K8s (Kubernetes, 容器编排系统) 容器网络排查的“瑞士军刀”:getent 与 curl 的妙用

原创 于 2025-11-20 20:15:31 发布 · 77 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #网络 #容器

🚀 K8s (Kubernetes, 容器编排系统) 容器网络排查的“瑞士军刀”:getent 与 curl 的妙用

在云原生时代,我们经常遇到这样的场景:应用在本地跑得好好的,一部署到 K8s (Kubernetes, 容器编排系统) 集群里,就报各种连接错误:Connection RefusedUnknown HostTimeout… 🤯

当我们兴冲冲地进入容器终端(Terminal)想排查时,却发现:

  • ping: command not found
  • telnet: command not found
  • nslookup: command not found
  • vi: command not found

绝望吗?别急! 大多数生产级的精简镜像(如 Alpine, Distroless, Slim)为了安全和体积,去掉了这些工具。但是,它们通常会保留两个不起眼但功能强大的“神器”:getentcurl

今天就来聊聊如何用这两个命令,在“徒手空拳”的情况下搞定网络排查。🛠️

📊 总结:排查工具速查表

工具命令主要用途替代的传统工具检查层级典型输出
getent hosts <域名>检查 DNS (Domain Name System, 域名系统) 解析nslookup, dig网络层 (IP (Internet Protocol, 互联网协议) 地址)IP (Internet Protocol, 互联网协议) 地址 + 域名
curl -v telnet://<IP>:<端口>检查 TCP (Transmission Control Protocol, 传输控制协议) 端口连通性telnet, nc传输层 (端口握手)Connected (成功) / Refused (被拒)

1. 🗺️ 问路神器:getent hosts (排查 DNS 问题)

在怀疑网络不通之前,首先要确认的是:“地址对不对?”

很多时候,连接失败是因为 DNS (Domain Name System, 域名系统) 解析出了旧的 IP (Internet Protocol, 互联网协议),或者根本解析不到 IP (Internet Protocol, 互联网协议)(比如 K8s (Kubernetes, 容器编排系统) 的 CoreDNS 挂了,或者阿里云 VPC (Virtual Private Cloud, 专有网络) 切换后的 DNS (Domain Name System, 域名系统) 缓存问题)。

为什么不用 nslookupdig

因为它们通常不在基础镜像里。而 getent (Get Entries) 是 Linux 标准库的一部分,几乎所有的 Linux 容器里都有它。它直接查询系统的 /etc/nsswitch.conf,告诉你操作系统当前到底“看”到了什么 IP (Internet Protocol, 互联网协议)

📝 使用方法

getent hosts <域名>

🌰 实战案例

假设你的应用连不上阿里云 Redis,域名是 r-2vc6...rds.aliyuncs.com

情况 A:DNS (Domain Name System, 域名系统) 解析正常

root@pod:/app# getent hosts r-2vc6...rds.aliyuncs.com
10.71.42.223    r-2vc6...rds.aliyuncs.com  <-- ✅ 只有一个 IP (Internet Protocol, 互联网协议),且是你预期的 VPC (Virtual Private Cloud, 专有网络) 内网段

情况 B:DNS (Domain Name System, 域名系统) 缓存污染 / 裂脑 (Split-Brain)
这正是我最近遇到的坑!阿里云 VPC (Virtual Private Cloud, 专有网络) 切换后,DNS (Domain Name System, 域名系统) 同时返回了新旧两个 IP (Internet Protocol, 互联网协议):

root@pod:/app# getent hosts r-2vc6...rds.aliyuncs.com
10.71.42.223    r-2vc6...rds.aliyuncs.com  <-- ✅ 新 IP (Internet Protocol, 互联网协议) (能通)
172.23.241.113  r-2vc6...rds.aliyuncs.com  <-- ❌ 旧 IP (Internet Protocol, 互联网协议) (已断网)

💡 分析: 如果出现这种情况,Java/Go 客户端可能会随机连到那个死掉的旧 IP (Internet Protocol, 互联网协议),导致服务间歇性报错。getent 让你一眼看穿真相!

2. 🛣️ 探路神器:curl -v telnet:// (排查端口连通性)

确定 IP (Internet Protocol, 互联网协议) 没问题后,下一步是:“路通不通?门开没开?”

我们习惯用 ping 测连通性,用 telnet 测端口。但容器里往往没有这两个命令。而且,ping 通不代表端口通(防火墙可能禁了 ICMP (Internet Control Message Protocol, 互联网控制消息协议) 但开了 TCP (Transmission Control Protocol, 传输控制协议)),ping 不通也不代表端口不通

这时候,curl 就登场了。很多人只知道用它发 HTTP (HyperText Transfer Protocol, 超文本传输协议) 请求,其实它支持多种协议,包括底层的 Telnet (TCP (Transmission Control Protocol, 传输控制协议))

📝 使用方法

curl -v telnet://<IP (Internet Protocol, 互联网协议) 或域名>:<端口>
  • 注意要加 -v (verbose),否则你看不到握手过程。
  • 协议头必须是 telnet://

🌰 实战案例

情况 A:连接成功 (通了!🎉)

root@pod:/app# curl -v telnet://10.71.42.223:6379
*   Trying 10.71.42.223:6379...
* Connected to 10.71.42.223 (10.71.42.223) port 6379 (#0)  <-- ✅ 看到 Connected 就是通了!

说明: 看到 Connected 后,通常卡在这里不动是正常的,因为 Redis 在等你发指令。按 Ctrl + C 退出即可。

情况 B:连接拒绝 (白名单/防火墙问题 🚫)

root@pod:/app# curl -v telnet://10.71.42.223:6379
*   Trying 10.71.42.223:6379...
* Connection refused  <-- ❌ 对方服务器收到了请求,但拒绝了

💡 分析: 这通常意味着目标服务没启动,或者配置了白名单拒绝了你的 IP (Internet Protocol, 互联网协议)。

情况 C:连接超时 (路由/网络隔离问题 ⏳)

root@pod:/app# curl -v telnet://172.23.241.113:6379
*   Trying 172.23.241.113:6379...
(一直卡在这里不动)

💡 分析: 这说明数据包发出去了,但像石沉大海一样没回来。通常是因为网络不通(比如跨了 VPC (Virtual Private Cloud, 专有网络) 且没打通,或者交换机路由不可达)。

🎯 总结

在精简的 Docker/K8s (Kubernetes, 容器编排系统) 容器中排查“连不上数据库/中间件”的问题,谨记这套组合拳:

  1. 查地图 🗺️:getent hosts <域名>
    • 看解析对不对,有没有混入奇怪的旧 IP (Internet Protocol, 互联网协议)。
  2. 测道路 🚦:curl -v telnet://<域名>:<端口>
    • 看是 Connected (通),Refused (被拒),还是卡住 (网断)。

掌握这两个命令,哪怕给你一个只有 5MB 大小的 Alpine 镜像,你也能从容地定位网络故障!💪

📊 图表解析

1. 排查流程图 (Flowchart)

是 (显示正确IP)
否 (无结果/旧IP)
否 (Refused)
否 (Trying...卡住)
开始网络排查
使用 getent hosts 检查DNS解析
解析结果是否正确?
使用 curl -v telnet:// 检查端口
排查 CoreDNS 或 VPC (Virtual Private Cloud) 缓存
是否显示 Connected?
网络层正常
检查应用层配置
检查目标服务白名单/安全组
检查路由表/网络隔离

2. 交互时序图 (Sequence Diagram)

开发者容器终端DNS (Domain Name System) 服务器目标服务 (Redis)阶段一:DNS (Domain Name System) 解析检查执行 getent hosts <域名>1查询域名对应的 IP (Internet Protocol)2返回 IP (Internet Protocol) 列表 (例如 10.71.x.x)3显示解析结果4阶段二:TCP (Transmission Control Protocol) 连通性检查执行 curl -v telnet://<IP>:<端口>5发起 TCP (Transmission Control Protocol) 三次握手 (SYN)6确认 (SYN-ACK)7确认 (ACK)8显示 Connected (连接成功)9复位 (RST)10显示 Connection Refused (拒绝)11数据包丢失长期卡在 Trying... (超时)12alt[网络通畅][连接被拒][网络不通]开发者容器终端DNS (Domain Name System) 服务器目标服务 (Redis)

3. 网络状态图 (State Diagram)

执行 getent
解析成功 (获得 IP)
解析失败 (Unknown Host)
curl 返回 Connected
curl 返回 Connection refused
curl 卡住 (Trying...)
需检查域名拼写
需检查白名单
需检查 VPC (Virtual Private Cloud) 路由
未知状态
DNS (Domain Name System) 解析中
TCP (Transmission Control Protocol) 握手中
连接成功
解析失败
连接拒绝
连接超时

4. 工具类图 (Class Diagram)

在这里插入图片描述

5. 实体关系图 (Entity Relationship Diagram)

PODstringnameK8s (Kubernetes) Containerstringshellbash/shCOMMANDDNS_CHECKstringtoolgetentstringtargetDomain NamestringresultIP (Internet Protocol) AddressTCP_CHECKstringtoolcurlstringprotocoltelnetstringtargetIP:PortstringstatusConnected/Refused/Timeoutexecutestype_istype_is

🧠 知识点思维导图

  • K8s (Kubernetes, 容器编排系统) 容器网络排查
    • 背景痛点
      • 精简镜像缺失工具 (Alpine/Distroless)
      • 缺失 ping, telnet, nslookup
    • 核心神器 1: getent
      • 全称: Get Entries
      • 用途: 检查 DNS (Domain Name System, 域名系统) 解析
      • 优势: Linux 标配,无需安装
      • 命令: getent hosts <域名>
      • 典型故障: DNS (Domain Name System) 裂脑 (新旧 IP (Internet Protocol, 互联网协议) 并存)
    • 核心神器 2: curl
      • 全称: Client URL
      • 用途: 检查 TCP (Transmission Control Protocol, 传输控制协议) 端口连通性
      • 技巧: 使用 telnet:// 伪协议
      • 命令: curl -v telnet://<IP>:<端口>
      • 结果解读
        • Connected: 通了
        • Refused: 白名单/防火墙拦截
        • Trying...: 路由中断/网络隔离
    • 排查口诀
      • 先查地图 (DNS)
      • 再测道路 (TCP)
博客
域名解密:mdt.center, www, api 三者在微服务架构中的“三角关系”
11-24 155
域名架构解析:mdt.center 的云原生实践 本文深入解析了 mdt.center、www.mdt.center 和 api.mdt.center 在现代云原生架构中的分工协作。根域名 mdt.center 作为数字资产,指向阿里云 OSS;www 子域名负责前端展示,托管静态资源;api 子域名处理后端逻辑,部署在 K8s 集群。这种拆分实现了动静分离、安全隔离和系统解耦,体现了云原生架构的最佳实践。三者通过 HTTPS 安全连接,共同构建完整的现代化应用。
博客
填坑记:ACK (K8s) + SLB 全链路 HTTPS 部署实战与跨地域证书同步指南
11-24 21
在云原生架构中,“前端 OSS 静态托管 + 后端 ACK 微服务” 是黄金组合。但当我们要给这个组合穿上 SSL (HTTPS) 的防弹衣时,却踩中了一个极其隐蔽的坑——阿里云证书的“地域隔离”。
博客
Vue3+Vite 部署阿里云 OSS 避坑指南:搞定 API 接口 404 与动态环境注入
11-21 359
Vue3+Vite项目部署阿里云OSS时API接口404问题解决方案 问题分析: 本地开发时Vite代理正常工作,但线上部署后API请求发往OSS域名导致404 根本原因是Vite的server.proxy仅在开发模式生效,且Axios配置硬编码了相对路径 解决方案: 编写自动化部署脚本(deploy-web.sh),在构建前动态注入环境变量 修改Axios配置,优先读取环境变量中的真实网关地址(VITE_APP_BASE_API) 脚本自动处理构建、环境变量注入和OSS上传流程 关键点: 通过.env.p
博客
打通云端链路:本地终端直连阿里云 OSS 配置指南(ossutil)
11-21 277
本文介绍了如何在Mac终端配置阿里云OSS命令行工具ossutil,实现本地与云端存储的高效连接。主要内容包括:1)通过官方二进制安装ossutil并解决Mac安全限制;2)交互式配置AK/SK和Endpoint等关键参数;3)使用ossutil ls命令验证连接性。文章提供了操作速查表、详细步骤说明和可视化流程图,帮助开发者快速建立安全的命令行访问通道,提升云存储管理效率。成功配置后,用户可直接通过终端操作OSS存储资源。
博客
告别烦人验证码! 阿里云RAM(Resource Access Management, 资源访问控制)子账号,还你一个清爽的开发体验!
11-19 446
摘要:告别主账号频繁验证码的困扰,阿里云RAM子账号助你高效开发!本文详细讲解三步创建RAM用户:1)管理员创建用户并选择访问方式;2)安全保存初始凭证;3)按需授权(推荐PowerUserAccess避免过高权限)。通过合理权限分配,既能保障账户安全,又能实现自动化运维。附流程图和权限对比表,帮助开发者快速上手使用更安全的子账号体系。
博客
云上安全的第一道门禁:带你玩转阿里云访问控制(RAM,Resource Access Management,资源访问管理)
11-18 677
本文介绍了阿里云访问控制(RAM)的核心概念与应用场景。RAM通过主账号、RAM用户、用户组、权限策略和RAM角色等组件,实现精细化权限管理,遵循最小权限原则。文章列举了团队成员权限管理、增强安全条件限制、跨账号访问合作及云服务访问配置四个典型场景,并提供了最佳实践建议,如避免使用主账号操作、启用多因素认证等。RAM作为云资源的安全管家,能有效解决账号共享、权限混乱等安全问题,帮助用户构建安全的云上权限体系。
博客
CI/CD 实战:修复 Docker 推送私有 Harbor 仓库的 HTTPS client 错误
11-11 1063
摘要:本文记录了在CI/CD实践中遇到的Docker推送私有Harbor仓库时的"HTTPS client"错误。作者最初错误地在服务器端配置信任规则,后意识到问题源于本地Docker客户端的HTTPS校验。通过在MacBook Pro的Docker Desktop配置中添加insecure-registries字段并重启,最终成功实现了自动化部署脚本的HTTP推送功能。文章通过生动的比喻和详细的操作步骤,强调了Docker安全策略的客户端驱动特性,为处理内网测试环境提供了实用解决方案。
博客
从零到一:我在服务器上部署企业级镜像仓库 Harbor 的全过程记录
11-11 802
在我的微服务项目的开发过程中,我遇到了一个经典的需求:我需要一个地方来统一、安全地管理我们团队构建的所有 Docker 镜像。直接使用公共的 Docker Hub 不仅有速率限制,更重要的是,将包含业务代码的镜像放在公网上,始终存在安全隐患。经过一番调研,我决定放弃轻量级的registry方案,直接一步到位,选择云原生计算基金会 (CNCF, Cloud Native Computing Foundation) 的毕业项目——Harbor,来为我的测试环境搭建一个功能强大的企业级私有镜像仓库。
博客
软件下载页的“神秘四兄弟”:.tar.gz, .zip 和 .md5 到底都是啥?
11-10 1051
Linux/macOS用户应下载.tar.gz,Windows用户选择.zip文件,这两种格式都是软件的压缩包。对应的.md5文件用于校验文件完整性,通过比对MD5哈希值可确保文件未被篡改或损坏。生产环境中建议下载.md5文件进行校验,而普通用户只需选择适合自己系统的压缩包即可。
博客
Chrome 在 macOS 上“拒绝服务”?一行命令带你走出 Permission denied 的绝境
11-08 1038
摘要:Chrome在macOS上因权限错误无法启动的终极解决方案 当Chrome在macOS上突然无法启动且终端显示"Permission denied"错误时,常规的权限修复命令(chown/chmod)往往无效。问题根源通常是Chrome配置文件目录(~/Library/Application Support/Google/Chrome)已损坏,导致无法读写关键文件。本文详细记录了从发现问题到最终解决的完整过程:通过终端诊断确认权限错误→尝试传统修复方法失败→确认配置文件损坏→执行决
博客
✨ Element Plus 小技巧:用 collapse-tags 终结多选框的“选择困难症”!
11-07 1219
Element Plus 多选框优化技巧 本文介绍了Element Plus中el-select组件的collapse-tags属性,它能有效解决多选项选择时界面元素被"撑爆"的问题。当开启collapse-tags后,多选框会自动将超出的选项折叠为+N标签,保持界面整洁。搭配collapse-tags-tooltip属性,用户可通过悬停查看被折叠的全部选项,既节省空间又不丢失信息。这种组合特别适用于需要选择多个标签、负责人等场景,能显著提升表单的美观性和用户体验。
博客
部署进化论:从“一体化”到“分离式”,让你的微服务部署效率飙升10倍!
11-06 857
本文对比了两种微服务部署模式:“一体化”模式与**“分离式”模式**。 “一体化”模式将所有流程(编译、构建、运行)集中在服务器完成,虽简单但效率低下,导致部署缓慢(约4分钟)、资源占用高且环境混乱。 “分离式”模式将职责分离:本地或CI服务器完成编译和镜像构建,镜像仓库存储版本化镜像,服务器仅拉取并运行容器。这种模式显著提升了部署速度(秒级完成),减少服务器负载,保持环境纯净,且支持轻松回滚。 核心建议:项目早期可使用“一体化”模式快速验证,但进入开发和生产阶段后,应优先采用“分离式”模式,结合镜像仓库实
博客
从 500 到 200:一次因“环境串扰”引发的微服务雪崩排查实录(Nacos)
11-05 1136
摘要: 本文记录了一次由Nacos环境串扰引发的微服务雪崩事故排查过程。作者在本地开发时发现所有接口返回500错误,网关日志显示PrematureCloseException。排查发现Nacos注册中心同时存在本地和Docker环境的服务实例,导致请求被随机路由到不可达的Docker内部IP。通过创建独立的Nacos命名空间实现环境隔离,最终解决了问题。文章强调了环境隔离的重要性,并分享了微服务网络模型、日志分析等实用排查技巧。(149字)
博客
云上数据的金钟罩:揭秘阿里云OSS加密算法AES256与SM4的终极对决!
11-03 963
阿里云OSS (Object Storage Service, 对象存储服务) Bucket,并且在安全设置的道路上一路披荆-斩棘。当你来到 “服务端加密方式” 这一关时,你遇到了两位神秘的守护者:AES256 和 SM4。
博客
告别黑乎乎的命令行!用 Portainer 给你的 Docker 装上一个酷炫的“仪表盘”
11-01 914
文章摘要 Portainer是一款开源的Docker图形化管理工具,能够帮助用户通过直观的Web界面轻松管理容器,摆脱复杂的命令行操作。它提供仪表盘概览、一键容器操作、实时资源监控、日志浏览和Web终端等功能。安装仅需两步:创建数据卷并运行Portainer容器(需挂载Docker套接字)。首次访问时通过HTTPS配置管理员账户即可连接本地Docker环境。Portainer显著降低了Docker管理门槛,适合个人开发者和团队使用,让容器管理变得高效直观。
博客
从 Vite Proxy 到 Nginx 反向代理:打通前后端分离部署的“最后一公里” ✨
10-31 1052
摘要:Vite Proxy 到 Nginx 反向代理的部署转换 本文探讨了前后端分离部署中常见的 API 请求失效问题。开发环境下 Vite 的 proxy 配置能有效解决跨域,但在生产环境(npm run build后)会失效,因为静态文件不具备代理能力。解决方案是通过 Nginx 反向代理:在配置中添加 /api/ 的 location 规则,使用 proxy_pass 将请求转发至后端 API 网关,并确保路径重写正确。文章详细解释了配置要点,包括末尾 / 的重要性,并提供了 Nginx 重载命令。最
博客
SSH 终极技巧:告别 -i 和长命令,用 config 文件实现“一键登录”!
10-31 1234
🚀 SSH 配置终极技巧摘要 通过配置 ~/.ssh/config 文件,可以实现"一键登录"SSH服务器,告别繁琐的-i参数和长命令。只需为每台服务器创建配置块,包含Host(别名)、HostName(IP)、User(用户名)和IdentityFile(密钥路径)信息,就能通过简单别名快速连接。这种方法极大提升了管理多台服务器时的效率,同时也适用于scp命令。配置完成后,只需输入ssh 别名即可自动完成认证登录,是开发运维人员的必备技巧。 关键优势: ✅ 简化命令输入 ✅ 便于管理
博客
SSH 密钥登录“三步走”:从 Permission denied 到丝滑登录
10-31 1187
SSH密钥登录排错指南 问题现象:使用SSH密钥登录云服务器时出现"Permission denied (publickey)"或"UNPROTECTED PRIVATE KEY FILE"错误。 根本原因: 未正确指定私钥文件路径(默认只查找id_rsa等标准文件) 私钥文件权限过于开放(需严格限制为600权限) 解决方案: 明确指定私钥路径:ssh -i ~/.ssh/my-key.pem user@host 设置正确权限:chmod 600 ~/.ssh/my-
博客
终极进化!拥抱 ESLint v9,让你的 Vue 3 + Vite 项目“刀枪不入” ✨
10-30 1255
你是否还在为 npm run build 时才发现一堆 TypeScript (TS) 错误而烦恼?是否还在忍受团队成员提交的代码风格五花八门?
博客
Docker Compose: docker-compose 还是 docker compose?别再傻傻分不清!
10-30 1517
Docker Compose 版本演变:从V1到V2 Docker Compose经历了从独立工具到集成组件的演变: V1版本:独立Python工具,使用docker-compose命令,需单独安装但存在依赖问题 V2版本:集成Go插件,使用docker compose命令,随Docker自动安装,提供更统一的操作体验和更好性能 兼容方案:可通过脚本自动检测可用版本,推荐优先使用V2命令 迁移建议:逐步将旧命令替换为新格式,注意更新自动化脚本中的命令调用方式 关键词:Docker Compose、版本差异、
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值