Docker nsenter 命令使用以及lsns命令(需要安装utrace包)

查看容器对应宿主机上面的pid,容器技术的实质是进程,并没有完整的操作系统,就相当于在主机上面fork了一个子进程,通过docker daemon去fork一个子进程,这个子进程是可以在主机上面看到其pid的。 

$ docker inspect -f {{.State.Pid}} 容器名或者容器id 
 
如下:
$ docker inspect -f {{.State.Pid}}  7b7af641a02d
20560
$ docker inspect -f {{.State.Pid}}  consul_client
20560
输入该命令便进入到容器中

$ nsenter --target 上面查到的进程id --mount --uts --ipc --net --pid 

 

解释nsenter指令中进程id之后的参数的含义: 
* –mount参数是进去到mount namespace中  (文件系统)
* –uts参数是进入到uts namespace中  (主机名与域名)
* –ipc参数是进入到System V IPC namaspace中  (信号量、消息队列和共享内容)
* –net参数是进入到network namespace中   (网络设备、网络栈、端口)
* –pid参数是进入到pid namespace中    (进程编号)
* –user参数是进入到user namespace中 (用户和用户组)

PID=$(docker inspect --format "{{ .State.Pid }}" <container>)
$ nsenter --target $PID --mount --uts --ipc --net --pid


#查看容器对应宿主机上面的pid,容器技术的实质是进程,并没有完整的操作系统,就相当于在主机上面fork了一个子进程,通过docker daemon去fork一个子进程,这个子进程是可以在主机上面看到其pid的。
[root@docker ~]# docker inspect 37d084d8e21b | grep -i  pid
            "Pid": 18496,
            "PidMode": "",
            "PidsLimit": null,
[root@docker ~]# ps -ef | grep 18496
root     18496 18476  0 15:34 pts/0    00:00:00 sh

-p 是pid namesapce    -n是network namespace,在主机上面通过nsenter去敲ip a,ps命令和在容器内部敲的命令返回结果是一样的。 

[root@docker ~]# nsenter -t 18496  -n ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
44: eth0@if45: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever

[root@docker ~]# nsenter -t 18496  -p   ps
  PID TTY          TIME CMD
18648 pts/1    00:00:00 sh
20436 pts/1    00:00:00 bash
21368 pts/1    00:00:00 nsenter
21369 pts/1    00:00:00 bash
21529 pts/1    00:00:00 nsenter
21530 pts/1    00:00:00 ps

容器看到的是可以通过在主机上面nsenter看到的。这是日常去调试容器里面进程应用的一个法宝!

有些时候容器里面要做一些debug,缺一些工具,可以登入到主机上面进入到容器的namespace里面去看其网络配置,看其端口监听。这样就能够知道网络连接的状态是怎么样的。 

由于使用DOCKER的时候,ESTABLISHED连接不会出现在netstat中,在运行中的docker容器中列出打开的套接字的方法 ,查找docker的进程号:

$ sudo nsenter -t <Pid> -n netstat | grep ESTABLISHED 
 
示例:
$ nsenter -t 1829 -n netstat |grep ESTABLISHED 
tcp        0      0 localhost:60353         localhost:epmd          ESTABLISHED
tcp        0      0 localhost:epmd          localhost:60353         ESTABLISHED
tcp        0      0 localhost.localdo:15672 192.168.56.1:59679      ESTABLISHED
tcp6       0      0 172.17.0.2:amqp         192.168.56.1:59898      ESTABLISHED
tcp6      21      0 172.17.0.2:amqp         192.168.56.1:59571      ESTABLISHED



[root@jenkins dockerfile]# nsenter -t 14632 -n ping www.baidu.com
^C

[root@jenkins dockerfile]# nsenter -t 14632 -n nslookup www.baidu.com
^C

[root@jenkins dockerfile]# nsenter -t 14632 -n curl 127.0.0.1:8080
{"timestamp":"2024-05-09T06:29:54.346+00:00","status":404,"error":"Not Found","message":"","path":"/"}





查看docker pid的ns

要查看Docker容器的PID的命名空间,你可以使用docker inspect命令,结合--format参数来提取特定信息。以下是一个示例命令,它将显示指定容器的PID命名空间信息:

 
 
docker inspect --format '{{ .State.Pid }}' <container_name_or_id>

这个命令会返回容器的主进程的PID。然后,你可以使用lsns命令(需要安装utrace包)来查看这个PID的命名空间:

 
 
lsns -p <pid>

如果你没有lsns命令,你可以通过安装utrace包来获取它。对于基于Debian的系统,可以使用以下命令安装:

 
 
sudo apt-get install utrace

对于基于Red Hat的系统,可以使用以下命令安装:

 
 
sudo yum install utrace
 
 
posted @ 2024-09-23 10:38  技术颜良  阅读(16)  评论(0编辑  收藏  举报