使用nsenter检查docker网络

最新推荐文章于 2025-03-04 14:46:49 发布
原创 最新推荐文章于 2025-03-04 14:46:49 发布 · 995 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #网络 #linux

文章讲述了如何在没有ping等基本命令的Docker容器中,利用宿主机的nsenter工具进入容器的命令空间,执行如ping这样的网络调试操作。通过获取容器的进程ID,然后使用nsenter-n-t命令进入该进程的网络命名空间,从而使用原本容器内不存在的命令。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一 环境准备

虚拟机IP:10.0.0.100
拉取的三个镜像,镜像名称与ID如下:

[root@canway01 ~]# docker image ls
REPOSITORY                  TAG                 IMAGE ID            CREATED             SIZE
docker.io/nginx             latest              f9c14fe76d50        2 hours ago         143 MB
docker.io/centos            6.9                 2199b8eb8390        4 years ago         195 MB
docker.io/google/cadvisor   latest              eb1210707573        4 years ago         69.6 MB

运行以下命令,交互式启动容器:

docker container run -it 2199b8eb8390

检查容器状态:

[root@canway01 ~]# docker ps -a
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                    NAMES
354fd8ba2770        2199b8eb8390        "/bin/bash"              33 minutes ago      Up 33 minutes                                suspicious_yalow

镜像为centos:6.9的容器已经运行

二 需求

举一个最简单的例子,许多容器由于为了轻量化,没有安装Linux最基本的命令工具,如果想要ping其他IP,就会因为没有ping命令而十分尴尬。

三 解决

nsenter是一个可以在指定进程的命令空间下运行指定程序的命令,它最典型的用途就是进入容器的网络命令空间。

虽然容器没有ping命令,但是可以使用容器外的宿主机的命令工具,实现网络的debug。

首先检查该容器的进程。
上述检查容器状态,我们得到了该容器的ID。354fd8ba2770

[root@canway01 ~]# docker inspect -f {{.State.Pid}} 354fd8ba2770
96248

得到了容器进程的ID 96248

接着使用nsenter命令

[root@canway01 ~]# nsenter -n -t 96248

此时就可以使用容器内本不存在的命令。

在这里插入图片描述

Docker 容器间通信:Link 与自定义网络
AI云原生与云计算技术学院
06-15 802
在容器化应用部署中,多个容器之间的通信是构建分布式系统的基础需求。Docker提供了多种网络解决方案,其中早期的--link(简称Link)机制和基于驱动的自定义网络是两种核心方式。本文将深入对比这两种方案的技术实现、适用场景及最佳实践,帮助开发者理解Docker网络架构的演进逻辑,掌握容器间通信的核心技术。基础概念:解析Docker容器网络模型,定义核心术语Link机制:原理、实现方式、配置步骤与局限性自定义网络:Bridge/Overlay网络原理、IPAM机制、网络驱动扩展实战对比。
3-2-36、k8s网络-docker网络基础
最新发布
xuebo1129927648的博客
07-04 20
创建自定义 Bridge 网络bash# 创建名为my-network的bridge网络# 启动容器并加入网络网络隔离与互联不同网络的容器默认无法通信可通过动态连接容器到多个网络网络驱动插件bridge:默认桥接模式host:主机网络模式overlay:跨主机网络(需 Docker Swarm)macvlan:虚拟 MAC 地址模式第三方插件:Calico、Weave、Flannel命名空间(Namespaces)
使用 nsenter 进入 Docker 容器的操作
qq_42895490的博客
11-10 1401
nsenterLinux 下的一个命令行工具,用于进入指定的命名空间中执行操作。Docker 容器本质上是通过 Linux 的命名空间(Namespace)实现隔离的。因此,使用nsenter我们可以直接进入容器的命名空间,而无需依赖 Docker 自带的命令。这种方式特别适用于调试复杂问题或者在 Docker 服务不可用的情况下操作容器。
通过nsenter连接docker容器
weixin_34092370的博客
04-26 280
通常连接Docker容器并与其进行交互有四种方法。详情见:https://github.com/berresch/Docker-Enter-Demo,下面摘录nsenter连接的方式。 查看是否安装nsenter [root@localhost ~]# whereis nsenter nsenter: /usr/bin/nsenter /usr/share/man/man1/ns...
docker入门
qq_34056251的博客
03-17 693
docker run --name mydocker -t -i centos /bin/bash 详解-t 分配一个尾终端-i 保持打开/bin/bash 命令容器启动运行结束就关闭容器名称和主机名一样docker run:先检测是否有centos进行,检查是否有(没有就下载)启动容器,分配文件系统,给一IP等等------------------------------------------...
docker容器工具nsenter
(Andrew)的专栏
05-08 2083
对于运行在后台的docker容器,我们经常需要做的事情是进入到容器中,docker为我们提供了docker exec 、docker attach 命令,并且还提供了nsenter工具,外部工具供我们使用docker attach存在的问题是:当多个窗口同时attach到同一个容器时,所有的窗口都会同步的显示,假如其中的一个窗口发生阻塞时,其它的窗口也会阻塞,docker attach命令可以说...
使用nsenter工具进入Docker容器
weixin_34072637的博客
01-16 164
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux 技术应用实践-调用宿主机命令检查docker容器网络、进程状态
q66562636的博客
06-14 1068
最近偶然听了几堂极客时间的云原生免费公开课程,首次接触到了Linux namespace技术,并了解到这正是现在风头正劲的容器技术基石,引起了自己探究一二的兴趣,结合课程+网络搜索+实践操作,也算有了一些初步的了解,这里记录、总结一些学习过程。namespace技术网上的介绍已经很多了,这里不做过多赘述,简单总结namespace是Linux 内核提供的支持内核资源隔离的关键技术,目前包含以下7类namespace: Namespace 变量 隔离资源 Cgroup CLONE_NEWCGROUP Cgro
Docker nsenter
sunshine870830的专栏
05-03 178
安装: cd /tmp; curl https://www.kernel.org/pub/linux/utils/util-linux/v2.25/util-linux-2.25.tar.gz | tar -zxf-; cd util-linux-2.25 sudo apt-get install autopoint autoconf libtool automake ./confi...
Docker - nsenter
飞奔的熊猫
12-31 390
【基本介绍】 这里我们介绍dockernsenter命令安装和使用。在大多数Linux发行版中,util-linux包中含有nsenter. nsenter - run program with namespaces of other processes 【安装】 源码安装 [code="linux"] $ wget https://www.kernel.org/pub/linu...
nsenter docker 网络调试
LeoForBest的博客
05-09 793
准备环境 docker run --name nginx -d -p 8080:80 nginx # Or docker top <container> 获取进程ID # 启动shell进程进入容器的UTS 和 NET 命名空间 sudo nsenter -t $(docker inspect --format '{{.State.Pid}}' nginx) -u -n ip address 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdi
利用nsenter进入docker容器
matusi的专栏
01-09 382
1.获取docker容器的Pid,为对应的docker容器的CONTAINER ID docker inspect -f {{.State.Pid}} <containerId> 2.利用nsenter进入该Pid的namespaces #[command]可选,默认以/bin/bash进入容器如果/bin/bash不存在,请使用/bin/sh,或者直接执行容器内部支持的命令 nse...
Docker nsenter 命令使用
小楼一夜听春雨,深巷明朝卖杏花
05-09 2163
有些时候容器里面要做一些debug,缺一些工具,可以登入到主机上面进入到容器的namespace里面去看其网络配置,看其端口监听。$ nsenter --target 上面查到的进程id --mount --uts --ipc --net --pid。容器看到的是可以通过在主机上面nsenter看到的。* –user参数是进入到user namespace中 (用户和用户组)* –pid参数是进入到pid namespace中 (进程编号)查看容器对应宿主机上面的pid,容器技术的实质是进程,
docker背景知识1 命名空间Namespace(nsenter、lsns命令)
m0_45406092的博客
12-10 3279
如下操作都是在centos7上执行,通过cat /proc/version查看系统信息。 Linux namespace linux namespaces是Linux提供的一种内核级别环境隔离的方法,也是Container环境隔离的底层技术,Linux Namespaces共有如下种类 分类 系统调用参数 相关内核版本 ...
Docker容器学习梳理--容器登陆方法梳理(attach、exec、nsenter
Ryan Z 的技术日志
05-07 2367
对于运行在后台的Docker容器,我们运维人员时常是有登陆进去的需求。登陆Docker容器的方式: 1)使用ssh登陆容器。这种方法需要在容器中启动sshd,存在开销和攻击面增大的问题。同时也违反了Docker所倡导的一个容器一个进程的原则。 参考Docker容器学习梳理--SSH方式登陆容器 2)使用自带命令docker attach登陆容器。命令格式:docker attach conta
在boot2docker使用nsenter进行docker调试
zhuhuiblog的专栏
08-16 3055
nsenter是一个允许进入名字空间的小工具。准确的说,当你使用doker工作时,这意味着你能够进入任何docker容器,即使它们没有运行任何sshd。………… Nsenter与Boot2docker       Docker不能直接在OS X和Windows上运行,所以你需要boot2docker。让nsenter和boot2docker一起工作着实需要一点技巧。 如果你等不及的话
docker 安装nsenter 命令
weixin_34216107的博客
11-19 299
为什么80%的码农都做不了架构师?>>> ...
使用nsenter进入Docker容器
Focus on k8s and python
01-01 386
使用nsenter进入Docker容器 转载 2015年04月06日 11:13:27 标签: docker / linux 2790 Docker容器运行后,如何进入容器进行操作呢?起初我是用SSH。如果只启动一个容器,用SSH还能应付,只需要将容器的22端口映射到本机的一个端口即可。当我启动了五个容器后,每个容器默认是没有配置SSH Se
Docker使用 exec、attach、nsenter 等方式进入正在运行的容器
彬彬侠的博客
03-04 656
Docker中,我们可以使用exec、attach、nsenter等方式进入正在运行的容器进行调试或管理。以下是几种常见的方法,方法1:使用docker exec进入容器(推荐),docker exec -it <容器ID或容器名> /bin/bash;方法2:使用docker attach进入容器,docker attach <容器ID或容器名>;方法3:使用nsenter进入容器,docker inspect --format "{{.State.Pid}}" <容器ID或容器名>,nsenter -
如何查询docker镜像所在位置
03-12
<think>好的,用户想查找Docker镜像的存储位置。我需要根据提供的引用内容来回答这个问题。首先,我需要确认不同操作系统的路径,但用户的问题里可能主要关注Linux,因为引用中的信息都是关于Linux的。不过还是应该提一下Windows和Mac的情况,可能用户会想知道。 根据引用1,Linux下镜像存放在/var/lib/docker/image,而容器在/var/lib/docker/containers。引用2提到默认路径是/var/lib/docker/,拉取的镜像保存在/var/lib/docker/image/,每个层以SHA256哈希命名。引用3补充说具体镜像位置可能在/var/lib/docker/image/overlay2/,取决于存储驱动和版本,比如overlay2是常用的存储驱动。 所以综合来看,Linux的路径是/var/lib/docker/image/下的子目录,特别是overlay2。需要提醒用户注意存储驱动的不同可能导致路径变化,并且不同Docker版本可能有差异。另外,Windows和Mac的路径可能不同,因为Docker在这些系统上通常运行在虚拟机中,比如Hyper-V或者Linux VM,所以路径可能在虚拟机内部,用户可能需要进入虚拟机查看或者通过Docker设置查找。 此外,引用3还提到了备份和磁盘空间的问题,这些可以作为注意事项补充,帮助用户避免空间不足的问题。可能用户后续还会关心如何修改默认存储路径,但当前问题只是查找位置,所以是否需要生成相关问题?根据系统指令,需要生成相关问题,所以需要准备几个相关问题,比如如何修改存储位置、如何清理镜像等。 确保回答结构清晰,分点说明不同系统的路径,注意事项,以及验证方法。需要检查LaTeX格式是否正确,但这个问题里可能用不到数学公式,所以可能不需要使用$...$或$$...$$格式。不过如果有变量,比如路径中的目录名,可能需要用代码块或者引号标注。不过用户的问题主要是路径,所以用代码块或直接写明路径即可。根据示例,路径在代码块中显示,所以可能需要使用代码块来展示命令,比如如何进入目录或者查看路径。 最后确认是否引用了正确的引用标识,每个引用来源的信息都要正确对应。比如引用1、2、3分别对应不同的说明,需要正确标注。</think>根据Docker在不同操作系统中的存储机制,镜像文件存放路径主要分为以下三种情况: ### 一、Linux系统路径 1. **默认存储路径** Docker镜像文件默认存储在系统目录: ```bash /var/lib/docker/image/ ``` 其中具体镜像分层文件根据存储驱动类型存放,例如使用`overlay2`驱动时路径为: ```bash /var/lib/docker/image/overlay2/ # 镜像元数据与分层文件系统 /var/lib/docker/overlay2/ # 实际文件系统层内容 ``` 每个镜像层以`SHA256`哈希值命名,通过`docker inspect <image_id>`可查看分层详情[^2][^3]。 2. **验证路径** 执行以下命令确认存储位置: ```bash docker info | grep "Docker Root Dir" # 输出示例:Docker Root Dir: /var/lib/docker ``` ### 二、Windows/Mac系统路径 1. **虚拟化存储机制** 在Windows和macOS中,Docker通过虚拟机(如Hyper-V或QEMU)运行Linux内核,镜像文件实际存储在虚拟机磁盘中: - **Windows**:位于Hyper-V虚拟机的`%USERPROFILE%\AppData\Local\Docker\wsl\data\` - **macOS**:位于`~/Library/Containers/com.docker.docker/Data/vms/0/` 2. **访问方法** 可通过Docker Desktop设置中的**Advanced**选项查看或修改虚拟磁盘路径,或使用命令进入Linux子系统: ```bash docker run -it --rm --privileged --pid=host alpine:latest nsenter -t 1 -m -u -n -i sh ``` ### 三、注意事项 1. **磁盘空间管理** Docker镜像可能占用大量空间,定期清理无用镜像: ```bash docker system prune -a # 清理所有未使用的镜像、容器和网络 ``` 2. **路径迁移** 若默认路径磁盘空间不足,可通过修改Docker配置文件(如`/etc/docker/daemon.json`)中的`data-root`参数实现路径迁移[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值