docker exec进程是由谁产生的
1、问题:
通过docker exec产生的进程bash(5704)看ppid是docker-containe(5564),但是通过ptrace进程号5564没有关于clone的系统调用,就算ptrace进程号3594、3542也没有什么有意义的。所以我有一个疑问,这个bash(5704)是由谁产生的?以下通过实验来说明。
2、解决:
利用kprobes中的探测技术kretprobe(基于kprobe实现),探测sys_clone函数的返回值(此返回值为新进程的pid),同时也输出当前进程号
#include <linux/kernel.h>
#include <linux/module.h>
#include <linux/kprobes.h>
#include <linux/ktime.h>
#include <linux/limits.h>
#include <linux/sched.h> static char func_name[NAME_MAX] = "sys_clone";
module_param_string(func, func_name, NAME_MAX, S_IRUGO);
MODULE_PARM_DESC(func, "Function to kretprobe; this module will report the"
" function's execution time"); /* per-instance private data */
struct my_data {
ktime_t entry_stamp;
}; /* Here we use the entry_hanlder to timestamp function entry */
static int entry_handler(struct kretprobe_instance *ri, struct pt_regs *regs)
{
struct my_data *data; if (!current->mm)
return ; /* Skip kernel threads */ data = (struct my_data *)ri->data;
data->entry_stamp = ktime_get();
return ;
} /*
* Return-probe handler: Log the return value and duration. Duration may turn
* out to be zero consistently, depending upon the granularity of time
* accounting on the platform.
*/
static int ret_handler(struct kretprobe_instance *ri, struct pt_regs *regs)
{
int retval = regs_return_value(regs);
struct my_data *data = (struct my_data *)ri->data;
s64 delta;
ktime_t now; now = ktime_get();
delta = ktime_to_ns(ktime_sub(now, data->entry_stamp));
printk(KERN_INFO "current task(%d) is %s, %s returned %d and took %lld ns to execute\n",
current->pid, current->comm, func_name, retval, (long long)delta);
return ;
} static struct kretprobe my_kretprobe = {
.handler = ret_handler,
.entry_handler = entry_handler,
.data_size = sizeof(struct my_data),
/* Probe up to 20 instances concurrently. */
.maxactive = ,
}; static int __init kretprobe_init(void)
{
int ret; my_kretprobe.kp.symbol_name = func_name;
ret = register_kretprobe(&my_kretprobe);
if (ret < ) {
printk(KERN_INFO "register_kretprobe failed, returned %d\n",
ret);
return -;
}
printk(KERN_INFO "Planted return probe at %s: %p\n",
my_kretprobe.kp.symbol_name, my_kretprobe.kp.addr);
return ;
} static void __exit kretprobe_exit(void)
{
unregister_kretprobe(&my_kretprobe);
printk(KERN_INFO "kretprobe at %p unregistered\n",
my_kretprobe.kp.addr); /* nmissed > 0 suggests that maxactive was set too low. */
printk(KERN_INFO "Missed probing %d instances of %s\n",
my_kretprobe.nmissed, my_kretprobe.kp.symbol_name);
} module_init(kretprobe_init)
module_exit(kretprobe_exit)
MODULE_LICENSE("GPL");
3、结果
探针输出结果如下:
current task() is docker-containe, sys_clone returned
current task() is docker-containe, sys_clone returned
current task() is docker-containe, sys_clone returned
current task() is docker-containe, sys_clone returned
current task() is docker-containe, sys_clone returned
current task() is docker-containe, sys_clone returned
current task() is docker-containe, sys_clone returned
.......
current task() is docker-containe, sys_clone returned
current task() is docker-runc, sys_clone returned
current task() is docker-runc, sys_clone returned
current task() is docker-runc, sys_clone returned
current task() is docker-runc, sys_clone returned
current task() is docker-runc, sys_clone returned
current task() is docker-runc, sys_clone returned
current task() is runc:[:PARENT], sys_clone returned
current task() is runc:[:CHILD], sys_clone returned
current task() is runc:[:INIT], sys_clone returned
通过pstree -p看到进程树
├─dockerd()─┬─docker-containe()─┬─docker-containe()─┬─bash()
│ │ │ ├─bash()
│ │ │ ├─mysqld()─┬─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ ├─{mysqld}()
│ │ │ │ └─{mysqld}()
│ │ │ ├─{docker-containe}()
│ │ │ ├─{docker-containe}()
│ │ │ ├─{docker-containe}()
│ │ │ ├─{docker-containe}()
│ │ │ ├─{docker-containe}()
│ │ │ ├─{docker-containe}()
│ │ │ ├─{docker-containe}()
│ │ │ └─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ ├─{docker-containe}()
│ │ └─{docker-containe}()
一个图总结,其中红线部分运行完就退出了,所以pstree -p看不到:
所以根本就不是由docker-contained-shim(5564)产生的bash进程,所以ptrace没什么结果。
一个问题:以上红框内runc退出后其子进程bash不是应该由init进程接管吗?如何变成docker-containerd-shim的子进程呢?
解答:从Linux 3.4开始,prctl增加了对PR_SET_CHILD_SUBREAPER的支持,这样就可以控制孤儿进程可以被谁接管,而不是像以前一样只能由init进程接管。
4、后续
左边是strace结果,右边是kret结果。ppid是通过status查看的,可以看到很多不是28323产生的进程,都通过prctl由它接管了
但左边28330显示是parent,而右边显示28330是child
即为:红线内是kret视角(kret一起监控clone和execve,发现parent等的确没有发生execve)
原因猜测:
先clone原进程,新进程刚要运行就会因为被标记的延迟信号(SIGSTOP)要处理,所以第一时间就陷入到strace(strace跟踪多线程与内核的交互),strace此时wait到的pid是新进程的,而name是刚才clone的父进程的。
而后该新进程正常运行,改名(可以通过prctl(PR_SET_NAME, new_name)。参考:linux下修改进程名称),所以该进程发生clone时name和strace看到的已经不同了。
以上是一种根据现象猜测的原因,具体是不是这样需要看docker的在这部分的实现,为啥改名呢?
docker exec进程是由谁产生的的更多相关文章
- docker attach 和 docker exec
docker attach docker attach -- Attach to a running container. 常用选项: --sig-proxy=true:Proxy all recei ...
- 使用docker exec命令
这个命令使用exit命令后,不会退出后台,一般使用这个命令,使用方法如下 docker exec -it db3 /bin/sh 或者 docker exec -it d48b21a7e439 / ...
- Docker exec与Docker attach
转载博客地址:http://blog.csdn.net/halcyonbaby 新浪微博:@寻觅神迹 内容系本人学习.研究和总结,如有雷同,实属荣幸! ================== Docke ...
- docker run VS docker exec 的区别
“docker run”和“docker exec”都是 Docker 容器中用于执行的命令.然而,在不同的情况下,它们的使用有着本质上的区别. “docker run”命令 “docker run” ...
- 使用docker exec 就可以进入container,例如:docker exec -it <container_id> /bin/bash
使用docker exec 就可以进入container,例如:docker exec -it <container_id> /bin/bash
- paas架构之docker——容器进程管理
1.docker进程管理 docker的进程管理命令ps的用法基本和ubuntu系统的用法一致 1.1. 查看docker进程 sudo docker ps –a 1.2. 附着到容器上 Sudo d ...
- docker exec 运行命令
docker:/root/sbin# docker exec -it 17aaf60ee3a1 /sbin/ifconfig -a eth1 Link encap:Ethernet HWaddr 22 ...
- docker 学习笔记20:docker守护进程的配置与启动
安装好docker后,需要启动docker守护进程.有多种启动方式. 一.服务的方式 因为docker守护进程被安装成服务.所以,可以通过服务的方式启停docker守护进程,包括查看状态. sudo ...
- docker exec 系统找不到指定的路径。
相关问题和答案 >docker exec -it a1 echo "hello..." > /var/www/html/index.html 系统找不到指定的路径. & ...
随机推荐
- python json 模块
什么是json? json是返回的是字符串格式,把python数据类型列表.字典转换成json字符串格式, 这种格式java php 其他语言都可以认识的字符串,可以跨语言交流. json,用于字符串 ...
- docker+jenkins+maven简单部署
构建jar包 1.拉取jenkins容器景象 docker pull docker.io/jenkins/jenkins 2.配置映射目录,创建一个容器 mkdir /data/jenkins doc ...
- 搭建nginx服务器,虚拟主机,反向代理
1 搭建Nginx服务器 1.1 问题 在IP地址为192.168.10. 5的主机上安装部署Nginx服务,并可以将Nginx服务器升级到更高版本,要求编译时启用如下功能: SSL加密功能 查看服务 ...
- 组合覆盖与PICT的使用
组合覆盖法是一种有效减少测试用例个数的测试用例设计方法.根据覆盖程度的不同,可以分为单因素覆盖.成对组合覆盖.三三组合覆盖等.其中又以成对组合覆盖最常用. 关于组合覆盖的更多内容,参考:http:// ...
- SJW-遍历我的账户左侧导航页面(句柄切换)
页面信息类似如下: 定位页面元素: import time from selenium import webdriver # import os #A #username = "182007 ...
- SQL Server 2008 R2下载地址
MS 发布了最新的SQL Server 2008 R2,似乎早在4.19就提供了下载,不过才到昨天放出下载地址: 这个是试用版的下载,于正式版的区别就只在一个序列号! 而MSDN的版本则集成了安装序列 ...
- python package
简要说一下,一个python模块就是一个python文件:一个包就是存放python模块的目录结构,并且包下边必须要有一个可以为空的__init__.py模块 //test.py from mypac ...
- python while for else
python的循环挺有意思 while和for体中可以带上else项 while中的else表示循环条件不成立时,去执行一次,也就是退出循环前去做一次 for中的else表示固定循环正常完成后,去执行 ...
- 使用SQL语句如何实现条件判断
客户需求是咨询如何用SQL结合decode函数实现条件判断,比如当某一列数值大于500,对应类型"大于500":当某一列数值小于500,对应类型"小于500". ...
- 47.HTML---frame,iframe,frameset之间的关系与区别
iframe 是在html页面内嵌入框架 框架内可以连接另一个页面, 如 <html> <head></head> <body> <iframe ...