Debian Docker容器如何调试

Debian Docker容器调试指南

一 快速进入与基础检查

• 进入容器：优先使用交互式调试会话，必要时覆盖入口命令
  • docker exec -it < 容器名或ID> /bin/bash
  • 若镜像无 bash：docker exec -it < 容器名或ID> /bin/sh
• 查看容器日志与运行状态
  • docker logs -f < 容器名或ID> （-f 实时跟踪）
  • docker ps -a 与 docker inspect < 容器名或ID> 检查状态、挂载、网络与端口映射
• 资源与进程排查
  • docker stats < 容器名或ID> （CPU/内存/IO 实时使用）
  • 在容器内：ps aux、top、df -h、free -m 检查进程与资源瓶颈
• 在容器内查看系统日志
  • tail -f /var/log/syslog
  • journalctl -xe（若 systemd 可用）或 dmesg 查看内核与驱动消息
• 临时安装调试工具（Debian 基础镜像通常精简）
  • apt-get update & & apt-get install -y procps iproute2 net-tools dnsutils tcpdump strace lsof
  • 注意：生产镜像建议基于调试镜像或按需安装，避免长期携带调试包

二 网络连通性与端口排查

• 监听与端口映射
  • 容器内确认服务监听：netstat -tulpen 或 ss -tulpen（应看到 0.0.0.0:端口 而非仅 127.0.0.1）
  • 查看容器端口映射：docker port < 容器名或ID>
• 连通性测试
  • 容器内：ping 宿主机网关（如 ip route | grep default）、ping 8.8.8.8、nslookup example.com
  • 宿主机：curl -v http://127.0.0.1:< 映射端口> 或 nc -vz 127.0.0.1 < 映射端口>
• 抓包与更细粒度分析
  • 容器内：tcpdump -i any -nn port < 端口> （-w 可导出 pcap 供 Wireshark 分析）
• 常见问题速查
  • 仅 127.0.0.1 监听：应用配置应改为监听 0.0.0.0
  • 端口未映射：启动容器时补充 -p 宿主机端口:容器端口
  • 防火墙/安全组限制：在宿主机与云安全组放行对应端口

三 应用层远程调试

• 原生 GDB 远程调试（适合 C/C++ 等本地编译程序）
  • 启动容器时开启 ptrace 能力：docker run -it --rm --cap-add=SYS_PTRACE your_image
  • 容器内启动 gdbserver：gdbserver :12345 /path/to/app（或附加：gdbserver :12345 --attach ）
  • 宿主机连接：gdb /path/to/app -ex “target remote 127.0.0.1:12345”
  • 提示：宿主机需有相同二进制或符号文件以获得完整调试信息；如需跨主机调试，将 :12345 改为 0.0.0.0:12345 并映射端口
• Java JDWP 调试示例
  • 启动参数示例：-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:5005
  • 运行容器：docker run -p 8080:8080 -p 5005:5005 myapp:debug
  • 远程连接：jdb -attach localhost:5005 或使用 IDE 远程调试配置
• 语言与 IDE 支持
  • Go：dlv debug/attach；Node.js：–inspect/–inspect-brk；Python：debugpy；.NET：vsdbg
  • VS Code、JetBrains 系列提供 Docker 远程调试插件，可一键配置调试器与端口转发

四 宿主机与 Docker 守护进程问题定位

• 守护进程日志与调试开关
  • Debian 系统服务日志：journalctl -u docker.service
  • 开启调试：编辑 /etc/docker/daemon.json，加入 “debug”: true，然后 kill -SIGHUP $(pidof dockerd) 使配置生效
  • 守护进程无响应：发送 SIGUSR1 获取堆栈回溯：kill -SIGUSR1 $(pidof dockerd)
• 容器 OOM 与资源限制
  • 现象：容器被内核 OOM Killer 终止
  • 排查：docker inspect < 容器名或ID> 查看 State.OOMKilled；为容器设置内存限制 --memory 并监控 docker stats
• 重启与恢复
  • 必要时重启 Docker 服务：systemctl restart docker（变更配置或遇到守护进程异常时）

五 高效调试实践与安全建议

• 构建可复用的调试镜像
  • 在 Dockerfile 中预装调试工具（gdb/gdbserver、strace、tcpdump、net-tools、procps 等），并区分调试与发布阶段
  • 示例：RUN apt-get update & & apt-get install -y --no-install-recommends gdb gdbserver strace tcpdump net-tools & & rm -rf /var/lib/apt/lists/*
• 运行期最小权限
  • 优先使用 --cap-add=SYS_PTRACE 而非 --privileged；仅在必要时提升权限
  • 调试完成即移除调试端口映射与工具，避免暴露攻击面
• 数据持久化与可观测性
  • 挂载日志卷与代码卷，便于在宿主机侧分析；结合 docker stats、日志与抓包定位问题
• 快速排障清单
  • 服务是否监听 0.0.0.0:端口；端口是否正确映射；容器内能否解析域名与外网连通；资源是否受限；守护进程是否异常

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！