65

当我创建一个新的 docker 容器时

docker run -it -m 560m --cpuset-cpus=1,2 ubuntu sleep 120

并检查它的命名空间,我可以看到已经创建了新的命名空间(例如 pid 7047)。

root@dude2:~# ls /proc/7047/ns -la
total 0
dr-x--x--x 2 root root 0 Jul  7 12:17 .
dr-xr-xr-x 9 root root 0 Jul  7 12:16 ..
lrwxrwxrwx 1 root root 0 Jul  7 12:17 ipc -> ipc:[4026532465]
lrwxrwxrwx 1 root root 0 Jul  7 12:17 mnt -> mnt:[4026532463]
lrwxrwxrwx 1 root root 0 Jul  7 12:17 net -> net:[4026532299]
lrwxrwxrwx 1 root root 0 Jul  7 12:17 pid -> pid:[4026532466]
lrwxrwxrwx 1 root root 0 Jul  7 12:17 user -> user:[4026531837]
lrwxrwxrwx 1 root root 0 Jul  7 12:17 uts -> uts:[4026532464]
root@dude2:~# ls /proc/self/ns -la

当我检查时, ip netns list我看不到新的网络命名空间。

dude@dude2:~/docker/testroot$ ip netns list
dude@dude2:~/docker/testroot$

知道为什么吗?

4

3 回答 3

75

那是因为 docker 没有创建所需的符号链接:

# (as root)
pid=$(docker inspect -f '{{.State.Pid}}' ${container_id})
mkdir -p /var/run/netns/
ln -sfT /proc/$pid/ns/net /var/run/netns/$container_id

然后,可以使用 来检查容器的 netns 命名空间ip netns ${container_id},例如:

# e.g. show stats about eth0 inside the container 
ip netns exec "${container_id}" ip -s link show eth0
于 2015-08-27T12:47:49.493 回答
53

正如@jary 所指出的,该ip netns命令仅适用于/var/run/netns. 但是,如果你有nsenter可用的命令(util-linux包的一部分),你可以使用你的 docker 容器的 PID 来完成同样的事情。

要获取 docker 容器的 PID,可以运行:

docker inspect --format '{{.State.Pid}}' <container_name_or_Id>

要在容器的网络命名空间中获取命令:

nsenter -t <contanier_pid> -n <command>

例如:

$ docker inspect --format '{{.State.Pid}}' weechat
4432
$ sudo nsenter -t 4432 -n ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
75: eth0@if76: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:ac:11:00:1b brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.27/16 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:acff:fe11:1b/64 scope link 
       valid_lft forever preferred_lft forever

以上相当于运行ip netns exec <some_namespace> ip addr show

正如您在此处看到的,您需要以nsenterroot 权限运行。

于 2015-08-27T15:17:45.387 回答
18

与@jary 的回答相似但不同。
无需介绍/proc/<pid>/netster。只需以下一步即可实现您想要的。因此,您可以像在主机上手动创建容器一样操作容器的网络命名空间。

一招: 

ln -s /var/run/docker/netns  /var/run/netns

结果:

启动一个容器: 

docker run -tid ubuntu:18.04

列表容器:

root@Light-G:/var/run# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
972909a27ea1        ubuntu:18.04        "/bin/bash"         19 seconds ago      Up 18 seconds                           peaceful_easley

列出此容器的网络命名空间: 

root@Light-G:/var/run# ip netns list
733443afef58 (id: 0)

删除容器:

root@Light-G:/var/run# docker rm -f 972909a27ea1
972909a27ea1

再次列出网络命名空间:

root@Light-G:/var/run# ip netns list
root@Light-G:/var/run#
于 2018-09-12T04:47:51.237 回答