我想使用在容器内运行的 go 代码将压缩文件从主机复制到容器。该设置在安装了 docker.sock 的容器中运行 go 代码。这个想法是将 zip 文件从主机复制到运行 go 代码的容器。路径参数在主机上。在主机命令行看起来像这样docker cp hostFile.zip myContainer:/tmp/docker-client CopyToContainer的文档看起来func (cli *Client) CopyToContainer(ctx context.Context, containerID, dstPath string, content io.Reader, options types.CopyToContainerOptions) error如何创建content io.Reader论点?cli, err := client.NewClientWithOpts(client.FromEnv, client.WithAPIVersionNegotiation())if err != nil { panic(err)}// TODO// reader := io.Reader()// reader := file.NewReader()// tar.NewReader()cli.CopyToContainer(context.Background(), containerID, dst, reader, types.CopyToContainerOptions{ AllowOverwriteDirWithFile: true, CopyUIDGID: true,})
1 回答
aluckdog
TA贡献1847条经验 获得超7个赞
有各种各样的东西可以实现io.Reader。在这种情况下,正常的方法是打开一个文件os.Open,然后得到的*os.File指针是一个io.Reader.
但是,正如您在评论中指出的那样,这只会帮助您从“本地”文件系统读取和写入内容。访问主机的 Docker 套接字非常强大,但它不会直接为您提供对主机文件系统的读写访问权限。(正如@mkopriva 在评论中建议的那样,使用docker run -v /host/path:/container/path绑定安装启动容器要简单得多,并且避免了我将要讨论的大量安全问题。)
您需要做的是启动第二个容器来绑定您需要的内容,然后从容器中读取文件。听起来您正在尝试将其写入本地文件系统,这样可以简化操作。在容器内的docker execshell 提示符下,您可能会执行类似的操作
docker run --rm -v /:/host busybox cat /host/some/path/hostFile.zip \
> /tmp/hostFile.zip
在 Go 中,它涉及更多但仍然非常可行(未经测试,省略了导入)
ctx := context.Background()
cid, err := client.ContainerCreate(
ctx,
&container.Config{
Image: "docker.io/library/busybox:latest",
Cmd: strslice.StrSlice{"cat", "/host/etc/shadow"},
},
&container.HostConfig{
Mounts: []mount.Mount{
{
Type: mount.TypeBind,
Source: "/",
Target: "/host",
},
},
},
nil,
nil,
""
)
if err != nil {
return err
}
defer client.ContainerRemove(ctx, cid.ID, &types.ContainerRemoveOptions{})
rawLogs, err := client.ContainerLogs(
ctx,
cid.ID,
types.ContainerLogsOptions{ShowStdout: true},
)
if err != nil {
return err
}
defer rawLogs.close()
go func() {
of, err := os.Create("/tmp/host-shadow")
if err != nil {
panic(err)
}
defer of.Close()
_ = stdcopy.StdCopy(of, io.Discard, rawLogs)
}()
done, cerr := client.ContainerWait(ctx, cid.ID, container. WaitConditionNotRunning)
for {
select {
case err := <-cerr:
return err
case waited := <-done:
if waited.Error != nil {
return errors.New(waited.Error.Message)
} else if waited.StatusCode != 0 {
return fmt.Errorf("cat container exited with status code %v", waited.StatusCode)
} else {
return nil
}
}
}
正如我之前暗示并在代码中展示的那样,这种方法会绕过主机上的所有控件;我决定读回主机的/etc/shadow加密密码文件,因为我可以,并且没有什么能阻止我使用基本相同的方法用我选择的 root 密码写回它。所有者、权限和其他一切都无关紧要:Docker 守护进程以 root 身份运行,大多数容器默认以 root 身份运行(如果不是,您可以明确请求)。
- 1 回答
- 0 关注
- 73 浏览
添加回答
举报
0/150
提交
取消