在主机文件系统中挂载Docker容器内容

我希望能够检查Docker容器的内容（只读）。做到这一点的一种优雅方法是将容器的内容装载到目录中。我说的是在主机上安装容器的内容，而不是在容器内的主机上安装文件夹。

我可以看到Docker中现在有两个存储驱动程序：aufs和btrfs。我自己的Docker安装使用btrfs，浏览至/ var / lib / docker / btrfs / subvolumes将显示系统上每个Docker容器一个目录。但是，这是Docker的实现细节，在其他地方挂载-绑定这些目录感觉不对。

是否有适当的方法来执行此操作，或者我需要打补丁Docker以支持此类安装？

看一看docker export。

要快速列出容器中的文件：

docker export CONTAINER|tar -t

出口：

docker export CONTAINER>snapshot.tar
docker export CONTAINER|tar x PATH-IN-CONTAINER

还是看一个文件：

docker export CONTAINER|tar x --to-stdout PATH-IN-CONTAINER
# e.g. 
docker export consul|tar x --to-stdout etc/profile

Docker 1.8支持cp：

https://docs.docker.com/reference/commandline/cp/

Usage:  docker cp [options] CONTAINER:PATH LOCALPATH|-
        docker cp [options] LOCALPATH|- CONTAINER:PATH

更新：运行此命令时，应将其SSH到docker机器。

您可以使用docker commit将容器的当前状态保留在新映像中，然后从该映像启动交互式容器以检查内容。

从文档中：

将容器的文件更改或设置提交到新映像中可能很有用。这使您可以通过运行交互式Shell调试容器，或将工作数据集导出到另一台服务器。

希望这可以帮助。

您可以使用nsenter在容器/命名空间中运行检查程序（可能必须已经包含在容器中）。但是要安装容器文件系统（如在其中看到的那样），必须安装原始映像和所有层（如果是aufs），或者安装设备映射器，btrfs和使用的其他（未来）存储引擎的等效操作，每种情况下都不同。完全按照预期的方式，让docker为您完成工作，并使用nsenter在容器内进行检查，可能会更有效率。

还有其他方法。如果您想查看更改的内容而不是原始映像中的更改，则docker diff将显示该容器中更改了哪些文件。

对于必须持久且可检查的数据，可能更好的模式是将其放在容器中的某个卷中，并将其安装在实际文件系统中，或在纯数据容器中或在同一容器中，但是您可以启动另一个容器，并使用检查程序从中装入这些容器。

编辑：我尝试了下面的解决方案，不幸的是，在实践中它对我来说效果不佳。挂载的文件系统无法准确反映容器的文件系统（即使带有cache=no）。我不确定这是根本问题还是我做错了什么。

您可以在docker映像中安装sshd并用于在docker容器上docker exec运行ssh服务（/usr/sbin/sshd -D）（请注意，需要公开docker容器的SSH端口22）。

然后，用于docker cp将您的公共ssh密钥复制到/root/.ssh/authorized_keysdocker容器的目录。

最后，使用docker inspect查找容器的IP地址并使用以下命令挂载容器的文件系统

sudo sshfs -o allow_other,default_permissions,IdentityFile=/path/to/identityfile  root@xxx.xx.x.x:/ /mnt/my_container

您必须编写一个脚本才能使它在实践中舒适地工作。