Docker: есть ли способ перечислить открытые сокеты внутри работающего контейнера Docker?

Вы можете использовать команду nsenter для запуска команды на своем хосте внутри сетевого пространства имен контейнера Docker. Просто получите PID вашего контейнера Docker:

docker inspect -f '{{.State.Pid}}' container_name_or_id

Например, в моей системе:

$ docker inspect -f '{{.State.Pid}}' c70b53d98466
15652

И когда у вас есть PID, используйте его в качестве аргумента для целевого (-t) параметра nsenter. Например, чтобы запустить netstat внутри сетевого пространства имен контейнера:

$ sudo nsenter -t 15652 -n netstat
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN     

Обратите внимание, что это сработало, хотя в контейнере не установлено netstat:

$ docker exec -it c70b53d98466 netstat
rpc error: code = 13 desc = invalid header field value "oci runtime error: exec failed: container_linux.go:247: starting container process caused \"exec: \\\"netstat\\\": executable file not found in $PATH\"\n"

(nsenter является частью пакета util-linux)

Две команды из ответа @larsks объединены в одну строку — не нужно копировать и вставлять PID (просто замените container_name_or_id):

sudo nsenter -t $(docker inspect -f '{{.State.Pid}}' container_name_or_id) -n netstat

Если у вас установлен пакет iproute2, вы можете использовать

sudo nsenter -t $(docker inspect -f '{{.State.Pid}}' container_name_or_id) -n ss

or

sudo nsenter -t $(docker inspect -f '{{.State.Pid}}' container_name_or_id) -n ss -ltu

Он покажет TCP и UDP

сервер: докер-контейнер ls

CONTAINER ID    IMAGE              COMMAND                  CREATED          STATUS           PORTS       NAMES

80acfa804b59    admirito/gsad:10   "docker-entrypoint.s…"   18 minutes ago   Up 10 minutes    80/tcp      gvmcontainers_gsad_1