Присоедините gdb из контейнера Docker к процессу, работающему в другом пространстве имен PID.

Вопрос или проблема

[SR-PCE-251:~]$ docker run -it --pid host --rm --cap-add=SYS_PTRACE --security-opt seccomp=unconfined carlo/ubuntu
root@e7b2db23af34:/#
root@e7b2db23af34:/# id
uid=0(root) gid=0(root) groups=0(root)
root@e7b2db23af34:/# 
root@e7b2db23af34:/# gdb -q attach 11365
attach: No such file or directory.
Attaching to process 11365
[New LWP 24283]
[New LWP 20025]
[New LWP 20024]
[New LWP 19992]
[New LWP 19991]
[New LWP 13974]
[New LWP 13970]
[New LWP 13969]
[New LWP 13968]
[New LWP 13967]
[New LWP 13962]
[New LWP 13958]
[New LWP 13957]
[New LWP 13954]
[New LWP 13952]
[New LWP 13944]
[New LWP 12078]
[New LWP 11822]
[New LWP 11543]
[New LWP 11515]
[New LWP 11489]
[New LWP 11483]
[New LWP 11482]
[New LWP 11477]
[New LWP 11476]

warning: "target:/proc/11365/exe": could not open as an executable file: Operation not permitted.

warning: `target:/proc/11365/exe': can't open to read symbols: Operation not permitted.

warning: Could not load vsyscall page because no executable was specified

warning: Target and debugger are in different PID namespaces; thread lists and other data are likely unreliable.  Connect to gdbserver inside the container.
0x00007f0bf997ac73 in ?? ()
(gdb)

Ответ или решение

Чтобы подключить gdb к процессу, работающему в другом пространстве имен PID, необходимо учитывать особенности, характерные для использования контейнеров, таких как Docker и LXC. В данной статье мы рассмотрим пошаговый процесс, который позволит вам успешно подключить отладчик gdb к процессу в контейнере LXC, запущенном на одной и той же Linux-хост-системе.

1. Понимание пространств имен PID

В Linux пространства имен (namespaces) позволяют изолировать ресурсы между процессами. Процессы внутри LXC-контейнера работают в своем собственном пространстве имен PID, что означает, что на уровне хоста они не видны в стандартном выводе PID. Это основная причина, по которой gdb не может подключиться к процессу из Docker-контейнера, поскольку они не находятся в одном и том же пространстве имен.

2. Использование gdbserver

Одним из наиболее рекомендуемых решений для работы с gdb и PID-областью является использование gdbserver. Вместо подключения gdb напрямую к процессу, выполните следующие шаги:

1. Установите gdbserver в контейнере LXC. Вы можете сделать это, например, с помощью apt-get:

   sudo apt-get update
   sudo apt-get install gdbserver

2. Запустите gdbserver в контейнере LXC. Например, вы можете запустить gdbserver с указанием PID вашего целевого процесса или указав, чтобы он слушал определенный порт:

   gdbserver :1234 /path/to/your/program

3. Настройте Docker-контейнер на подключение к gdbserver. После запуска gdbserver, откройте терминал в вашем Docker-контейнере и выполните команду подключения:

   gdb /path/to/your/program
   (gdb) target remote <IP_ADDRESS>:1234

3. Проброс портов и безопасность

Чтобы обеспечить успешное соединение, проверьте, что необходимые порты проброшены и доступны между вашими контейнерами. Используйте флаг -p в команде docker run для проброса портов, если это необходимо.

Также, если ваш LXC-контейнер использует дополнительные политики безопасности, убедитесь, что они не блокируют соединение.

4. Устранение возможных ошибок

• Проблемы с правами доступа. Убедитесь, что у вашего пользователя есть необходимые права для подключения к процессам и использования gdbserver.
• Проблемы с сетевыми настройками. Проверьте настройки сети в контейнерах, чтобы убедиться, что они могут видеть друг друга.

Вывод

Использование gdbserver представляет собой гибкий и эффективный способ отладки приложений в многоконтейнерной среде, позволяя избежать проблем с различными пространствами имен PID. Следуя приведённым рекомендациям, вы сможете встраивать отладку в ваши рабочие процессы, минимизируя риски и упрощая процесс разработки.

Понимание механизмов работы с пространствами имен и правильное использование инструментов отладки может упростить решение сложных задач, связанных с управлением контейнерами и отладкой приложений.