我知道你可以通过执行以下操作来显示界面ip a show
。这只显示主机可以看到的接口,但容器配置的虚拟接口不会出现在此列表中。我也尝试过使用ip netns
,但它们也没有出现。我应该重新编译另一个版本吗iproute2
?在 中/proc/net/fb_trie
,您可以看到本地/广播地址,我认为,用作转发数据库。
我在哪里可以找到这些信息或列出所有接口(包括容器)的命令?
要对此进行测试,请启动一个容器。就我而言,它是 snap 上的 lxc 容器。做一个ip a
或ip l
。它将显示主机的视图,但不显示容器配置的界面。我正在 greping ,因为容器只是 cgrouped 进程,但除了和 arp 条目procfs
之外我没有得到任何东西。fib_trie
我认为这可能是由于 netns 命名空间混淆造成的,但ip netns
也没有显示任何内容。
您可以用来conntrack -L
显示已建立的所有传入和传出连接,因为 lxd 需要连接跟踪数据包的转发,但我想列出系统上配置的所有 IP 地址,就像我如何能够使用netstat
or来告诉lsof
。
答案1
一个接口在给定时间属于一个网络命名空间而且只有一个。 init(初始)网络命名空间,除了继承被破坏的网络命名空间的物理接口之外,没有其他网络命名空间的特殊能力:它无法直接看到它们的接口。只要您仍在 init 的 pid 和 mount 命名空间中,您仍然可以使用不同的可用信息找到网络命名空间,/proc
并最终通过输入这些网络命名空间来显示其界面。
我将在 shell 中提供示例。
枚举网络名称空间
为此,您必须知道这些命名空间是如何存在的:只要资源能够维持它们。这里的资源可以是一个进程(实际上是一个进程的线程)、一个挂载点或一个打开的文件描述符(fd)。这些资源都在枚举所有名称空间的伪文件系统
/proc/
中引用并指向抽象伪文件。nsfs
该文件唯一有意义的信息是其 inode,代表网络名称空间,但 inode 不能单独操作,它必须是文件。这就是为什么稍后我们不能只保留 inode 值(由 给出stat -c %i /proc/some/file
):我们将保留 inode 以便能够删除重复项和仍具有可用参考的文件名nsenter
之后。进程(实际上是线程)
最常见的情况:对于普通容器。每个线程的网络命名空间都可以通过引用得知
/proc/pid/ns/net
:只需stat
它们并枚举所有唯一的命名空间。当无法再找到短暂进程2>/dev/null
时隐藏。stat
find /proc/ -mindepth 1 -maxdepth 1 -name '[1-9]*' | while read -r procpid; do stat -L -c '%20i %n' $procpid/ns/net done 2>/dev/null
通过专门的技术可以更快地完成此操作
lsns
命令处理命名空间,但似乎只处理进程(不处理挂载点,也不处理打开的 fd,如下所示):lsns -n -u -t net -o NS,PATH
(稍后必须重新格式化为
lsns -n -u -t net -o NS,PATH | while read inode path; do printf '%20u %s\n' $inode "$path"; done
)挂载点
这些主要由通过安装它们来创建永久网络名称空间的命令使用
ip netns add
,从而避免它们在没有进程或 fd 资源保存它们时消失,然后还允许例如在网络名称空间中运行路由器、防火墙或网桥,而无需任何链接的进程。已挂载的命名空间(处理挂载和也许 pid 命名空间可能更复杂,但无论如何我们只对网络命名空间感兴趣)看起来像 中的任何其他挂载点
/proc/mounts
,文件系统类型为nsfs
。 shell 中没有简单的方法来区分网络命名空间和其他类型的命名空间,但由于来自同一文件系统(此处nsfs
)的两个伪文件不会共享相同的 inode,只需将它们全部选择并忽略稍后在界面中的错误尝试使用非网络命名空间引用作为网络命名空间时的步骤。抱歉,下面我不会正确处理其中包含特殊字符(包括空格)的挂载点,因为它们已经在/proc/mounts
的输出中转义了(在任何其他语言中都会更容易),所以我也不会费心使用 null终止线。awk '$3 == "nsfs" { print $2 }' /proc/mounts | while read -r mount; do stat -c '%20i %n' "$mount" done
打开文件描述符
这些可能比挂载点更罕见,除了在命名空间创建时暂时除外,但可能由处理多个命名空间的某些专用应用程序(可能包括一些容器化技术)持有和使用。
我无法设计出比搜索 every 中所有可用的 fd 更好的方法
/proc/pid/fd/
,使用 stat 来验证它指向一个nsfs
命名空间,并且现在不再关心它是否真的是一个网络命名空间。我确信有一个更优化的循环,但这个循环至少不会到处徘徊,也不会假设任何最大进程限制。find /proc/ -mindepth 1 -maxdepth 1 -name '[1-9]*' | while read -r procpid; do find $procpid/fd -mindepth 1 | while read -r procfd; do if [ "$(stat -f -c %T $procfd)" = nsfs ]; then stat -L -c '%20i %n' $procfd fi done done 2>/dev/null
现在从之前的结果中删除所有重复的网络命名空间引用。例如,通过对前 3 个结果的组合输出使用此过滤器(特别是来自打开的文件描述符部分):
sort -k 1n | uniq -w 20
在每个命名空间中枚举接口
现在我们有了对所有现有网络命名空间的引用(以及一些我们将忽略的非网络命名空间),只需使用引用输入每个命名空间并显示接口即可。
将前面命令的输出作为此循环的输入以枚举接口(并根据OP的问题,选择显示其地址),同时忽略由非网络名称空间引起的错误,如前所述:
while read -r inode reference; do if nsenter --net="$reference" ip -br address show 2>/dev/null; then printf 'end of network %d\n\n' $inode fi done
可以使用 pid 1 作为参考打印 init 网络的 inode:
echo -n 'INIT NETWORK: ' ; stat -L -c %i /proc/1/ns/net
正在运行的 LXC 容器的示例(真实但经过编辑)输出,一个空的“已安装”网络命名空间,具有ip netns add ...
未连接的桥接接口,一个具有其他dummy0
接口的网络命名空间,由进程保持活动状态不是在此网络命名空间中,但在其上保留一个开放的 fd,创建方式为:
unshare --net sh -c 'ip link add dummy0 type dummy; ip address add dev dummy0 10.11.12.13/24; sleep 3' & sleep 1; sleep 999 < /proc/$!/ns/net &
和正在运行的 Firefox 将其每个“Web 内容”线程隔离在未连接的网络命名空间(所有这些下行lo
接口)中:
未知 127.0.0.1/8 ::1/128 eth0 上 192.0.2.2/24 2001:db8:0:1:bc5c:95c7:4ea6:f94f/64 fe80::b4f0:7aff:fe76:76a8/64 wlan0 关闭 dummy0 未知 198.51.100.2/24 fe80::108a:83ff:fe05:e0da/64 lxcbr0 上 10.0.3.1/24 2001:db8:0:4::1/64 fe80::216:3eff:fe00:0/64 virbr0 下降 192.168.122.1/24 virbr0-nic 下降 vethSOEPSH@if9 UP fe80::fc8e:ff:fe85:476f/64 网络结束 4026531992 低下 网络结束 4026532418 低下 网络结束 4026532518 低下 网络结束 4026532618 低下 网络结束 4026532718 未知 127.0.0.1/8 ::1/128 eth0@if10 向上 10.0.3.66/24 fe80::216:3eff:fe6a:c1e9/64 网络结束 4026532822 低下 bridge0 未知 fe80::b884:44ff:feaf:dca3/64 网络结束 4026532923 低下 虚拟0 下降 10.11.12.13/24 网络结束 4026533021 初始化网络:4026531992
答案2
ip netns list
将仅列出通过实用程序配置的网络命名空间ip-netns(8)
。
lsns(1)
包中的程序util-linux
也是严重缺乏:它只会列出那些可通过/proc/<pid>/ns/*
文件访问的命名空间,忽略所有每线程命名空间以及通过绑定挂载或打开文件描述符保持活动状态的命名空间。
以下演示脚本尝试做得更好:它将通过文件查找绑定安装,并通过文件/proc/<pid>/task/<tid>/mountinfo
查找打开的 fd 。/proc/<pid>/task/<tid>/fd
对于每个名称空间,它将打印可访问该名称空间的路径:
# perl ./lsnsx.pl
...
mnt 3
4026531840 /proc/1/ns/mnt
4026531860 /proc/30/ns/mnt
4026532374 /proc/3119/ns/mnt
net 6
4026531992 /proc/1/ns/net
4026532376 /proc/25781/fd/9
4026532465 /proc/28373/fd/7
...
然后您可以使用该路径nsenter(1)
,例如。
nsenter --net=/proc/28373/fd/7 ip link
可以轻松更改脚本以自行执行此操作,或显示其他信息,例如使用命名空间的进程的整个列表。
如果该路径不可访问,则后面会跟上父/挂载 ID 以及/proc/<pid>/mountinfo
找到该路径的文件。转义的换行符、制表符和空格将保持原样:
net 9
...
4026532732 /v/net\040ns /proc/3119/mountinfo 60 41
由于它必须读取所有这些/proc/*/task/*
文件,因此在使用多线程程序的任何机器上这可能会变慢;不幸的是,我无法找到任何快速方法来检查两个线程/任务是否共享相同的命名空间:kcmp(2)
只会告诉它们是否共享相同的地址空间、文件描述符表等;没有任何与命名空间相关的东西。
lsnsx.pl
:
#! /usr/bin/perl
use strict;
my %t2n = (
# the CLONE_NEW* from sched.h
0x02000000 => "cgroup", 0x04000000 => "uts", 0x08000000 => "ipc",
0x10000000 => "user", 0x20000000 => "pid", 0x40000000 => "net",
0x00020000 => "mnt" # CLONE_NEWNS
);
my (%ns);
my $nsfs_dev = (stat "/proc/self/ns/mnt")[0];
my $type = shift || qr/\w+/;
sub unescape { $_[0] =~ s/\\([0-7]{3})/chr oct $1/ger }
# NS_GET_NSTYPE = 0xb7 << 8 | 3
sub nstype { my $h; open $h, $_[0] and ioctl $h, 0xb7 << 8 | 3, 0 }
for(</proc/[0-9]*/task/[0-9]*/{ns/*,fd/*,mountinfo}>){
s{/([0-9]*)/task/\1/}{/$1/};
if(my ($procpid) = m{(.*)/mountinfo$}){
open my $h, $_ or next;
LOOP: while(<$h>){
next unless (my @s = split)[2] eq "0:$nsfs_dev";
if(my($t, $i) = $s[3] =~ /^($type):\[(\d+)\]$/){
next if exists $ns{$t}{$i};
for ("", "$procpid/root"){
my ($d, $i1) =
(stat $_.unescape $s[4])[0, 1];
$ns{$t}{$i} = $_.$s[4], next LOOP
if $d == $nsfs_dev && $i == $i1;
}
$ns{$t}{$i} = "@s[4, 0, 1] $procpid/mountinfo"
}
}
}elsif(m{/ns/}){
$ns{$1}{$2} //= $_ if readlink =~ /^($type):\[(\d+)\]$/;
}else{
next unless my ($dev, $ino) = stat $_;
next unless $dev == $nsfs_dev;
next unless my $t = nstype $_;
next if ($t = $t2n{$t}) and $t !~ $type;
$ns{$t // '???'}{$ino} //= $_;
}
}
for my $type (sort keys %ns){
my $h = $ns{$type}; my @i = sort {$a<=>$b} keys %$h;
printf "%-8s %d\n", $type, scalar @i;
printf " %-11d %s\n", $_, $$h{$_} for @i;
}