第11关 K8s排错debug实战: 如何在Pod内进行tcpdump流量抓包

最新推荐文章于 2024-05-21 11:31:40 发布
最新推荐文章于 2024-05-21 11:31:40 发布
阅读量1.2k 收藏 1
点赞数 29
分类专栏: 2023年Kubernetes实战攻略 文章标签: kubernetes tcpdump 容器 云原生 k8s 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46887489/article/details/134519014
版权

------> 课程视频同步分享在今日头条B站

大家好,我是博哥爱运维。在日常的K8S运维工作中,我们时常需要在pod内运行一些运维调试工具,抓取服务pod的流量来分析问题,但基于安全因素以及镜像大小考虑,通常容器内不会带有过多的软件包,这个时候就给我们运维排查带来的困难,没关系,博哥这节课就教大家怎么去解决这个问题。

我们利用nginx服务,以实战的形式来模拟演示一次在业务服务pod中利用tcpdump抓取80端口的流量包

使用k8s自带debug功能来分析pod的网络流量
注: 这里使用的k8s版本是 v1.27.5 , v1.20.4 以上版本应该都是可以支持的

# 给大家推荐一款开源的容器工具箱 https://github.com/nicolaka/netshoot


0. 创建测试用的nginx服务
kubectl create deployment nginx --image=nginx:1.21.6
kubectl expose deployment nginx --port=80 --target-port=80

1. 创建一个 nginx 的副本,生成一个新的pod(boge-debugger),并添加一个调试容器(nicolaka/netshoot)并附加到它
# kubectl -n default debug nginx-6f648b8457-dglgp -it --image=docker.io/nicolaka/netshoot --copy-to=boge-debugger

2. 新的debug用pod是没有任何label的
# kubectl -n default get pod boge-debugger --show-labels

3. 如果要引入流量,可以把生产的label加到这个debug的pod上面
# kubectl -n default label pods boge-debugger app=nginx  # 添加label

4. 这时可以看到endpoints已经把这个debug的pod地址更新进来了
# kubectl describe endpoints nginx

5. 在debug的pod内使用tcpdump抓包
# tcpdump -nv -i eth0 port 80

6. 去掉label并删除debug的pod(注意查看下endpoints是否已经去掉了debug的pod,并观察业务日志,确认没问题再删除)
# kubectl -n default label pods boge-debugger app-  # 去掉label
# kubectl describe endpoints nginx
# kubectl -n default delete pods boge-debugger
博哥爱运维
关注
  • 29
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
K8S容器云平台排错一览图
01-04
K8S容器云平台排错一览图
简化 Pod 故障诊断:kubectl-debug 介绍
Docker的专栏
07-13 558
背景容器技术的一个最佳实践是构建尽可能精简的容器镜像。但这一实践却会给排查问题带来麻烦:精简后的容器中普遍缺失常用的排障工具,部分容器里甚至没有 shell (比如 FR...
K8S 故障排错新手段:kubectl debug 实战
BoCloud博云
10-19 1227
因此,我们只要启动一个进程,并且让这个进程加入到目标容器的各种 namespace 中,这个进程就能 “进入容器内部”(注意引号),与容器中的进程 “看到” 相同的根文件系统、虚拟网卡、进程空间了 —— 这也正是 docker exec 和 kubectl exec 等命令的运行方式。这种精简主义有很多好处,而且在大多数情况下运行良好,但是一旦需要在生产中排除一些故障时,这就变得很困难了,因为精简后的容器普遍缺失常用的排障工具,有些甚至连 bash/sh 解释器都没有。
curl不通 k8s_【K8S排错】在集群的POD内不能访问clusterIP和service
weixin_39950057的博客
12-19 1782
排错背景:在一次生产环境的部署过程中,配置文件中配置的访问地址为集群的Service,配置好后发现服务不能正常访问,遂启动了一个busybox进行测试,测试发现在busybox中,能通过coredns正常的解析到IP,然后去ping了一下service,发现不能ping通,ping clusterIP也不能ping通。排错经历:首先排查了kube-proxy是否正常,发现启动都是正常的,然后也重启...
超好用的k8spod诊断工具:kubectl-debug
wanger5354的博客
01-19 1523
微信公众号:运维开发故事,作者:double冬 背景 容器技术的一个最佳实践是构建尽可能精简的容器镜像。但这一实践却会给排查问题带来麻烦:精简后的容器中普遍缺失常用的排障工具,部分容器里甚至没有 shell (比如 FROM scratch )。 在这种状况下,我们只能通过日志或者到宿主机上通过 docker-cli 或 nsenter 来排查问题,效率很低,在K8s环境部署应用后,经常遇到需要进入pod进行排错。除了查看pod logs和describe方式之外,传统的解决方式是在业务pod基础镜像中提前
记一次K8s EFK(elasticsearch+fluentd+kibana)搭建排错经历
01-07
部署教程:https://qhh.me/2019/09/05/Kubernetes-基于-EFK-技术栈的日志收集实践/ yaml地址:...部署教程里面的两个注意 Elasticsearch 数据持久化:默认 EmptyDir 的方
微服务实战:从架构到部署
02-25
在这篇文章里,我计划涵盖微服务架构(MSA)的核心架构概念,以及你如何在实践中使用这些架构理论。如今,微服务“microservice”已经成为软件架构领域最流行的热词之一。市面上也有很多与微服务的基础知识以及优点...
Kubernetes(k8s)应用管理利器Helm(2020)
06-19
随之更深层次的讲解了chart模板相的知识,比如控制语句,命名的模板、通过Files函数对文件的访问、及模板的定义相排错。随后说明了在生产中常用的钩子、测试、及从Helm2到Helm3的不同之处及平滑升级、构建本地的...
kubernetes (k8s) 集群二进制手工安装
06-19
虽说我们可以使用比如Kubeadm工具可以简化k8s集群的部署,但这却对我们k8s的各个组件如何协同工作,及排错造成困扰。本套课程主要是以二进制的方式来一步步的安装k8s的集群,来加深我们对K8s集群进一步的理解。同时...
k8s常用语句
QQ563627436的博客
05-11 664
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
KubernetesPod 标签、节点选择器和节点亲和性
千度阿三的博客
05-18 329
我们在创建 Pod 资源的时候,Pod 会根据 Scheduler 进行调度,默认会调度到随机的一个工作节点。如果我们想要将 Pod 调度到指定节点或者调度到一些具有相同特点的 Node 节点,可以使用 Pod 中的nodeName或者字段来指定要调度到的 Node 节点。节点亲和性是 Pod 在调度过程中一系列调度约束规则,主要针对节点选择器的匹配,匹配度越高,则该节点执行该 Pod 的概率就越高。节点亲和性分为硬亲和性和软亲和性,硬亲和性代表必须满足,软亲和性在不满足约束规则的条件上,仍可以随机启动。
k8s笔记 | 高度调度
weixin_41104307的博客
05-19 308
简介:在k8s中周期性运行计划任务,与linux中的crontab相同;注意点 CornJob执行的时间是controller-manager的时间,所以一定要确保controller-manager的时间是准确的,另外cornjob。
k8s1.24+ dashboard不能自动生成token的问题
梦想成为一名优秀的测开人员
05-17 251
根据yaml文件配置内容创建更新资源对象,可以看到没有生成admin-token类似字眼。较早版本会自动生成secret,v1.28.2版本需要手动生成,执行命令即可。创建k8s-admin.yaml文件。
KubernetesPod 之间的亲和性与反亲和性
千度阿三的博客
05-18 305
Pod 反亲和性是与亲和性完全相反的定义,一旦发现它的约束条件匹配,那么这个 Pod 比与匹配 Pod 在不同的上的工作节点上。它主要可以用来保障不是热点区域和不需要高性能响应但很重要的业务不受干扰。
kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
2301_81307988的博客
05-14 755
部署网络组件部署 flannel。
k8s pvc pending waiting for first consumer to be created before binding
最新发布
weixin_40548182的博客
05-21 10
使用WaitForFirstConsumer的StorageClass创建PV失败,PVC Event提示persistentvolume-controller waiting for first consumer to be created before binding。所以使用nodeName创建的Pod,无法使用WaitForFirstConsumer的StorageClass。是否存在引用当前PVC的Pod,若没有,则需要创建。PVC未检测到Pods被调度到的节点。创建使用当前PVC的Pod
k8s 二进制安装 详细安装步骤
wyq2070857323的博客
05-15 621
etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd是go语言编写的。闭防火墙 闭selinux 闭swap 根据规划设置主机名做域名映射 调整内核参数 时间同步。
k8s v1.20二进制部署 部署 CNI 网络组件 部署 Calico
wys_jj的博客
05-14 856
Pod容器容器之间的通信在同一个 Pod 内的容器Pod 内的容器是不会跨宿主机的)共享同一个网络命名空间,相当于它们在同一台机器上一样,可以用 localhost 地址访问彼此的端口。●同一个 Node 内 Pod 之间的通信每个 Pod 都有一个真实的全局 IP 地址,同一个 Node 内的不同 Pod 之间可以直接采用对方 Pod 的 IP 地址进行通信,Pod1 与 Pod2 都是通过 Veth 连接到同一个 docker0/cni0 网桥,网段相同,所以它们之间可以直接通信。
k8s集群正常运行中,电脑突然没电机重启后etcd和apiserver服务启动不起来,怎么排错
06-03
在电脑突然断电机的情况下,etcd 和 apiserver 服务可能出现了一些问题,导致无法启动。您可以尝试以下步骤进行排错: 1. 检查 etcd 数据目录是否正常。etcd 的数据目录通常位于 /var/lib/etcd 目录下,您可以检查该目录是否存在以及目录下的数据文件是否完整。 2. 检查 etcd 的日志文件。etcd 的日志文件通常位于 /var/log/etcd/etcd.log,您可以查看该文件中是否有于启动失败的错误信息。 3. 检查 apiserver 的日志文件。apiserver 的日志文件通常位于 /var/log/kubernetes/kube-apiserver.log,您可以查看该文件中是否有于启动失败的错误信息。 4. 检查 kubeconfig 文件是否正确。kubeconfig 文件通常位于 ~/.kube/config,您可以检查该文件中的配置是否正确,比如集群地址、证书等。 5. 检查 etcd 和 apiserver 的配置文件是否正确。etcd 的配置文件通常位于 /etc/etcd/etcd.conf 或 /etc/default/etcd 文件中,apiserver 的配置文件通常位于 /etc/kubernetes/apiserver 文件中,您可以检查其中的配置项是否正确。 如果您还无法解决问题,可以尝试重新安装 etcd 和 kubernetes 组件,或者在互联网上搜索相的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值