Docker nsenter 命令使用以及lsns命令(需要安装utrace包)
查看容器对应宿主机上面的pid,容器技术的实质是进程,并没有完整的操作系统,就相当于在主机上面fork了一个子进程,通过docker daemon去fork一个子进程,这个子进程是可以在主机上面看到其pid的。
$ docker inspect -f {{.State.Pid}} 容器名或者容器id
如下:
$ docker inspect -f {{.State.Pid}} 7b7af641a02d
20560
$ docker inspect -f {{.State.Pid}} consul_client
20560
输入该命令便进入到容器中$ nsenter --target 上面查到的进程id --mount --uts --ipc --net --pid
解释nsenter指令中进程id之后的参数的含义:
* –mount参数是进去到mount namespace中 (文件系统)
* –uts参数是进入到uts namespace中 (主机名与域名)
* –ipc参数是进入到System V IPC namaspace中 (信号量、消息队列和共享内容)
* –net参数是进入到network namespace中 (网络设备、网络栈、端口)
* –pid参数是进入到pid namespace中 (进程编号)
* –user参数是进入到user namespace中 (用户和用户组)
PID=$(docker inspect --format "{{ .State.Pid }}" <container>)
$ nsenter --target $PID --mount --uts --ipc --net --pid
#查看容器对应宿主机上面的pid,容器技术的实质是进程,并没有完整的操作系统,就相当于在主机上面fork了一个子进程,通过docker daemon去fork一个子进程,这个子进程是可以在主机上面看到其pid的。
[root@docker ~]# docker inspect 37d084d8e21b | grep -i pid
"Pid": 18496,
"PidMode": "",
"PidsLimit": null,
[root@docker ~]# ps -ef | grep 18496
root 18496 18476 0 15:34 pts/0 00:00:00 sh
-p 是pid namesapce -n是network namespace,在主机上面通过nsenter去敲ip a,ps命令和在容器内部敲的命令返回结果是一样的。
[root@docker ~]# nsenter -t 18496 -n ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
44: eth0@if45: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
valid_lft forever preferred_lft forever
[root@docker ~]# nsenter -t 18496 -p ps
PID TTY TIME CMD
18648 pts/1 00:00:00 sh
20436 pts/1 00:00:00 bash
21368 pts/1 00:00:00 nsenter
21369 pts/1 00:00:00 bash
21529 pts/1 00:00:00 nsenter
21530 pts/1 00:00:00 ps
容器看到的是可以通过在主机上面nsenter看到的。这是日常去调试容器里面进程应用的一个法宝!
有些时候容器里面要做一些debug,缺一些工具,可以登入到主机上面进入到容器的namespace里面去看其网络配置,看其端口监听。这样就能够知道网络连接的状态是怎么样的。
由于使用DOCKER的时候,ESTABLISHED连接不会出现在netstat中,在运行中的docker容器中列出打开的套接字的方法 ,查找docker的进程号:
$ sudo nsenter -t <Pid> -n netstat | grep ESTABLISHED
示例:
$ nsenter -t 1829 -n netstat |grep ESTABLISHED
tcp 0 0 localhost:60353 localhost:epmd ESTABLISHED
tcp 0 0 localhost:epmd localhost:60353 ESTABLISHED
tcp 0 0 localhost.localdo:15672 192.168.56.1:59679 ESTABLISHED
tcp6 0 0 172.17.0.2:amqp 192.168.56.1:59898 ESTABLISHED
tcp6 21 0 172.17.0.2:amqp 192.168.56.1:59571 ESTABLISHED
[root@jenkins dockerfile]# nsenter -t 14632 -n ping www.baidu.com
^C
[root@jenkins dockerfile]# nsenter -t 14632 -n nslookup www.baidu.com
^C
[root@jenkins dockerfile]# nsenter -t 14632 -n curl 127.0.0.1:8080
{"timestamp":"2024-05-09T06:29:54.346+00:00","status":404,"error":"Not Found","message":"","path":"/"}
要查看Docker容器的PID的命名空间,你可以使用docker inspect
命令,结合--format
参数来提取特定信息。以下是一个示例命令,它将显示指定容器的PID命名空间信息:
这个命令会返回容器的主进程的PID。然后,你可以使用lsns
命令(需要安装utrace
包)来查看这个PID的命名空间:
如果你没有lsns
命令,你可以通过安装utrace
包来获取它。对于基于Debian的系统,可以使用以下命令安装:
对于基于Red Hat的系统,可以使用以下命令安装: