使用nsenter调试k8s网络

于 2023-09-27 10:30:58 发布
阅读量447 收藏
点赞数
文章标签: kubernetes 网络 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38871652/article/details/133342750
版权

我是一个目录

一、 nsenter介绍

nsenter是一个命令行工具, 可以进入进程的名称空间中。例如,如果一个容器以非 root 用户身份运行,使用 docker exec 进入其中后,发现该容器没有安装 sudo 或未 netstat ,并且您想查看其当前的网络属性,如开放端口,这种场景下将如何做到这一点?nsenter 就是用来解决这个问题的。

nsenter(namespace enter)可以在容器的宿主机上使用 nsenter 命令进入容器的命名空间,以容器视角使用宿主机上的相应网络命令进行操作。当然需要拥有 root 权限。

nsenter 的 c 使用语法为,nsenter -t pid -n ,-t 接进程 ID 号,-n 表示进入名称空间内,为执行的命令。

二、实战

首先确定 Pod 名称和所在的节点:

kubectl -n ns-v3-fi-dev  get pod  -o wide  | grep vip1web
vip1web-588bf7c5dc-p6fbl 172.20.199.54
vip1web-rpt-59868cc5fb-72jp4 172.20.199.54
vip1web-upgrad-5bbb8fcd84-6mk6c 172.20.199.54

排查目标:vip1web-588bf7c5dc-p6fbl 的tcp 1521的连接

提前准备了脚本,用于获取pod的pid:

vim get_pod_pid.sh
#!/bin/bash
list=$(docker ps -f 'status=running' |grep -v /pause |awk '{print $1}' |grep -v  CONTAINER)
for i in $list
do
pid=$(docker inspect -f {{.State.Pid}} $i)
cantainer_name=$(docker inspect -f '{{index .Config.Labels "io.kubernetes.pod.name"}}' $i)
echo $pid " "  $cantainer_name
done

上传到脚本中心
登录宿主机172.20.199.54,执行命令,获得pod的pid:

curl -s  http://xxx.xxx.com/k8s/get_pod_pid.sh  | sh | grep  vip1web-588bf7c5dc-p6fbl
60935   vip1web-588bf7c5dc-p6fbl

最后执行命令:

nsenter -t  60935  -n netstat -anp | grep 1521
SpringXCW
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s便捷调试工具学习】
qq_36956082的博客
01-16 292
K8S便捷调试工具学习
nsenter排查容器网络问题及原理
最新发布
binquanlao2913的博客
02-29 398
A、容器的本质是进程,这个进程用linux的namespace机制实现资源的隔离,其包括6类namespace------- network namespace(网络资源)、mount namespace(文件系统挂载点)、uts namespace(主机名和域名)、ipc namespace(共享内存和信号量)、pid namspace(进程ID)、user namespace(用户和用户组);1、获取容器的id,登录到这个容器所在的宿主机k8s-node-02。2、在宿主机上获取容器的Pid。
k8s 网络工具 nsenter
杨仕虎的博客
01-13 784
k8s 工具 借助nsenter命令进入容器命名空间进行抓包和网络诊断 #!/bin/bash ns=$1 #传参1:命名空间 pod_name=$2 #传参2:pod名称 Container_id=$(kubectl describe pod -n $ns $pod_name | grep "Container ID:" | cut -d '/' -f 3 | cut -c 1-12) node=$(kubectl get pods -n $ns $pod_name -o wide | a
查看pod网络范围_K8S Pod 内抓包快速定位网络问题(转)
weixin_42523792的博客
01-14 326
需要Pod的实例内抓包,如果镜像内有打入tcpdump,则可以直接抓包。但大部分情况下,基于alpine为底包,没有tcpdump工具,只能在宿主机上进行操作。。前言在使用 Kubernetes 时,可能会遇到一些网络问题。当通过检查配置与日志无法排查错误时,这时就需要抓取网络数据包,但是Pod内一般不会安装tcpdump命令,那有没有方法可以直接通过宿主机抓取Pod网络数据包?当然有,本文介绍 ...
Kubernetes调试利器Nsenter
Qinng的博客
01-27 1328
k8s云环境中,我们需要在容器内抓包进行Debug, 但通常大多容器都没有安装tcpdump以及其他网络工具;在托管k8s中我们想登录node,不是没权限就是步骤太麻烦。本文的主角nsenter正是很擅长解决这些问题,nsenter可以进入指定namespace的工具,一般用来在容器环境中进行调试调试容器网络 通过nsenter可以轻松在宿主机进入容器网络命令空间,命令如下: # 设置containerid containerid=xxx # 获取容器主进程 pid=$(docker inspe
k8s网络之(一)如何调试容器网络 nsenter
wzj_110的博客
07-19 433
pod_id和container_id关系。
k8s容器调试利器-nsenter
因上努力,果上随缘。但行好事,莫问前程。
08-29 406
Nsenter是一个命令行工具,可以让我们进入一个运行中的容器内部。当使用Docker/Contained运行一个容器时,容器内部就像是一个隔离的虚拟机环境,你需要通过命令行进入容器内部来进行管理和操作。通过Nsenter命令,可以使用容器内部的Shell或其它工具,就像在本地主机上执行命令一样方便。
K8S调试工具之--nsenter
Blue summer的博客
10-18 2713
nsenter就是namespace enter的意思,它可以进入到目标程序所在的namespace中,因此可以用来调试容器程序。我们都知道目前存在的几个namespace,比如网络,用户,pid等,nsenter都有对应的参数可以指定,从而进入该namespace
K8s从入门到实践
weixin_54355236的博客
06-28 2187
Kubernetes是一个帮助我们更轻松地管理和运行应用程序的工具。它会帮助我们自动地将应用程序分配到合适的服务器上,并确保它们一直在运行,还可以自动地增加或减少应用程序的数量,以适应流量的变化。还具有帮助应用程序进行负载均衡,管理和保护敏感数据,以及在不同的云平台上部署应用程序等。
nsenter 工具的使用
任我行的博客
08-24 1720
一、背景 对于运行在后台的docker容器,我们经常需要做的事情是进入到容器中,docker为我们提供了docker exec 、docker attach 命令,并且还提供了nsenter工具,外部工具供我们使用。 docker attach存在的问题是:当多个窗口同时attach到同一个容器时,所有的窗口都会同步的显示,假如其中的一个窗口发生阻塞时,其它的窗口也会阻塞,docker attach命令可以说是最不方便的进入后台docker容器的方法。 docker exec命令是在docker 1.3之后
toolbox-container:用于本地调试的开发工具,调查K8S上的网络问题
03-05
工具箱介绍 Ephemeral Container捆绑了用于本地调试,构建和调查K8S上的网络问题的各种工具。 用法 在当前工作目录上运行工具 苹果电脑 alias toolbox= " docker run --rm --net='host' -it -v <path>/.kube:/home/tool/kube-config:rw -v $( pwd ) :/home/tool/workplace:rw raju2210/toolbox " 如果您不想为打开的每个新终端键入命令,则可以将该命令添加到Mac或.zshrc上的.bashrc 。 toolbox mvn clean package 视窗(cmd) set " toolbox=docker run --rm --net='host' -it -v <path_to_k8s_config
Shell: 基于 nsenter 批量配置 Pod 容器的 iptables 规则
shida's blog
07-22 553
注意 nsenter 需要配置 EOF 完成标准输入,范式如下: nsenter -t $pid -n bash <<EOF something run in container namespace exit EOF 例如,给容器批量设置 iptables 规则的写法,如下: for id in $(docker ps | grep k8s_POD | awk '{print $1}') do pid=$(docker inspect $id -f '{{.State.Pid}}')
一种进入Pod容器网络的方法
NUCEMLS的博客
04-17 3329
nsenter进入Pod容器网络命名空间
nsenter介绍,安装及使用
zhangzhen02的博客
04-09 3685
一,nsenter是什么? nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。 二,有什么用? 一个最典型的用途就是进入容器网络命令空间。相当多的容器为了轻量级,是不包含较为基础的命令的,比如说ip address,ping,telnet,ss,tcpdump等等命令,这就给调试容器网络带来相当大的困扰:只能通过docker inspect ContainerID命令获取到容...
使用nsenter进入Docker容器
weixin_34092455的博客
04-06 209
Docker容器运行后,如何进入容器进行操作呢?起初我是用SSH。如果只启动一个容器,用SSH还能应付,只需要将容器的22端口映射到本机的一个端口即可。当我启动了五个容器后,每个容器默认是没有配置SSH Server的,安装配置SSHD,映射容器SSH端口,实在是麻烦。 我发现很多Docker镜像都是没有安装SSHD服务的,难道有其他方法进入Doc...
docker - 安装并使用nsenter进入容器
wang725的专栏
09-11 1270
如果想通过ssh进入container,需要需要安装nsenter,安装步骤如下: 在192.168.174.134下: 1.下载 wget https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util-linux-2.24.tar.gz 2.解压 tar -zxvf util-linux-2.24.tar.gz 3....
nsenter工具进入docker容器
易大飞
07-03 1481
参考:http://blog.sina.com.cn/s/blog_149e9d2ec0102x0fe.html nsenter工具进入docker容器 1. nsenter概述     对于运行在后台的Docker容器,我们经常需要做的事情是进入到容器中,docker为我们提供了docker exec 、docker attach 命令,并且还提供了ns
通过nsenter进入容器命令
wasd12121212的博客
11-20 1649
$ sudo docker inspect -f {{.State.Pid}} 44fc0f0582d9 在拿到该进程PID之后我们就可以使用nsenter命令访问该容器了。 $ sudo nsenter --target 3326 --mount --uts --ipc --net --pid 如果想用tcpdump,一般docker没有bash所以: 由于DNS容器往往不具备ba...
k8s调试方法
布谷鸟
04-06 1030
本地数据库连接: mysql -h127.0.0.1 -P 3306 -uroot -p<PASSWORLD> 常用 k8s kubectl 命令 kubectl get po # 查看目前所有的pod kubectl get rs # 查看目前所有的replica set kubectl describe po my-nginx # 查看my-nginx pod的详细状态 kubectl describe rs my-nginx # 查看my-nginx replica set的详细..
"详尽K8s部署和使用PDF指南
本文是一封关于K8s部署和使用的详尽PDF文档。文档主要分为部署准备、安装Docker、安装Kubernetes使用K8s集群等几个章节。 第一章 部署准备 主要介绍了使用K8s搭建集群的目的以及部署所需的硬件和软件环境准备。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值