DevOps
我们知道,Docker不过是通过资源隔离实现的,通过一定的手段总是可以不进入容器就可以看到(已启动)容器中的所有东西;一般来讲,我们可以通过docker命令提供的exec来进入容器,但是该方法是通过docker daemon完成的,如果docker daemon出现问题无法响应,就不好玩了; 然后,我们就会考虑通过nsenter来进入容器所在的名字空间中;
其实,就算没有nsenter,我们同样也能做一些看似很NB的事情的,如下图,195106是某容器的进程,我们就可以在宿主机上通过如下图的方式进入容器的文件系统,然后可以随意修改文件
实例:
脚本功能说明:
不断连接(然后立即断开)本地80端口;如果连接时间超过0.9s则输出连接时长并退出脚本
|
1 2 3 4 5 6 7 8 9 10 |
TIMEFORMAT="%E" i=0 while :; do ((i++)) t=$( ( time nc -vz 127.0.0.1 80 >/dev/null ) 2>&1) [[ $( echo "$t > 0.9"|bc) -eq 1 ]] && echo -e "`date`\t$i\t$t" && break if [[ $((i % 1000)) -eq 0 ]]; then echo -e "`date`\t$i" fi done |
上面脚本执行比较慢,如果是多核的话,可以稍微修改一下:(该脚本未测试,可能不好使)
|
1 2 3 4 5 6 7 8 9 10 11 12 |
TIMEFORMAT="%E" i=0 while :; do ( time nc -vz 127.0.0.1 80 >/dev/null ) 2>&1 done|while read t; do ((i++)) [[ $( echo "$t > 0.9"|bc) -eq 1 ]] echo -e "`date`\t$i\t$t" && break if [[ $((i % 1000)) -eq 0 ]]; then echo -e "`date`\t$i" fi done |
相关参考: http://blog.csdn.net/gengshenghong/article/details/7583580
上面脚本每秒中才能跑300次,怀疑time、nc命令消耗了较多的时间,“改良”脚本如下:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
#!/bin/bash TIMEFORMAT="%E" i=0 host=127.0.0.1 port=${1-80} while :; do ((i++)) s=$(date +"%s.%N") exec 10<>/dev/tcp/$host/$port e=$(date +"%s.%N") exec 10>&- exec 10<&- [[ $( echo "($e -$s) > 0.9"|bc) -eq 1 ]] && echo -e "`date`\t$i\t$t" && break; if [[ $((i % 1000)) -eq 0 ]]; then echo -e "`date`\t$i" fi done |
这里省去了time、nc,但是出现了两次date命令;测试结果和上面脚本几乎一样
参考资料: http://www.cnblogs.com/chengmo/archive/2010/10/22/1858302.html
一个不能正确工作的脚本 monitor.php:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
<?php $fp = popen("tcpdump -i eth1 'tcp[tcpflags] | tcp-syn == tcp-syn' -nn", "r"); while($line = fgets($fp)) { $arr = split(" ", $line, 8); $src = $arr[2]; $dst = $arr[4]; $dotpos = strrpos($src, "."); $src_host = substr($src, 0, $dotpos); $src_port = substr($src, $dotpos + 1); $dotpos = strrpos($dst, "."); $dst_host = substr($dst, 0, $dotpos); $dst_port = substr($dst, $dotpos + 1, strlen($dst) - $dotpos - 2 ); $src = $src_host .":". $src_port; $dst = $dst_host .":". $dst_port; //echo $src ."=>" .$dst. "\n"; $fp2 = popen("ss -antp|awk '{print $4 , $5 , $6}'", "r"); while(!feof($fp2)) { $line = trim(fgets($fp2)); $arr = explode(" ", $line); if ($src == $arr[0] && $dst == $arr[1]) { echo $line ."\n"; } } } |
不能正确工作的原因:
验证猜想缓存问题导致的方法:
解决办法:
正确的解决办法是使用systemtap: https://sourceware.org/systemtap/SystemTap_Beginners_Guide/useful-systemtap-scripts.html#nettop
centos7(或者其他系统也有)上有个kworker的进程,似乎是用来分配系统时间的(可能我理解的不对),参考: http://askubuntu.com/questions/33640/kworker-what-is-it-and-why-is-it-hogging-so-much-cpu
|
1 |
ss -t state time-wait |awk '{print $4}'|sort |uniq -c |sort -nr |
|
1 |
ss -t state time-wait -nn |awk '{print $3}'|sort |uniq -c |sort -nr |
|
1 |
ss -t state time-wait -nn |awk '{print $4}'|awk -F":" '{print $1}'|sort |uniq -c |sort -nr |
解决办法:
效果跟踪:下面是使用HTTP/1.0后的效果:
http://www.binarytides.com/linux-ss-command/
httpry:
An open-source HTTP packet sniffing tool which captures live HTTP packets with libpcap library, and displays HTTP requests and responses in a human-readable format. It comes with a collection of parsing Perl scripts for mining various information from its standard output.
效果:
安装:
mysql sniffer: https://phpor.net/blog/post/9562
什么是http隧道代理?(自己搜吧)
haproxy的经典逻辑是:每个请求都分配给所配置的后端(backend)来处理;对于connect请求,原则上不需要添加配置backend的,但是这不符合haproxy的规则;测试+跟踪源代码发现: haproxy根本不能实现http隧道代理,之于option http-tunnel 配置也不过是生命不要解析第一个请求之后的数据而已,connect请求还是要原样转发给backend的
实例1: 提取百度首页内容中的url
|
1 |
curl http://www.baidu.com/ 2>/dev/null |grep -oE "https?://[^[:space:]>]+" |
grep -o 选项只输出匹配到的内容,对于“提取”来讲很好用