如何查看containerd創(chuàng)建的容器對應(yīng)的netns

要查看由 containerd 創(chuàng)建的容器對應(yīng)的網(wǎng)絡(luò)命名空間（netns），你可以遵循以下步驟。這個過程涉及到了解容器的 ID，以及使用 ctr 命令或其他方式來檢索容器的詳細(xì)信息。這里假定你已經(jīng)具備對 containerd 和容器網(wǎng)絡(luò)的基本了解。

步驟 1：獲取容器ID

首先，確保你在調(diào)用 ctr 命令時指定了正確的命名空間（Kubernetes使用的是 k8s.io）。獲取容器列表：

ctr -n k8s.io containers list

在輸出中找到你關(guān)注的容器，并記下它的 ID。

步驟 2：查找容器的網(wǎng)絡(luò)命名空間

對于直接使用 containerd 的場景，容器的網(wǎng)絡(luò)命名空間路徑并不直接通過 ctr 命令展示。 一個常見的做法是通過檢查容器的運行時狀態(tài)來找到其網(wǎng)絡(luò)命名空間的鏈接。

使用 crictl 命令（Kubernetes環(huán)境中的Container Runtime Interface CLI工具）可能是獲取網(wǎng)絡(luò)命名空間更直接的方法，你需要先配置 crictl 與 containerd 通信。確保 /etc/crictl.yaml 配置文件指向正確的容器運行時端點。

使用 crictl 獲取容器的 netns:

crictl -r unix:///run/containerd/containerd.sock inspect <ContainerID>

在輸出中，查找 network ，它會包含一個 namespace 路徑，通常像 /var/run/netns/cni-xxxxx 的形式。

補充方法：

如果你有權(quán)限并且環(huán)境合適，也可以通過容器的進程 ID 找到其網(wǎng)絡(luò)命名空間。每個容器都運行在自己的網(wǎng)絡(luò)命名空間中，這個命名空間可以通過 /proc/<pid>/ns/net 鏈接找到，其中 <pid> 是容器內(nèi)任一進程（通常是容器入口進程）的進程ID。

1. 首先找到容器的 PID（你可以使用 ctr 命令結(jié)合 -n k8s.io 參數(shù)）：

   ctr -n k8s.io tasks list
   

2. 使用該 PID，找到其網(wǎng)絡(luò)命名空間的鏈接：

   ls -l /proc/<pid>/ns/net
   

   這將顯示一個到網(wǎng)絡(luò)命名空間的符號鏈接，如 /proc/[pid]/ns/net -> 'net:[4026532276]'。

請注意，直接操作網(wǎng)絡(luò)命名空間需要適當(dāng)?shù)臋?quán)限和對Linux網(wǎng)絡(luò)命名空間有一定了解。此外，根據(jù)你的具體環(huán)境和配置（特別是在 Kubernetes 環(huán)境中），獲取網(wǎng)絡(luò)命名空間的具體步驟可能會有所不同。

根據(jù)/proc/[pid]/ns/net -> ‘net:[4026532276]’。， 怎么知道真正的netns名字呢

在 Linux 中，網(wǎng)絡(luò)命名空間（netns）被表示為一個 inode 號，/proc/[pid]/ns/net 文件其實是一個指向這個網(wǎng)絡(luò)命名空間 inode 的符號鏈接。在你給出的示例 /proc/[pid]/ns/net -> 'net:[4026532276]' 中，4026532276 就是網(wǎng)絡(luò)命名空間的 inode 號。

網(wǎng)絡(luò)命名空間沒有"真正的名字"像文件名那樣直觀。它們通過 inode 號進行引用和隔離網(wǎng)絡(luò)環(huán)境。但是，在實際操作中，我們經(jīng)常需要某些方式來辨識和參照這些網(wǎng)絡(luò)命名空間，尤其是在處理容器化環(huán)境時。

在一些工具和程序（比如 ip netns 命令）中，網(wǎng)絡(luò)命名空間可以通過在 /var/run/netns/ 下創(chuàng)建相應(yīng)的符號鏈接來"命名"。這不會改變網(wǎng)絡(luò)命名空間的本質(zhì)，只是提供了一種引用它們的便利方法。

以下是幾個相關(guān)操作的例子：

列出當(dāng)前存在的網(wǎng)絡(luò)命名空間

網(wǎng)絡(luò)命名空間可以通過查看 /var/run/netns/ 目錄來辨識（如果你使用的是 ip netns 命令來管理網(wǎng)絡(luò)命名空間）：

ls -l /var/run/netns/

這個目錄里的每一個文件實際上都是到 /proc/[pid]/ns/net 的符號鏈接，通過它們可以間接地操作對應(yīng)的網(wǎng)絡(luò)命名空間。

通過PID創(chuàng)建網(wǎng)絡(luò)命名空間的引用

如果你有一個運行在特定網(wǎng)絡(luò)命名空間中的進程的PID，你可以通過以下命令創(chuàng)建一個引用，方便以后的訪問：

mkdir -p /var/run/netns
ln -s /proc/[pid]/ns/net /var/run/netns/[自定義名稱]

這個命令會在 /var/run/netns/ 目錄下創(chuàng)建一個到目標(biāo)網(wǎng)絡(luò)命名空間的符號鏈接，允許你通過一個自定義名稱來引用和操作這個網(wǎng)絡(luò)命名空間。

使用 ip netns 操作特定的網(wǎng)絡(luò)命名空間

一旦你在 /var/run/netns/ 下創(chuàng)建了這樣一個引用，你可以使用 ip netns 命令對其進行操作，例如執(zhí)行 ip netns exec [自定義名稱] [命令] 來在該網(wǎng)絡(luò)命名空間中執(zhí)行命令。

ip netns exec [自定義名稱] ip addr

這個命令將會列出指定網(wǎng)絡(luò)命名空間中的網(wǎng)絡(luò)接口信息。

總之，Linux 中網(wǎng)絡(luò)命名空間的“名字”實際上是通過創(chuàng)建符號鏈接到 /proc/[pid]/ns/net 所實現(xiàn)的便利引用，沒有對應(yīng)到文件系統(tǒng)中像文件名那樣的直接名稱。通過這種方法可以有效地管理和操作不同的網(wǎng)絡(luò)命名空間。

k8s使用containerd的時候，創(chuàng)建了幾個pod, 為什么用ctr c list命令無法看到對應(yīng)的容器呢

當(dāng)在使用 Kubernetes 與 containerd 時，你可能發(fā)現(xiàn)直接使用 ctr 命令并不顯示由 Kubernetes 創(chuàng)建的容器。這是因為 ctr 工具默認(rèn)使用的是 containerd 的默認(rèn)命名空間，通常是 default，而 Kubernetes 創(chuàng)建和管理的容器和鏡像是存儲在另一個命名空間下，通常是 k8s.io。

要查看 Kubernetes 管理的容器，你需要指定命名空間 k8s.io 使用 ctr 命令，如下所示：

ctr -n k8s.io containers list

或者，如果你使用的是舊版本的 containerd 或命名空間與 k8s.io 不同，可能需要適當(dāng)調(diào)整命名空間參數(shù)。這個命名空間參數(shù)(-n 或 --namespace)告訴 ctr 工具在查詢時使用哪個命名空間。

在 containerd 中，命名空間被用來隔離資源，例如容器、鏡像等，以使不同的用戶或系統(tǒng)組件能夠獨立管理屬于自己的資源集。這對于 Kubernetes 這樣的系統(tǒng)來說尤其有用，因為它允許 Kubernetes 管理自己的容器和鏡像而不會干擾到系統(tǒng)中的其他容器運行時環(huán)境。

因此，當(dāng)需要通過 ctr 命令查看或管理 Kubernetes 容器時，總是記得指定正確的命名空間。