Docker nsenter 命令使用以及lsns命令（需要安装utrace包）

查看容器对应宿主机上面的pid，容器技术的实质是进程，并没有完整的操作系统，就相当于在主机上面fork了一个子进程，通过docker daemon去fork一个子进程，这个子进程是可以在主机上面看到其pid的。 

$ docker inspect -f {{.State.Pid}} 容器名或者容器id 
 
如下：
$ docker inspect -f {{.State.Pid}}  7b7af641a02d
20560
$ docker inspect -f {{.State.Pid}}  consul_client
20560
输入该命令便进入到容器中

$ nsenter --target 上面查到的进程id --mount --uts --ipc --net --pid 

 

解释nsenter指令中进程id之后的参数的含义： 
* –mount参数是进去到mount namespace中  （文件系统）
* –uts参数是进入到uts namespace中  （主机名与域名）
* –ipc参数是进入到System V IPC namaspace中  （信号量、消息队列和共享内容）
* –net参数是进入到network namespace中   （网络设备、网络栈、端口）
* –pid参数是进入到pid namespace中    （进程编号）
* –user参数是进入到user namespace中 （用户和用户组）

PID=$(docker inspect --format "{{ .State.Pid }}" <container>)
$ nsenter --target $PID --mount --uts --ipc --net --pid#查看容器对应宿主机上面的pid，容器技术的实质是进程，并没有完整的操作系统，就相当于在主机上面fork了一个子进程，通过docker daemon去fork一个子进程，这个子进程是可以在主机上面看到其pid的。
[root@docker ~]# docker inspect 37d084d8e21b | grep -i  pid"Pid": 18496,"PidMode": "","PidsLimit": null,
[root@docker ~]# ps -ef | grep 18496
root     18496 18476  0 15:34 pts/0    00:00:00 sh

-p 是pid namesapce    -n是network namespace，在主机上面通过nsenter去敲ip a，ps命令和在容器内部敲的命令返回结果是一样的。 

[root@docker ~]# nsenter -t 18496  -n ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00inet 127.0.0.1/8 scope host lovalid_lft forever preferred_lft forever
44: eth0@if45: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0valid_lft forever preferred_lft forever[root@docker ~]# nsenter -t 18496  -p   psPID TTY          TIME CMD
18648 pts/1    00:00:00 sh
20436 pts/1    00:00:00 bash
21368 pts/1    00:00:00 nsenter
21369 pts/1    00:00:00 bash
21529 pts/1    00:00:00 nsenter
21530 pts/1    00:00:00 ps

容器看到的是可以通过在主机上面nsenter看到的。这是日常去调试容器里面进程应用的一个法宝！

有些时候容器里面要做一些debug，缺一些工具，可以登入到主机上面进入到容器的namespace里面去看其网络配置，看其端口监听。这样就能够知道网络连接的状态是怎么样的。 

由于使用DOCKER的时候，ESTABLISHED连接不会出现在netstat中，在运行中的docker容器中列出打开的套接字的方法 ,查找docker的进程号：

$ sudo nsenter -t <Pid> -n netstat | grep ESTABLISHED 示例：
$ nsenter -t 1829 -n netstat |grep ESTABLISHED 
tcp        0      0 localhost:60353         localhost:epmd          ESTABLISHED
tcp        0      0 localhost:epmd          localhost:60353         ESTABLISHED
tcp        0      0 localhost.localdo:15672 192.168.56.1:59679      ESTABLISHED
tcp6       0      0 172.17.0.2:amqp         192.168.56.1:59898      ESTABLISHED
tcp6      21      0 172.17.0.2:amqp         192.168.56.1:59571      ESTABLISHED[root@jenkins dockerfile]# nsenter -t 14632 -n ping www.baidu.com
^C[root@jenkins dockerfile]# nsenter -t 14632 -n nslookup www.baidu.com
^C[root@jenkins dockerfile]# nsenter -t 14632 -n curl 127.0.0.1:8080
{"timestamp":"2024-05-09T06:29:54.346+00:00","status":404,"error":"Not Found","message":"","path":"/"}

查看docker pid的ns

要查看Docker容器的PID的命名空间，你可以使用docker inspect命令，结合--format参数来提取特定信息。以下是一个示例命令，它将显示指定容器的PID命名空间信息：

 

 

docker inspect --format '{{ .State.Pid }}' <container_name_or_id>

这个命令会返回容器的主进程的PID。然后，你可以使用lsns命令（需要安装utrace包）来查看这个PID的命名空间：

 

 

lsns -p <pid>

如果你没有lsns命令，你可以通过安装utrace包来获取它。对于基于Debian的系统，可以使用以下命令安装：

 

 

sudo apt-get install utrace

对于基于Red Hat的系统，可以使用以下命令安装：

 

 

sudo yum install utrace