热门搜索:

cilium/pwru

cilium

pwru 是一款基于 eBPF 的 Linux 内核网络数据包追踪工具，具备高级过滤功能，可对内核状态进行细粒度检查，帮助调试网络连接问题，支持多种追踪后端和灵活的过滤与输出选项。

下载次数: 0状态：社区镜像维护者：cilium仓库类型：镜像最近更新：10 个月前

让 AI 帮你使用轩辕镜像？ · 展开查看说明

如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具，协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题，请先让 AI 阅读并遵守轩辕镜像的规则文档。

只需在 AI 对话中先发送下面这句话即可：

请先完整阅读并严格遵守以下文档中的全部规则与要求：

https://xuanyuan.cloud/agents.md

在未充分阅读并理解该文档前，不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。

查看 agents.md 用法指南与完整示范。国内用户首推元宝 AI、DeepSeek 的深度思考模式，不推荐豆包 AI；Cursor 等编辑器可在对话 @ 该链接，或加入 User Rules。若 AI 无法访问外链，可打开说明文档复制全文粘贴。文档会随站点更新，复制内容可能过期，建议定期检查。

镜像标签列表与下载命令

pwru 镜像文档

概述

pwru（packet, where are you?）是一款基于 eBPF 的 Linux 内核网络数据包追踪工具，具备高级过滤能力。它允许对内核状态进行细粒度检查，从而帮助调试网络连接问题，例如追踪数据包在何处被丢弃、分析网络路径等。

!logo

以下示例展示了在添加 iptables 规则后，curl 请求的数据包被丢弃的位置：

!demo

核心功能与特性

eBPF 技术实现：基于 eBPF 实现高效内核数据包追踪，对系统性能影响小
高级过滤能力：支持 pcap 过滤规则（参见 man 7 pcap-filter），可按内核函数名、网络接口、网络命名空间等多维度过滤
多追踪后端：支持 kprobe 和 kprobe-multi 两种追踪后端，可根据内核版本自动选择
细粒度状态检查：可追踪数据包在内核中的完整路径，包括经过 NAT、隧道解封装、网桥转发等场景
丰富输出选项：支持输出数据包元数据、L4 元组、TCP 标志位、调用栈、skb（socket buffer）详情等

适用场景

调试网络数据包丢失问题（如 iptables 规则、安全组导致的丢包）
追踪数据包在内核中的处理路径
分析 XDP/TC BPF 程序对数据包的处理逻辑
排查涉及 NAT、隧道（VXLAN/Geneve）、网桥等复杂网络场景的问题
验证内核网络功能或自定义内核模块的正确性

使用要求

内核版本要求

基础运行：需 Linux 内核版本 ≥ 5.3
使用 --output-skb 选项：需内核版本 ≥ 5.9
使用 --backend=kprobe-multi 选项：需内核版本 ≥ 5.18

debugfs 要求

pwru 可选依赖 debugfs，需挂载至 /sys/kernel/debug。若该目录为空，可通过以下命令挂载：

bash
mount -t debugfs none /sys/kernel/debug

内核配置要求

需启用以下内核配置选项，可通过 zgrep $OPTION /proc/config.gz 验证是否启用：

选项	后端	说明
CONFIG_DEBUG_INFO_BTF=y	两者均需	自 5.3 内核起可用
CONFIG_KPROBES=y	两者均需	-
CONFIG_PERF_EVENTS=y	两者均需	-
CONFIG_BPF=y	两者均需	-
CONFIG_BPF_SYSCALL=y	两者均需	-
CONFIG_FUNCTION_TRACER=y	kprobe-multi	需 `/sys/kernel/debug/tracing/available_filter_functions`
CONFIG_FPROBE=y	kprobe-multi	自 5.18 内核起可用

Docker 部署与使用

镜像获取

pwru 官方 Docker 镜像托管于 Docker Hub：cilium/pwru

基本运行命令

bash
docker run --privileged --rm -t --pid=host -v /sys/kernel/debug/:/sys/kernel/debug/ cilium/pwru pwru [选项] [pcap-filter]

参数说明：

--privileged：提供特权模式，确保容器能访问内核调试资源
--rm：容器退出后自动删除
-t：分配伪终端，确保输出格式正常
--pid=host：共享主机 PID 命名空间，便于追踪内核进程
-v /sys/kernel/debug/:/sys/kernel/debug/：挂载主机 debugfs，供工具访问内核调试信息

使用示例

追踪目标为 1.1.1.1 的网络流量，并输出 L4 元组：

bash
docker run --privileged --rm -t --pid=host -v /sys/kernel/debug/:/sys/kernel/debug/ cilium/pwru pwru --output-tuple 'host 1.1.1.1'

详细使用选项

命令格式

bash
pwru [选项] [pcap-filter]

pcap-filter：pcap 过滤规则，语法参见 man 7 pcap-filter
选项：支持以下主要参数（通过 pwru --help 获取完整列表）：

主要选项说明

选项	说明
`--backend string`	追踪后端，可选 `kprobe` 或 `kprobe-multi`，默认自动检测
`--filter-func string`	按名称过滤要探测的内核函数（精确匹配，支持 RE2 正则表达式）
`--filter-ifname string`	过滤网络接口名称（需配合 `--filter-netns`，默认使用当前网络命名空间）
`--filter-netns string`	过滤网络命名空间（格式：`/proc/<pid>/ns/net` 或 `inode:<inode>`）
`--filter-track-skb`	即使数据包不匹配过滤条件也持续追踪（如 NAT 或隧道解封装后）
`--output-tuple`	输出 L4 元组（源/目的 IP、端口、协议），默认启用
`--output-stack`	输出调用栈信息
`--output-skb`	输出 skb 详情（需内核 ≥ 5.9）
`--output-json`	以 JSON 格式输出追踪结果
`--timestamp string`	输出时间戳，可选 `current`（当前）、`relative`（相对）、`absolute`（绝对）或 `none`（默认）

选项示例

过滤特定内核函数：--filter-func=".*iptables.*"（追踪所有包含 iptables 的内核函数）
追踪特定网络接口：--filter-ifname=eth0
输出调用栈和 skb 信息：--output-stack --output-skb
使用 JSON 格式输出：--output-json

Kubernetes 部署示例

以下示例在指定 Kubernetes 节点上运行 pwru：

bash
#!/usr/bin/env bash
NODE=kind-control-plane  # 目标节点名称
PWRU_ARGS="--output-tuple 'host 1.1.1.1'"  # pwru 运行参数

trap "kubectl delete --wait=false pod pwru" EXIT  # 退出时清理 pod

kubectl apply -f - <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: pwru
spec:
  nodeSelector:
    kubernetes.io/hostname: ${NODE}  # 调度到目标节点
  containers:
  - image: docker.io/cilium/pwru:latest
    name: pwru
    volumeMounts:
    - mountPath: /sys/kernel/debug  # 挂载 debugfs
      name: sys-kernel-debug
    securityContext:
      privileged: true  # 特权模式
    command: ["/bin/sh"]
    args: ["-c", "pwru ${PWRU_ARGS}"]  # 运行 pwru
  volumes:
  - name: sys-kernel-debug
    hostPath:
      path: /sys/kernel/debug
      type: DirectoryOrCreate
  hostNetwork: true  # 使用主机网络
  hostPID: true  # 共享主机 PID 命名空间
EOF

kubectl wait pod pwru --for condition=Ready --timeout=90s  # 等待 pod 就绪
kubectl logs -f pwru  # 查看追踪日志

社区支持

可通过 Slack 频道中的 #pwru 与开发者、维护者及其他用户交流，获取帮助或分享使用经验。

Logo 说明：侦探地鼠（Detective Gopher）基于 Renee French 设计的 Go 地鼠形象创作。

镜像拉取方式

您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本，请访问标签列表页面。

轩辕镜像加速拉取命令点我查看更多 pwru 镜像标签

docker pull docker.xuanyuan.run/cilium/pwru:<标签>

使用方法：

DockerHub 原生拉取命令

docker pull cilium/pwru:<标签>

轩辕镜像配置手册

按平台快速找到配置文档

Docker

登录仓库拉取

登录认证 · 私有仓库

专属域名拉取

免登录 · 高速拉取

Linux

Docker 镜像配置

Windows / Mac

Docker Desktop 配置

MacOS OrbStack

OrbStack 容器

Docker Compose

Compose 项目配置

NAS

群晖

Synology 配置

飞牛

fnOS 镜像配置

绿联

绿联 NAS

威联通

QNAP 配置

极空间

极空间 NAS

企业仓库

其他仓库

ghcr · Quay · nvcr

Harbor 镜像源

Proxy Repository 对接

Portainer 镜像源

Registries 配置

Nexus 镜像源

Docker Proxy 缓存

开发工具

Dev Containers

VS Code 开发容器

Podman

Podman 配置指南

Singularity / Apptainer

HPC 科学计算容器

Kubernetes

K8s Containerd

Kubernetes · Containerd

K3s

轻量级集群

面板 / 网络

爱快路由

iKuai 镜像加速

宝塔面板

一键配置镜像源

AI

用 AI 使用轩辕镜像

agents.md · AI 对话 · 提示词

一键安装

一键安装 Docker

Linux Docker 一键安装

需要其他帮助？请查看我们的常见问题 Docker 镜像访问常见问题解答或提交工单

镜像拉取常见问题

功能

免费版与专业版区别

功能对比 · 版本选择

支持的镜像仓库

Docker Hub · GCR · GHCR

新手拉取配置

docker search 限制

专属域名 · Hub 搜索

不支持 push

仅支持 pull · 不支持

拉取速度原因

带宽 · 缓存 · 冷热镜像

错误码

402 与流量用尽

402 · 流量包 · 充值

401 认证失败

401 · docker login

manifest unknown

标签错误 · 镜像不存在

410 Gone 排查

410 · Docker 升级

429 限流

免费版 · 请求频率

其他报错

DNS 超时

DNS 解析 · 网络超时

TLS 证书失败

no matching manifest（架构）

账号

失败是否计费

manifest · blob · 计费

申请开发票（企业 / 个人）

企业 · 个人 · 工单

修改登录密码

网站 · 仓库 · 重置

注销账户

工单 · 数据 · 注销

原理

mirrors 不生效

daemon.json · 重启

去掉域名前缀

docker tag · 重命名

指定架构拉取

ARM64 · AMD64 · 多架构

latest 与「最新」

digest · 版本号 · 标签

查看全部问题→

用户好评

来自真实用户的反馈，见证轩辕镜像的优质服务

oldzhang

运维工程师

Linux服务器

"Docker访问体验非常流畅，大镜像也能快速完成下载。"