我可以使用docker ps或equivalentlydocker container ls(Docker 1.13中添加的)查看正在运行的容器列表。但是,它不显示启动每个Docker容器的用户。我如何才能看到哪个用户启动了Docker容器?理想情况下,我希望运行的容器列表与启动每个容器的用户沿着显示。
我可以使用docker ps或equivalentlydocker container ls(Docker 1.13中添加的)查看正在运行的容器列表。但是,它不显示启动每个Docker容器的用户。我如何才能看到哪个用户启动了Docker容器?理想情况下,我希望运行的容器列表与启动每个容器的用户沿着显示。
7条答案
按热度按时间flseospp1#
你可以试试这个;
编辑:将容器名称添加到输出
zfciruhq2#
没有内置的方法来做到这一点。
您可以通过检查容器中的
.Config.User字段来检查容器中的应用程序配置为以哪个用户身份运行,如果为空,则默认值为uid 0但是这并不告诉您是谁运行了启动容器的docker命令。具有docker访问权限的用户bob可以以任何uid运行容器(这是docker run -u 1234 some-image选项,以uid 1234运行)。大多数未被硬化的映像将默认以root身份运行,无论启动容器的用户是谁。要理解其中的原因,请了解Docker是一个客户端/服务器应用程序,服务器可以通过不同的方式接收连接。默认情况下,此服务器以root身份运行,用户可以使用任何配置提交请求。这些请求可能通过unix套接字发送,您可以对root执行sudo操作以连接到该套接字,您可以将API公开给网络(不推荐),或者您可能在Docker上有另一层工具(例如,带有docker-shim的Kubernetes)。该列表中的大问题是网络请求与unix套接字之间的差异,因为网络请求不会告诉您谁在远程主机上运行,如果是的话,您就应该相信远程客户端能够提供准确的信息,而且由于API是文档化的,任何使用curl命令的人都可以提交声称是不同用户的请求。
简而言之,每个可以访问Docker API的用户都是您主机上的匿名root用户。
你能得到的最接近的方法是在docker前面放置一些东西来验证用户并填充类似标签的东西,或者信任用户填充标签并诚实(因为docker中没有任何东西来验证这些设置)。
除此之外,如果您有一个部署的容器,有时您可以通过查看配置并找到Map回该用户主目录的卷来推断用户。这给了您很大的可能性,但同样不保证,因为任何用户都可以设置任何卷。
nkhmeac63#
我找到了一个解决办法。虽然不完美,但对我很有效。
我用一个包含用户的环境变量(在我的例子中是$CONTAINER_OWNER)启动所有容器,然后,我可以用这个环境变量列出容器。
使用环境变量启动容器
使用环境变量启动Docker合成
使用环境变量列出容器
ar7v8xwq4#
据我所知,
docker inspect将只显示容器开始时的配置。由于
entrypoint之类的命令(或任何init脚本)可能会更改用户,因此这些更改不会反映在docker inspect输出中。为了解决此问题,可以使用重写映像设置的默认入口点
--entrypoint="",并在其后指定类似whoami或id的命令。您特别要求查看所有正在运行的容器和启动的用户,因此此解决方案只是部分解决方案,如果
docker inspect命令没有显示用户,则会提供用户:也许有人会从这一点出发,提出一个完整的解决方案(:
在这里阅读更多关于
entrypoint ""的信息。oyjwcjzk5#
如果您习惯于使用
ps命令,在Docker主机上运行ps,并在运行进程的部分进程中运行grep。例如,如果您正在运行Tomcat容器,则可以运行以下命令以获取有关哪个用户将启动该容器的详细信息。**这是可能的,因为容器只是由Docker管理的进程。**但是,这只适用于单个主机。Docker提供了获取容器详细信息的替代方法,如其他答案中所述。
0sgqnhkj6#
此命令将打印uid和gid
docker exec <CONTAINER_ID> idyyyllmsg7#
在列表(最后一列)中找到进程的名称(在容器中运行的进程),您将在第一列中看到用户运行了它