查看pod网络范围_K8S Pod 内抓包快速定位网络问题(转)

当在Kubernetes环境中遇到网络问题时,可以使用nsenter命令进入Pod的网络命名空间进行抓包。这篇博客介绍了如何通过nsenter工具,结合Kubernetes的pod信息,创建脚本直接在宿主机上抓取特定Pod的网络数据包,以解决网络故障排查的问题。详细步骤包括获取Pod的PID,使用nsenter进入net命名空间,以及执行tcpdump进行抓包。
摘要由CSDN通过智能技术生成

需要Pod的实例内抓包,如果镜像内有打入tcpdump,则可以直接抓包。但大部分情况下,基于alpine为底包,没有tcpdump工具,只能在宿主机上进行操作。。

前言

在使用 Kubernetes 时,可能会遇到一些网络问题。当通过检查配置与日志无法排查错误时,这时就需要抓取网络数据包,但是Pod内一般不会安装tcpdump命令,那有没有方法可以直接通过宿主机抓取Pod网络数据包?

当然有,本文介绍 nsenter 命令,能够进入Pod容器 net 命名空间。并且本文提供一个快速进入Pod容器 net 命名空间脚本,方便大家使用。

nsenter 使用参数

nsenter [options] [program [arguments]]

options:

-t, --target pid:指定被进入命名空间的目标进程的pid

-m, --mount[=file]:进入mount命名空间。如果指定了file,则进入file的命名空间

-u, --uts[=file]:进入uts命名空间。如果指定了file,则进入file的命名空间

-i, --ipc[=file]:进入ipc命名空间。如果指定了file,则进入file的命名空间

-n, --net[=file]:进入net命名空间。如果指定了file,则进入file的命名空间

-p, --pid[=file]:进入pid命名空间。如果指定了file,则进入file的命名空间

-U, --user[=file]:进入user命名空间。如果指定了file,则进入file的命名空间

-G, --setgid gid:设置运行程序的gid

-S, --setuid uid:设置运行程序的uid

-r, --root[=directory]:设置根目录

-w, --wd[=directory]:设置工作目录

如果没有给出program,则默认执行 $SHELL。

Pod 容器抓包演示

发现某个服务网络不通,建议把这个服务副本数调为1个Pod,并且找到这个副本Pod所在宿主机和Pod名称。

创建脚本

登陆Pod所在宿主机,建立脚本 e_net.sh Shell

$ vim e_net.sh

#!/usr/bin/env bash

function e_net() {

set -eu

pod=`kubectl get pod ${pod_name}-n ${namespace}-o template --template='{{range .status.containerStatuses}}{{.containerID}}{{end}}' | sed 's/docker:\/\/\(.*\)$/\1/'`

pid=`docker inspect -f {{.State.Pid}} $pod`

echo -e "\033[32m Entering pod netns for ${namespace}/${pod_name} \033[0m\n"

cmd="nsenter -n -t ${pid}"

echo -e "\033[32m Execute the command: ${cmd} \033[0m"

${cmd}

}

# 运行函数

pod_name=$1

namespace=${2-"default"}

e_net

添加脚本执行权限

$ chmod +x e_net.sh

执行脚本

本例抓取 test 命名空间中 demo2-deployment-5f5f4fbd9b-92gd4 Pod 8080 端口请求包。

# 进入 Pod demo2-deployment-5f5f4fbd9b-92gd4 net 命名空间

$ ./e_net.sh demo2-deployment-5f5f4fbd9b-92gd4 test

# 下面是脚本执行完输出结果

Entering pod netns for test/demo2-deployment-5f5f4fbd9b-92gd4

Execute the command: nsenter -n -t 44762

确认执行结果

现在使用 ip addr 或者 ifconfig 查看,发现网卡配置只有 demo2-deployment-5f5f4fbd9b-92gd4Pod 网卡配置。

正式抓包

$ tcpdump-i eth0 port 80 -w demo2.pcap

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

63 packets captured

63 packets received by filter

0 packets dropped by kernel

原理

namespace 是Linux中一些进程属性的作用域,使用命名空间,可以隔离不同的进程。

Linux在不断的添加命名空间,目前有:

mount:挂载命名空间,使进程有一个独立的挂载文件系统,始于Linux 2.4.19

ipc:ipc命名空间,使进程有一个独立的ipc,包括消息队列,共享内存和信号量,始于Linux 2.6.19

uts:uts命名空间,使进程有一个独立的hostname和domainname,始于Linux 2.6.19

net:network命名空间,使进程有一个独立的网络栈,始于Linux 2.6.24

pid:pid命名空间,使进程有一个独立的pid空间,始于Linux 2.6.24

user:user命名空间,是进程有一个独立的user空间,始于Linux 2.6.23,结束于Linux 3.8

cgroup:cgroup命名空间,使进程有一个独立的cgroup控制组,始于Linux 4.6

Linux的每个进程都具有命名空间,可以在 /proc/PID/ns 目录中看到命名空间的文件描述符。

nsenter

nsenter 命令相当于在setns之上做了一层封装,使我们无需指定命名空间的文件描述符,而是指定进程号即可。

指定进程号PID以及需要进入的命名空间后,nsenter会帮我们找到对应的命名空间文件描述符/proc/PID/ns/FD,然后使用该命名空间运行新的程序。

参考链接

https://staight.github.io/2019/09/23/nsenter%E5%91%BD%E4%BB%A4%E7%AE%80%E4%BB%8B/

https://tencentcloudcontainerteam.github.io/tke-handbook/skill/capture-packets-in-container.html

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值