cilium/pwru Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
cilium/pwrucilium
pwru 是一款基于 eBPF 的 Linux 内核网络数据包追踪工具,具备高级过滤功能,可对内核状态进行细粒度检查,帮助调试网络连接问题,支持多种追踪后端和灵活的过滤与输出选项。
下载次数: 0状态:社区镜像维护者:cilium仓库类型:镜像最近更新:6 个月前
pwru 镜像文档
概述
pwru(packet, where are you?)是一款基于 eBPF 的 Linux 内核网络数据包追踪工具,具备高级过滤能力。它允许对内核状态进行细粒度检查,从而帮助调试网络连接问题,例如追踪数据包在何处被丢弃、分析网络路径等。
!logo
以下示例展示了在添加 iptables 规则后,curl 请求的数据包被丢弃的位置:
!demo
核心功能与特性
- eBPF 技术实现:基于 eBPF 实现高效内核数据包追踪,对系统性能影响小
- 高级过滤能力:支持 pcap 过滤规则(参见
man 7 pcap-filter),可按内核函数名、网络接口、网络命名空间等多维度过滤 - 多追踪后端:支持
kprobe和kprobe-multi两种追踪后端,可根据内核版本自动选择 - 细粒度状态检查:可追踪数据包在内核中的完整路径,包括经过 NAT、隧道解封装、网桥转发等场景
- 丰富输出选项:支持输出数据包元数据、L4 元组、TCP 标志位、调用栈、skb(socket buffer)详情等
适用场景
- 调试网络数据包丢失问题(如 iptables 规则、安全组导致的丢包)
- 追踪数据包在内核中的处理路径
- 分析 XDP/TC BPF 程序对数据包的处理逻辑
- 排查涉及 NAT、隧道(VXLAN/Geneve)、网桥等复杂网络场景的问题
- 验证内核网络功能或自定义内核模块的正确性
使用要求
内核版本要求
- 基础运行:需 Linux 内核版本 ≥ 5.3
- 使用
--output-skb选项:需内核版本 ≥ 5.9 - 使用
--backend=kprobe-multi选项:需内核版本 ≥ 5.18
debugfs 要求
pwru 可选依赖 debugfs,需挂载至 /sys/kernel/debug。若该目录为空,可通过以下命令挂载:
bashmount -t debugfs none /sys/kernel/debug
内核配置要求
需启用以下内核配置选项,可通过 zgrep $OPTION /proc/config.gz 验证是否启用:
| 选项 | 后端 | 说明 |
|---|---|---|
| CONFIG_DEBUG_INFO_BTF=y | 两者均需 | 自 5.3 内核起可用 |
| CONFIG_KPROBES=y | 两者均需 | - |
| CONFIG_PERF_EVENTS=y | 两者均需 | - |
| CONFIG_BPF=y | 两者均需 | - |
| CONFIG_BPF_SYSCALL=y | 两者均需 | - |
| CONFIG_FUNCTION_TRACER=y | kprobe-multi | 需 /sys/kernel/debug/tracing/available_filter_functions |
| CONFIG_FPROBE=y | kprobe-multi | 自 5.18 内核起可用 |
Docker 部署与使用
镜像获取
pwru 官方 Docker 镜像托管于 Docker Hub:cilium/pwru
基本运行命令
bashdocker run --privileged --rm -t --pid=host -v /sys/kernel/debug/:/sys/kernel/debug/ cilium/pwru pwru [选项] [pcap-filter]
参数说明:
--privileged:提供特权模式,确保容器能访问内核调试资源--rm:容器退出后自动删除-t:分配伪终端,确保输出格式正常--pid=host:共享主机 PID 命名空间,便于追踪内核进程-v /sys/kernel/debug/:/sys/kernel/debug/:挂载主机 debugfs,供工具访问内核调试信息
使用示例
追踪目标为 1.1.1.1 的网络流量,并输出 L4 元组:
bashdocker run --privileged --rm -t --pid=host -v /sys/kernel/debug/:/sys/kernel/debug/ cilium/pwru pwru --output-tuple 'host 1.1.1.1'
详细使用选项
命令格式
bashpwru [选项] [pcap-filter]
pcap-filter:pcap 过滤规则,语法参见man 7 pcap-filter选项:支持以下主要参数(通过pwru --help获取完整列表):
主要选项说明
| 选项 | 说明 |
|---|---|
--backend string | 追踪后端,可选 kprobe 或 kprobe-multi,默认自动检测 |
--filter-func string | 按名称过滤要探测的内核函数(精确匹配,支持 RE2 正则表达式) |
--filter-ifname string | 过滤网络接口名称(需配合 --filter-netns,默认使用当前网络命名空间) |
--filter-netns string | 过滤网络命名空间(格式:/proc/<pid>/ns/net 或 inode:<inode>) |
--filter-track-skb | 即使数据包不匹配过滤条件也持续追踪(如 NAT 或隧道解封装后) |
--output-tuple | 输出 L4 元组(源/目的 IP、端口、协议),默认启用 |
--output-stack | 输出调用栈信息 |
--output-skb | 输出 skb 详情(需内核 ≥ 5.9) |
--output-json | 以 JSON 格式输出追踪结果 |
--timestamp string | 输出时间戳,可选 current(当前)、relative(相对)、absolute(绝对)或 none(默认) |
选项示例
- 过滤特定内核函数:
--filter-func=".*iptables.*"(追踪所有包含iptables的内核函数) - 追踪特定网络接口:
--filter-ifname=eth0 - 输出调用栈和 skb 信息:
--output-stack --output-skb - 使用 JSON 格式输出:
--output-json
Kubernetes 部署示例
以下示例在指定 Kubernetes 节点上运行 pwru:
bash#!/usr/bin/env bash NODE=kind-control-plane # 目标节点名称 PWRU_ARGS="--output-tuple 'host 1.1.1.1'" # pwru 运行参数 trap "kubectl delete --wait=false pod pwru" EXIT # 退出时清理 pod kubectl apply -f - <<EOF apiVersion: v1 kind: Pod metadata: name: pwru spec: nodeSelector: kubernetes.io/hostname: ${NODE} # 调度到目标节点 containers: - image: docker.io/cilium/pwru:latest name: pwru volumeMounts: - mountPath: /sys/kernel/debug # 挂载 debugfs name: sys-kernel-debug securityContext: privileged: true # 特权模式 command: ["/bin/sh"] args: ["-c", "pwru ${PWRU_ARGS}"] # 运行 pwru volumes: - name: sys-kernel-debug hostPath: path: /sys/kernel/debug type: DirectoryOrCreate hostNetwork: true # 使用主机网络 hostPID: true # 共享主机 PID 命名空间 EOF kubectl wait pod pwru --for condition=Ready --timeout=90s # 等待 pod 就绪 kubectl logs -f pwru # 查看追踪日志
社区支持
可通过 Slack 频道 中的 #pwru 与开发者、维护者及其他用户交流,获取帮助或分享使用经验。
Logo 说明:侦探地鼠(Detective Gopher)基于 Renee French 设计的 Go 地鼠形象创作。
cilium/cilium
cilium
Cilium是基于eBPF数据平面的容器网络、可观测性和安全解决方案,支持多集群L3网络(覆盖网络/原生路由模式),提供L3-L7基于身份的网络策略,实现分布式负载均衡并可替代kube-proxy,具备API保护、带宽管理及深度可观测性(如Hubble)。
16 次收藏1亿+ 次下载
22 天前更新
cilium/operator
cilium
Cilium operator是Kubernetes环境中基于eBPF技术的Cilium网络解决方案控制器,负责管理网络策略、服务发现及负载均衡等资源,保障容器网络的自动化配置与安全运行。
2 次收藏1000万+ 次下载
22 天前更新
bitnamicharts/cilium
bitnamicharts
Bitnami提供的Helm chart,用于简化基于eBPF的Kubernetes网络与服务网格解决方案Cilium的部署及管理。
50万+ 次下载
6 个月前更新
cilium/operator-generic
cilium
cilium/operator-generic 是 Cilium 基于 eBPF 的容器网络解决方案中的通用操作员镜像,作为核心控制组件负责协调网络策略、节点配置及服务发现。在 Kubernetes 环境中,它实时监控集群状态,动态管理网络资源,确保网络策略精准执行、负载均衡高效配置及跨节点网络连通性稳定维护,有效提升容器网络的可靠性与安全性。
100万+ 次下载
22 天前更新
bitnami/cilium
bitnami
Bitnami为Cilium提供的安全镜像,用于容器网络与微服务安全,具备可靠部署特性和安全加固,支持基于eBPF的高性能网络连接及安全策略实施。
10万+ 次下载
6 个月前更新
cilium/starwars
cilium
死星即服务 (Deathstar as a Service)
1 次收藏100万+ 次下载
10 个月前更新
镜像拉取常见问题
使用与功能问题
错误码与失败问题
manifest unknown 错误:镜像不存在或标签错误
manifest unknown 错误
TLS/SSL 证书验证失败:Docker pull 时 HTTPS 证书错误
TLS 证书验证失败
DNS 解析超时:无法解析镜像仓库地址或连接超时
DNS 解析超时
410 Gone 错误:Docker 版本过低导致协议不兼容
410 错误:版本过低
402 Payment Required 错误:流量耗尽错误提示
402 错误:流量耗尽
401 UNAUTHORIZED 错误:身份认证失败或登录信息错误
身份认证失败错误
429 Too Many Requests 错误:请求频率超出专业版限制
429 限流错误
Docker login 凭证保存错误:Cannot autolaunch D-Bus(不影响登录)
凭证保存错误
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"