linux 文件命名空间,nsenter 及 Linux命名空间 简介

最新推荐文章于 2024-04-10 12:51:41 发布
最新推荐文章于 2024-04-10 12:51:41 发布
阅读量361 收藏
点赞数
文章标签: linux 文件命名空间

nsenter 是一个可以在指定进程的命令空间下,运行程序的命令,它位于 util-linux 包中。

nsenter 用途

nsenter 的一个典型用途是进入容器的网络名字空间,进行网络相关的排障。大多数容器,为了保持轻量,没有包含较为基础的命令,比如说 ip,ping,telnet,ss,tcpdump等,这就给容器内的网络调试带来困扰。这时就可以使用 nsenter 命令仅进入到容器的网络命名空间,使用宿主机的相关命令调试容器网络。

此外,nsenter也可以进入 mnt, uts, ipc, pid, user 命令空间,以及指定根目录和工作目录。

0134fd42226d3ab529c906736cb0ba6b.png

nsenter 使用

首先看下nsenter命令的语法:

nsenter [options] [program [arguments]]

options:

-t, --target pid:指定被进入命名空间的目标进程的pid

-m, --mount[=file]:进入mount命令空间。如果指定了file,则进入file的命令空间

-u, --uts[=file]:进入uts命令空间。如果指定了file,则进入file的命令空间

-i, --ipc[=file]:进入ipc命令空间。如果指定了file,则进入file的命令空间

-n, --net[=file]:进入net命令空间。如果指定了file,则进入file的命令空间

-p, --pid[=file]:进入pid命令空间。如果指定了file,则进入file的命令空间

-U, --user[=file]:进入user命令空间。如果指定了file,则进入file的命令空间

-G, --setgid gid:设置运行程序的gid

-S, --setuid uid:设置运行程序的uid

-r, --root[=directory]:设置根目录

-w, --wd[=directory]:设置工作目录

-F, --no-fork do not fork before exec'ing

-h, --help display this help and exit

-V, --version output version information and exit

For more details see nsenter(1).

如果没有给出program,则默认执行$SHELL。

示例:运行一个nginx容器,查看该容器的pid:docker inspect -f {{.State.Pid}} nginx

然后,使用nsenter命令进入该容器的网络命令空间:

# nsenter -t 25942 --uts --ipc --net --pid

root@docker:~# ip addr

1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

inet 127.0.0.1/8 scope host lo

valid_lft forever preferred_lft forever

3: eth0@if5472: mtu 1500 qdisc noqueue state UP group default

link/ether 56:7b:98:07:30:bc brd ff:ff:ff:ff:ff:ff link-netnsid 0

inet 192.168.134.93/27 brd 192.168.134.95 scope global eth0

valid_lft forever preferred_lft forever

通过内网 IP 地址,我们得知已成功进入容器内部。

原理 namespace

namespace 是 Linux 中一些进程的属性的作用域,使用命名空间,可以隔离不同的进程。

Linux在不断的添加命名空间,目前有:

mount:挂载命名空间,使进程有一个独立的挂载文件系统,始于Linux 2.4.19

ipc:ipc命名空间,使进程有一个独立的ipc,包括消息队列,共享内存和信号量,始于Linux 2.6.19

uts:uts命名空间,使进程有一个独立的hostname和domainname,始于Linux 2.6.19

net:network命令空间,使进程有一个独立的网络栈,始于Linux 2.6.24

pid:pid命名空间,使进程有一个独立的pid空间,始于Linux 2.6.24

user:user命名空间,是进程有一个独立的user空间,始于Linux 2.6.23,结束于Linux 3.8

cgroup:cgroup命名空间,使进程有一个独立的cgroup控制组,始于Linux 4.6

Linux的每个进程都具有命名空间,可以在/proc/$PID/ns目录中看到命名空间的文件描述符,

root@k8s-sit:~# cd /proc/1/ns

root@k8s-sit:/proc/1/ns# ls -l

total 0

lrwxrwxrwx 1 root root 0 Dec 15 11:11 cgroup -> cgroup:[4026531835]

lrwxrwxrwx 1 root root 0 Dec 15 11:11 ipc -> ipc:[4026531839]

lrwxrwxrwx 1 root root 0 Dec 15 11:11 mnt -> mnt:[4026531840]

lrwxrwxrwx 1 root root 0 Dec 15 11:11 net -> net:[4026531957]

lrwxrwxrwx 1 root root 0 Nov 27 05:02 pid -> pid:[4026531836]

lrwxrwxrwx 1 root root 0 Dec 15 11:11 user -> user:[4026531837]

lrwxrwxrwx 1 root root 0 Dec 15 11:11 uts -> uts:[4026531838]

系统调用 clone

clone是Linux的系统调用函数,用于创建一个新的进程。

clone 和 fork 比较类似,但更为精细化,比如说使用 clone 创建出的子进程可以共享父进程的虚拟地址空间,文件描述符表,信号处理表等等。不过这里要强调的是,clone 函数还能为新进程指定命名空间。clone的语法:

#define _GNU_SOURCE

#include

int clone(int (*fn)(void *), void *child_stack,

int flags, void *arg, ...

/* pid_t *ptid, void *newtls, pid_t *ctid */ );

其中flags即可指定命名空间,包括:

CLONE_NEWCGROUP:cgroup

CLONE_NEWIPC:ipc

CLONE_NEWNET:net

CLONE_NEWNS:mount

CLONE_NEWPID:pid

CLONE_NEWUSER:user

CLONE_NEWUTS:uts

使用示例:

pid = clone(childFunc, stackTop, CLONE_NEWUTS | SIGCHLD, argv[1]);

setns

clone用于创建新的命令空间,而setns则用来让当前线程(单线程即进程)加入一个命名空间。语法:

#define _GNU_SOURCE /* See feature_test_macros(7) */

#include

int setns(int fd, int nstype);

fd参数是一个指向一个命名空间的文件描述符,位于/proc/PID/ns/目录。nstype指定了允许进入的命名空间,一般可设置为0,表示允许进入所有命名空间。

因此,往往该函数的用法为:

调用setns函数:指定该线程的命名空间。

调用execvp函数:执行指定路径的程序,创建子进程并替换父进程。

这样,就可以指定命名空间运行新的程序了。代码示例:

#define _GNU_SOURCE

#include

#include

#include

#include

#include

#define errExit(msg) do { perror(msg); exit(EXIT_FAILURE); \

} while (0)

int

main(int argc, char *argv[])

{

int fd;

if (argc < 3) {

fprintf(stderr, "%s /proc/PID/ns/FILE cmd args...\n", argv[0]);

exit(EXIT_FAILURE);

}

fd = open(argv[1], O_RDONLY); /* Get file descriptor for namespace */

if (fd == -1)

errExit("open");

if (setns(fd, 0) == -1) /* Join that namespace */

errExit("setns");

execvp(argv[2], &argv[2]); /* Execute a command in namespace */

errExit("execvp");

}

使用示例:

./ns_exec /proc/3550/ns/uts /bin/bash

nsenter

那么,最后就是nsenter了,nsenter相当于在setns的示例程序之上做了一层封装,使我们无需指定命名空间的文件描述符,而是指定进程号即可。

指定进程号PID以及需要进入的命名空间后,nsenter会帮我们找到对应的命名空间文件描述符/proc/PID/ns/FD,然后使用该命名空间运行新的程序。

参考文档

加勒比考斯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux网络命名空间.docx
01-03
linux网络命名空间.doc
docker背景知识1 命名空间Namespace(nsenter、lsns命令)
m0_45406092的博客
12-10 2019
如下操作都是在centos7上执行,通过cat /proc/version查看系统信息。 Linux namespace linux namespaces是Linux提供的一种内核级别环境隔离的方法,也是Container环境隔离的底层技术,Linux Namespaces共有如下种类 分类 系统调用参数 相关内核版本 ...
wsl systemd nsenter: 打不开 /proc/ /ns/time: 没有那个文件或目录
pleong的博客
05-25 4006
解决wsl ubuntu子系统无法设置systemd的问题:nsenter: 打不开/proc /ns/time: 没有哪个文件或目录
Linux nsenter命令全面解析
最新发布
展望、进击
04-10 752
Linux nsenter命令是一个强大的工具🛠️,用于进入到已存在的命名空间Namespace)中执行命令。由于Linux命名空间技术是构建容器技术的基础,nsenter因此成为了容器管理和调试中不可或缺的工具🐳。本文将从多个维度全面讲解nsenter命令的使用方法和技巧📚。
nsenter命令简单介绍
热门推荐
匠人精神,持之以恒!
08-24 1万+
一、简介 nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中。 用途 一个最典型的用途就是进入容器的网络命令空间。相当多的容器为了轻量级,是不包含较为基础的命令的,比如说ip address,ping,telnet,ss,tcpdump等等命令,这就给调试容器网络带来相当大的困扰:只能通过docker inspect ContainerID命令获取到容器IP,以及无法测试和其他网络的连通性。这时就可以使用nsenter命令仅进入该容器的网络命名空间,使
nsenter 进程空间操作
Jogger_Ling的专栏
04-26 398
nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中。 tcpdmp -D tcpdump -i any icmp6 -nnv 主库宿主机 docker 登录VM网络: docker inspect --format '{{.State.Pid}}' fea832cd-3acb-4c72-82bb-351b40184543 nsenter -t 4650 -n 抓包: tcpdum...
[每周一更]-(第63期):Linux-nsenter命令使用说明
hmx224_2014的专栏
09-18 378
nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中。
linux 网络命名空间.docx
01-03
linux 网络命名空间.doc
linux 命名管道创建及使用demo程序
06-02
1. 在程序中创建命名管道 在程序中创建命名管道,可以使用 mkfifo 函数,其原型如下: #include #include int mkfifo(const char *pathname, mode_t...删除命名管道和删除一个普通文件没有什么区别: $ rm /tmp/testp
命名空间 Linux
11-21
目前Linux实现了六种类型的namespace 每一个namespace是包装了一些全局系统资源的抽象集合 这一抽象集合使得在进程的命名空间中可以看到全局系统资源 命名空间的一个总体目标是支持轻量级虚拟化工具container的实现 ...
linux命名空间的介绍
05-02
介绍了linux命名空间的一些知识,新手可以参考下,
nsenter命令
喝醉酒的小白
05-04 1892
nsenter是一个命令行工具,用于进入指定的Linux命名空间namespace)并执行命令。Linux命名空间是一种隔离机制,用于将进程隔离在不同的环境中,以提高系统安全性和可靠性。使用nsenter可以进入指定的命名空间,执行命令并退出。此命令将进入容器所在的PID命名空间,并列出其中的所有进程。2. UTS命名空间:用于主机名和域名的隔离。1. Mount命名空间:用于文件系统隔离。3. IPC命名空间:用于进程间通信隔离。4. PID命名空间:用于进程隔离。
Linux nsenter 命令简介及 切换宿主机网络为docker容器网络实践
shifengboy的博客
12-28 913
简介nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中。 用途: 一个最典型的用途就是进入容器的网络命令空间。相当多的容器为了轻量级,是不包含较为基础的命令的,比如说 ip address,ping,telnet,ss,tcpdump 等等命令,这就给调试容器网络带来相当大的困扰:只能通过 docker inspect ContainerID...
nsenter 工具的使用
jingzhiz 专属移动笔记
12-09 852
一、背景 对于运行在后台的docker容器,我们经常需要做的事情是进入到容器中,docker为我们提供了docker exec 、docker attach 命令,并且还提供了nsenter工具,外部工具供我们使用。 docker attach存在的问题是:当多个窗口同时attach到同一个容器时,所有的窗口都会同步的显示,假如其中的一个窗口发生阻塞时,其它的窗口也会阻塞,docker atta...
nsenter
qq_35528657的博客
08-28 110
nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中,
linux Command nsenter
爱死亡机器人
06-28 1088
文章目录1. 简介2. 参数3. 示例4. 原理4.1 namespace4.2 clone4.3 setns 1. 简介 nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中。 一个最典型的用途就是进入容器的网络命令空间。相当多的容器为了轻量级,是不包含较为基础的命令的,比如说ip address,ping,telnet,ss,tcpdump等等命令,这就给调试容器网络带来相当大的困扰:只能通过docker inspect ContainerID命令获取到
linux安装nsenter工具,巧用 Nsenter 调取宿主机工具调试容器内程序
weixin_42451850的博客
05-03 522
原标题:巧用 Nsenter 调取宿主机工具调试容器内程序 nsenter 是一个可以用来进入到目标程序所在 Namespace 中运行命令的工具,一般常用于在宿主机上调试容器中运行的程序。nsenter 安装nsenter 位于 util-linux 包中,一般常用的 Linux 发行版都已经默认安装。如果你的系统没有安装,可以使用以下命令进行安装:$ yum install util-linu...
linux 切换命名空间
05-19
Linux中的命名空间是一种隔离机制,可以将进程隔离到独立的环境中,包括网络、文件系统、进程等。在Linux中,可以使用命令行工具来切换命名空间。 1. 列出当前系统中的所有命名空间类型 ``` lsns ``` 2. 创建一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值