Início / server / Perguntas / 882585
Accepted
tudor -Reinstate Monica-
Asked: 2017-11-09 20:26:10 +0800 CST

A verificação `pidof` no host falha quando o contêiner docker executa o mesmo aplicativo (por exemplo, apache2)

  • 772

O script de inicialização do apache2 faz uma pidofverificação para detectar se o apache já está em execução.

    if pidof $DAEMON > /dev/null 2>&1 ; then
            if [ -e $PIDFILE ] && pidof $DAEMON | tr ' ' '\n' | grep -w $(cat $PIDFILE) > /dev/null 2>&1 ; then
                    AP_RET=2
            else
                    AP_RET=1
            fi
...
            elif [ $AP_RET = 1 ] ; then
                    APACHE2_INIT_MESSAGE="There are processes named 'apache2' running which do not match your pid file which are left untouched in the name of safety, Please review the situation by hand".

(Arquivo: /etc/init/apache2 no Ubuntu 16.04.3 LTS - truncado por questões de brevidade)

No entanto, em um host docker, os contêineres de VM já podem ter o apache neles. Nesse caso, pidofretorna não vazio, mesmo que não haja nenhum apache em execução no host.

$ sudo service apache2 stop
$ pidof apache2
32742 32480 32379 32365 31295 31294 31293 31292 31291 31274 31270

Isso significa que o script init é bem-sucedido apenas quando todos os contêineres do docker com apache pararam (ou ainda não foram iniciados). Consequentemente, o apache no host não pode ser restarteditado.

Como corrigir essa situação para que o apache do host possa ser reiniciado independentemente das VMs? Existe uma versão pidofque detecte apenas pids pertencentes diretamente ao init?

docker

2 respostas

  1. Best Answer

    Pena que há um # can't use pidofproc from LSB hereno script de inicialização, sem explicação real. Eu ainda consideraria este script apache2 como tendo um bug digno de um relatório.

    TL;DR: solução: substitua pidof apache2por pgrep --ns 1 ^apache2$(ou se isso não funcionar, pgrep --ns 1 --nslist uts ^apache2$)

    Uma longa explicação sobre namespaces com um exemplo que escrevi antes de encontrar pgreppoderia fazer o seguinte:

    Uma vez que você tenha os "candidatos" usando pidof, aqui está um método para separá-los: verifique seus namespaces e compare-os com os namespaces de pid 1(init/systemd). Exemplo de uso lxce inetdprocesso, mas esta é a tecnologia do contêiner e o nome do processo:

    # lxc-start stretch-amd64
# pidof inetd
10285 3372
# ls -l /proc/1/ns/
total 0
lrwxrwxrwx. 1 root root 0 nov.   9 19:49 cgroup -> cgroup:[4026531835]
lrwxrwxrwx. 1 root root 0 nov.   9 19:49 ipc -> ipc:[4026531839]
lrwxrwxrwx. 1 root root 0 nov.   9 19:49 mnt -> mnt:[4026531840]
lrwxrwxrwx. 1 root root 0 nov.   9 19:49 net -> net:[4026531993]
lrwxrwxrwx. 1 root root 0 nov.   9 19:49 pid -> pid:[4026531836]
lrwxrwxrwx. 1 root root 0 nov.   9 19:49 pid_for_children -> pid:[4026531836]
lrwxrwxrwx. 1 root root 0 nov.   9 19:49 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 nov.   9 19:49 uts -> uts:[4026531838]
# ls -l /proc/3372/ns/
total 0
lrwxrwxrwx. 1 root root 0 nov.   9 19:51 cgroup -> cgroup:[4026531835]
lrwxrwxrwx. 1 root root 0 nov.   9 19:51 ipc -> ipc:[4026531839]
lrwxrwxrwx. 1 root root 0 nov.   9 19:51 mnt -> mnt:[4026531840]
lrwxrwxrwx. 1 root root 0 nov.   9 19:51 net -> net:[4026531993]
lrwxrwxrwx. 1 root root 0 nov.   9 19:51 pid -> pid:[4026531836]
lrwxrwxrwx. 1 root root 0 nov.   9 19:51 pid_for_children -> pid:[4026531836]
lrwxrwxrwx. 1 root root 0 nov.   9 19:51 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 nov.   9 19:51 uts -> uts:[4026531838]
# ls -l /proc/10285/ns/
total 0
lrwxrwxrwx. 1 root root 0 nov.   9 19:50 cgroup -> cgroup:[4026532516]
lrwxrwxrwx. 1 root root 0 nov.   9 19:50 ipc -> ipc:[4026532415]
lrwxrwxrwx. 1 root root 0 nov.   9 19:50 mnt -> mnt:[4026532410]
lrwxrwxrwx. 1 root root 0 nov.   9 19:50 net -> net:[4026532418]
lrwxrwxrwx. 1 root root 0 nov.   9 19:50 pid -> pid:[4026532416]
lrwxrwxrwx. 1 root root 0 nov.   9 19:50 pid_for_children -> pid:[4026532416]
lrwxrwxrwx. 1 root root 0 nov.   9 19:50 user -> user:[4026531837]
lrwxrwxrwx. 1 root root 0 nov.   9 19:50 uts -> uts:[4026532414]

    Aqui é claramente visível que os namespaces dos pid 3372compartilhamentos . está sendo executado no host. não compartilha nenhum namespace (ok user é o mesmo: container run como root), então está em um container. É possível que, às vezes, algum programa em execução no host tenha alguns deles alterados por algum motivo (geralmente relacionado à segurança), mas o que não deveria é o namespace uts (hostname). Então aqui está um script usando e que dado o nome do processo em arg "$1" (por exemplo: ou o argumento de um script) fornecerá apenas o processo no mesmo namespace uts, geralmente significando o (mesmo) host.pid 1337210285statset -- inetd

    pid1uts="$(stat -c %N /proc/1/ns/uts|cut -d' ' -f3)"
for i in $(pidof "$1"); do
    if [ "$pid1uts" = "$(stat -c %N /proc/$i/ns/uts|cut -d' ' -f3)" ]; then
        echo $i
    fi
done | xargs -r

    que no meu exemplo, retorna 3372.

    Expliquei como fazer, mas por que reinventar a roda quando pgreptem opções para lidar com isso:

    # pgrep ^inetd$
3372
10285
# pgrep --ns 1 --nslist uts ^inetd$
3372

    Ou para a maioria dos casos apenas:

    # pgrep --ns 1 ^inetd$
3372
    • 2

  2. se o seu serviço no host estiver ouvindo na porta 80, você poderá descobrir o ID do processo com netstats

    #netstat -plan | grep :80

    os processos do container devem ser vinculados com outro número de porta no host e internamente no container com 80 portas. para que você possa facilmente descobrir o processo do host e eliminá-lo.

    • 0

relate perguntas