1、概述

在Docker容器中,每个容器都有一个或多个网络接口(网卡),用于连接容器内部与宿主机或其他容器进行通信。这些网络接口中的一些可能是veth pair,也就是虚拟以太网对,它们以成对的方式存在,一侧连接到容器内部,另一侧连接到宿主机的网络命名空间。veth pair 的一侧称为 "veth",而另一侧通常会被自动分配一个唯一的随机名称。

默认每个Docker容器都有一个独立的网络命名空间,这意味着容器内部的网络是隔离的,与其他容器和宿主机的网络相互隔离。Docker通过设置网络命名空间以及连接这些veth对来实现网络隔离。

在容器内部,网卡外联的veth pair的另一侧(宿主机网络命名空间中的一侧)扮演着重要的角色,它实际上连接了容器与宿主机或其他网络资源之间的通信通道。这个网卡承担着以下一些作用:

  1. 通信桥梁:这个网卡使得容器能够与宿主机上的其他网络资源进行通信,包括访问外部网络、与其他容器通信等。

  2. 网络隔离:通过使用veth pair,Docker实现了容器与宿主机之间的网络隔离,从而确保容器内部的网络流量不会直接暴露给宿主机的其他进程。

  3. 网络配置:这个网卡在容器启动时被分配一个IP地址和其他网络配置,使得容器能够在网络上可达。

  4. 网络策略和安全:通过控制这个网卡的流量,可以实现网络策略和安全机制,例如防火墙规则、流量控制等。

为什么需要找到宿主机上的veth peer 呢?

  1. 网络故障排除: 有时候容器无法与外部进行通信,需要确定问题是出在容器内部还是宿主机上。通过找到容器内的 veth 接口的另一侧,你可以验证它是否正确配置。

  2. 网络监控和管理: 在一些情况下,你可能希望监控或管理容器的网络流量。找到另一侧的 veth 接口可以帮助你识别特定容器产生的网络流量,并可能应用特定的网络策略。

  3. 容器间通信: 如果你在多个容器之间设置了自己的网络,找到另一侧的 veth 接口可以帮助你建立容器间的通信,例如在不同容器之间进行数据传输或应用程序协作。

  4. 网络配置和优化: 在某些情况下,你可能希望配置容器的网络连接方式,例如限制容器的带宽、更改容器的 IP 地址等。找到另一侧的 veth 接口可以让你更好地了解容器的网络连接,从而进行必要的配置和优化。

总之,找到容器内的 veth 接口的另一侧是为了更好地理解容器的网络连接,并能够对其进行配置、排除故障、监控和管理。

2、找到docker容器中的网卡外联的veth pair的另一张网卡方式

2.1 方式一,在容器内查看 iflink 文件,前提是能够进入容器内部

进入到容器内部,执行 cd /sys/class/net/ 命令,可以看到当前容器所有网卡,默认容器通过 eth0 网卡和外部环境进行交互,通过 cat /sys/class/net/eth0/iflink 命令可以找到此网卡外联的 veth pair 的另一张网卡的 index。

[root@master1 ~]# kubectl exec -it redis-968b459c9-5kzls /bin/sh

kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.

# cd /sys/class/net/

# ls

eth0  lo

# cat /sys/class/net/eth0/iflink

8

#

那么只需要跑到运行此容器的宿主机上,执行如下命令,就能找到对应的 8 的veth网卡是哪一个了。

[root@master2 ~]# ip link show|grep 8

8: veth13c5ce87@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP mode DEFAULT group default

    link/ether 26:c4:8f:04:7a:66 brd ff:ff:ff:ff:ff:ff link-netnsid 0

2.2 方式二,通过ip link查找,前提是能够进入容器内部并且容器内部支持ip link命令

容器内部查看容器网卡信息,注意看3: eth0@if8,其中3是eth0网卡的index,8是和它成对的veth的index。

[root@master1 ~]# kubectl exec -it redis-968b459c9-5kzls /bin/sh

kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.

/data # ip link

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

3: eth0@if8: <BROADCAST,MULTICAST,UP,LOWER_UP,M-DOWN> mtu 1450 qdisc noqueue state UP

    link/ether 8e:57:11:a2:64:cd brd ff:ff:ff:ff:ff:ff

那么只需要到运行此容器的宿主机上,执行如下命令,就能找到对应的 8 的veth网卡是哪一个了。

[root@master2 ~]# ip link show|grep 8

8: veth13c5ce87@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP mode DEFAULT group default

    link/ether 26:c4:8f:04:7a:66 brd ff:ff:ff:ff:ff:ff link-netnsid 0

2.3 方式三,通过ethtool查找,前提是能够进入容器内部并且容器内部支持ethtool命令

首先在容器中执行:ethtool -S eth0 命令,eth0为容器中的网卡的名字。

root@336043b07211:/# ethtool -S eth0

NIC statistics:

     peer_ifindex: 8

那么只需要到运行此容器的宿主机上,执行如下命令,就能找到对应的 8 的veth网卡是哪一个了。

[root@master2 ~]# ip link show|grep 8

8: veth13c5ce87@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP mode DEFAULT group default

    link/ether 26:c4:8f:04:7a:66 brd ff:ff:ff:ff:ff:ff link-netnsid 0

2.4 方式四,进入容器网络命名空间内部(推荐)

1)找到容器ID

连到运行此容器的宿主机上通过 docker ps 命令找到容器编号,还是以 redis 示例为例。

执行以下命令,可以看到 redis 容器编号是 fa78537331d1。

[root@master1 ~]# ssh master2

[root@master2 ~]# docker ps|grep redis

fa78537331d1   a70d80b7cdb0                             "docker-entrypoint.s…"   2 days ago   Up 2 days             k8s_redis_redis-968b459c9-5kzls_default_81aa239b-4578-4711-bf6c-a7225012f48b_2

3ecfef7dbe7c   10.20.32.201:80/cloudbases/pause:3.4.1   "/pause"                 2 days ago   Up 2 days             k8s_POD_redis-968b459c9-5kzls_default_81aa239b-4578-4711-bf6c-a7225012f48b_21

[root@master2 ~]#

注意 1,之后进入容器时候使用容器编号 fa78537331d1 或 3ecfef7dbe7c 都可以,他们是同一个 Pod, 共享容器网络命名空间。

2)找到容器网络命名空间编号

通过 'docker inspect --format "{{.State.Pid}}" 容器编号' 命令找到容器网络命名空间编号。

[root@master2 ~]# docker inspect --format "{{.State.Pid}}" fa78537331d1

16712

3)进入容器网络命名空间并查看网卡信息

通过 'nsenter -n -t 网络命名空间编号' 命令进入当前容器网络命名空间,并通过 ip link 命令查看当前容器网卡信息,注意看3: eth0@if8,其中3是eth0网卡的index,8是和它成对的veth 的index。

[root@master2 ~]# nsenter -n -t 16712

[root@master2 ~]# ip link

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

3: eth0@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UP mode DEFAULT group default

    link/ether 8e:57:11:a2:64:cd brd ff:ff:ff:ff:ff:ff link-netnsid 0

4)查找docker容器中的网卡外联的veth pair的另一张网卡

那么只需要到运行此容器的宿主机上,执行如下命令,就能找到对应的 8 的veth网卡是哪一个了。

[root@master2 ~]# ip link show|grep 8

8: veth13c5ce87@if3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue master cni0 state UP mode DEFAULT group default

    link/ether 26:c4:8f:04:7a:66 brd ff:ff:ff:ff:ff:ff link-netnsid 0

3、总结

本文介绍了四种查找docker容器中的网卡外联的veth pair的另一张网卡的方式,强烈建议使用方式四。

如何找到docker容器中的网卡外联的veth pair的另一张网卡的更多相关文章

  1. Docker - 容器中的tomcat如何使用startup.sh启动

    网上大多介绍的catalina.sh启动,因为docker容器中,无法直接启动startup.sh. 解决方法: 编辑catalina.sh,找到 >> "$CATALINA_O ...

  2. 【原创】大叔经验分享(71)docker容器中使用jvm工具

    java应用中经常需要用到jvm工具来进行一些操作,如果java应用部署在docker容器中,如何使用jvm工具? 首先要看使用的docker镜像, 比如常用的openjdk镜像分为jdk和jre,只 ...

  3. Docker容器中MySQL最大连接数被限制为214的解决方案

    原文:Docker容器中MySQL最大连接数被限制为214的解决方案 一.背景 话说笔者在上次的博客里简单的讲了一下调整MySQL最大连接数的方法.在文章的最后笔者提到了还有一些特殊情况比如说Dock ...

  4. docker容器中布置静态网站

    docker容器中布置静态网站(基于云服务器ubuntu系统) 服务器准备(ubuntu) docker nginx 静态网页制作 浏览器测试 服务器布置 这里推荐使用云服务器(阿里云.华为云.腾讯云 ...

  5. 如何在Docker容器中使用Arthas

    Arthas(阿尔萨斯) 能为你做什么? Arthas 是Alibaba开源的Java诊断工具,深受开发者喜爱. 当你遇到以下类似问题而束手无策时,Arthas可以帮助你解决: 这个类从哪个 jar ...

  6. Docker容器中运行ASP.NET Core

    在Linux和Windows的Docker容器中运行ASP.NET Core 译者序:其实过去这周我都在研究这方面的内容,结果周末有事没有来得及总结为文章,Scott Hanselman就捷足先登了. ...

  7. 在 docker 容器中捕获信号

    我们可能都使用过 docker stop 命令来停止正在运行的容器,有时可能会使用 docker kill 命令强行关闭容器或者把某个信号传递给容器中的进程.这些操作的本质都是通过从主机向容器发送信号 ...

  8. Docker容器中开始.NETCore之路

    一.引言 开始写这篇博客前,已经尝试练习过好多次Docker环境安装,.Net Core环境安装了,在这里替腾讯云做一个推广,假如我们想学习.练手.net core 或是Docker却苦于没有开发环境 ...

  9. 隔离 docker 容器中的用户

    笔者在前文<理解 docker 容器中的 uid 和 gid>介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户.如果 ...

  10. Docker容器中开始.Net Core之路

    开始写这篇博客前,已经尝试练习过好多次Docker环境安装,.Net Core环境安装了,在这里替腾讯云做一个推广,假如我们想学习.练手.net core 或是Docker却苦于没有开发环境,服务器也 ...

随机推荐

  1. 2022-06-13:golang中,[]byte和结构体如何相互转换?

    2022-06-13:golang中,[]byte和结构体如何相互转换? 答案2022-06-13: []byte和结构体的转换的应用场景是数据解析. 代码里有两种方法,一种是内存不共用,另一种是内存 ...

  2. Django接入drf_yasg2 API接口文档-完整操作(包含错误处理)

    drf_yasg2的简介: drf-yasg是Django RestFramework的一个扩展,使⽤drf_yasg2下载⾃动⽣成的api⽂档的json或yaml⽂件配置项. drf_yasg2的安 ...

  3. el-table自适应列宽

    这里可对内容为文本的列进行自适应列宽 以下为 工具方法 /** * 使用span标签包裹内容,然后计算span的宽度 width: px * @param valArr */ function get ...

  4. React笔记-Hooks(九)(非常全面)

    React笔记-Hooks(九) Hooks 概念 React Hooks 的意思是 组件尽量写成纯函数 如果需要外部功能和副作用 就用钩子把外部代码"钩"进来 函数组件和类组件区 ...

  5. Python基础 - 比较运算符

    以下假设变量a为10,变量b为20: 运算符 描述 实例 == 等于 - 比较对象是否相等 (a == b) 返回 False. != 不等于 - 比较两个对象是否不相等 (a != b) 返回 tr ...

  6. ODOO配置属性

    2字段的属性 2.1 隐藏字段 <field name='model_name' invisible="True"/> 2.2 条件下隐藏 <field name ...

  7. Post-Exploitation Basics

    开发后基础知识 https://tryhackme.com/room/postexploit 使用 mimikatz.bloodhound.powerview 和 msfvenom 学习后期开发和维护 ...

  8. 1. CS和BS的优缺点

    1. CS CS : 客户端服务器架构模式 优点 : 充分利用客户端机械的资源 , 减轻服务器的符合 缺点 : 需要安装 : 升级维护成本较高 ‍ 2. BS ‍ 优点 : 客户端不需要安装 : 维护 ...

  9. 让AI更好地服务于人类社会:如何确保其安全和透明度

    目录 让AI更好地服务于人类社会:如何确保其安全和透明度 随着人工智能技术的不断发展和应用,人们越来越关注其安全和透明度.安全和透明度是人工智能发展的重要保障,能够保护人工智能系统免受恶意攻击和滥用, ...

  10. 使用MASA Stack+.Net 从零开始搭建IoT平台 第五章 使用时序库存储上行数据

    @ 目录 前言 分析 实施步骤 时序库的安装 解决playload没有时间戳问题 代码编写 测试 总结 前言 我们可以将设备上行数据存储到关系型数据库中,我们需要两张带有时间戳的表(最新数据表 和 历 ...