Netstat blickt nicht in Docker Container

10/10/2014 - 19:00 von Michael Schuerig | Report spam
Ich habe den Mediaplayer Subsonic[1] in einem Docker Container[2] auf
meinem Heimserver laufen. Dieser Server soll nicht zwanghaft rund um die
Uhr Strom fressen, sondern nachts nur, wenn er auch tatsàchlich etwas zu
tun hat. Um die Nachtruhe kümmert sich ein Skript[3].

Nun würde ich es in diesem Skript gerne berücksichtigen, wenn es noch
offene Verbindungen zu Subsonic gibt. Im Allgemeinen werden relevante
Verbindungen in der Ausgabe von netstat -t mit dem Zustand ESTABLISHED
angezeigt. Ausgerechnet die Verbindungen in den Container mit Subsonic
sehe ich dort aber nicht. Auf einem Client-Rechner sehe ich aber, dass
sehr wohl Verbindungen offen sind.

Mit netstat -tpa sehe ich docker-proxy-Prozesse auf den relevanten
Ports, aber die sind im Zustand LISTEN.

Ich vermute nun, dass die Besonderheiten von Docker eine Rolle spielen.
Docker Container sind keine VMs, sondern enthalten Prozesse, die durch
chroot und cgroups vom restlichen System abgeschottet sind. Außerdem
wird die Bridge docker0 verwendet.

Ich habe mein Glück auch mit ss -t state ESTABLISHED versucht, mit
demselben Ergebnis. Auf docker-user habe ich diese Frage bereits
gestellt -- keine Antworten. Vielleicht weiß hier jemand mehr.

Michael


[1] https://registry.hub.docker.com/u/m...-subsonic/
[2] http://www.subsonic.org/
[3] https://gist.github.com/mschuerig/e...5cf56b60fd
Michael Schuerig
mailto:michael@schuerig.de
http://www.schuerig.de/michael/


Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/2308066.oO2fHf5Phd@fuchsia
 

Lesen sie die antworten

#1 Christian Knoke
11/10/2014 - 01:00 | Warnen spam
Michael Schuerig schrieb am 10. Oct um 18:56 Uhr:

Ich habe den Mediaplayer Subsonic[1] in einem Docker Container[2] auf
meinem Heimserver laufen. Dieser Server soll nicht zwanghaft rund um die
Uhr Strom fressen, sondern nachts nur, wenn er auch tatsàchlich etwas zu
tun hat. Um die Nachtruhe kümmert sich ein Skript[3].

Nun würde ich es in diesem Skript gerne berücksichtigen, wenn es noch
offene Verbindungen zu Subsonic gibt. Im Allgemeinen werden relevante
Verbindungen in der Ausgabe von netstat -t mit dem Zustand ESTABLISHED
angezeigt. Ausgerechnet die Verbindungen in den Container mit Subsonic
sehe ich dort aber nicht. Auf einem Client-Rechner sehe ich aber, dass
sehr wohl Verbindungen offen sind.

Mit netstat -tpa sehe ich docker-proxy-Prozesse auf den relevanten
Ports, aber die sind im Zustand LISTEN.

Ich vermute nun, dass die Besonderheiten von Docker eine Rolle spielen.
Docker Container sind keine VMs, sondern enthalten Prozesse, die durch
chroot und cgroups vom restlichen System abgeschottet sind. Außerdem
wird die Bridge docker0 verwendet.

Ich habe mein Glück auch mit ss -t state ESTABLISHED versucht, mit
demselben Ergebnis. Auf docker-user habe ich diese Frage bereits
gestellt -- keine Antworten. Vielleicht weiß hier jemand mehr.



Wenn ich es richtig verstehe, dann hat der docker container eine eigene IP
und ein interface auf der bridge docker0. Ich kenne docker nicht weiter.

Dann sind diese Verbindungen für den kernel auf dem dein script làuft, nur
durchgehende Verbindungen. Sie belegen keine sockets.

netstat kann die nicht anzeigen. Auf meiner firewall sehe ich die
beispielsweise, wenn ich /proc/net/nf_conntrack abfrage. Es gibt aber auch
iptables Regeln, die diese Pakete loggen können.

HTH

Christian

[1] https://registry.hub.docker.com/u/m...-subsonic/
[2] http://www.subsonic.org/
[3] https://gist.github.com/mschuerig/e...5cf56b60fd
Michael Schuerig



Christian Knoke * * * http://cknoke.de
* * * * * * * * * Ceterum censeo Microsoft esse dividendum.


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen