我有一个未知的容器，它正在执行一些生产工作负载，不想运行任何命令。

所以，我使用docker diff。

这将列出容器已更改的所有文件，因此非常适合探索容器文件系统。

如果只获取一个文件夹，你可以使用grep:

docker diff <container> | grep /var/log

它不会显示来自docker映像的文件。根据您的用例，这可能有用，也可能没用。

如果容器停止或没有shell(例如，安装指南中提到的hello-world，或non-alpine traefik)，这可能是探索文件系统的唯一可能方法。

你可以将容器的文件系统归档到tar文件中:

docker export adoring_kowalevski > contents.tar

或者列出文件:

docker export adoring_kowalevski | tar t

请注意，根据映像的不同，这可能需要一些时间和磁盘空间。

对我来说，这个工作得很好(感谢最后的注释指出目录/var/lib/docker/):

chroot /var/lib/docker/containers/2465790aa2c4*/root/

这里，2465790aa2c4是运行容器的短ID(由docker ps显示)，后面跟着一个星号。

对于一个已经运行的容器，你可以这样做:

dockerId=$(docker inspect -f {{.Id}} [docker_id_or_name])

cd /var/lib/docker/btrfs/subvolumes/$dockerId

你必须是root用户才能cd到那个目录。如果您不是root用户，请先输入“sudo su”再执行该命令。

编辑:在v1.3之后，请参阅Jiri的回答-它更好。

创建容器之前:

如果你想探索图像的结构，即安装在容器内，你可以这样做

sudo docker image save image_name > image.tar
tar -xvf image.tar

这将使您可以看到图像的所有层及其json文件中的配置。

创建容器后:

对于这个问题，上面已经有很多答案了。我喜欢的方式 这将是

docker exec -t -i container /bin/bash

另一个技巧是使用原子工具来做如下的事情:

mkdir -p /path/to/mnt && atomic mount IMAGE /path/to/mnt

Docker映像将被挂载到/path/to/mnt，以便您检查它。