail-100 /var/log/nginx/error.log

场景2：调试应用

# 进入Python应用容器dockerexec-it myappbash# 启动Python交互式环境python3>>>importsys>>>print(sys.path)# 或直接执行dockerexecmyapp python3 -c"import sys; print(sys.version)"

场景3：数据库操作

# 进入MySQL容器dockerexec-it mysqlbash# 连接数据库mysql -uroot -p# 或直接执行SQLdockerexecmysql mysql -uroot -psecret -e"SHOW DATABASES;"# Redis操作dockerexec-it redis redis-cli127.0.0.1:6379>PING PONG127.0.0.1:6379>KEYS *# 或直接执行dockerexecredis redis-cli KEYS"*"

场景4：应用热修复

# 进入容器修改配置dockerexec-it webbash# 安装编辑器（临时）apt-getupdate&&apt-getinstall-yvim# 修改配置文件vim/etc/nginx/nginx.conf# 重新加载配置nginx -s reload# 注意：容器重启后修改会丢失，应该通过镜像或挂载卷持久化

10.1.4 exec vs attach

# docker exec: 启动新进程dockerexec-it webbash# - 开启新的shell进程# - 退出不影响容器# - 可以多个终端同时exec# docker attach: 连接到主进程dockerattach web# - 连接到容器的主进程（PID 1）# - Ctrl+C可能终止容器# - 只能有一个终端attach# 推荐使用exec而不是attach

对比示例：

# 启动nginx容器dockerrun -d --name web nginx# 使用attach（不推荐）dockerattach web# 看不到shell提示符，只能看到nginx日志# Ctrl+C会停止容器# 使用exec（推荐）dockerexec-it webbash# 获得一个新的bash shell# 可以自由操作，exit不影响容器

10.2 文件拷贝：docker cp

10.2.1 从容器复制到主机

# 基本语法dockercp<container>:<src_path><dest_path># 复制文件dockercpweb:/etc/nginx/nginx.conf ./nginx.conf# 复制目录dockercpweb:/var/log/nginx ./logs/# 复制多个文件（使用通配符需要进入容器）dockerexecwebtar-czf /tmp/logs.tar.gz /var/log/nginxdockercpweb:/tmp/logs.tar.gz ./tar-xzf logs.tar.gz# 保留权限和属性dockercp-a web:/app ./app-backup

10.2.2 从主机复制到容器

# 复制文件到容器dockercp./config.json web:/app/config.json# 复制目录到容器dockercp./html/ web:/usr/share/nginx/html/# 复制并重命名dockercp./app.py web:/app/main.py# 批量复制forfilein*.conf;dodockercp$fileweb:/etc/nginx/conf.d/done

10.2.3 实战场景

场景1：备份容器数据

#!/bin/bash# backup-container-data.shCONTAINER=$1BACKUP_DIR="./backups/$(date+%Y%m%d)"mkdir-p$BACKUP_DIR# 备份配置文件dockercp$CONTAINER:/etc/nginx/nginx.conf$BACKUP_DIR/# 备份日志dockercp$CONTAINER:/var/log/nginx$BACKUP_DIR/logs/# 备份应用数据dockercp$CONTAINER:/app/data$BACKUP_DIR/data/echo"Backup completed:$BACKUP_DIR"

场景2：热更新配置文件

# 修改本地配置vimnginx.conf# 复制到容器dockercpnginx.conf web:/etc/nginx/nginx.conf# 测试配置dockerexecweb nginx -t# 重新加载dockerexecweb nginx -s reload

场景3：提取容器生成的文件

# 容器内生成报告dockerexecbuild-containermakereport# 提取报告dockercpbuild-container:/app/output/report.pdf ./# 提取编译产物dockercpbuild-container:/app/dist ./dist/

场景4：调试应用

# 复制调试版本的文件到容器dockercpapp.py web:/app/app.py# 重启应用进程dockerexecwebpkill-HUP python3# 或重启容器dockerrestart web

10.2.4 cp命令的局限性

# ❌ 不支持通配符dockercpweb:/app/*.py ./# 不工作# ✅ 解决方案：使用tardockerexecwebtar-czf /tmp/py-files.tar.gz /app/*.pydockercpweb:/tmp/py-files.tar.gz ./tar-xzf py-files.tar.gz# ❌ 不能在两个容器间直接复制dockercpweb1:/app/file web2:/app/# 不工作# ✅ 解决方案：通过主机中转dockercpweb1:/app/file ./filedockercp./file web2:/app/rm./file# 或使用共享卷dockerrun -v shared:/data --name web1 nginxdockerrun -v shared:/data --name web2 nginx

10.3 容器提交：docker commit

10.3.1 基本提交

# 将容器保存为新镜像dockercommit web mynginx:v1# 添加作者和提交信息dockercommit -a"Your Name"-m"Added custom config"web mynginx:v1# 提交时暂停容器（默认）dockercommit -p web mynginx:v1# 提交时不暂停（危险）dockercommit -p=false web mynginx:v1

10.3.2 提交时的变更

# 修改CMDdockercommit --change='CMD ["nginx", "-g", "daemon off;"]'web mynginx:v1# 修改EXPOSEdockercommit --change='EXPOSE 80 443'web mynginx:v1# 修改ENVdockercommit --change='ENV DEBUG=true'web mynginx:v1# 多个变更dockercommit\--change='ENV DEBUG=true'\--change='EXPOSE 80'\--change='CMD ["nginx"]'\web mynginx:v1

10.3.3 实战场景

场景1：保存调试环境

# 启动基础容器dockerrun -it --name debug ubuntubash# 安装调试工具apt-getupdateapt-getinstall-ycurlvimnet-tools tcpdumpstrace# 保存为新镜像dockercommit debug ubuntu:debug# 以后可以直接使用dockerrun -it --rm ubuntu:debugbash

场景2：快速原型

# 启动容器dockerrun -it --name proto python:3.11bash# 安装依赖并配置pipinstallflask requestsmkdir/appecho'from flask import Flask...'>/app/app.py# 保存为镜像dockercommit proto myapp:proto# 测试dockerrun -d -p5000:5000 myapp:proto python /app/app.py

场景3：临时修复

# 生产环境紧急修复dockerexec-it prod-appbash# 应用补丁patch -p1</tmp/hotfix.patch# 提交为新版本dockercommit prod-app myapp:v1.2.1-hotfix# 更新部署dockerstop prod-appdockerrun -d --name prod-app myapp:v1.2.1-hotfix# 注意：后续应该通过Dockerfile正式修复

10.3.4 commit的最佳实践

✅ 适合使用commit的场景：

• 快速测试和原型开发
• 保存调试环境
• 紧急热修复（临时方案）
• 学习和实验

❌ 不推荐使用commit的场景：

• 生产环境镜像构建
• 团队协作项目
• 需要版本控制的项目
• 需要可重复构建的场景

为什么不推荐在生产中使用commit：

# ❌ 使用commit（黑盒）dockerrun -it ubuntubash# ... 执行一系列操作 ...dockercommit container myapp:v1# 问题：不知道做了什么修改，无法重现# ✅ 使用Dockerfile（透明）cat>Dockerfile<<EOF FROM ubuntu:22.04 RUN apt-get update && apt-get install -y \ curl \ vim \ && rm -rf /var/lib/apt/lists/* COPY app.py /app/ WORKDIR /app CMD ["python", "app.py"] EOFdockerbuild -t myapp:v1.# 优点：所有步骤清晰可见，可以版本控制，可以重现

10.4 导出和导入容器

10.4.1 导出容器

# 导出运行中或停止的容器dockerexportweb>web-container.tar# 或使用-o参数dockerexport-o web-container.tar web# 压缩导出dockerexportweb|gzip>web-container.tar.gz# 查看导出文件内容tar-tzf web-container.tar.gz|head-20

10.4.2 导入为镜像

# 从tar文件导入catweb-container.tar|dockerimport- mynginx:exporteddockerimportweb-container.tar mynginx:exported# 从URL导入dockerimporthttps://example.com/container.tar mynginx:v1# 导入时添加Dockerfile指令dockerimport\--change'CMD ["nginx", "-g", "daemon off;"]'\--change'EXPOSE 80'\web-container.tar mynginx:v1# 导入时添加消息dockerimport-m"Imported from production"web-container.tar mynginx:v1

10.4.3 export vs save 完整对比

实例对比：

# 准备测试镜像dockerpull nginx:alpine# 1. 使用save（保留完整信息）dockersave nginx:alpine>nginx-save.tardockerload<nginx-save.tardockerhistorynginx:alpine# 输出：完整的构建历史# 2. 使用export（只保留文件系统）dockerrun -d --nametestnginx:alpinedockerexporttest>nginx-export.tardockerimportnginx-export.tar mynginx:importeddockerhistorymynginx:imported# 输出：只有一条记录（导入）# 大小对比ls-lh nginx-save.tar nginx-export.tar# nginx-save.tar: 9.5 MB# nginx-export.tar: 7.8 MB

10.4.4 实战场景

场景1：创建最小化镜像

# 运行容器并安装必要软件dockerrun --name mini alpinesh-c" apk add --no-cache python3 py3-pip && \ pip3 install flask "# 导出并导入（移除apk缓存等）dockerexportmini|dockerimport- myflask:mini# 清理dockerrmmini# 使用新镜像dockerrun -d myflask:mini python3 -m flask run

场景2：容器迁移

# 在机器A上导出dockerexportprod-app>prod-app-snapshot.tarscpprod-app-snapshot.tar user@machineB:/tmp/# 在机器B上导入dockerimport/tmp/prod-app-snapshot.tar myapp:migrateddockerrun -d --name prod-app myapp:migrated /start.sh

场景3：离线环境部署

# 在线环境准备dockerrun -d --name app nginxdockerexecappsh-c"echo 'custom content' > /usr/share/nginx/html/index.html"dockerexportapp|gzip>app-configured.tar.gz# 传输到离线环境# 离线环境导入gunzip -c app-configured.tar.gz|dockerimport- myapp:offline

10.5 容器调试技巧

10.5.1 查看容器进程

# 查看容器内所有进程dockertopweb# 查看详细进程信息dockertopweb aux# 持续监控进程watch-n1'docker top web aux'# 查看进程树dockerexecwebpsauxf# 查看特定进程dockerexecwebpsaux|grepnginxdockerexecweb pgrep -a nginx

10.5.2 查看容器网络

# 查看容器IP地址dockerinspect web --format'{{.NetworkSettings.IPAddress}}'# 查看所有网络信息dockerinspect web --format'{{json .NetworkSettings}}'|jq# 查看端口映射dockerport web# 测试容器网络连通性dockerexecwebping-c3google.comdockerexecwebcurl-I http://localhost# 查看网络连接dockerexecwebnetstat-tlnpdockerexecweb ss -tlnp# DNS解析测试dockerexecwebnslookupgoogle.comdockerexecwebdiggoogle.com

10.5.3 查看容器文件系统

# 查看容器文件系统变更dockerdiffweb# 输出示例：# C /var/log# A /var/log/nginx/access.log# A /var/log/nginx/error.log# C /etc/nginx# C /etc/nginx/nginx.conf# C: Changed（修改）# A: Added（新增）# D: Deleted（删除）# 查看容器磁盘使用dockerexecwebdf-h# 查看特定目录大小dockerexecwebdu-sh /var/logdockerexecwebdu-h /app|sort-h

10.5.4 调试容器启动失败

问题1：容器立即退出

# 查看容器退出原因dockerps-adockerlogs webdockerinspect web --format'{{.State.ExitCode}}'# 常见退出码# 0: 正常退出# 1: 应用错误# 125: Docker守护进程错误# 126: 命令无法执行# 127: 命令未找到# 137: SIGKILL（内存不足或手动kill）# 143: SIGTERM（docker stop）# 解决方案：覆盖CMD进入调试模式dockerrun -it --name debug nginxbash# 在容器内手动启动服务，查看错误nginx -g"daemon off;"

问题2：容器启动缓慢

# 查看启动日志dockerlogs -f web# 查看启动时间dockerinspect web --format'{{.State.StartedAt}}'dockerinspect web --format'{{.Created}}'# 查看资源使用dockerstats web --no-stream# 分析瓶颈dockerexecwebtimepython app.py

问题3：权限问题

# 查看文件权限dockerexecwebls-la /app# 查看运行用户dockerexecwebwhoamidockerexecwebid# 以root用户调试dockerexec-u root webbash# 修复权限dockerexec-u root webchown-R www-data:www-data /app

10.5.5 实时调试技巧

技巧1：使用strace追踪系统调用

# 安装stracedockerexec-u root webapt-getupdate&&apt-getinstall-ystrace# 追踪进程dockerexecwebstrace-p$(dockerexecweb pgrep nginx|head-1)# 追踪新进程dockerexecwebstracepython app.py

技巧2：使用tcpdump抓包

# 安装tcpdumpdockerexec-u root webapt-getinstall-y tcpdump# 抓包dockerexecweb tcpdump -i eth0 -n# 抓取特定端口dockerexecweb tcpdump -i eth0 port80-n# 保存到文件dockerexecweb tcpdump -i eth0 -w /tmp/capture.pcapdockercpweb:/tmp/capture.pcap ./

技巧3：使用lsof查看文件占用

# 安装lsofdockerexec-u root webapt-getinstall-ylsof# 查看进程打开的文件dockerexecweblsof-p$(dockerexecweb pgrep nginx|head-1)# 查看端口占用dockerexecweblsof-i :80

技巧4：内存泄漏调试

# 查看内存使用趋势dockerstats web --no-stream --format"{{.MemUsage}}"# 持续监控watch-n5'docker stats web --no-stream'# 使用pmap查看内存映射dockerexecweb pmap$(dockerexecweb pgrep python|head-1)# Python内存分析dockerexecweb python -m memory_profiler app.py

10.6 调试工具镜像

10.6.1 创建调试工具镜像

# Dockerfile.debug FROM ubuntu:22.04 # 安装常用调试工具 RUN apt-get update && apt-get install -y \ curl \ wget \ vim \ net-tools \ iproute2 \ iputils-ping \ dnsutils \ tcpdump \ strace \ lsof \ htop \ jq \ && rm -rf /var/lib/apt/lists/* CMD ["bash"]

# 构建调试镜像dockerbuild -f Dockerfile.debug -t debug-tools:latest.# 使用调试容器dockerrun -it --rm --network container:web debug-toolsbash# 现在可以使用所有工具调试web容器的网络

10.6.2 使用工具容器调试

# 共享网络命名空间调试dockerrun -it --rm --network container:web nicolaka/netshoot# 在容器内ifconfignetstat-tlnp tcpdump -i eth0# 共享进程命名空间调试dockerrun -it --rm --pid container:web ubuntubash# 在容器内可以看到目标容器的所有进程psaux

10.6.3 临时边车容器调试

# 启动应用容器dockerrun -d --name app myapp:latest# 启动共享网络的调试容器dockerrun -it --rm\--network container:app\--name debugger\ubuntubash# 在debugger容器中测试app的网络apt-getupdate&&apt-getinstall-ycurlcurlhttp://localhost:8080

10.7 实战：构建调试工作流

10.7.1 本地开发调试工作流

# 1. 挂载代码目录（实时同步）dockerrun -d\--name dev-app\-v$(pwd):/app\-p5000:5000\python:3.11\python /app/app.py# 2. 修改本地代码vimapp.py# 3. 热重载（如果应用支持）# 或重启容器dockerrestart dev-app# 4. 查看日志dockerlogs -f dev-app# 5. 进入容器调试dockerexec-it dev-appbashpython -m pdb /app/app.py

10.7.2 生产环境调试工作流

#!/bin/bash# debug-production.shCONTAINER=$1if[-z"$CONTAINER"];thenecho"Usage:$0<container-name>"exit1fiecho"🔍 Debugging container:$CONTAINER"echo"=================================="# 1. 检查容器状态echo"1. Container Status:"dockerps-a --filtername=$CONTAINER--format"table {{.Status}}\t{{.Ports}}"# 2. 检查最近日志echo-e"\n2. Recent Logs (last 50 lines):"dockerlogs --tail50$CONTAINER# 3. 检查资源使用echo-e"\n3. Resource Usage:"dockerstats --no-stream$CONTAINER# 4. 检查进程echo-e"\n4. Processes:"dockertop$CONTAINER# 5. 检查网络echo-e"\n5. Network:"dockerinspect$CONTAINER--format'{{range .NetworkSettings.Networks}}IP: {{.IPAddress}}{{end}}'dockerport$CONTAINER# 6. 检查文件系统变更echo-e"\n6. Filesystem Changes:"dockerdiff$CONTAINER|head-20# 7. 进入交互式调试echo-e"\n7. Enter interactive shell? (y/n)"read-n1-rechoif[[$REPLY=~^[Yy]$]];thendockerexec-it$CONTAINERbash||dockerexec-it$CONTAINERshfi

10.7.3 自动化健康检查

#!/bin/bash# health-check.shwhiletrue;do# 检查容器健康状态HEALTH=$(dockerinspect --format='{{.State.Health.Status}}'web2>/dev/null)if["$HEALTH"="unhealthy"];thenecho"[$(date)] ⚠️ Container unhealthy, collecting debug info..."# 收集日志dockerlogs --tail200web>/tmp/web-debug-$(date+%s).log# 收集资源使用dockerstats --no-stream web>>/tmp/web-debug-$(date+%s).log# 尝试自动恢复dockerrestart webecho"[$(date)] 🔄 Container restarted"fisleep30done

10.8 小结

通过本章学习，我们掌握了容器交互与调试的核心技能：

✅容器交互

• docker exec: 执行命令和进入容器
• docker cp: 文件复制
• docker attach: 连接到主进程

✅容器保存

• docker commit: 提交容器为镜像
• docker export: 导出容器
• docker import: 导入容器

✅调试技巧

• 查看进程、网络、文件系统
• 诊断启动失败
• 使用调试工具
• 实时追踪和分析

✅最佳实践

• 使用exec而不是attach
• 优先使用Dockerfile而非commit
• 构建专用调试镜像
• 自动化调试工作流

常用调试命令速查

# 进入容器dockerexec-it<container>bash# 查看日志dockerlogs -f<container># 查看资源dockerstats<container># 查看进程dockertop<container># 查看网络dockerinspect<container>--format'{{.NetworkSettings.IPAddress}}'# 复制文件dockercp<container>:/path/to/file ./# 查看变更dockerdiff<container># 测试网络dockerexec<container>curlhttp://example.com

调试思路

容器问题排查流程： 1. 查看容器状态（docker ps -a） 2. 查看日志（docker logs） 3. 查看资源使用（docker stats） 4. 进入容器检查（docker exec） 5. 查看进程状态（docker top） 6. 检查网络连接（docker inspect） 7. 分析文件系统（docker diff） 8. 必要时使用专用工具（strace/tcpdump）

下一步

在第11章中，我们将详细学习容器运行参数：

• 端口映射详解
• 数据卷挂载
• 环境变量配置
• 网络设置
• 资源限制
• 重启策略

这些参数是控制容器行为的关键。

本章思考题：

1. docker exec和docker attach的本质区别是什么？各适用于什么场景？
2. 什么时候应该使用docker commit，什么时候应该使用Dockerfile？
3. docker save和docker export的区别是什么？如何选择？
4. 如何调试一个启动后立即退出的容器？
5. 在生产环境中，应该如何安全地调试运行中的容器？

相关资源：

• docker exec文档：https://docs.docker.com/engine/reference/commandline/exec/
• docker cp文档：https://docs.docker.com/engine/reference/commandline/cp/
• 容器调试最佳实践：https://docs.docker.com/config/containers/runmetrics/
• Netshoot调试工具：https://github.com/nicolaka/netshoot