运维Tips | Kubernetes Pod 流量抓取的多种方式

2024-07-17 15:40:15 浏览数 (3)

Kubernetes Pod 流量抓取的多种方式

描述:随着容器化技术的普及,越来越多的应用部署在容器中,有时在正式环境中我们可能需要对容器进行抓包,以了解其网络通信情况及其排除通信异常的原因。

此处,由于程序是在运行在 Kubernetes 的 Pod 容器中,而且承载业务的容器往往没有安装tcpdump等相关数据包抓取命令,所以常常对Pod抓包而感到苦恼。

为了解决这个问题,我们可以通过以下几种方式针对Kubernetes中的Pod容器进行抓包。

1.在 Pod 容器内抓包

描述:这是我们初学者最先想到的办法,当然也最简单的一种方式,在Pod容器中安装tcpdump命令,然后直接使用tcpdump命令进行抓包。

但是由于Pod容器中往往没有安装tcpdump命令,通过安装tcpdump的方式增加了镜像大小,且在无外网连接的情况下也就无法在线安装。

代码语言:javascript复制
# 1.安装 tcpdump
# Alpine 镜像
kubectl exec ${POD_NAME}  -- apk add tcpdump
# CentOS 镜像
kubectl exec ${POD_NAME}  -- yum install tcpdump -y
# Ubuntu 镜像
kubectl exec ${POD_NAME}  -- dnf install tcpdump -y

# 2.抓包并使用 wireshark 进行分析
kubectl exec ${POD_NAME}  -- tcpdump -i eth0 -w - | wireshark -k -i -

2.在节点主机上抓包

描述:这种方式是我们在实际生产环境中经常使用的,通过找到Pod容器所运行工作节点主机(Node)的,通过嗅探在Pod所在的节点上网络接口索引进行抓包,然后通过wireshark工具进行分析。

  • 1.定位 Pod 的 containerID 以及它所运行的宿主机 IP。
代码语言:javascript复制
$ kubectl get --all-namespaces -o wide pods | grep ${POD_NAME}
# 或者
$ kubectl get pod -n ${NAMESPACE}${POD_NAME} -o json|jq '.status|{hostIP: .hostIP, container: [.containerStatuses[]|{name: .name, containerID: .containerID}]}'
{
  "hostIP": "10.10.66.203",
  "container": [
    {
      "name": "app",
      "containerID": "docker://808605e67373b6d97dfb4bf67745e8cd0f5062978385707c91e42d1c37bfba57"
    }
  ]
}
  • 2.登录到运行此Pod容器的宿主机(10.103.236.203)查找容器中的网卡与宿主机的 veth 网卡之间的对应关系,及其网络接口信息。
代码语言:javascript复制
$ PodName=Gateway-756894b7d7-2qvzj
$ kubectl exec -it ${PodName} -- /bin/sh -c "cat /sys/class/net/eth0/iflink"
  # 16

$ ip link |grep 16
16: cali3002ec233ba@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP mode DEFAULT group default
  • 3.确定好容器中的网卡与宿主机的 veth 网卡cali3002ec233ba@if6 关系后,就可以通过tcpdump命令进行抓包了。
代码语言:javascript复制
$ tcpdump -i ali3002ec233ba@if6 -w /tmp/Gateway-756894b7d7-2qvzj.pcap

3.使用nsenter命令抓包

通过nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令,使用它我们可以在Pod容器中直接使用tcpdump命令进行抓包。

  • 1.找到Pod容器所在宿主机,及其Pid信息。
代码语言:javascript复制
# 找到Pod调度的工作节点
$ podName=fzxt-backend-admin-64c89dd789-bvggq
$ kubectl get pods -A -o wide | grep ${PodName}
  # prod   fzxt-backend-admin-64c89dd789-bvggq    1/1     Running                 0                   28d     172.19.1.88      weiyigeek-214    <none>           <none>

# 登录节点上执行如下命令:
# Containerd
$ crictl inspect `(crictl ps --name ${PodName} | cut -d " " -f 1 | grep -v CONTAINE)` | grep "pid"
  "pid": 46241,
  "pid": 1
  "type": "pid"
# Docker
$ docker inspect 3002ec233ba |grep Pid
    "Pid": 8105,
    "PidMode": "",
    "PidsLimit": null,
  • 2.在承载此Pod容器的工作节点上,安装nsenter命令。
代码语言:javascript复制
# 软件包管理工具安装
yum install util-linux

# 源码安装
# 下载
wget https://www.kernel.org/pub/linux/utils/util-linux/v2.40/util-linux-2.40.tar.gz
# 解压
tar zxvf util-linux-2.40.tar.gz && cd util-linux-2.40
# 编译
./configure --without-ncurses && make 
cp nsenter /usr/bin/
  • 3.使用nsenter命令进入Pod容器的命名空间,然后使用 tcpdump 进行抓包。
代码语言:javascript复制
# 进入到pod命名空间
nsenter -t 8105 -n

# 使用 tcpdump 进行抓包
tcpdump -nnnvv -As 0 -i eth0 port 80 -w fzxt-backend-admin.pcap

# 参数解释:
-nnn:
第一个 n 表示不将网络地址转换为名称。这意味着 tcpdump 会显示 IP 地址而不是尝试将它们解析为主机名。
第二个 n 也是同样的作用,但有些版本的 tcpdump 可能不支持重复使用 -n 选项。在这种情况下,第二个 n 可能会被忽略。
第三个 n(如果支持)通常表示不将端口号转换为服务名称,即显示端口号的数字而不是服务名称。

-vv:
第一个 v 表示详细输出。这会提供更多的信息,比如数据包的头部信息。
第二个 v 表示更详细的输出。这会提供比单个 -v 更详细的信息。

-A:表示以 ASCII 格式打印每个数据包的内容,方便阅读文本数据。

-s 0:
-s 选项后跟一个数值,表示从每个捕获的数据包中截取的字节数。0 表示不截取,即捕获每个数据包的全部

4.使用ksniff插件抓包

描述:ksniff 是一个 kubectl 的插件,它利用 tcpdump 和 Wireshark 对 Kubernetes 集群中的任何 Pod 启动远程抓包(这是作者推荐的方式)

  • 1.安装 krew 命令及 sniff 插件
代码语言:javascript复制
# 安装 krew
(
  set -x; cd"$(mktemp -d)" &&
  curl -fsSLO "https://github.com/kubernetes-sigs/krew/releases/latest/download/krew.tar.gz" &&
  tar zxvf krew.tar.gz &&
  KREW=./krew-"$(uname | tr '[:upper:]' '[:lower:]')_$(uname -m | sed -e 's/x86_64/amd64/' -e 's/arm.*$/arm/')" &&
  "$KREW" install krew
)
export PATH="${KREW_ROOT:-$HOME/.krew}/bin:$PATH"

# 安装 sniff
$ kubectl krew install sniff
Updated the local copy of plugin index.
Installing plugin: sniff
W0710 17:54:14.755671   84252 install.go:160] Skipping plugin "sniff", it is already installed
  • 2.使用 sniff 插件抓包,实际上是映射本地的 /tmp/static-tcpdump 文件到Pod中运行。 通常情况下服务器节点没有安装 wireshark,你可以将报文输出到文件中,然后用本地Windows系统中的 wireshark 工具来解析报文。
代码语言:javascript复制
kubectl sniff fzxt-backend-admin-64c89dd789-bvggq -n prod -o fzxt-backend-admin.pcap

0 人点赞