skills/gitgoodordietrying/Container Debug

Container Debug

Docker 容器全方位调试手册

Docker容器与Compose服务的调试指南,提供日志分析、网络诊断、资源监控等完整命令集,纯文档性工具

收藏
19.9k
安装
4.1k
版本
1.0.0
CLS 安全性认证2026-06-03
点击查看完整报告 >

使用说明

核心功能

container-debug 是一套全面的 Docker 容器调试指南,专注于帮助开发者诊断和解决容器化应用的各类问题。内容涵盖六大核心场景:日志查看与过滤(docker logs 多维度查询)、容器内执行调试(docker exec 交互式与单命令模式)、网络连通性诊断(DNS 解析、端口映射、自定义网络)、资源使用监控(内存 OOM 检测、磁盘分析)、Dockerfile 多阶段构建调试,以及 Docker Compose 服务依赖与启动顺序问题。

显著优点

1. 场景覆盖完整:从容器崩溃(exit code 分析)到网络隔离(bridge vs 自定义网络),从资源泄漏到构建缓存问题,几乎涵盖所有常见故障模式
2. 命令即拿即用:所有示例均为可直接执行的 CLI 命令,无需额外工具链,兼容 Linux/macOS/Windows
3. 特殊场景支持:针对 distroless/scratch 等无 shell 镜像,提供 nsenter 和 sidecar 调试方案;针对 OOM 退出码 137 提供精准诊断流程
4. Compose 深度集成:包含 depends_on 健康检查条件、服务启动顺序控制等生产级编排技巧

潜在局限

1. 纯文档性工具:本身无可执行代码,依赖用户手动执行命令,无法自动化诊断
2. Docker 版本差异:部分命令(如 docker debug)需要 Docker Desktop 特定版本,旧版 Docker 引擎不支持
3. 平台限制nsenter 方案仅适用于 Linux 主机,macOS/Windows 需借助虚拟机或特定工具
4. 无实时聚合:无法跨多主机或 Kubernetes 环境工作,仅限单机 Docker 场景

适合人群

  • DevOps/SRE 工程师处理生产容器故障
  • 后端开发者本地调试微服务架构
  • CI/CD 流水线维护人员排查构建失败
  • Docker 学习者系统掌握调试方法论

使用风险

  • 命令执行风险docker system prune --volumes 等清理命令可能导致数据永久丢失
  • 权限要求:部分诊断(如 nsenter)需要主机 root 权限
  • 生产环境慎用docker cp 提取敏感文件、tcpdump 抓包可能涉及合规问题
  • 网络测试副作用:容器内 ping/curl 可能触发防火墙告警或产生意外流量

安全解读

核心用法

container-debug 是一套全面的 Docker 容器调试技术指南,采用纯 Markdown 文档形式,无任何可执行代码。内容覆盖六大调试场景:

1. 容器日志分析 — 提供 docker logs 的完整用法,包括实时追踪(-f)、时间范围过滤(--since/--until)、Compose 多服务日志聚合,以及日志驱动器检查和文件导出技巧。

2. 容器内执行调试 — 详述 docker exec 进入运行容器的多种方式(bash/sh、root 用户、环境变量注入),以及针对已崩溃容器的特殊处理:检查退出码(137=OOM、139=段错误)、覆盖 entrypoint 重新启动、使用 docker cp 提取文件等。

3. 网络诊断 — 从基础 IP 和端口检查,到容器间连通性测试(ping/curl/nslookup/nc),再到复杂场景:DNS 解析故障排查(自定义网络 vs 默认 bridge)、连接拒绝问题定位(127.0.0.1 绑定陷阱)、以及 nicolaka/netshoot 网络工具箱的使用。

4. 资源监控 — 包括实时 docker stats 流式监控、内存限制与 OOM 事件检查、cgroups 内存读取、进程级内存分析,以及磁盘空间审计和日志膨胀排查。

5. Dockerfile 调试 — 多阶段构建的中间产物检查(--target)、镜像层历史对比、构建缓存清理策略,以及 --progress=plain 详细输出技巧。

6. 健康检查与 Compose — 健康检查定义语法、状态查询、手动触发,以及 Compose 服务依赖关系配置(depends_on + condition)和启动顺序控制。

显著优点

  • 零执行风险:纯文档型 Skill,116 个代码块均为示例命令,无隐藏脚本或动态加载。
  • 场景覆盖完整:从简单日志查看到复杂的 distroless 镜像调试(nsenter 命名空间进入),覆盖容器全生命周期故障。
  • 实用技巧密集:如退出码速查表(137/139/143)、内存 cgroup 路径适配、网络侧车模式(sidecar)等,均为生产环境高频问题。
  • 安全合规:无敏感信息硬编码,无危险函数调用,通过 CLS-Certify A 级认证(95 分)。

潜在局限

  • 依赖本地 Docker CLI:所有命令需用户手动执行,无自动化诊断流程。
  • 平台差异:部分命令(如 cgroups 内存路径、nsenter)在 Windows/macOS 与 Linux 表现不同,文档未明确标注兼容性矩阵。
  • Compose 版本差异:部分示例使用 Compose V2 语法(docker compose),旧版 V1(docker-compose)用户需自行适配。
  • 无可视化辅助:纯文本命令参考,对于复杂网络拓扑或资源时序分析,仍需配合外部工具(如 Portainer、cAdvisor)。

适合人群

  • DevOps/SRE 工程师处理生产容器故障
  • 后端开发者在本地调试微服务 Compose 环境
  • 云原生学习者系统掌握 Docker 调试技能

常规风险

  • 命令误操作风险docker system prune -a --volumes 等清理命令可能导致数据丢失,文档已标注 WARNING 但未强制确认机制。
  • 生产环境侵入docker exec -u rootnsenter 进入运行容器可能违反安全策略,建议在隔离环境先验证。
  • 网络侧车工具信任:推荐使用的 nicolaka/netshoot 镜像需从 Docker Hub 拉取,应确保镜像签名验证或私有镜像仓库来源。
dockercontainerdebuggingdevopstroubleshootingdocker-composeloggingnetworkingperformance-monitoring

Container Debug 内容

手动下载zip · 4.5 kB
SKILL.mdtext/markdown
请选择文件