Re: Netstat blickt nicht in Docker Container
On Saturday 11 October 2014 00:53:56 Christian Knoke wrote:
> Michael Schuerig schrieb am 10. Oct um 18:56 Uhr:
[versucht herauszufinden, ob es eine offene Verbindung in einen Docker
Container gibt]
> Wenn ich es richtig verstehe, dann hat der docker container eine
> eigene IP und ein interface auf der bridge docker0. Ich kenne docker
> nicht weiter.
Ja, genau.
> Dann sind diese Verbindungen für den kernel auf dem dein script läuft,
> nur durchgehende Verbindungen. Sie belegen keine sockets.
Das verstehe ich, wenn Verbindungen zwischen zwei Netzwerk-Interfaces
durchgereicht werden oder von einer "echten" VM ans Interface gehen.
Mit Docker ist das aber etwas anders, denke ich. Es gibt zwar eine
Abschottung des Namespace, sodass man aus dem Container nicht nach Außen
auf den Host sehen kann. Umgekehrt ist es aber kein Problem, vom Host
die Prozesse zu sehen, die im Container laufen. Ich hatte gehofft, dass
es vergleichbar auch für Sockets möglich ist.
> netstat kann die nicht anzeigen. Auf meiner firewall sehe ich die
> beispielsweise, wenn ich /proc/net/nf_conntrack abfrage. Es gibt aber
> auch iptables Regeln, die diese Pakete loggen können.
Ja, da kann ich die Verbindung tatsächlich sehen. Allerdings bleibt der
Eintrag noch eine ganze Weile erhalten, nachdem die Verbindung bereits
geschlossen wurde. Über den Daumen gemessen 10min. Für meinen
Anwendungszweck, also einen arbeitslosen Server Schlafen zu legen, passt
das, aber ich hätte auch gerne eine Möglichkeit, um punktgenau
festzustellen, ob es eine Verbindung gibt.
Auf jeden Fall aber vielen Dank für den Hinweis auf
/proc/net/nf_conntrack.
Michael
--
Michael Schuerig
mailto:michael@schuerig.de
http://www.schuerig.de/michael/
Reply to: