k8s容器的调试利器-nsenter

最新推荐文章于 2024-04-10 12:51:41 发布
最新推荐文章于 2024-04-10 12:51:41 发布
阅读量409 收藏
点赞数
分类专栏: # Kubernetes # Docker # containerd 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfw_666666/article/details/132565887
版权
Kubernetes 同时被 3 个专栏收录
66 篇文章 54 订阅
订阅专栏
Docker
30 篇文章 2 订阅
订阅专栏
containerd
9 篇文章 6 订阅
订阅专栏

一、什么是nsenter

Nsenter是一个命令行工具,可以让我们进入一个运行中的容器内部。当使用Docker/Contained运行一个容器时,容器内部就像是一个隔离的虚拟机环境,你需要通过命令行进入容器内部来进行管理和操作。通过Nsenter命令,可以使用容器内部的Shell或其它工具,就像在本地主机上执行命令一样方便。

二、什么场景能用到

一个最典型的用途就是进入容器的网络命令空间。

k8s环境中,常常会需要在容器内部debug,但是相当多的容器为了轻量级,并不是都包含所需的工具软件,比如curl,wget,ifconfig,tcpdump等,这就让人很抓狂了。

三、支持的参数有哪些

图片

四、具体应该怎么用

比如我们在宿主机vm12上,pod名为tomcat-test-7c7d55d66c-zthvr,查到他的pid为773068

[root@vm12 ~]# kubectl get pod -n default -owide|grep tomcat
NAME                           READY   STATUS    RESTARTS   AGE   IP              NODE                            NOMINATED NODE   READINESS GATES
tomcat-test-7c7d55d66c-zthvr   1/1     Running   0          45d   172.24.189.75   vm12   <none>           <none>

[root@vm12 ~]# crictl ps
CONTAINER           IMAGE               CREATED             STATE               NAME                      ATTEMPT             POD ID
09bc7c51f6ada       81cd9536b1e67       46 hours ago        Running             tomcat                    0                   02b112885b84c

[root@vm12 ~]# crictl inspect 09bc7c51f6ada |grep -i pid
    "pid": 773068,
            "pid": 1
            "type": "pid"

4.1、直接命令执行Host主机上的各种命令行

进入该pid的网络命名空间的同时,获取pod的IPv4地址

[root@vm12 ~]#  nsenter -t 773068 -n ip -4 add
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
4: eth0@if23: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP group default  link-netnsid 0
    inet 172.24.189.75/32 scope global eth0
       valid_lft forever preferred_lft forever

4.2、进入交互模式,默认执行[当前bash]

[root@vm12 ~]# kubectl exec -it tomcat-test-7c7d55d66c-smff9 bash
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
bash-4.4# tcpdump -h
bash: tcpdump: command not found

从以上返回结果,首先可以确定pod内部没有安装tcpdump这个软件包的。

但是我们可以直接进到“目标视角”里面去,进行交互式执行cli

[root@vm12 ~]#  nsenter -t 773068 -n 

#这个时候就已经进入到交互模式了,再次执行tcpdump命令
[root@vm-2-k8s2 ~]# tcpdump -h
tcpdump version 4.9.2
libpcap version 1.5.3
OpenSSL 1.0.2k-fips  26 Jan 2017
Usage: tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
                [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
                [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
                [ -Q|-P in|out|inout ]
                [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
                [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
                [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
                [ -Z user ] [ expression ]

可以看到,所有的网络相关的命令行都可以执行(宿主机有的)。

想要退出的话,exit即可。

CN-FuWei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
k8s-fordocker-desktop-v1.29.1
03-01
1. **Kubernetesk8s)**:Kubernetes 是Google开源的一种容器编排系统,用于管理跨多个主机的容器化应用,提供服务发现、负载均衡、自动扩缩容、存储编排等功能。 2. **Docker Desktop**:Docker Desktop是Docker...
k8s-sidecar-injector:Kubernetes边车注入服务
02-03
k8s边车喷油器使用Kubernetes中的MutatingAdmissionWebhook在资源创建时将辅助工具注入新的部署中这是什么? 在Tumblr,我们运行一些具有复杂的边车设置的容器kubernetes容器可以运行5个以上的其他容器,以及一些...
K8S调试工具之--nsenter
Blue summer的博客
10-18 2718
nsenter就是namespace enter的意思,它可以进入到目标程序所在的namespace中,因此可以用来调试容器程序。我们都知道目前存在的几个namespace,比如网络,用户,pid等,nsenter都有对应的参数可以指定,从而进入该namespace
nsenter命令简单介绍
热门推荐
匠人精神,持之以恒!
08-24 1万+
一、简介 nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中。 用途 一个最典型的用途就是进入容器的网络命令空间。相当多的容器为了轻量级,是不包含较为基础的命令的,比如说ip address,ping,telnet,ss,tcpdump等等命令,这就给调试容器网络带来相当大的困扰:只能通过docker inspect ContainerID命令获取到容器IP,以及无法测试和其他网络的连通性。这时就可以使用nsenter命令仅进入该容器的网络命名空间,使
nsenter命令
喝醉酒的小白
05-04 2286
nsenter是一个命令行工具,用于进入指定的Linux命名空间(namespace)并执行命令。Linux命名空间是一种隔离机制,用于将进程隔离在不同的环境中,以提高系统安全性和可靠性。使用nsenter可以进入指定的命名空间,执行命令并退出。此命令将进入容器所在的PID命名空间,并列出其中的所有进程。2. UTS命名空间:用于主机名和域名的隔离。1. Mount命名空间:用于文件系统隔离。3. IPC命名空间:用于进程间通信隔离。4. PID命名空间:用于进程隔离。
nsenter教程
weixin_46941625的博客
06-06 1009
nsenter
Linux nsenter命令全面解析
最新发布
展望、进击
04-10 1128
Linux nsenter命令是一个强大的工具🛠️,用于进入到已存在的命名空间(Namespace)中执行命令。由于Linux的命名空间技术是构建容器技术的基础,nsenter因此成为了容器管理和调试中不可或缺的工具🐳。本文将从多个维度全面讲解nsenter命令的使用方法和技巧📚。
Kubernetes调试利器Nsenter
Qinng的博客
01-27 1329
k8s云环境中,我们需要在容器内抓包进行Debug, 但通常大多容器都没有安装tcpdump以及其他网络工具;在托管k8s中我们想登录node,不是没权限就是步骤太麻烦。本文的主角nsenter正是很擅长解决这些问题,nsenter可以进入指定namespace的工具,一般用来在容器环境中进行调试调试容器网络 通过nsenter可以轻松在宿主机进入容器的网络命令空间,命令如下: # 设置containerid containerid=xxx # 获取容器主进程 pid=$(docker inspe
k8s集群下canal-server的伪高可用实践
01-07
前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会造成ip地址的变动给我们带来了一些问题,我们通过在创建canal-...
K8S监控blackbox-exporter镜像及资源清单文件
01-18
Kubernetes(简称K8S)作为现代云原生应用的基石,提供了一种高效、灵活的容器编排方式。在K8S环境中,对服务的健康状态进行监控至关重要。Blackbox Exporter是Prometheus监控体系中的一个重要组件,它允许我们对...
k8s-for-docker-desktop.zip
10-21
在IT行业中,Kubernetes(简称k8s)已经成为容器编排和管理的首选平台,而Docker Desktop则是开发者和IT专业人员在本地开发环境中运行Docker容器的主要工具。本资源"**k8s-for-docker-desktop.zip**"显然是为了帮助...
nsenter 工具的使用
任我行的博客
08-24 1724
一、背景 对于运行在后台的docker容器,我们经常需要做的事情是进入到容器中,docker为我们提供了docker exec 、docker attach 命令,并且还提供了nsenter工具,外部工具供我们使用。 docker attach存在的问题是:当多个窗口同时attach到同一个容器时,所有的窗口都会同步的显示,假如其中的一个窗口发生阻塞时,其它的窗口也会阻塞,docker attach命令可以说是最不方便的进入后台docker容器的方法。 docker exec命令是在docker 1.3之后
docker背景知识1 命名空间Namespace(nsenter、lsns命令)
m0_45406092的博客
12-10 2372
如下操作都是在centos7上执行,通过cat /proc/version查看系统信息。 Linux namespace linux namespaces是Linux提供的一种内核级别环境隔离的方法,也是Container环境隔离的底层技术,Linux Namespaces共有如下种类 分类 系统调用参数 相关内核版本 ...
nsenter
qq_35528657的博客
08-28 122
nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中,
nsenter 进入容器的命名空间
qq_32949893的博客
07-20 419
然后,使用nsenter命令进入该容器的网络命令空间。查看docker 容器的pid。
k8s网络之(一)如何调试容器网络 nsenter
wzj_110的博客
07-19 434
pod_id和container_id关系。
通过nsenter进入容器命令
wasd12121212的博客
11-20 1649
$ sudo docker inspect -f {{.State.Pid}} 44fc0f0582d9 在拿到该进程PID之后我们就可以使用nsenter命令访问该容器了。 $ sudo nsenter --target 3326 --mount --uts --ipc --net --pid 如果想用tcpdump,一般docker没有bash所以: 由于DNS容器往往不具备ba...
[每周一更]-(第63期):Linux-nsenter命令使用说明
hmx224_2014的专栏
09-18 414
nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令。它位于util-linux包中。
使用nsenter调试k8s网络
不断行走的菜鸟的博客
09-27 447
nsenter是一个命令行工具, 可以进入进程的名称空间中。例如,如果一个容器以非 root 用户身份运行,使用 docker exec 进入其中后,发现该容器没有安装 sudo 或未 netstat ,并且您想查看其当前的网络属性,如开放端口,这种场景下将如何做到这一点?nsenter 就是用来解决这个问题的。nsenter(namespace enter)可以在容器的宿主机上使用 nsenter 命令进入容器的命名空间,以容器视角使用宿主机上的相应网络命令进行操作。当然需要拥有 root 权限。
k8s client-certificate-data 怎么查
07-17
要查看 Kubernetes 中的 `client-certificate-data`,您可以使用以下命令: ```shell kubectl config view --raw -o jsonpath='{.users[0].user.client-certificate-data}' | base64 --decode ``` 上述命令将从当前的 Kubernetes 配置文件中提取第一个用户的 `client-certificate-data` 字段,并将其进行 base64 解码以查看证书内容。 请注意,上述命令假设您已经正确配置了 `kubectl` 命令,并且当前的上下文中存在用户配置。如果您有多个用户配置,请根据需要调整命令中的索引值 `[0]`。如果您使用的是不同的配置文件,请使用 `-kubeconfig` 参数指定正确的配置文件路径。 运行上述命令后,将显示解码后的客户端证书内容。请注意,这是敏感信息,请确保不要将证书内容泄露给未授权的人员。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CN-FuWei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值