nicolaka/netshoot
nicolaka
这是一个Docker网络故障排查的“瑞士军刀”容器,集成了多种网络诊断工具,可高效支持Docker环境下网络连接、配置、性能及通信异常等问题的排查与分析,轻量便携且功能全面,为开发与运维人员快速定位和解决Docker网络故障提供一站式工具支持。
324 次收藏下载次数: 0状态:社区镜像维护者:nicolaka仓库类型:镜像最近更新:3 个月前
netshoot:Docker 与 Kubernetes 网络排障利器容器
简介
Docker 和 Kubernetes 网络问题排查往往复杂,需要深入理解其网络原理并搭配合适工具。netshoot 容器集成了一系列强大的网络排障工具,可直接用于定位 Docker 和 Kubernetes 环境中的网络问题,无需在主机或业务容器中安装额外依赖。
核心概念:网络命名空间
使用 netshoot 前需先理解 网络命名空间(Network Namespaces):它是 Linux 提供的网络资源隔离机制,Docker 和 Kubernetes 均基于此实现网络隔离。
- Docker:每个容器拥有独立网络命名空间,包含独立的网卡、路由和 IP。
- Kubernetes:每个 Pod 共享一个网络命名空间,Pod 内所有容器共用相同的网络栈(如网卡、TCP 连接)。
通过切换网络命名空间,netshoot 可直接进入目标容器、主机或网络的命名空间进行排查,无需修改目标环境。
基础使用方法
1. Docker 环境
进入目标容器的网络命名空间
若业务容器网络异常,可让 netshoot 共享其网络命名空间:
bashdocker run -it --net container:<容器名称/ID> nicolaka/netshoot
进入主机网络命名空间
若怀疑问题出在主机网络,可让 netshoot 使用主机网络:
bashdocker run -it --net host nicolaka/netshoot
进入 Docker 网络的命名空间
需配合 nsenter 工具(详见下文 nsenter 使用示例),需挂载 Docker 网络命名空间目录并以特权模式运行:
bashdocker run -it --privileged -v /var/run/docker/netns:/var/run/docker/netns nicolaka/netshoot
2. Kubernetes 环境
临时调试容器(Pod 网络)
创建一个临时交互式容器,共享目标 Pod 的网络(默认行为):
bashkubectl run tmp-shell --rm -i --tty --image nicolaka/netshoot -- /bin/bash
使用主机网络
若需排查主机网络问题,创建使用主机网络的临时容器:
bashkubectl run tmp-shell --rm -i --tty --overrides='{"spec": {"hostNetwork": true}}' --image nicolaka/netshoot -- /bin/bash
常见网络问题与工具集
网络问题常导致性能下降,如延迟、路由错误、DNS 解析失败、防火墙拦截、ARP 表不完整等。netshoot 集成了 Linux 可观测性工具图谱 推荐的核心工具,覆盖各类排查场景。
已集成工具列表
包含以下关键工具(部分工具使用示例见下文):
apache2-utils, bash, bind-tools, bird, bridge-utils, busybox-extras, calicoctl, conntrack-tools, ctop, curl, dhcping, drill, ethtool, fping, httpie, iftop, iperf, iproute2, iptables, mtr, netcat-openbsd, nmap, openssl, scapy, socat, tcpdump, tcptraceroute, termshark, tshark, vim
工具使用示例
1. iperf:测试网络性能
用途:测量容器/主机间的带宽和延迟。
步骤:
- 创建覆盖网络:
bash
docker network create -d overlay perf-test - 启动服务端(监听 9999 端口):
bash
docker service create --name perf-test-a --network perf-test nicolaka/netshoot iperf -s -p 9999 - 启动客户端(连接服务端):
bash
docker service create --name perf-test-b --network perf-test nicolaka/netshoot iperf -c perf-test-a -p 9999 - 查看服务端日志,获取性能数据:
bash
docker logs <perf-test-a 容器ID>
2. tcpdump:抓包分析
用途:捕获网络数据包,分析协议细节。
示例:
在 iperf 测试场景中,进入服务端容器的网络命名空间,捕获 9999 端口流量:
bash# 进入 perf-test-a 容器的网络命名空间 docker run -it --net container:perf-test-a.1.<容器ID> nicolaka/netshoot # 捕获 eth0 网卡上 9999 端口的 TCP 包(-c 1 表示只抓1个包) tcpdump -i eth0 port 9999 -c 1 -Xvv
3. netstat:查看网络连接状态
用途:检查端口监听、连接状态等。
示例:
确认 iperf 服务端是否监听 9999 端口:
bash# 进入服务端网络命名空间 docker run -it --net container:perf-test-a.1.<容器ID> nicolaka/netshoot # 查看监听端口(-tulpn:TCP/UDP/监听/程序名) netstat -tulpn
输出中若显示 0.0.0.0:9999,说明端口正常监听。
4. nmap:端口扫描
用途:检测目标端口开放状态(开放/关闭/被过滤)。
示例:
扫描目标主机 172.31.24.25 的 - 端口范围:
bashdocker run -it --privileged nicolaka/netshoot nmap -p 12376-12390 -dd 172.31.24.25
5. iftop:实时带宽监控
用途:类似 top,实时显示主机间带宽占用。
示例:
在 iperf 测试中,监控服务端容器的 eth0 网卡流量:
bashdocker run -it --net container:perf-test-a.1.<容器ID> nicolaka/netshoot iftop -i eth0
6. drill:DNS 解析测试
用途:诊断 DNS 解析问题,查看域名解析过程。
示例:
在 Docker 覆盖网络中,解析服务名 perf-test-b:
bashdocker run -it --net container:perf-test-a.1.<容器ID> nicolaka/netshoot drill perf-test-b
输出中 ANSWER SECTION 会显示解析到的服务 VIP。
7. netcat:TCP/UDP 连接测试
用途:检测端口连通性,排查防火墙拦截。
示例:
- 创建覆盖网络并启动服务端(监听 8080 端口):
bash
docker network create -d overlay my-ovl docker service create --name service-a --network my-ovl nicolaka/netshoot nc -l 8080 - 启动客户端测试连接:
bash
docker service create --name service-b --network my-ovl nicolaka/netshoot nc -vz service-a 8080 - 若客户端日志显示
succeeded,说明端口连通。
8. nsenter:网络命名空间深入排查
用途:进入 Docker 网络(如覆盖网络)自身的命名空间,查看底层网络配置(如网桥、VxLAN 接口)。
示例:
- 创建覆盖网络并启动服务:
bash
docker network create -d overlay nsenter-test docker service create --name test-svc --replicas 3 --network nsenter-test busybox ping localhost - 进入网络命名空间(网络 ID 为
nsenter-test,命名空间名为1-<网络ID前缀>):bashdocker run -it --privileged -v /var/run/docker/netns:/var/run/docker/netns nicolaka/netshoot nsenter --net=/var/run/docker/netns/1-nsenter-test sh - 查看网络详情(如网桥接口、FDB 转发表):
bash
brctl show # 显示网桥及关联接口 bridge fdb show br br0 # 查看 L2 转发表
9. ctop:容器资源监控
用途:实时监控容器 CPU、内存、网络 I/O 等指标。
示例:
挂载 Docker 套接字,启动 ctop:
bashdocker run -it --rm -v /var/run/docker.sock:/var/run/docker.sock nicolaka/netshoot ctop
10. termshark:终端版 Wireshark
用途:终端中捕获和分析数据包,支持 Wireshark 过滤规则。
示例:
捕获主机 eth0 网卡的 ICMP 流量:
bashdocker run --rm --cap-add=NET_ADMIN --cap-add=NET_RAW -it nicolaka/netshoot termshark -i eth0 icmp
反馈与协作
netshoot 持续迭代,欢迎通过项目仓库提交问题或贡献代码。
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 版本下载页面。
更多 netshoot 镜像推荐
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"