Как зайти в запущенный контейнер в Docker

Есть разные способы работать с запущенным контейнером. Они подходят для разовых команд и администрирования, отладки процессов. Разберем инструменты docker exec и docker attach, которые применяются чаще прочих. 

Применение docker exec

Это команда используется для работы с файлами, отладки, проверки логов, ручного запуска интерактивной оболочки и скриптов. Базовый синтаксис такой: 

Ключевые опции команды: 

• -i — активация режима ввода;

• -t — подключение псевдотерминала, что полезно для запуска оболочки;

• -d — фоновое выполнение задачи;

• -u — запуск команды от имени конкретного пользователя; 

• -e — назначение переменных окружения;

• -w — определение директории для выполнения команды. 

Команда docker exec не перезапускает контейнер, не влияет на процессы внутри него. Она запускается дополнительно к этим процессам и прекращает работать, если контейнер останавливается. 

Этот способ работает не только с локальными контейнерами, но и с контейнерами, запущенными в облачных средах. Например, в сервисе Evolution Container Apps от Cloud.ru, где приложения работают в готовой облачной инфраструктуре на основе Docker-образов из приватного реестра Evolution Artifact Registry, команды docker exec и docker attach доступны точно так же, как и на локальной машине.

Примеры использования docker exec

Для анализа файловой системы, ручного запуска команд внутри контейнера и проверки конфигурации запустите интерактивную оболочку командой:

Пример для выполнения одной конкретной команды с последующим выходом из контейнера: 

Пример выполнения команды от пользователя root с правами администратора:

Чтобы посмотреть состояние базы данных, можно выполнить такую команду:

Команда, которая позволяет подключиться к клиенту базы данных:

Команда для проверки переменных окружения: 

Можно проверить и конкретную переменную, например:

Применение docker attach

Команда docker attach в отличие от docker exec не запускает новый процесс, а присоединяется к уже запущенному ключевому процессу контейнера. Базовый синтаксис выглядит так:

Есть смысл работать с docker attach, если контейнер функционирует в интерактивном режиме и выводит данные в стандартные потоки. Для выполнения разовых команд и отладки лучше применять docker exec. 

Пример применения docker attach

Разберем пример пошагового алгоритма применения docker attach для подключения. Сначала нужно запустить контейнер в интерактивном режиме: 

Затем можно не останавливая контейнер выйти из терминала, чтобы перейти на работу в фоновом режиме:

Дальше нужно определить ID или имя контейнера:

Затем можно подключиться к активному процессу:

Для наглядности сравним способы доступа в таблице:

Для рутинной работы с контейнерами SSH не используется — этот способ подходит для специфических сценариев. Например, он применяется в таких случаях:

• есть настроенный SSH-сервер;

• вы работаете с legacy-приложениями;

• контейнер используется в качестве изолированной виртуальной машины; 

• нужен доступ без Docker-клиента, например, в учебных стендах или CI-окружениях.   

Если доступ по SSH необходим, убедитесь, что настроен SSH-сервер, запущен процесс sshd и проброшен SSH-порт. Пример подключения:

При подключении к работающему контейнеру могут возникнуть проблемы и риски, которые нужно осознавать и устранять. Подсказываем простые решения.

Устранение ошибок 

Ошибки в основном связаны с неправильным выбором способа доступа и режима запуска контейнера. Типовые проблемы и варианты их решения:

• Контейнер запущен, но подключение не удается. Проверьте статус с помощью docker ps -a и логи через docker logs. Если основной процесс «падает», ищите причину и только потом пытайтесь подключиться снова. 

• Если контейнер останавливается сразу после вашего выхода, скорее всего, вы использовали docker attach и нажали Ctrl+C — в этом режиме комбинация передает сигнал остановки главному процессу внутри контейнера. Для безопасного отсоединения без остановки контейнера применяйте последовательность Ctrl+P, затем Ctrl+Q. В случае с docker exec такой проблемы не возникает: сессия завершается командами exit или Ctrl+D, не влияя на работу контейнера.

• Команды внутри контейнера работают в разрез с ожиданиями. Это происходит из-за различия рабочих сред. Чтобы не было неожиданностей, заранее проверяйте переменные окружения, текущую директорию и пользователей. 

• Отсутствие прав доступа. Это значит, что для нужного действия не хватает привилегий. Можно задать пользователя в Dockerfile либо в некоторых случаях работать от имени администратора. 

Безопасность

Доступ к запущенному контейнеру — процесс, подразумевающий прямое влияние на рабочую среду. Чтобы не допустить ошибок, которые приведут к инцидентам ИБ, соблюдайте простые рекомендации: 

• В продакшн-среде используйте docker exec. Команда не затрагивает основной процесс и снижает риски случайной остановки сервиса. 

• Без необходимости не работайте под root. По возможности выполняйте процессы от имени непривилегированного пользователя. 

• Фиксируйте «ручные» подключения. Это позволит при подозрении на инцидент установить, кто, зачем и когда заходил в контейнер. 

• Минимизируйте доступ к Docker-хосту. Контроль полномочий и ограничение круга пользователей снижают риски несанкционированных действий. 

• Избегайте интерактивного доступа на постоянной основе. Грамотная автоматизация поможет избежать частых «ручных» входов. 

Заключение 

Выбирайте способ доступа в зависимости от своих задач. Универсальный вариант — docker exec, который подходит для мониторинга, администрирования и отладки. Для интерактивной работы применяйте docker attach. Вне зависимости от выбранного способа не забывайте сохранять важные изменения в образе и соблюдать меры безопасности во избежание инцидентов ИБ.