一、docker attach：直接“附身”容器的原始方法

当容器日志疯狂刷屏时，docker attach就像直接跳进正在行驶的汽车——能看到仪表盘数据，但方向盘不在你手上。这种直接附加到容器主进程的方式，适合快速查看实时输出，但有个致命问题：所有附加窗口会同步显示输出，一旦有人在窗口输入字符，整个会话可能崩溃。

适用场景：单窗口监控日志流
操作示例：

docker attach my-container  # 附加到运行中的容器
# 退出时按 Ctrl+P+Q（不要用Ctrl+C！会终止容器进程）

风险提示：生产环境慎用，曾有团队因误操作在attach窗口按了Ctrl+C，导致线上服务直接中断。

二、docker cp：不动声色的“文件特工”

如果把容器比作黑箱，docker cp就是X射线扫描仪——无需进入容器即可提取关键文件。某次生产环境Java服务OOM，我通过docker cp拷贝出堆转储文件，在本地MAT工具中分析出内存泄漏点，全程零打扰业务运行。

核心优势：

• 支持双向传输：docker cp 容器ID:/path/文件 ./本地路径
• 离线分析：日志、配置文件、崩溃快照均可导出
• 权限隔离：避免因容器内用户权限不足导致的操作失败

实战案例：

# 导出容器内应用日志
docker cp app-container:/var/log/app.log ./debug-logs/
# 向容器内注入临时配置
docker cp new-config.yaml app-container:/etc/config/

三、临时Debug容器：克隆体上做“手术”

生产容器通常精简到只有运行时依赖，连ls命令都可能没有。这时候可以启动一个携带全套调试工具的临时容器，通过共享存储卷“窥探”原容器的文件系统——相当于给病人做CT时，先克隆一个一模一样的身体进行操作。

操作步骤：

1. 找到目标容器的存储卷挂载点： docker inspect -f '{{.Mounts}}' target-container
2. 启动调试容器并挂载相同目录： docker run -it --rm \ --volume /var/lib/docker/volumes/app-data/_data:/app-data \ --network container:target-container \ nicolaka/netshoot \ bash （注：netshoot镜像内置tcpdump、iftop等50+网络工具）

技术原理：通过--volume共享数据卷，--network共享网络命名空间，实现“零侵入”调试。

四、Ephemeral Containers：K8s环境的“急诊医生”

Kubernetes 1.25+推出的临时容器功能，堪称容器排障的“微创手术”。当业务容器因OOM崩溃且镜像不含shell时，可通过kubectl debug注入调试容器：

kubectl debug -it problem-pod \
  --image=busybox \
  --target=app-container \
  -- sh

三大特性：

1. 进程空间共享：能看到目标容器的所有进程（需开启shareProcessNamespace）
2. 资源零占用：不消耗Pod原有资源配额
3. 自动清理：调试结束后自动销毁，不留垃圾

注意事项：需在kube-apiserver开启EphemeralContainers特性门控，生产环境建议配合RBAC权限控制使用。

五、nsenter：深入内核的“灵魂附体”

当容器彻底失联（如docker exec无响应），nsenter就是最后的“核按钮”。通过直接进入容器的Linux命名空间，你能像容器内进程一样操作系统资源——这相当于直接接入容器的“神经系统”。

操作流程：

1. 获取容器PID： PID=$(docker inspect -f '{{.State.Pid}}' target-container)
2. 进入目标容器的网络命名空间抓包： nsenter -t $PID -n tcpdump -i eth0 port 8080 -w /tmp/capture.pcap
3. 进入挂载命名空间修改配置： nsenter -t $PID -m --wd /etc nginx -s reload

风险警示：需root权限，误操作可能影响宿主机内核。建议操作前执行nsenter --mount=/proc/$PID/ns/mnt -- bash进入隔离环境。

排错姿势选择指南

最佳实践：日常排错优先使用docker cp+临时容器组合，避免直接操作生产容器。复杂场景配合nsenter时，务必先通过docker pause冻结容器状态。