如何找到所有已在 Linux 中配置的接口，包括容器的接口？

一个接口，在给定的时间，属于一个网络命名空间并且只属于一个。init（初始）网络命名空间，除了继承被破坏的网络命名空间的物理接口外，对其他网络命名空间没有特殊的能力：它不能直接看到它们的接口。只要你还在 init 的 pid 和 mount 命名空间中，你仍然可以通过使用不同的可用信息找到网络命名空间，/proc并最终通过输入这些网络命名空间来显示它们的接口。

我将在 shell 中提供示例。

• 枚举网络命名空间

  为此，您必须知道这些名称空间是如何存在的：只要资源保持它们。这里的资源可以是进程（实际上是进程的线程）、挂载点或打开的文件描述符（fd）。这些资源都被引用/proc/并指向伪文件系统中nsfs枚举所有命名空间的抽象伪文件。这个文件唯一有意义的信息是它的inode，代表网络命名空间，但是inode不能单独操作，它必须是文件。这就是为什么稍后我们不能只保留 inode值stat -c %i /proc/some/file（由nsenter

  • 进程（实际上是线程）

    最常见的情况：对于普通容器。每个线程的网络命名空间都可以通过引用获知/proc/pid/ns/net：仅stat它们并枚举所有唯一的命名空间。这是在找不到临时进程2>/dev/null时隐藏。stat

    find /proc/ -mindepth 1 -maxdepth 1 -name '[1-9]*' | while read -r procpid; do
            stat -L -c '%20i %n' $procpid/ns/net
    done 2>/dev/null
    

    这可以通过lsns处理命名空间的专用命令更快地完成，但似乎只处理进程（不是挂载点，也不是打开 fd，如后面所示）：

    lsns -n -u -t net -o NS,PATH
    

    （必须重新格式化以备后用lsns -n -u -t net -o NS,PATH | while read inode path; do printf '%20u %s\n' $inode "$path"; done）

  • 挂载点

    这些主要由ip netns add通过安装它们来创建永久网络命名空间的命令使用，从而避免它们在没有进程或 fd 资源保持它们时消失，然后还允许例如在网络命名空间中运行路由器、防火墙或网桥任何关联的过程。

    挂载的命名空间（处理挂载和可能的 pid 命名空间可能更复杂，但我们只对网络命名空间感兴趣）看起来像 中的任何其他挂载点/proc/mounts，文件系统类型为nsfs。在 shell 中没有简单的方法来区分网络命名空间和其他类型的命名空间，但是由于来自同一文件系统（此处）的两个伪文件nsfs不会共享相同的 inode，只需将它们全部选中并稍后在界面中忽略错误尝试使用非网络命名空间引用作为网络命名空间时的步骤。抱歉，下面我不会正确处理带有特殊字符的挂载点，包括空格，因为它们已经在/proc/mounts's 的输出中转义（在任何其他语言中都会更容易），所以我不会费心使用 null终止的行。

    awk '$3 == "nsfs" { print $2 }' /proc/mounts | while read -r mount; do
            stat -c '%20i %n' "$mount"
    done
    

  • 打开文件描述符

    这些可能比挂载点更罕见，除了在命名空间创建时临时，但可能由一些处理多个命名空间的专门应用程序持有和使用，包括可能的一些容器化技术。

    我无法设计出比在 every 中搜索所有可用 fd 更好的方法/proc/pid/fd/，使用 stat 来验证它指向一个nsfs命名空间，并且现在再次不在乎它是否真的是一个网络命名空间。我确信有一个更优化的循环，但这个循环至少不会到处乱跑，也不会假设任何最大进程限制。

    find /proc/ -mindepth 1 -maxdepth 1 -name '[1-9]*' | while read -r procpid; do
            find $procpid/fd -mindepth 1 | while read -r procfd; do
                    if [ "$(stat -f -c %T $procfd)" = nsfs ]; then
                            stat -L -c '%20i %n' $procfd 
                    fi
            done
    done 2>/dev/null
    

  现在从以前的结果中删除所有重复的网络命名空间引用。例如，通过在 3 个先前结果的组合输出上使用此过滤器（尤其是来自打开的文件描述符部分）：

  sort -k 1n | uniq -w 20
  

• 在每个命名空间中枚举接口

  现在我们有了对所有现有网络命名空间的引用（以及一些我们将忽略的非网络命名空间），只需使用引用输入它们中的每一个并显示接口。

  将先前命令的输出作为此循环的输入以枚举接口（并根据 OP 的问题，选择显示它们的地址），同时忽略由非网络命名空间引起的错误，如前所述：

  while read -r inode reference; do
      if nsenter --net="$reference" ip -br address show 2>/dev/null; then
              printf 'end of network %d\n\n' $inode
      fi
  done
  

初始化网络的 inode 可以打印 pid 1 作为参考：

echo -n 'INIT NETWORK: ' ; stat -L -c %i /proc/1/ns/net

使用正在运行的 LXC 容器的示例（真实但经过编辑）输出，使用ip netns add ...未连接的网桥接口创建的空“已安装”网络名称空间，具有其他接口的网络名称空间，由不在此网络名称空间中但保持打开dummy0的进程保持活动状态fd 就可以了，创建：

unshare --net sh -c 'ip link add dummy0 type dummy; ip address add dev dummy0 10.11.12.13/24; sleep 3' & sleep 1; sleep 999 < /proc/$!/ns/net &

和一个正在运行的 Firefox，它将它的每个“Web 内容”线程隔离在一个未连接的网络命名空间（所有那些关闭的lo接口）中：

lo 未知 127.0.0.1/8 ::1/128
eth0 UP 192.0.2.2/24 2001:db8:0:1:bc5c:95c7:4ea6:f94f/64 fe80::b4f0:7aff:fe76:76a8/64
wlan0 关闭           
dummy0 未知 198.51.100.2/24 fe80::108a:83ff:fe05:e0da/64
lxcbr0 UP 10.0.3.1/24 2001:db8:0:4::1/64 fe80::216:3eff:fe00:0/64
virbr0 DOWN 192.168.122.1/24
virbr0-nic 关闭           
vethSOEPSH@if9 UP fe80::fc8e:ff:fe85:476f/64
网络结束 4026531992

低下           
网络结束 4026532418

低下           
网络结束 4026532518

低下           
网络结束 4026532618

低下           
网络结束 4026532718

lo 未知 127.0.0.1/8 ::1/128
eth0@if10 UP 10.0.3.66/24 fe80::216:3eff:fe6a:c1e9/64
网络结束 4026532822

低下           
bridge0 未知 fe80::b884:44ff:feaf:dca3/64
网络结束 4026532923

低下           
dummy0 DOWN 10.11.12.13/24
网络结束 4026533021

初始化网络：4026531992

ip netns list将仅列出通过该ip-netns(8)实用程序配置的网络名称空间。

包中的lsns(1)程序util-linux也有很大的缺陷：它只会列出那些可以通过/proc/<pid>/ns/*文件访问的命名空间，忽略所有每个线程的命名空间以及那些通过绑定挂载或打开的文件描述符保持活动状态的命名空间。

以下演示脚本试图做得更好：它将通过文件查找绑定挂载/proc/<pid>/task/<tid>/mountinfo，并通过文件查找打开的 fds /proc/<pid>/task/<tid>/fd。

对于每个命名空间，它将打印一个可访问的路径：

# perl ./lsnsx.pl
...
mnt      3
   4026531840  /proc/1/ns/mnt
   4026531860  /proc/30/ns/mnt
   4026532374  /proc/3119/ns/mnt
net      6
   4026531992  /proc/1/ns/net
   4026532376  /proc/25781/fd/9
   4026532465  /proc/28373/fd/7
...

然后，您可以使用该路径nsenter(1)，例如。

nsenter --net=/proc/28373/fd/7 ip link

该脚本可以很容易地更改为自己执行此操作，或显示其他信息，例如使用命名空间的整个进程列表。

如果路径不可访问，它将跟随父/挂载 ID 和/proc/<pid>/mountinfo找到它的文件。转义的换行符、制表符和空格将保持原样：

net      9
   ...
   4026532732  /v/net\040ns   /proc/3119/mountinfo 60 41

由于它必须读取所有这些/proc/*/task/*文件，因此在使用大量线程程序的任何机器上这可能会变慢；不幸的是，我找不到任何快速的方法来检查两个线程/任务是否共享相同的命名空间：kcmp(2)只会告诉它们是否共享相同的地址空间、文件描述符表等；没有任何与命名空间相关的东西。

lsnsx.pl：

#! /usr/bin/perl
use strict;
my %t2n = (
    # the CLONE_NEW* from sched.h
    0x02000000 => "cgroup", 0x04000000 => "uts", 0x08000000 => "ipc",
    0x10000000 => "user", 0x20000000 => "pid", 0x40000000 => "net",
    0x00020000 => "mnt" # CLONE_NEWNS
);
my (%ns);
my $nsfs_dev = (stat "/proc/self/ns/mnt")[0];
my $type = shift || qr/\w+/;
sub unescape { $_[0] =~ s/\\([0-7]{3})/chr oct $1/ger }
# NS_GET_NSTYPE = 0xb7 << 8 | 3
sub nstype { my $h; open $h, $_[0] and ioctl $h, 0xb7 << 8 | 3, 0 }
for(</proc/[0-9]*/task/[0-9]*/{ns/*,fd/*,mountinfo}>){
    s{/([0-9]*)/task/\1/}{/$1/};
    if(my ($procpid) = m{(.*)/mountinfo$}){
        open my $h, $_ or next;
        LOOP: while(<$h>){
            next unless (my @s = split)[2] eq "0:$nsfs_dev";
            if(my($t, $i) = $s[3] =~ /^($type):\[(\d+)\]$/){
                next if exists $ns{$t}{$i};
                for ("", "$procpid/root"){
                    my ($d, $i1) =
                        (stat $_.unescape $s[4])[0, 1];
                    $ns{$t}{$i} = $_.$s[4], next LOOP
                        if $d == $nsfs_dev && $i == $i1;
                }
                $ns{$t}{$i} = "@s[4, 0, 1] $procpid/mountinfo"
            }
        }
    }elsif(m{/ns/}){
        $ns{$1}{$2} //= $_ if readlink =~ /^($type):\[(\d+)\]$/;
    }else{
        next unless my ($dev, $ino) = stat $_;
        next unless $dev == $nsfs_dev;
        next unless my $t = nstype $_;
        next if ($t = $t2n{$t}) and $t !~ $type;
        $ns{$t // '???'}{$ino} //= $_;
    }
}
for my $type (sort keys %ns){
    my $h = $ns{$type}; my @i = sort {$a<=>$b} keys %$h;
    printf "%-8s %d\n", $type, scalar @i;
    printf "   %-11d %s\n", $_, $$h{$_} for @i;
}