Re: Netstat blickt nicht in Docker Container

To: debian-user-german@lists.debian.org
Subject: Re: Netstat blickt nicht in Docker Container
From: Christian Knoke <chrisk@cknoke.de>
Date: Sat, 11 Oct 2014 00:53:56 +0200
Message-id: <[🔎] 20141010225356.GA21191@leo.home.cknoke.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 2308066.oO2fHf5Phd@fuchsia>
References: <[🔎] 2308066.oO2fHf5Phd@fuchsia>

Michael Schuerig schrieb am 10. Oct um 18:56 Uhr:
> 
> Ich habe den Mediaplayer Subsonic[1] in einem Docker Container[2] auf 
> meinem Heimserver laufen. Dieser Server soll nicht zwanghaft rund um die 
> Uhr Strom fressen, sondern nachts nur, wenn er auch tatsächlich etwas zu 
> tun hat. Um die Nachtruhe kümmert sich ein Skript[3].
> 
> Nun würde ich es in diesem Skript gerne berücksichtigen, wenn es noch 
> offene Verbindungen zu Subsonic gibt. Im Allgemeinen werden relevante 
> Verbindungen in der Ausgabe von netstat -t mit dem Zustand ESTABLISHED 
> angezeigt. Ausgerechnet die Verbindungen in den Container mit Subsonic 
> sehe ich dort aber nicht. Auf einem Client-Rechner sehe ich aber, dass 
> sehr wohl Verbindungen offen sind.
> 
> Mit netstat -tpa sehe ich docker-proxy-Prozesse auf den relevanten 
> Ports, aber die sind im Zustand LISTEN.
> 
> Ich vermute nun, dass die Besonderheiten von Docker eine Rolle spielen. 
> Docker Container sind keine VMs, sondern enthalten Prozesse, die durch 
> chroot und cgroups vom restlichen System abgeschottet sind. Außerdem 
> wird die Bridge docker0 verwendet.
> 
> Ich habe mein Glück auch mit ss -t state ESTABLISHED versucht, mit 
> demselben Ergebnis. Auf docker-user habe ich diese Frage bereits 
> gestellt -- keine Antworten. Vielleicht weiß hier jemand mehr.

Wenn ich es richtig verstehe, dann hat der docker container eine eigene IP
und ein interface auf der bridge docker0. Ich kenne docker nicht weiter.

Dann sind diese Verbindungen für den kernel auf dem dein script läuft, nur
durchgehende Verbindungen. Sie belegen keine sockets.

netstat kann die nicht anzeigen. Auf meiner firewall sehe ich die
beispielsweise, wenn ich /proc/net/nf_conntrack abfrage. Es gibt aber auch
iptables Regeln, die diese Pakete loggen können.

HTH

Christian

> [1] https://registry.hub.docker.com/u/mschuerig/debian-subsonic/
> [2] http://www.subsonic.org/
> [3] https://gist.github.com/mschuerig/e6b245320c5cf56b60fd
> -- 
> Michael Schuerig

-- 
Christian Knoke            * * *            http://cknoke.de
* * * * * * * * *  Ceterum censeo Microsoft esse dividendum.

Reply to:

Follow-Ups:
- Re: Netstat blickt nicht in Docker Container
  - From: Michael Schuerig <michael.lists@schuerig.de>

References:
- Netstat blickt nicht in Docker Container
  - From: Michael Schuerig <michael.lists@schuerig.de>

Prev by Date: Netstat blickt nicht in Docker Container
Next by Date: Re: Netstat blickt nicht in Docker Container
Previous by thread: Netstat blickt nicht in Docker Container
Next by thread: Re: Netstat blickt nicht in Docker Container
Index(es):
- Date
- Thread