我正在创建一个应用程序,允许用户上传视频文件,然后进行一些处理。
我有两个容器。
Nginx 为用户上传视频文件的网站提供服务的容器。 FFmpeg 和其他一些处理内容的视频处理容器。我想要达到的目标。我需要容器 1 才能在容器 2 上运行 bash 脚本。
据我所知,一种可能性是让它们通过 API 通过 HTTP 进行通信。但是我需要在容器 2 中安装一个 Web 服务器并编写一个 API,这似乎有点矫枉过正。 我只想执行一个 bash 脚本。
有什么建议吗?
【问题讨论】:
/var/run/docker.sock 并从容器运行 docker 命令。
标签: docker docker-container docker-networking docker-command
从容器运行docker 命令并不简单,也不是一个好主意(在我看来),因为:
所以,这给我们留下了两个解决方案:
【讨论】:
您有几个选择,但最先想到的两个是:
/var/run/docker.sock(您需要从
启动容器时的主机)。然后,在容器内,你
应该能够对绑定安装使用docker 命令
就像你从主机执行它们一样(你也可以
需要chmod容器内的socket允许非root
用户来执行此操作。SSHD,然后从容器 1 中安装 ssh 并运行您的脚本。这里的优点是您不需要在容器内进行任何更改来说明它们在 Docker 中运行而不是裸机的事实。缺点是您需要将 SSHD 设置添加到 Dockerfile 或启动脚本中。我能想到的大多数其他想法只是选项 (2) 的变体,将 SSHD 替换为其他工具。
还要注意 Docker 网络有点奇怪(至少在 Mac 主机上),因此您需要确保容器使用相同的 docker-network 并且能够通过它进行通信。
编辑添加:
要完全清楚,不要在实验室或非常受控的开发环境之外使用选项 1。它采用对 host 上的 Docker 运行时具有完全权限的安全套接字,并从 container 授予对它的未经检查的访问权限。这样做可以很容易地突破 Docker 沙箱并破坏主机系统。我认为唯一可以接受的地方是作为全栈集成测试设置的一部分,该设置只能由开发人员临时运行。这是一种技巧,在某些非常特殊的情况下可能是一种有用的捷径,但其缺点怎么强调都不过分。
【讨论】:
我专门为这个用例编写了一个 python 包。
Flask-Shell2HTTP 是一个 Flask 扩展,只需 5 行代码即可将命令行工具转换为 RESTful API。
示例代码:
from flask import Flask
from flask_executor import Executor
from flask_shell2http import Shell2HTTP
app = Flask(__name__)
executor = Executor(app)
shell2http = Shell2HTTP(app=app, executor=executor, base_url_prefix="/commands/")
shell2http.register_command(endpoint="saythis", command_name="echo")
shell2http.register_command(endpoint="run", command_name="./myscript")
可以很容易地调用,
$ curl -X POST -H 'Content-Type: application/json' -d '{"args": ["Hello", "World!"]}' http://localhost:4000/commands/saythis
您可以使用它来创建 RESTful 微服务,这些微服务可以异步执行带有动态参数的预定义 shell 命令/脚本并获取结果。
它支持文件上传、回调 fn、反应式编程等。我建议您查看Examples。
【讨论】:
这里之前提到过,但是一个合理的、半hacky的选择是在两个容器中安装SSH,然后使用ssh在另一个容器上执行命令:
# install SSH, if you don't have it already
sudo apt install openssh-server
# start the ssh service
sudo service start ssh
# start the daemon
sudo /usr/sbin/sshd -D &
假设您不想一直是 root,您可以添加默认用户(在本例中为“foobob”):
useradd -m --no-log-init --system --uid 1000 foobob -s /bin/bash -g sudo -G root
#change password
echo 'foobob:foobob' | chpasswd
在源容器和目标容器上都这样做。现在您可以执行从 container_1 到 container_2 的命令了。
# obtain container-id of target container using 'docker ps'
ssh foobob@<container-id> << "EOL"
echo 'hello bob from container 1' > message.txt
EOL
您可以使用 ssh-agent 自动输入密码,或者您可以使用 sshpass 的更多技巧(首先使用 sudo apt install sshpass 安装它):
sshpass -p 'foobob' ssh foobob@<container-id>
【讨论】:
sshpass 应该带有警告(在手册页中确实如此):ssh 故意使从脚本输入密码变得困难,因为这种模式几乎总是会导致不安全的密码管理实践.如果可能,最好使用您构建到在目标容器上运行的映像中的公钥。
我相信
docker exec -it <container_name> <command>
应该可以工作,即使在容器内。
您也可以尝试在您尝试执行命令的容器中挂载到docker.sock:
docker run -v /var/run/docker.sock:/var/run/docker.sock ...
【讨论】:
docker 将无法单独工作。你需要两件事,1:/var/run/docker.sock 共享,2:在你的容器上运行的 docker 版本,如果容器和主机都是 linux,那么一些用户在那里共享主机 docker 二进制文件。但更好的选择是安装一个带有 docker 的容器镜像,这样宿主机就可以是 windows 或 linux。