mun*_*kin 6 linux container lxc iproute namespace
我知道您可以通过执行ip a show. 那只显示主机可以看到的接口,但是容器配置的虚拟接口不会出现在这个列表中。我也试过使用ip netns,它们也没有出现。我应该重新编译另一个版本iproute2吗?在 中/proc/net/fb_trie,您可以看到本地/广播地址,我假设,作为转发数据库的用途。
我在哪里可以找到任何这些信息或命令来列出包括容器在内的所有接口?
要对此进行测试,请启动一个容器。就我而言,它是 snap 上的 lxc 容器。做一个ip a或ip l。它将显示主机的视图,但不显示容器配置的界面。我正在搜索procfs,因为容器只是 cgrouped 进程,但除了fib_trie和 arp 条目之外我什么也没有得到。我认为这可能是由于 netns 名称空间混淆造成的,但ip netns也没有显示任何内容。
您可以使用conntrack -L来显示已建立的所有传入和传出连接,因为 lxd 需要连接跟踪数据包的转发,但我想列出系统上配置的所有 ip 地址,就像我能够告诉使用netstat或lsof。
一个接口在给定时间只属于一个网络命名空间。init(初始)网络命名空间,除了继承被破坏的网络命名空间的物理接口之外,没有其他网络命名空间的特殊能力:它无法直接看到它们的接口。只要您仍在 init 的 pid 和 mount 命名空间中,您仍然可以使用不同的可用信息找到网络命名空间,/proc并最终通过输入这些网络命名空间来显示其界面。
我将在 shell 中提供示例。
枚举网络名称空间
为此,您必须知道这些命名空间是如何存在的:只要资源能够维持它们。这里的资源可以是一个进程(实际上是一个进程的线程)、一个挂载点或一个打开的文件描述符(fd)。这些资源都在枚举所有名称空间的伪文件系统/proc/中引用并指向抽象伪文件。nsfs该文件唯一有意义的信息是其 inode,代表网络名称空间,但 inode 不能单独操作,它必须是文件。这就是为什么稍后我们不能只保留 inode 值(由 给出stat -c %i /proc/some/file):我们将保留 inode 以便能够删除重复项和文件名,以便以后仍然有可用的引用nsenter。
进程(实际上是线程)
最常见的情况:对于普通容器。每个线程的网络命名空间都可以通过引用得知/proc/pid/ns/net:只需stat它们并枚举所有唯一的命名空间。2>/dev/null当stat无法再找到短暂进程时隐藏。
find /proc/ -mindepth 1 -maxdepth 1 -name '[1-9]*' | while read -r procpid; do
stat -L -c '%20i %n' $procpid/ns/net
done 2>/dev/null
使用处理名称空间的专用命令可以更快地完成此操作lsns,但似乎只处理进程(而不是挂载点或打开 fd,如下所示):
lsns -n -u -t net -o NS,PATH
(稍后必须重新格式化为lsns -n -u -t net -o NS,PATH | while read inode path; do printf '%20u %s\n' $inode "$path"; done)
挂载点
这些主要由ip netns add通过安装它们来创建永久网络名称空间的命令使用,从而避免它们在没有进程或 fd 资源保存它们时消失,然后还允许例如在网络名称空间中运行路由器、防火墙或网桥,而无需任何链接的进程。
已挂载的命名空间(处理挂载和也许 pid 命名空间可能更复杂,但无论如何我们只对网络命名空间感兴趣)看起来像 中的任何其他挂载点/proc/mounts,文件系统类型为nsfs。shell 中没有简单的方法来区分网络命名空间和其他类型的命名空间,但由于来自同一文件系统(此处nsfs)的两个伪文件不会共享相同的 inode,只需将它们全部选择并忽略稍后在界面中的错误尝试使用非网络命名空间引用作为网络命名空间时的步骤。抱歉,下面我将无法正确处理其中包含特殊字符(包括空格)的挂载点,因为它们已经在 的/proc/mounts输出中转义了(在任何其他语言中都会更容易),所以我也不会费心使用 null终止线。
awk '$3 == "nsfs" { print $2 }' /proc/mounts | while read -r mount; do
stat -c '%20i %n' "$mount"
done
打开文件描述符
这些可能比挂载点更罕见,除了在命名空间创建时暂时除外,但可能由处理多个命名空间的某些专用应用程序(可能包括一些容器化技术)持有和使用。
我无法设计出比搜索 every 中所有可用的 fd 更好的方法/proc/pid/fd/,使用 stat 来验证它指向一个nsfs命名空间,并且现在不再关心它是否真的是一个网络命名空间。我确信有一个更优化的循环,但这个循环至少不会到处徘徊,也不会假设任何最大进程限制。
find /proc/ -mindepth 1 -maxdepth 1 -name '[1-9]*' | while read -r procpid; do
find $procpid/fd -mindepth 1 | while read -r procfd; do
if [ "$(stat -f -c %T $procfd)" = nsfs ]; then
stat -L -c '%20i %n' $procfd
fi
done
done 2>/dev/null
现在从之前的结果中删除所有重复的网络命名空间引用。例如,通过对前 3 个结果的组合输出使用此过滤器(特别是来自打开的文件描述符部分):
sort -k 1n | uniq -w 20
在每个命名空间中枚举接口
现在我们有了对所有现有网络命名空间的引用(以及一些我们将忽略的非网络命名空间),只需使用引用输入每个命名空间并显示接口即可。
将前面命令的输出作为此循环的输入以枚举接口(并根据OP的问题,选择显示其地址),同时忽略由非网络名称空间引起的错误,如前所述:
while read -r inode reference; do
if nsenter --net="$reference" ip -br address show 2>/dev/null; then
printf 'end of network %d\n\n' $inode
fi
done
可以使用 pid 1 作为参考打印 init 网络的 inode:
echo -n 'INIT NETWORK: ' ; stat -L -c %i /proc/1/ns/net
示例(真实但经过编辑)输出正在运行 LXC 容器,一个空的“已安装”网络命名空间,通过ip netns add ...具有未连接的桥接口创建,具有其他接口的网络命名空间,由不在该网络命名空间中但保持开放的进程保持活动dummy0状态其上的 fd ,创建于:
unshare --net sh -c 'ip link add dummy0 type dummy; ip address add dev dummy0 10.11.12.13/24; sleep 3' & sleep 1; sleep 999 < /proc/$!/ns/net &
以及一个正在运行的 Firefox,它将每个“Web 内容”线程隔离在未连接的网络命名空间(所有这些下行lo接口)中:
未知 127.0.0.1/8 ::1/128 eth0 上 192.0.2.2/24 2001:db8:0:1:bc5c:95c7:4ea6:f94f/64 fe80::b4f0:7aff:fe76:76a8/64 wlan0 关闭 dummy0 未知 198.51.100.2/24 fe80::108a:83ff:fe05:e0da/64 lxcbr0 上 10.0.3.1/24 2001:db8:0:4::1/64 fe80::216:3eff:fe00:0/64 virbr0 下降 192.168.122.1/24 virbr0-nic 下降 vethSOEPSH@if9 UP fe80::fc8e:ff:fe85:476f/64 网络结束 4026531992 低下 网络结束 4026532418 低下 网络结束 4026532518 低下 网络结束 4026532618 低下 网络结束 4026532718 未知 127.0.0.1/8 ::1/128 eth0@if10 向上 10.0.3.66/24 fe80::216:3eff:fe6a:c1e9/64 网络结束 4026532822 低下 bridge0 未知 fe80::b884:44ff:feaf:dca3/64 网络结束 4026532923 低下 虚拟0 下降 10.11.12.13/24 网络结束 4026533021 初始化网络:4026531992