如何使用 io reader 客户端
How to use io reader client
我想在容器内使用 go code 运行 将压缩文件从主机复制到容器。该设置在安装了 docker.sock 的容器中包含代码 运行。这个想法是将 zip 文件从主机复制到运行 go 代码的容器。路径参数在主机上。在主机上命令行看起来像这样
docker cp hostFile.zip myContainer:/tmp/
docker-client CopyToContainer 的文档看起来
func (cli *Client) CopyToContainer(ctx context.Context, containerID, dstPath string, content io.Reader, options types.CopyToContainerOptions) error
如何创建 content io.Reader 参数?
cli, err := client.NewClientWithOpts(client.FromEnv, client.WithAPIVersionNegotiation())
if err != nil {
panic(err)
}
// TODO
// reader := io.Reader()
// reader := file.NewReader()
// tar.NewReader()
cli.CopyToContainer(context.Background(), containerID, dst, reader, types.CopyToContainerOptions{
AllowOverwriteDirWithFile: true,
CopyUIDGID: true,
})
实现 io.Reader. In this case the normal way would be to open a file with os.Open 的东西种类繁多,然后生成的 *os.File 指针是 io.Reader.
不过,正如您在评论中指出的那样,这只会帮助您从“本地”文件系统读取和写入内容。访问主机的 Docker 套接字非常强大,但它不会直接为您提供对主机文件系统的读写访问权限。 (正如@mkopriva 在评论中建议的那样,使用 docker run -v /host/path:/container/path 绑定安装启动容器要简单得多,并且避免了我将要讨论的大量安全问题。)
您需要做的是启动第二个容器,其中 bind-mounts 您需要的内容,然后从容器中读取文件。听起来您正在尝试将其写入本地文件系统,这样可以简化操作。在容器内的 docker exec shell 提示符下,您可以执行类似
的操作
docker run --rm -v /:/host busybox cat /host/some/path/hostFile.zip \
> /tmp/hostFile.zip
在 Go 中它更复杂但仍然非常可行(未经测试,省略导入)
ctx := context.Background()
cid, err := client.ContainerCreate(
ctx,
&container.Config{
Image: "docker.io/library/busybox:latest",
Cmd: strslice.StrSlice{"cat", "/host/etc/shadow"},
},
&container.HostConfig{
Mounts: []mount.Mount{
{
Type: mount.TypeBind,
Source: "/",
Target: "/host",
},
},
},
nil,
nil,
""
)
if err != nil {
return err
}
defer client.ContainerRemove(ctx, cid.ID, &types.ContainerRemoveOptions{})
rawLogs, err := client.ContainerLogs(
ctx,
cid.ID,
types.ContainerLogsOptions{ShowStdout: true},
)
if err != nil {
return err
}
defer rawLogs.close()
go func() {
of, err := os.Create("/tmp/host-shadow")
if err != nil {
panic(err)
}
defer of.Close()
_ = stdcopy.StdCopy(of, io.Discard, rawLogs)
}()
done, cerr := client.ContainerWait(ctx, cid.ID, container. WaitConditionNotRunning)
for {
select {
case err := <-cerr:
return err
case waited := <-done:
if waited.Error != nil {
return errors.New(waited.Error.Message)
} else if waited.StatusCode != 0 {
return fmt.Errorf("cat container exited with status code %v", waited.StatusCode)
} else {
return nil
}
}
}
正如我之前暗示并在代码中显示的那样,这种方法绕过了主机上的 所有 控件;我决定读回主机的 /etc/shadow 加密密码文件,因为我可以,并且没有什么能阻止我使用基本相同的方法用我选择的 root 密码写回它。所有者、权限和其他任何东西都无关紧要:Docker 守护进程 运行 默认为 root,大多数容器 运行 默认为 root(如果不是,你可以明确请求)。
我想在容器内使用 go code 运行 将压缩文件从主机复制到容器。该设置在安装了 docker.sock 的容器中包含代码 运行。这个想法是将 zip 文件从主机复制到运行 go 代码的容器。路径参数在主机上。在主机上命令行看起来像这样
docker cp hostFile.zip myContainer:/tmp/
docker-client CopyToContainer 的文档看起来
func (cli *Client) CopyToContainer(ctx context.Context, containerID, dstPath string, content io.Reader, options types.CopyToContainerOptions) error
如何创建 content io.Reader 参数?
cli, err := client.NewClientWithOpts(client.FromEnv, client.WithAPIVersionNegotiation())
if err != nil {
panic(err)
}
// TODO
// reader := io.Reader()
// reader := file.NewReader()
// tar.NewReader()
cli.CopyToContainer(context.Background(), containerID, dst, reader, types.CopyToContainerOptions{
AllowOverwriteDirWithFile: true,
CopyUIDGID: true,
})
实现 io.Reader. In this case the normal way would be to open a file with os.Open 的东西种类繁多,然后生成的 *os.File 指针是 io.Reader.
不过,正如您在评论中指出的那样,这只会帮助您从“本地”文件系统读取和写入内容。访问主机的 Docker 套接字非常强大,但它不会直接为您提供对主机文件系统的读写访问权限。 (正如@mkopriva 在评论中建议的那样,使用 docker run -v /host/path:/container/path 绑定安装启动容器要简单得多,并且避免了我将要讨论的大量安全问题。)
您需要做的是启动第二个容器,其中 bind-mounts 您需要的内容,然后从容器中读取文件。听起来您正在尝试将其写入本地文件系统,这样可以简化操作。在容器内的 docker exec shell 提示符下,您可以执行类似
docker run --rm -v /:/host busybox cat /host/some/path/hostFile.zip \
> /tmp/hostFile.zip
在 Go 中它更复杂但仍然非常可行(未经测试,省略导入)
ctx := context.Background()
cid, err := client.ContainerCreate(
ctx,
&container.Config{
Image: "docker.io/library/busybox:latest",
Cmd: strslice.StrSlice{"cat", "/host/etc/shadow"},
},
&container.HostConfig{
Mounts: []mount.Mount{
{
Type: mount.TypeBind,
Source: "/",
Target: "/host",
},
},
},
nil,
nil,
""
)
if err != nil {
return err
}
defer client.ContainerRemove(ctx, cid.ID, &types.ContainerRemoveOptions{})
rawLogs, err := client.ContainerLogs(
ctx,
cid.ID,
types.ContainerLogsOptions{ShowStdout: true},
)
if err != nil {
return err
}
defer rawLogs.close()
go func() {
of, err := os.Create("/tmp/host-shadow")
if err != nil {
panic(err)
}
defer of.Close()
_ = stdcopy.StdCopy(of, io.Discard, rawLogs)
}()
done, cerr := client.ContainerWait(ctx, cid.ID, container. WaitConditionNotRunning)
for {
select {
case err := <-cerr:
return err
case waited := <-done:
if waited.Error != nil {
return errors.New(waited.Error.Message)
} else if waited.StatusCode != 0 {
return fmt.Errorf("cat container exited with status code %v", waited.StatusCode)
} else {
return nil
}
}
}
正如我之前暗示并在代码中显示的那样,这种方法绕过了主机上的 所有 控件;我决定读回主机的 /etc/shadow 加密密码文件,因为我可以,并且没有什么能阻止我使用基本相同的方法用我选择的 root 密码写回它。所有者、权限和其他任何东西都无关紧要:Docker 守护进程 运行 默认为 root,大多数容器 运行 默认为 root(如果不是,你可以明确请求)。