bretfisher/netshoot Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
bretfisher/netshoot自动构建
bretfisher
netshoot是Docker和Kubernetes网络故障排除的“瑞士军刀”容器,集成丰富网络诊断工具,支持进入容器、主机或网络命名空间排查延迟、路由、DNS解析等网络问题,适用于Docker和K8s环境的网络故障定位与分析。
7 次收藏下载次数: 0状态:自动构建维护者:bretfisher仓库类型:镜像最近更新:5 个月前
netshoot:Docker + Kubernetes网络故障排除瑞士军刀容器
dP dP dP 88 88 88 88d888b. .d8888b. d8888P .d8888b. 88d888b. .d8888b. .d8888b. d8888P 88' `88 88ooood8 88 Y8ooooo. 88' `88 88' `88 88' `88 88 88 88 88. ... 88 88 88 88 88. .88 88. .88 88 dP dP `88888P' dP `88888P' dP dP `88888P' `88888P' dP
镜像概述和主要用途
用途:Docker和Kubernetes网络故障排除可能变得复杂。通过正确理解Docker和Kubernetes网络工作原理并使用合适的工具集,您可以排查和解决这些网络问题。netshoot容器提供了一套强大的网络故障排除工具,可用于诊断Docker网络问题,并附带一系列实际场景中的使用案例说明。
核心功能和特性
网络命名空间
使用此工具前,需了解一个关键概念:网络命名空间(Network Namespaces)。网络命名空间提供网络相关系统资源的隔离。Docker使用网络命名空间及其他类型的命名空间(pid、mount、user等)为每个容器创建隔离环境,其中接口、路由和IP等网络资源在容器的网络命名空间内完全隔离。
Kubernetes同样使用网络命名空间,Kubelet为每个Pod创建一个网络命名空间,Pod内所有容器共享该命名空间(包括网卡、IP、TCP套接字等),这是Docker容器与Kubernetes Pod的关键区别。
命名空间的优势在于可切换,您可以进入其他容器的网络命名空间,使用未安装在目标容器中的工具对其网络栈进行故障排除。此外,netshoot可通过主机网络命名空间排查主机本身的网络问题,无需在主机或应用容器中直接安装工具。
-
容器网络命名空间:若应用容器存在网络问题,可使用目标容器的网络命名空间启动
netshoot:bash$ docker run -it --net container:<container_name> nicolaka/netshoot -
主机网络命名空间:若怀疑问题出在主机,可使用主机网络命名空间启动
netshoot:bash$ docker run -it --net host nicolaka/netshoot -
网络的网络命名空间:若需排查Docker网络,可使用
nsenter进入网络命名空间,详见下文“nsenter”部分。
Kubernetes使用
创建临时调试容器:
bash$ kubectl run tmp-shell --rm -i --tty --image nicolaka/netshoot -- /bin/bash
使用主机网络命名空间创建容器:
bash$ kubectl run tmp-shell --rm -i --tty --overrides='{"spec": {"hostNetwork": true}}' --image nicolaka/netshoot -- /bin/bash
常见网络问题
许多网络问题会导致应用性能下降,部分与底层网络基础设施(underlay)相关, others与主机或Docker层配置错误有关。常见网络问题包括:
- 延迟(latency)
- 路由(routing)
- DNS解析(DNS resolution)
- 防火墙(firewall)
- ARP不完整(incomplete ARPs)
为排查这些问题,netshoot集成了一套强大工具,推荐参考以下工具图:
![]([***]
包含的工具包
netshoot包含以下工具包,下文将结合示例说明部分工具的使用场景:
apache2-utils bash bind-tools bird bridge-utils busybox-extras calicoctl conntrack-tools ctop curl dhcping drill ethtool file fping httpie iftop iperf iproute2 ipset iptables iptraf-ng iputils ipvsadm jq libc6-compat liboping mtr net-snmp-tools netcat-openbsd netgen nftables ngrep nmap nmap-nping openssl py-*** py2-virtualenv python2 scapy socat strace tcpdump tcptraceroute termshark tshark util-linux vim websocat
使用场景和示例
iperf:测试网络性能
用途:测试两个容器/主机之间的网络性能。
创建覆盖网络:
bash$ docker network create -d overlay perf-test
启动两个容器:
bash🐳 → docker service create --name perf-test-a --network perf-test nicolaka/netshoot iperf -s -p 9999 7dkcckjs0g7b4eddv8e5ez9nv 🐳 → docker service create --name perf-test-b --network perf-test nicolaka/netshoot iperf -c perf-test-a -p 9999 2yb6fxls5ezfnav2z93lua8xl 🐳 → docker service ls ID NAME REPLICAS IMAGE COMMAND 2yb6fxls5ezf perf-test-b 1/1 nicolaka/netshoot iperf -c perf-test-a -p 9999 7dkcckjs0g7b perf-test-a 1/1 nicolaka/netshoot iperf -s -p 9999 🐳 → docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES ce4ff40a5456 nicolaka/netshoot:latest "iperf -s -p 9999" 31 seconds ago Up 30 seconds perf-test-a.1.bil2mo8inj3r9nyrss1g15qav 🐳 → docker logs ce4ff40a5456 ------------------------------------------------------------ Server listening on TCP port 9999 TCP window size: 85.3 KByte (default) ------------------------------------------------------------ [ 4] local 10.0.3.3 port 9999 connected with 10.0.3.5 port 35102 [ ID] Interval Transfer Bandwidth [ 4] 0.0-10.0 sec 32.7 GBytes 28.1 Gbits/sec [ 5] local 10.0.3.3 port 9999 connected with 10.0.3.5 port 35112
tcpdump: packet分析工具
用途:强大的命令行packet分析工具,可显示TCP/IP等协议的传输或接收packet。
延续iperf示例,使用perf-test-a容器的网络命名空间启动netshoot并抓包:
bash🐳 → docker run -it --net container:perf-test-a.1.0qlf1kaka0cq38gojf7wcatoa nicolaka/netshoot # 在eth0接口上捕获TCP端口9999的packet,捕获1个后停止并显示十六进制数据 / # tcpdump -i eth0 port 9999 -c 1 -Xvv tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 23:14:09.771825 IP (tos 0x0, ttl 64, id 60898, offset 0, flags [DF], proto TCP (6), length 64360) 10.0.3.5.60032 > 0e2ccbf3d608.9999: Flags [.], cksum 0x1563 (incorrect -> 0x895d), seq 222376702:222441010, ack 3545090958, win 221, options [nop,nop,TS val 2488870 ecr 2488869], length 64308 0x0000: 4500 fb68 ede2 4000 4006 37a5 0a00 0305 E..h..@.@.7..... 0x0010: 0a00 0303 ea80 270f 0d41 32fe d34d cb8e ......'..A2..M.. 0x0020: 8010 00dd 1563 0000 0101 080a 0025 fa26 .....c.......%.& 0x0030: 0025 fa25 0000 0000 0000 0001 0000 270f .%.%..........'. 0x0040: 0000 0000 0000 0000 ffff d8f0 3435 3637 ............4567 0x0050: 3839 3031 3233 3435 3637 3839 3031 3233 8901234567890123 0x0060: 3435 3637 3839 3031 3233 3435 3637 3839 4567890123456789 0x0070: 3031 3233 3435 3637 3839 3031 3233 3435 0123456789012345 0x0080: 3637 3839 3031 3233 3435 3637 3839 3031 6789012345678901 0x0090: 3233 3435 3637 3839 3031 3233 3435 3637 2345678901234567 0x00a0: 3839 3031 3233 3435 3637 3839 3031 3233 8901234567890123 0x00b0: 3435 3637 3839 3031 3233 3435 3637 3839 4567890123456789 0x00c0: 3031 3233 3435 3637 3839 3031 3233 3435 0123456789012345 0x00d0: 3637 3839 3031 3233 3435 3637 3839 3031 6789012345678901 0x00e0: 3233 3435 3637 3839 3031 3233 3435 3637 2345678901234567 0x00f0: 3839 3031 3233 3435 3637 3839 3031 3233 8901234567890123 0x0100: 3435 3637 3839 3031 3233 3435 3637 3839 4567890123456789
更多关于tcpdump的信息可参考tcpdump手册。
netstat:网络连接状态工具
用途:检查网络配置和活动的实用工具。
延续iperf示例,使用netstat确认容器监听9999端口:
bash🐳 → docker run -it --net container:perf-test-a.1.0qlf1kaka0cq38gojf7wcatoa nicolaka/netshoot / # netstat -tulpn Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.11:46727 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:9999 0.0.0.0:* LISTEN - udp 0 0 127.0.0.11:39552 0.0.0.0:* -
nmap:网络扫描工具
nmap(“Network Mapper”)是开源网络探测和安全审计工具,可扫描主机间开放端口,常用于检查Swarm或UCP集群通信所需端口是否开放。
bash🐳 → docker run -it --privileged nicolaka/netshoot nmap -p ***-*** -dd 172.31.24.25 ... Discovered closed port ***/tcp on 172.31.24.25 Discovered closed port ***/tcp on 172.31.24.25 Discovered closed port ***/tcp on 172.31.24.25 Discovered closed port ***/tcp on 172.31.24.25 ...
端口状态说明:
open:端口通路开放,且有应用监听closed:端口通路开放,但无应用监听filtered:端口通路关闭,被防火墙、路由规则或主机规则阻止
iftop:网络带宽监控工具
用途:类似top监控CPU,iftop监听指定接口的网络流量,按主机对显示当前带宽使用情况。
延续iperf示例:
bash→ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES ce4ff40a5456 nicolaka/netshoot:latest "iperf -s -p 9999" 5 minutes ago Up 5 minutes perf-test-a.1.bil2mo8inj3r9nyrss1g15qav 🐳 → docker run -it --net container:perf-test-a.1.bil2mo8inj3r9nyrss1g15qav nicolaka/netshoot iftop -i eth0
!iftop.png
drill:DNS查询工具
用途:获取DNS相关信息的工具。
延续iperf示例,使用drill查看Docker中服务DNS解析:
bash🐳 → docker run -it --net container:perf-test-a.1.bil2mo8inj3r9nyrss1g15qav nicolaka/netshoot drill -V 5 perf-test-b ;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 0 ;; flags: rd ; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;; perf-test-b. IN A ;; ANSWER SECTION: ;; AUTHORITY SECTION:
bretfisher/httping
bretfisher
通过HTTP请求进行ping测试,直接从https://github.com/flok99/httping的master分支构建
18 次收藏10万+ 次下载
22 天前更新
bretfisher/shpod
bretfisher
Create a pod with tools needed for my Kubernetes Mastery course
3 次收藏10万+ 次下载
1 年前更新
bretfisher/jekyll-serve
bretfisher
Docker容器中的最新Jekyll,专为轻松的静态站点生成器(SSG)本地开发设计。
117 次收藏10万+ 次下载
27 天前更新
bretfisher/examplevotingapp_vote
bretfisher
官方Docker example-voting-app的分支版本,包含bug,用于娱乐和非盈利目的。
5 次收藏10万+ 次下载
27 天前更新
bretfisher/examplevotingapp_worker
bretfisher
官方Docker示例投票应用的分支版本,包含用于学习目的的bug,非盈利性质的分布式应用演示。
4 次收藏10万+ 次下载
27 天前更新
bretfisher/examplevotingapp_result
bretfisher
官方Docker示例投票应用的分支版本,包含bug,主要用于娱乐和非盈利目的的分布式应用演示。
1 次收藏10万+ 次下载
27 天前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"