安全批量清理泄漏网络命名空间需先预览再执行:脚本通过检查/var/run/netns/下符号链接、进程引用、白名单及创建时间识别泄漏项,支持dry-run模式、自动跳过活跃namespace,并提供unlink回退机制。
当系统中存在大量残留的网络 namespace(如容器、测试环境或异常退出进程遗留),ip netns list 会显示成百上千个命名空间,不仅影响排查效率,还可能拖慢网络操作。根本原因常是未正确销毁 namespace(如未执行 ip netns delete 或挂载点残留),导致内核中 namespace 对象未释放。
真正泄漏的 namespace 通常满足以下特征:
400-7654-355 /var/run/netns/xxx 存在,但无任何进程正在使用它(ls -l /proc/*/ns/net 2>/dev/null | grep xxx 无匹配)test-*、tmp_*、ns_2025*、UUID 片段等)stat /var/run/netns/xxx | grep Modify 判断)且无关联容器运行(docker ps --filter "network=xxx" -q 为空)以下 Bash 脚本支持预览模式、白名单保护、自动跳过正在使用的 namespace:
#!/bin/bash
# safe-netns-cleanup.sh
NETNS_DIR="/var/run/netns"
WHITELIST=("default" "host" "myns-prod") # 修改为你需要保留的名称
list_leaked() {
find "$NETNS_DIR" -maxdepth 1 -type l -printf "%f\n" 2>/dev/null | while read ns; do
跳过白名单
[[ " ${WHITELIST[@]} " =~ " $ns " ]] && continue
# 检查是否被进程引用
if ! ls -l /proc/*/ns/net 2>/dev/null | grep -q "$(readlink -f "$NETNS_DIR/$ns")"; then
echo "$ns"
fi
done | sort -u}
if [[ "${1:-}" == "--dry-run" ]]; then
echo "[DRY RUN] Would delete these leaked namespaces:"
list_leaked | tee /tmp/netns-to-delete.log
echo "Total: $(wc -l
echo "Cleaning up leaked namespaces..."
list_leaked | while read ns; do
echo -n "Deleting $ns... "
if ip netns delete "$ns" 2>/dev/null; then
echo "OK"
else
回退:手动 unlink(仅当 ip netns delete 失败时)
if [[ -e "$NETNS_DIR/$ns" ]]; then
rm -f "$NETNS_DIR/$ns
"
echo "unlinked (ip netns delete failed)"
else
echo "already gone"
fi
fidone
./safe-netns-cleanup.sh --dry-run 查看将要删除的列表,人工核对前 10 行是否合理netns= 方式启动的服务)ip netns exec myprod ip a 记录配置,或 cp /var/run/netns/myprod /tmp/ns-myprod.bak
trap 'ip netns delete xxx' EXIT
ln -s 创建 netns,统一用 ip netns add(它会自动处理挂载和权限)systemd-run --on-calendar="daily" --timer-property=Persistent=true /path/to/safe-netns-cleanup.sh
