一 背景

最近项目有个需求，需要程序配置服务器IP并且可以重启服务器。如果程序直接部署在服务器，相信大家都会操作。但是程序是用docker运行的，在docker中执行指令就很麻烦了。

二 解决办法

docker运行时添加参数 --pid=host --privileged=true

如下实例：

docker run -itd --pid=host --privileged=true -p 9683:9683 hss-server

说明：

• pid=host :

使用宿主机命名空间，方便容器获取到宿主机所有进程信息。将宿主机的/proc文件夹挂载进入容器的/proc路径 , 其中/proc/1作为nsenter的目标；

• nsenter:

nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令，位于util-linux包中 。该命令作为容器向宿主机发送命令的关键部分 。使用格式

nsenter -a -t   或者nsenter -m -u -i -n -p -t   ；

-a表示进入宿主机的所有命名空间 , -t 表示获取/proc/{pid}进程 ，liniux旧版本可能不支持。需要使用 -m -u -i -n -p 。 -m -u -i -n -p，表示进入mount, UTS,System V IPC,网络,pid命名空间, 这几个命名空间包含了绝大多数的空间环境。

• privileged=true

使得docker容器有root权限执行宿主机命令，确保从容器执行命令时不会报权限不足提示;

三 实战

1. 容器中直接操作

以重启服务器举例：

启动容器

在容器中执行

nsenter -m -u -i -n -p  -t 1 sh -c "reboot"

可以看到服务器已重启，说明在容器中已可以执行宿主机的命令

2. 这里以golang项目代码举例

定义一个docker内执行指令的公共函数

func DockerRunCommand(command string) (err error) {
    /*
        nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令，位于util-linux包中  。该命令作为容器向宿主机发送命令的关键部分 。
        使用格式：nsenter -a -t   或者nsenter -m -u -i -n -p -t   ；
         -a表示进入宿主机的所有命名空间 , -t 表示获取/proc/{pid}进程 ，liniux旧版本可能不支持。
        需要使用 -m -u -i -n -p 。 -m -u -i -n -p，表示进入mount, UTS,System V IPC,网络,pid命名空间, 
        这几个命名空间包含了绝大多数的空间环境。
	*/
    cmd := exec.Command("nsenter", "-m", "-u", "-i", "-n", "-p", "-t", "1", "sh", "-c", command)
    log.Debug("DockerRunCommand==", cmd.String())
    var stderr bytes.Buffer
    cmd.Stderr = &stderr
    err = cmd.Run()
    if err != nil {
        log.Println("运行系统命令错误", err, ":", stderr.String())
        return
    }
    return
}

调用该函数