Help us understand the problem. What is going on with this article?

Docker containerのnetwork namespaceでdebugしたい

More than 1 year has passed since last update.

コンテナからインターネットに抜けられないとか、ネットワーク設定にトラブルがありそうだという時にコンテナに入っていろいろコマンドを試したいが、scratchイメージでbashが入っていないとかログインできないことがあります。そういう時に、どうするかという話です。単的にいうと下記の3行ですが、タラタラと説明してみたいと思います。

pid=$(docker inspect $CONTAINER_ID --format '{{.State.Pid}}')
sudo ln -s /proc/${pid}/ns/net /var/run/netns/tmp-container-ns
sudo ip netns exec tmp-container-ns bash

Docker Containerのネットワークについて

Docker Container(DefaultのrunC container runtime)では、Container環境とHost環境のリソースの隔離化に、Linuxカーネルの機能であるnetwork namespaceを使います。これは1つのLinux OS(カーネル)環境でネットワークの設定を複数独立して持つことを許容してくれます。
例えば

  • PID 50のプロセスでは、
    • 10.0.0.2のipを使い
    • デフォルトゲートウェイに10.0.0.1を設定する
  • PID 51のプロセスでは、
    • 10.0.0.3のipを使い
    • デフォルトゲートウェイに10.0.0.254を設定する

ということが可能になります。

Dockerもこのようにして、各コンテナごとにnetwork namaespaceを分けることで、コンテナごとに独立したネットワーク設定を保持しています。

どうやってnetwork namespaceを作るのか

network namespaceの作成には、「ip」コマンドが利用可能です。

新しく、network namespaceを作成します

$ ip netns add newns

namespace一覧の確認

$ ip netns
newns

作成したnamespaceを指定して、好きなコマンド/プログラムを実行

$ ip netns exec newns ip addr
1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

上記コマンドでは、単純に新しいnamespace環境でipアドレスの確認をしていますが、loopback interfaceのみが表示されてると思います。

ip netnsでdockerの作ったnamespaceが表示されない?

上記で、ip netnsを使えばデバッグできるのでは?と思うと思うのですが、実はdockerが作るnamespaceは ip netnsコマンドで操作できないのです。。。
ip netnsで既存のnamespaceリストを表示できますが、ここでの情報は厳密には、namespaceではありません。/var/run/netns 配下のファイル一覧を単純に表示しているだけです。

root@vagrant:/var/run/netns# touch /var/run/netns/normalfile
root@vagrant:/var/run/netns# ip netns
RTNETLINK answers: Invalid argument
RTNETLINK answers: Invalid argument
normalfile

エラーは出るので、表示する際に該当のfileがnamespaceの識別子かどうか確認しているようですがご覧の通り、namespaceとして表示されています。

正直なところ、namespaceが内部的にどのように実装されているのかまだわかっていませんが([*1]要追加調査)、スペシャルデバイス上のファイルとして作られるようです。3h/3dが具体的にどういう意味なのかなどは今後の課題とします。

vagrant@vagrant:/var/run/netns$ stat test
  File: 'test'
  Size: 0               Blocks: 0          IO Block: 4096   regular empty file
Device: 3h/3d   Inode: 4026532349  Links: 1

ここでわかっていただきたいことは、特定のinode番号を持ったファイルがnamespaceの識別子になっており(必ずしもone hopである必要はないnamespaceを示すinodeへのsymbolic linkでも可) 通常 ip netns add で([*2]要追加調査)追加したnamespace識別子は /var/run/netns に追加されるということ

ip netns で dockerが作ったnamespaceを表示し、exec できるようにする

ここまでくればやるべきことは単純明解で、

  1. dockerが作ったnamespace識別子ファイルを探して
  2. なんとかして /var/run/netns 配下に置く

dockerが作ったnamespace識別子ファイルを探して

/proc/\${PID}/ns では、${PID}が利用しているすべての種類のnamespace識別子へのシンボリックリンクが置いてあります。のでまず該当のdocker containerのホスト側でのpidを調べます。

$ docker inspect ${container_id} --format '{{.State.Pid}}'
3456

でnamespace識別子と呼んでいるのはこれです。

$ ls -l /proc/3456/ns/net
lrwxrwxrwx 1 root root 0 Sep  2 08:25 /proc/3456/ns/net -> net:[4026531957]

/proc/3456/ns/net を /var/run/netns 配下に置く

シンボリックリンクでいいので、シンボリックリンクを置いてあげます

$ ln -s /proc/3456/ns/net /var/run/netns/docker-ns-3456

ここまでくると下記のコマンドで、dockerのコンテナのネットワーク情報で好きなコマンドが実行できます。

$ ip netns
docker-ns-3456
$ ip netns exec docker-ns-3456 bash

とここまで、dockerの作ったnetwork namespaceを指定してipコマンドでデバッグする方法を記述しましたが、簡単なbash scriptで、dockerコンテナのnetwork namespaceをすべて、 ip netns で表示、利用できるようにするbash scriptを書きました。興味がある人は是非。

https://gist.githubusercontent.com/ukinau/e5fd0712742f467b932f11a827b04a3b/raw/70ad49c692d7bd620de75ae98c252dfe71804d0e/ip_docker

下記の要調査事項については、これから調べていきたいと思います。
*1 namespaceファイルの仕組み、statのdeviceの意味を明確に
*2 特定のシステムコールの結果、カーネルが追加するのか、ユーザランドプログラムが追加するのかを明確に

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした