之前有人問我Docker容器啟動之后還能否再掛載卷,考慮mnt命名空間的工作原理,我一開始認為這很難實現。不過現在我認為是它實現的。
- 簡單來說,要想將磁盤卷掛載到正在運行的容器上,我們需要:
- 使用nsenter將包含這個磁盤卷的整個文件系統mount到臨時掛載點上;
- 從我們想當作磁盤卷使用的特定文件夾中創建綁定掛載(bind mount)到這個磁盤卷的位置;
umount第一步創建的臨時掛載點。
注意事項
在下面的示例中,我故意包含了$符號來表示這是Shell命令行提示符,以幫助大家區分哪些是你需要輸入的,哪些是機器回復的。有一些多行命令,我也繼續用>。我知道這樣使得例子里的命令無法輕易得被拷貝粘貼。如果你想要拷貝粘貼代碼,請查看文章最后的示例腳本。
詳細步驟
下面示例的前提是你已經使用如下命令啟動了一個簡單的名為charlie的容器:
$ docker run --name charlie -ti ubuntu bash
我們需要做的是將宿主文件夾/home/jpetazzo/Work/DOCKER/docker掛載到容器里的/src目錄。好了,讓我們開始吧。
nsenter
首先,我們需要nsenter以及docker-enter幫助腳本。為什么?因為我們要從容器中mount文件系統。由于安全性的考慮,容器不允許我們這么做。使用nsenter,我們可以突破上述安全限制,在容器的上下文(嚴格地說,是命名空間)中運行任意命令。當然,這必須要求擁有Docker宿主機的root權限。
nsenter最簡單的安裝方式是和docker-enter腳本關聯執行:
$ docker run --rm -v /usr/local/bin:/target jpetazzo/nsenter
更多細節,請查看nsenter項目主頁。
找到文件系統
我們想要在容器里掛載包含宿主文件夾(/home/jpetazzo/Work/DOCKER/docker)的文件系統。那我們就需要找出哪個文件系統包含這個目錄。
首先,我們需要canonicalize(或者解除引用)文件,以防這是一個符號鏈接,或者它的路徑包含符號鏈接:
$ readlink --canonicalize /home/jpetazzo/Work/DOCKER/docker
/home/jpetazzo/go/src/github.com/docker/docker
哈,這的確是一個符號鏈接!讓我們將其放入一個環境變量中:
$ HOSTPATH=/home/jpetazzo/Work/DOCKER/docker
$ REALPATH=$(readlink --canonicalize $HOSTPATH)
接下來,我們需要找出哪個文件系統包含這個路徑。我們使用一個有點讓人意想不到的工具來做,它就是df:
$ df $REALPATH
Filesystem 1K-blocks Used Available Use% Mounted on
/sda2 245115308 156692700 86157700 65% /home/jpetazzo
使用-P參數(強制使用POSIX格式,以防是exotic df,或者是其他人在Solaris或者BSD系統上裝Docker時運行的df),將結果也放到一個變量里:
$ FILESYS=$(df -P $REALPATH | tail -n 1 | awk '{print $6}')
找到文件系統的設備(和sub-root)
現在,系統里已經沒有綁定掛載(bind mounts)和BTRFS子卷了,我們僅僅需要查看/proc/mounts,找到對應于/home/jpetazzo文件系統的設備就可以了。但是在我的系統里,/home/jpetazzo是BTRFS池的子卷,要想得到子卷的信息(或者bind mount信息),需要查看/proc/self/moutinfo。
如果你從來沒有聽說過mountinfo,可以查看內核文檔的proc.txt。
首先,得到文件系統設備信息:
$ while read DEV MOUNT JUNK
> do [ $MOUNT = $FILESYS ] && break
> done </proc/mounts
$ echo $DEV
/dev/sda2
接下來,得到sub-root信息(比如,已掛載文件系統的路徑):
$ while read A B C SUBROOT MOUNT JUNK
> do [ $MOUNT = $FILESYS ] && break
> done < /proc/self/mountinfo
$ echo $SUBROOT
/jpetazzo
很好。現在我們知道需要掛載/dev/sda2。在文件系統內部,進入/jpetazzo,從這里可以得到到所需文件的剩余路徑(示例中是/go/src/github.com/docker/docker)。
讓我們計算出剩余路徑:
$ SUBPATH=$(echo $REALPATH | sed s,^$FILESYS,,)
注意:這個方法只適用于路徑里沒有符號“,”的。如果你的路徑里有“,”并且想使用本文方法掛載目錄,請告訴我。(我需要調用Shell Triad來解決這個問題:jessie,soulshake,tianon?)
在進入容器之前最后需要做的是找到這個塊設備的主和次設備號。可以使用stat:
$ stat --format "%t %T" $DEV
8 2
注意這兩個數字是十六進制的,我們之后需要的是二進制。可以這么轉換:
$ DEVDEC=$(printf "%d %d" $(stat --format "0x%t 0x%T" $DEV))
總結
還有最后一步。因為某些我無法解釋的原因,一些文件系統(包括BTRFS)在掛載多次之后會更新/proc/mounts里面的設備字段。也就是說,如果我們在容器里創建了名為/tmpblkdev的臨時塊設備,并用其掛載我們自己的文件系統,那么文件系統(在宿主機器里!)會顯示為/tmpblkdev,而不是/dev/sda2。這聽起來無所謂,但實際上這會讓之后試圖得到文件系統塊設備的操作都失敗。
長話短說,我們想要確保塊設備節點在容器里位于和宿主機器上的同一個路徑下。
需要這么做:
$ docker-enter charlie -- sh -c \
> "[ -b $DEV ] || mknod --mode 0600 $DEV b $DEVDEC"
創建臨時掛載點掛載文件系統:
$ docker-enter charlie -- mkdir /tmpmnt
$ docker-enter charlie -- mount $DEV /tmpmnt
確保卷掛載點存在,bind mount卷:
$ docker-enter charlie -- mkdir -p /src
$ docker-enter charlie -- mount -o bind /tmpmnt/$SUBROOT/$SUBPATH /src
刪除臨時掛載點:
$ docker-enter charlie -- umount /tmpmnt
$ docker-enter charlie -- rmdir /tmpmnt
(我們并不清除設備節點。一開始就檢查設備是否存在可能有點多余,但是現在再檢查就已經很復雜了。)
大功告成!
讓一切自動化
下面這段可以直接拷貝粘貼了。
#!/bin/sh
set -e
CONTAINER=charlie
HOSTPATH=/home/jpetazzo/Work/DOCKER/docker
CONTPATH=/src
REALPATH=$(readlink --canonicalize $HOSTPATH)
FILESYS=$(df -P $REALPATH | tail -n 1 | awk '{print $6}')
while read DEV MOUNT JUNK
do [ $MOUNT = $FILESYS ] && break
done </proc/mounts
[ $MOUNT = $FILESYS ] # Sanity check!
\while read A B C SUBROOT MOUNT JUNK
\do [ $MOUNT = $FILESYS ] && break
\done < /proc/self/mountinfo
[ $MOUNT = $FILESYS ] # Moar sanity check!
SUBPATH=$(echo $REALPATH | sed s,^$FILESYS,,)
DEVDEC=$(printf "%d %d" $(stat --format "0x%t 0x%T" $DEV))
docker-enter $CONTAINER -- sh -c \
"[ -b $DEV ] || mknod --mode 0600 $DEV b $DEVDEC"
docker-enter $CONTAINER -- mkdir /tmpmnt
docker-enter $CONTAINER -- mount $DEV /tmpmnt
docker-enter $CONTAINER -- mkdir -p $CONTPATH
docker-enter $CONTAINER -- mount -o bind /tmpmnt/$SUBROOT/$SUBPATH $CONTPATH
docker-enter $CONTAINER -- umount /tmpmnt
docker-enter $CONTAINER -- rmdir /tmpmnt
狀態和限制
上述方法不適用于不基于塊設備的文件系統,只有在/proc/mounts能正確得到塊設備節點(上面談到,并不總是能正確得到)的時候才能起作用。另外,我只測試了我自己的環境,沒有在云實例之類的環境里測試過,但是我很想知道在那里是否適用。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。
