找出属于Docker容器的网络接口是哪个

定位接口
在我的情况下，从容器中获取值的方式是这样的（请检查eth0）：

$ docker exec -it my-container cat /sys/class/net/eth1/iflink
123

然后：

$ ip ad | grep 123
123: vethd3234u4@if122: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker_gwbridge state UP group default

使用tcpdump -i vethd3234u4命令进行检查。

---

http://lxr.free-electrons.com/source/Documentation/ABI/testing/sysfs-class-net中有关神秘的iflink的参考信息:

150 What:           /sys/class/net/<iface>/iflink
151 Date:           April 2005
152 KernelVersion:  2.6.12
153 Contact:        netdev@vger.kernel.org
154 Description:
155                 Indicates the system-wide interface unique index identifier a
156                 the interface is linked to. Format is decimal. This attribute is
157                 used to resolve interfaces chaining, linking and stacking.
158                 Physical interfaces have the same 'ifindex' and 'iflink' values.

根据提供的答案（对我有效），我编写了这个简单的bash脚本：

#!/bin/bash

export containers=$(sudo docker ps --format "{{.ID}}|{{.Names}}")
export interfaces=$(sudo ip ad);
for x in $containers
        do
                export name=$(echo "$x" |cut -d '|' -f 2);
                export id=$(echo "$x"|cut -d '|' -f 1)
                export ifaceNum="$(echo $(sudo docker exec -it "$id" cat /sys/class/net/eth0/iflink) | sed s/[^0-9]*//g):"
                export ifaceStr=$( echo "$interfaces" | grep $ifaceNum | cut -d ':' -f 2 | cut -d '@' -f 1);
                echo -e "$name: $ifaceStr";
done

我的回答更像是对这个重要主题的改进，因为它并没有帮助找出哪个网络接口属于docker容器，但正如作者所注意到的，他想要在docker容器内部“监听tcp流量”，我会在您的网络故障排除期间尝试帮助解决这个问题。
考虑到veth网络设备涉及到网络命名空间，我们可以通过nsenter工具在另一个命名空间中执行程序，方法如下（记住 - 您需要特权权限（sudo/root）才能执行此操作）：
获取任何您感兴趣的容器的ID以捕获流量，例如它将是78334270b8f8 然后我们需要获取该容器化应用程序的PID（我假设您只运行了一个与网络相关的进程，并且想要捕获其流量。否则，该方法很难适用）： sudo docker inspect 78334270b8f8 | grep -i pid 例如，pid 的输出将是 111380 - 这是您容器化应用程序的 ID，您还可以通过 ps 命令检查它：ps aux | grep 111380，只是出于好奇。

下一步是检查您在容器内拥有哪些网络接口：

sudo nsenter -t 111380 -n ifconfig

此命令将返回容器化应用程序的网络命名空间中的网络设备列表（您不应该在容器中安装 ifconfig 工具，只需在节点/机器上安装即可）

例如，您需要在接口 eth2 上捕获流量，并使用以下命令过滤到 tcp 目标端口 80（当然可能会有所不同）：

sudo nsenter -t 111380 -n tcpdump -nni eth2 -w nginx_tcpdump_test.pcap 'tcp dst port 80'

请记住，在这种情况下，您不需要在容器内安装 tcpdump 工具。

然后，在捕获数据包后，.pcap文件将可在您的机器/节点上使用，您可以使用任何您喜欢的工具来读取它：tcpdump -r nginx_tcpdump_test.pcap 方法的优点：

• 不需要在容器内部安装网络工具，仅需要在Docker节点上安装
• 不需要在容器和节点之间搜索网络设备映射

缺点：

• 您需要在节点/机器上拥有特权用户才能运行nsenter工具

@pbaranski的解决方案一句话概括:

num=$(docker exec -i my-container cat /sys/class/net/eth0/iflink | tr -d '\r'); ip ad | grep -oE "^${num}: veth[^@]+" | awk '{print $2}'

如果您需要在不包含cat命令的容器上查找信息，则可以尝试使用此工具：https://github.com/micahculpepper/dockerveth

您可以通过/proc/PID/net/igmp（将容器名称作为参数1）来读取接口名称，例如：

#!/bin/bash

NAME=$1
PID=$(docker inspect $NAME --format "{{.State.Pid}}")
while read iface id; do
    [[ "$iface" == lo ]] && continue
    veth=$(ip -br addr | sed -nre "s/(veth.*)@if$id.*/\1/p")
    echo -e "$NAME\t$iface\t$veth"
done < <(</proc/$PID/net/igmp awk '/^[0-9]+/{print $2 " " $1;}')

稍微改进了@ln-s的解决方案（无法作为评论发布，因此单独回答）。
考虑到连接/断开容器与网络后，eth0变成eth1、eth2等。

#!/bin/bash

export containers=$(sudo docker ps --format "{{.ID}}|{{.Names}}")
export interfaces=$(sudo ip ad);
for x in $containers
        do
                export name=$(echo "$x" |cut -d '|' -f 2);
                export id=$(echo "$x"|cut -d '|' -f 1)
                export ethNum="$(echo $(sudo docker exec -it "$id" ls /sys/class/net) | grep -oP 'eth[0-9]')"
                export ifaceNum="$(echo $(sudo docker exec -it "$id" cat /sys/class/net/$ethNum/iflink) | sed s/[^0-9]*//g):"
                export ifaceStr=$( echo "$interfaces" | grep $ifaceNum | cut -d ':' -f 2 | cut -d '@' -f 1);
                echo -e "$name: $ifaceStr";
done