chr*_*ian 45 linux docker linux-namespaces
当我创建一个新的docker容器时
docker run -it -m 560m --cpuset-cpus=1,2 ubuntu sleep 120
并检查其命名空间,我可以看到已创建新的命名空间(pid 7047的示例).
root@dude2:~# ls /proc/7047/ns -la
total 0
dr-x--x--x 2 root root 0 Jul 7 12:17 .
dr-xr-xr-x 9 root root 0 Jul 7 12:16 ..
lrwxrwxrwx 1 root root 0 Jul 7 12:17 ipc -> ipc:[4026532465]
lrwxrwxrwx 1 root root 0 Jul 7 12:17 mnt -> mnt:[4026532463]
lrwxrwxrwx 1 root root 0 Jul 7 12:17 net -> net:[4026532299]
lrwxrwxrwx 1 root root 0 Jul 7 12:17 pid -> pid:[4026532466]
lrwxrwxrwx 1 root root 0 Jul 7 12:17 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Jul 7 12:17 uts -> uts:[4026532464]
root@dude2:~# ls /proc/self/ns -la
当我检查时, ip netns list我看不到新的网络命名空间.
dude@dude2:~/docker/testroot$ ip netns list
dude@dude2:~/docker/testroot$
知道为什么吗?
jar*_*ary 52
那是因为docker没有创建所需的符号链接:
# (as root)
pid=$(docker inspect -f '{{.State.Pid}}' ${container_id})
mkdir -p /var/run/netns/
ln -sfT /proc/$pid/ns/net /var/run/netns/$container_id
然后,可以检查容器的netns命名空间ip netns ${container_id},例如:
# e.g. show stats about eth0 inside the container
ip netns exec "${container_id}" ip -s link show eth0
lar*_*sks 36
如@jary所示,该ip netns命令仅适用于命名空间符号链接/var/run/netns.但是,如果您有nsenter可用的命令(util-linux包的一部分),则可以使用docker容器的PID完成相同的操作.
要获取docker容器的PID,您可以运行:
docker inspect --format '{{.State.Pid}}' <container_name_or_Id>
要在容器的网络命名空间内获取命令:
nsenter -t <contanier_pid> -n <command>
例如:
$ docker inspect --format '{{.State.Pid}}' weechat
4432
$ sudo nsenter -t 4432 -n ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
75: eth0@if76: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 02:42:ac:11:00:1b brd ff:ff:ff:ff:ff:ff
inet 172.17.0.27/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe11:1b/64 scope link
valid_lft forever preferred_lft forever
以上相当于跑步ip netns exec <some_namespace> ip addr show.
如您所见,您需要以nsenterroot权限运行.
与@jary的答案类似但不同。
无需介绍/proc/<pid>/或netster。下面仅需一步即可实现您想要的。因此,您可以操作容器的网络名称空间,就像在主机上手动创建它们一样。
一招:
ln -s /var/run/docker/netns /var/run/netns
结果:
启动一个容器:
docker run -tid ubuntu:18.04
列出容器:
root@Light-G:/var/run# docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
972909a27ea1 ubuntu:18.04 "/bin/bash" 19 seconds ago Up 18 seconds peaceful_easley
列出此容器的网络名称空间:
root@Light-G:/var/run# ip netns list
733443afef58 (id: 0)
删除容器:
root@Light-G:/var/run# docker rm -f 972909a27ea1
972909a27ea1
再次列出网络名称空间:
root@Light-G:/var/run# ip netns list
root@Light-G:/var/run#
| 归档时间: |
|
| 查看次数: |
16851 次 |
| 最近记录: |