背景

工具介绍

nsenter 是一款可以进入进程的名称空间中。例如，如果一个容器以非 root 用户身份运行，而使用 ​​docker exec​​​ 进入其中后，但该容器没有安装 ​​sudo​​​ 或未 ​​netstat​​ ，并且您想查看其当前的网络属性，如开放端口，这种场景下将如何做到这一点？nsenter 就是用来解决这个问题的。

nsenter (namespace enter) 可以在容器的宿主机上使用 ​​nsenter​​ 命令进入容器的命名空间，以容器视角使用宿主机上的相应网络命令进行操作。当然需要拥有 ​​root​​ 权限

网络故障如何抓包 ， 容器内部没有工具怎么办 ？？

创建容器测试

kubectl create deployment nginx --image=nginx
kubectl expose deployment nginx --port=80 --type=NodePort
kubectl get pod,svc

获取容器ID

使用kubectl 命令获取ID

kubectl  describe pod nginx-6799fc88d8-plddn 

获取PID

拿到 container id 后，我们登录到 pod 所在节点上去获取其主进程 pid。

获取节点 kubectl  get pod -owide

containerd 运行时使用 crictl 命令获取:

crictl inspect 0f38cad42b7e99bc2509a04c3da80c8dbec980d45e0b6f64c2191a5e4ce9ceec | grep -i pid

dockerd 运行时使用 docker 命令获取:

docker  inspect 0f38cad42b7e99bc2509a04c3da80c8dbec980d45e0b6f64c2191a5e4ce9ceec | grep -i pid

nsenter 进入容器netns

在对应pod 的节点执行一下命令 ip a  查看是否进入容器

nsenter -n --target 5432

抓包

tcpdump -i eth0  host 10.244.234.106  -nn

后面会详细介绍tcpdump 使用