Как определить, работает ли процесс внутри lxc / Docker?

Есть ли способ определить, выполняется ли процесс (скрипт) внутри контейнера lxc (~ среда выполнения Docker)? Я знаю, что некоторые программы могут определить, работают ли они внутри виртуальной машины, доступно ли что-то подобное для lxc / docker?

Самый надежный способ - это проверить /proc/1/cgroup. Он скажет вам контрольные группы процесса инициализации, и когда вы не в контейнере, это будет /для всех иерархий. Когда вы находитесь внутри контейнера, вы увидите название точки привязки. С контейнерами LXC / Docker это будет что-то вроде /lxc/<containerid>или /docker/<containerid>соответственно.

Docker создает .dockerenvфайл в корне дерева каталогов внутри контейнера. Вы можете запустить этот скрипт для проверки

#!/bin/bash
if [ -f /.dockerenv ]; then
    echo "I'm inside matrix ;(";
else
    echo "I'm living in real world!";
fi

Еще: Ubuntu на самом деле имеет скрипт bash: /bin/running-in-containerи он может возвращать тип контейнера, в котором он был вызван. Может быть полезным. Не знаю о других крупных дистрибутивах.

В новой системе Ubuntu 16.04, новом systemd & lxc 2.0

sudo grep -qa container=lxc /proc/1/environ

Краткий способ проверить наличие докера в скрипте bash:

#!/bin/bash
if grep docker /proc/1/cgroup -qa; then
   echo I'm running on docker.
fi

Удобная функция Python для проверки работы в Docker:

def in_docker():
    """ Returns: True if running in a Docker container, else False """
    with open('/proc/1/cgroup', 'rt') as ifh:
        return 'docker' in ifh.read()

Мы используем схему процесса (/ proc / $ PID / sched) для извлечения PID процесса. PID процесса внутри контейнера будет отличаться от PID на хосте (неконтейнерная система).

Например, вывод / proc / 1 / sched для контейнера вернет:

root@33044d65037c:~# cat /proc/1/sched | head -n 1
bash (5276, #threads: 1)

В то время как на неконтейнерном хосте:

$ cat /proc/1/sched  | head -n 1
init (1, #threads: 1)

Это помогает отличить, если вы находитесь в контейнере или нет.

Самый простой способ - проверить окружающую среду. Если у вас есть container=lxcпеременная, вы находитесь в контейнере.

В противном случае, если вы являетесь пользователем root, вы можете попытаться выполнить mknodили выполнить mountоперацию, если она не удастся, вы, скорее всего, окажетесь в контейнере с удаленными возможностями.

Мой ответ применим только к процессам Node.js, но может быть актуален для некоторых посетителей, которые сталкиваются с этим вопросом и ищут конкретный ответ Node.js.

У меня была та же проблема, и я полагался на то, /proc/self/cgroupчто создал пакет npm исключительно для этой цели - чтобы определить, выполняется ли процесс Node.js внутри контейнера Docker или нет.

Контейнерный модуль НПМ поможет вам в Node.js. В настоящее время он не тестируется в Io.js, но может также работать и там.

Проверьте все решения выше в Python:

import os

def in_container():
    proc_1 = r'/proc/1/sched'

    if os.path.exists(proc_1):
        with open(proc_1, 'r') as fp:
            out = fp.read()
    else:
        out = ''

    checks = [
        'docker' in out,
        '/lxc/' in out,
        out.split(' ')[0] not in ('systemd', 'init',),
        os.path.exists('./dockerenv'),
        os.path.exists('/.dockerinit'),
        os.getenv('container') is not None
    ]
    return any(checks)


if __name__ == '__main__':
    print(in_container())

Подтверждение концепции:

$ docker run --rm -it --mount type=bind,source=${PWD}/incontainer.py,target=/tmp/script.py python:3 python /tmp/script.py
True

Докер развивается день ото дня, поэтому мы не можем точно сказать, собираются ли они остаться .dockerenv .dockerinitв будущем.

В большинстве версий Linux initэто первый процесс для запуска. Но в случае контейнеров это не так.

#!/bin/bash
if ps -p1|grep -q init;then  
  echo "non-docker" 
else 
  echo "docker" 
fi

Это SO Q & A: «Узнайте, работает ли ОС в виртуальной среде» ; хотя это не то же самое, что вопрос ОП, он действительно отвечает на распространенные случаи определения того, в каком контейнере вы находитесь (если вообще).

В частности, установите и прочитайте код этого bash-скрипта, который, кажется, работает довольно хорошо:

вирт-что :

sudo apt install virt-what

Я перевел ответ JJC на рубин

def in_docker
  File.open('/proc/1/cgroup', 'rt') do |f|
    contents = f.read
    return contents =~ /docker/i || contents =~ /kubepod/i
  end
rescue StandardError => e
  p 'Local development'
  p e
  false
end

В Docker-контейнере записи /proc/self/cgroup монтируются в cgroups на хосте.

например, в контейнере

# awk -F: '/cpuset/' /proc/self/cgroup
3:cpuset:/docker/22bd0c154fb4e0d1b6c748faf1f1a12116acc21ce287618a115ad2bea41256b3

тогда как на хосте тоже самое

$ awk -F: '/cpuset/' /proc/self/cgroup
3:cpuset:/

Использование чего-то в оболочке для низкопрофильного теста

is_running_in_container() {
  awk -F: '/cpuset/ && $3 ~ /^\/$/{ c=1 } END { exit c }' /proc/self/cgroup
}

if is_running_in_container; then
  echo "Aye!! I'm in a container"
else 
  echo "Nay!! I'm not in a container"
fi

Может быть, это сделать трюк:

if [ -z $(docker ps -q) ]; then
    echo "There is not process currently running"
else
    echo "There are processes running"
fi

Это то, что вы хотите? Надеюсь, это поможет =)