描述

随着容器化技术的普及,越来越多的应用部署在容器中,有时在正式环境中我们可能需要对容器进行抓包,以了解其网络通信情况及其排除通信异常的原因。
此处,由于程序是在运行在Kubernetes的Pod容器中,而且承载业务的容器往往没有安装tcpdump等相关数据包抓取命令,所以常常对Pod抓包而感到苦恼。
为了解决这个问题,我们可以通过以下几种方式针对Kubernetes中的Pod容器进行抓包。

1.在pod容器内抓包

这是我们初学者最先想到的办法,当然也最简单的一种方式,在Pod容器中安装tcpdump命令,然后直接使用tcpdump命令进行抓包。
但是由于Pod容器中往往没有安装tcpdump命令,通过安装tcpdump的方式增加了镜像大小,且在无外网连接的情况下也就无法在线安装。

# 1.安装 tcpdump
# Alpine 镜像
kubectl exec ${POD_NAME}  -- apk add tcpdump
# CentOS 镜像
kubectl exec ${POD_NAME}  -- yum install tcpdump -y
# Ubuntu 镜像
kubectl exec ${POD_NAME}  -- dnf install tcpdump -y

# 2.抓包并使用 wireshark 进行分析
kubectl exec ${POD_NAME}  -- tcpdump -i eth0 -w - | wireshark -k -i -

2.在节点主机上抓包

这种方式是我们在实际生产环境中经常使用的,通过找到Pod容器所运行工作节点主机(Node)的,通过嗅探在Pod所在的节点上网络接口索引进行抓包,然后通过wireshark工具进行分析。

  • 1.定位Pod的containerID以及它所运行的宿主机IP。
# 1.kubectl get --all-namespaces -o wide pods | grep ${POD_NAME}

# 或者

# 2.kubectl get pod -n ${NAMESPACE} ${POD_NAME} -o json | jq '.status | {hostIP: .hostIP, container: [.containerStatuses[] | {name: .name, containerID: .containerID}]}'
{
  "hostIP": "10.10.66.203",
  "container": [
    {
      "name": "app",
      "containerID": "docker://808605e67373b6d97dfb4bf67745e8cd0f5062978385707c91e42d1c37bfba57"
    }
  ]
}
  • 2.登录到运行此Pod容器的宿主机(10.103.236.203)查找容器中的网卡与宿主机的veth网卡之间的对应关系,及其网络接口信息。
# PodName=Gateway-756894b7d7-2qvzj
# kubectl exec -it ${PodName} -- /bin/sh -c "cat /sys/class/net/eth0/iflink"
  # 16

# ip link |grep 16
16: cali3002ec233ba@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1480 qdisc noqueue state UP mode DEFAULT group default
  • 3.确定好容器中的网卡与宿主机的veth网卡cali3002ec233ba@if6 关系后,就可以通过tcpdump命令进行抓包了。
tcpdump -i cali3002ec233ba@if6 -w /tmp/Gateway-756894b7d7-2qvzj.pcap

3.使用nsenter命令抓包

通过nsenter命令是一个可以在指定进程的命令空间下运行指定程序的命令,使用它我们可以在Pod容器中直接使用tcpdump命令进行抓包。

  • 1.找到Pod容器所在宿主机,及其Pid信息。
# 找到Pod调度的工作节点
podName=fzxt-backend-admin-64c89dd789-bvggq
kubectl get pods -A -o wide | grep ${PodName}
  prod   fzxt-backend-admin-64c89dd789-bvggq    1/1     Running                 0                   28d     172.19.1.88      weiyigeek-214    <none>           <none>

# 登录节点上执行如下命令:
# containerd
crictl inspect `(crictl ps --name ${PodName} | cut -d " " -f 1 | grep -v CONTAINE)` | grep "pid"
  "pid": 46241,
  "pid": 1
  "type": "pid"

# docker
docker inspect 3002ec233ba | grep Pid
    "Pid": 8105,
    "PidMode": "",
    "PidsLimit": null,
  • 2.在承载此Pod容器的工作节点上,安装nsenter命令。
# 软件包管理工具安装
yum install util-linux -y

# 源码安装
# 下载
wget https://www.kernel.org/pub/linux/utils/util-linux/v2.40/util-linux-2.40.tar.gz
# 解压
tar zxvf util-linux-2.40.tar.gz && cd util-linux-2.40
# 编译
./configure --without-ncurses && make 
cp nsenter /usr/bin/
  • 3.使用nsenter命令进入Pod容器的命名空间,然后使用tcpdump进行抓包。
# 进入到pod命名空间
nsenter -t 8105 -n

# 使用tcpdump进行抓包
tcpdump -nnnvv -As 0 -i eth0 port 80 -w fzxt-backend-admin.pcap

# 参数解释:
-nnn:
第一个n表示不将网络地址转换为名称。这意味着tcpdump会显示IP地址而不是尝试将它们解析为主机名。
第二个n也是同样的作用,但有些版本的tcpdump可能不支持重复使用-n选项。在这种情况下,第二个n可能会被忽略。
第三个n(如果支持)通常表示不将端口号转换为服务名称,即显示端口号的数字而不是服务名称。

-vv:
第一个v表示详细输出。这会提供更多的信息,比如数据包的头部信息。
第二个v表示更详细的输出。这会提供比单个-v更详细的信息。

-A:
表示以ASCII格式打印每个数据包的内容,方便阅读文本数据。

-s 0:
-s选项后跟一个数值,表示从每个捕获的数据包中截取的字节数。0表示不截取,即捕获每个数据包的全部。

4.使用ksniff插件抓包

描述:ksniff是一个kubectl的插件,它利用tcpdump和Wireshark对Kubernetes集群中的任何Pod启动远程抓包。

  • 1.安装krew命令及sniff插件
# 安装krew
(
  set -x; cd"$(mktemp -d)" &&
  curl -fsSLO "https://github.com/kubernetes-sigs/krew/releases/latest/download/krew.tar.gz" &&
  tar zxvf krew.tar.gz &&
  KREW=./krew-"$(uname | tr '[:upper:]' '[:lower:]')_$(uname -m | sed -e 's/x86_64/amd64/' -e 's/arm.*$/arm/')" &&
  "$KREW" install krew
)
export PATH="${KREW_ROOT:-$HOME/.krew}/bin:$PATH"

# 安装sniff
kubectl krew install sniff
Updated the local copy of plugin index.
Installing plugin: sniff
W0710 17:54:14.755671   84252 install.go:160] Skipping plugin "sniff", it is already installed
  • 2.使用sniff插件抓包,实际上是映射本地的/tmp/static-tcpdump文件到Pod中运行。
    通常情况下服务器节点没有安装wireshark,你可以将报文输出到文件中,然后用本地Windows系统中的wireshark工具来解析报文。
kubectl sniff fzxt-backend-admin-64c89dd789-bvggq -n prod -o fzxt-backend-admin.pcap
posted on 2024-09-20 17:43  jiayou111  阅读(127)  评论(0编辑  收藏  举报