本文分享自华为云社区《《跟唐老师学习云网络》 - nsenter魔法棒》,作者:tsjsdbd 。
有时候 Docker 容器中缺少需要的软件。比如 curl,wget,ifconfig,ip,tcpdump 等基础软件包,什么都干不了,很是让人抓狂。
[root@tsjsdbd home]# docker exec -it 8402 /bin/bashroot@8402d89fe04a:/# ifconfigbash: ifconfig: command not foundroot@8402d89fe04a:/# ipbash: ip: command not foundroot@8402d89fe04a:/# tcpdumpbash: tcpdump: command not foundroot@8402d89fe04a:/# curlbash: curl: command not foundroot@8402d89fe04a:/# nslookupbash: nslookup: command not foundroot@8402d89fe04a:/# wgetwget: missing URLUsage: wget [OPTION]... [URL]...
复制代码
面对这种容器镜像,定位问题就会很困难,因为你进入容器后,想执行命令还得重新安装各种基础软件,非常麻烦。
这个时候,我们要拿起“nsenter”这个根魔法棒,在主机上上面挥舞起来。
ns-enter,顾名思义,就是「进入各种 namespace」,即 nsenter 命令可以进入到指定目标进程的 ns 视角。
所以 nsenter 可以站在指定进程的“视角”看世界,本文重点关注进入目标进程的“网络 ns”视角,即站在「容器中的进程视角」看待容器里面的网络世界,并在那个视角中执行命令。
首先,我们要找到,要进入的「目标 ns」的目标进程 ID。即:容器里面的根进程
[root@tsjsdbd ubuntu]# docker inspect 8402d89fe04a[ { "Id": "8402d89fe04a7e161faf8a01a86c47f8402d4c8d7207b6897d8e6d661d670df4", "State": { "Status": "running", "Pid": 18751, "ExitCode": 0, "Error": "", "StartedAt": "2023-05-10T03:12:19.221460059Z", "FinishedAt": "0001-01-01T00:00:00Z" },
复制代码
容器里的“老大”是进程 18751 号。
所以我们直接在 Host 主机上,跟踪这个进程,并进入它的“视角”,我们就可以看到容器里面的世界了。而且由于我们这个时候,作为控制者,还是处在 Host 主机上的,因此可以执行 Host 主机上的各种命令行。
如下:
[root@tsjsdbd ubuntu]# nsenter -t 18751 -n ifconfigeth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 172.17.0.2 netmask 255.255.0.0 broadcast 172.17.255.255 ether 02:42:ac:11:00:02 txqueuelen 0 (Ethernet) RX packets 1688355 bytes 194318903 (185.3 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 138826 bytes 146246172 (139.4 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 loop txqueuelen 0 (Local Loopback) RX packets 13939 bytes 13140220 (12.5 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 13939 bytes 13140220 (12.5 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
复制代码
其他命令,照搬都可以执行。
比如,容器里面没有 nslookup 命令,但是只有 Host 主机上有,咱就可在容器中执行它:
[root@tsjsdbd ubuntu]# nsenter -t 18751 -n nslookup www.baidu.comServer: 10.129.2.34Address: 10.129.2.34#53Non-authoritative answer:www.baidu.com canonical name = www.a.shifen.com.Name: www.a.shifen.comAddress: 14.119.104.254Name: www.a.shifen.comAddress: 14.119.104.189
复制代码
所以原本在容器里面,无法执行的调试行为,就这么可以完成调试。
更直接的,如果不带最后的执行命令参数,可以直接进到“目标视角”里面去,进行交互式执行 cli:
[root@tsjsdbd ubuntu]# nsenter -t 18751 -n#这里就进入交互模式,相当于没有填写cli时,默认执行[当前bash][root@tsjsdbd ubuntu]# ip addr1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN4261: eth0@if4262: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP[root@tsjsdbd ubuntu]# curlcurl: try 'curl --help' or 'curl --manual' for more information[root@tsjsdbd ubuntu]# tcpdumplistening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes^C0 packets captured0 packets received by filter0 packets dropped by kernel[root@tsjsdbd ubuntu]# exit#执行exit,可退出“目标视角”
复制代码
可以看到,所有的网络相关的 cli 命令行都可以执行。
并且,这些命令,都是站在容器内的“视角”执行的,所以效果与在容器中是一样的(虽然它们本身在 Host 中发起的)。
类似电影《源代码》《骇客帝国》中那样,用外面世界中的“人”,去控制“里面世界”中的行为。希望可以理解这种上帝视角的逻辑:-)
总结用法:
(1) 找到目标进程 PID
(2)直接执行特定的 cli 命令
nsenter -n -t 822647 ifconfig
复制代码
(3)进入容器视角,进行交互式 cli
点击关注,第一时间了解华为云新鲜技术~
评论