logo标签列表

我该如何将Kubernetes pod实时捕获的pcap记录导入到本地运行的Wireshark中?

dockernetworkingkubernetespcaptcpdump
3

我正在尝试在Kubernetes的一个pod中获取实时网络流量的视图。在普通的Docker中,我能够运行以下命令:

docker run --rm --net=container:app_service_1 crccheck/tcpdump -i any --immediate-mode -w - | wireshark -k -i -

这将启动一个简单的容器,其中包含使用所示参数的tcpdump,并将以pcap格式捕获的数据包传输到标准输出(使用-w -参数)。然后,将此输出管道连接到运行在我的主机上的Wireshark,它会显示数据包随即抵达。

那么在Kubernetes中该如何做类似的事情呢?

我尝试应用以下补丁:

  template:
    spec:
      containers:
        - name: tcpdumper
          image: crccheck/tcpdump
          args: ["-i", "any", "--immediate-mode", "-w", "-"]
          tty: true
          stdin: true

我通过运行k attach -it app-service-7bdb7798c5-2lr6q | wireshark -k -i -来应用它。

但是这似乎不起作用,Wireshark启动后立即显示一个错误:

管道中写入的数据既不是支持的pcap格式,也不是pcapng格式

我认为我的问题在于我正在attach(或logs -f)到单个Kubernetes日志中的pod,其中包含除pcap数据以外的其他内容。 - Mark
2个回答
2

我对k8s的使用经验不多,但是docker run会得到整个干净的标准输出,而我印象中k attach并不会。

我认为kubectl没有像docker run一样可以获得干净的标准输出的等价命令,但你可以尝试使用kubectl exec做一些操作。

一个可能的测试是将输出重定向到文件,并检查它是否是你正在运行的命令的有效输出,以及是否有意外的内容。

这很有用。我将tcpdump的输出导入到pod上的文件中,然后将其scp到我的主机上,Wireshark能够解析它。但是,如果我尝试使用tail直接将文件流式传输到本地计算机并将其导入Wireshark,则数据包含多余的'\n'。这是我的问题:如何在没有换行符的情况下进行流式传输。 - Mark
2
我强烈建议您阅读使用Sidecar分析和调试OpenShift和Kubernetes Pod中的网络流量
本文解释了为什么您不能直接从Pod中读取流量数据,并提供了一种使用Sidecar进行操作的替代方法。
简而言之,容器很可能运行在内部容器平台网络上,该网络无法直接被您的计算机访问。
Sidecar容器是与实际服务/应用程序在同一个Pod中运行的容器,能够为服务/应用程序提供附加功能。
在Kubernetes中有效地使用TCPdump有点棘手,需要您为Pod创建一个Sidecar。您所面临的实际上是预期的行为。
“运行诸如TCPdump或ngrep之类的老工具不会产生太多有趣的信息,因为在默认情况下,您直接链接到桥接网络或覆盖层。”好消息是,您可以将TCPdump容器链接到主机网络,甚至更好的是链接到容器网络堆栈。来源:如何在Docker中有效地使用TCPdump 问题在于您有两个入口点,一个是nodeIP:NodePort,另一个是ClusterIP:Port。两者都指向在Kubernetes iptables上设置的端点随机化规则集相同的位置。
由于它可能发生在任何节点上,因此很难配置tcpdump在仅一个点捕获所有有趣的流量。
我知道的最好的分析工具是Istio,但它主要用于HTTP流量。
考虑到这一点,最佳解决方案是为每个服务后面的Pod使用TCPdumper Sidecar。
让我们通过一个示例来了解如何实现这一点。
apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: web
  name: web-app
spec:
  replicas: 2
  selector:
    matchLabels:
      app: web
  template:
    metadata:
      labels:
        app: web
    spec:
      containers:
      - name: web-app
        image: nginx
        imagePullPolicy: Always        
        ports:
        - containerPort: 80
          protocol: TCP
      - name: tcpdumper
        image: docker.io/dockersec/tcpdump
      restartPolicy: Always
---
apiVersion: v1
kind: Service
metadata:
  name: web-svc
  namespace: default
spec:
  ports:
  - nodePort: 30002
    port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: web
  type: NodePort

在清单中,我们可以注意到三件重要的事情。我们有一个nginx容器和一个tcpdumper容器作为辅助容器,并且我们定义了一个NodePort服务。
要访问我们的辅助容器,请运行以下命令:
$ kubectl attach -it web-app-db7f7c59-d4xm6 -c tcpdumper

示例:

$ kubectl get svc
NAME         TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)        AGE
kubernetes   ClusterIP   10.96.0.1        <none>        443/TCP        13d
web-svc      NodePort    10.108.142.180   <none>        80:30002/TCP   9d


$ curl localhost:30002
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br/>
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>


$ kubectl attach -it web-app-db7f7c59-d4xm6 -c tcpdumper
Unable to use a TTY - container tcpdumper did not allocate one
If you don't see a command prompt, try pressing enter.
> web-app-db7f7c59-d4xm6.80: Flags [P.], seq 1:78, ack 1, win 222, options [nop,nop,TS val 300957902 ecr 300958061], length 77: HTTP: GET / HTTP/1.1
12:03:16.884512 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.1336: Flags [.], ack 78, win 217, options [nop,nop,TS val 300958061 ecr 300957902], length 0
12:03:16.884651 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.1336: Flags [P.], seq 1:240, ack 78, win 217, options [nop,nop,TS val 300958061 ecr 300957902], length 239: HTTP: HTTP/1.1 200 OK
12:03:16.884705 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.1336: Flags [P.], seq 240:852, ack 78, win 217, options [nop,nop,TS val 300958061 ecr 300957902], length 612: HTTP
12:03:16.884743 IP 192.168.250.64.1336 > web-app-db7f7c59-d4xm6.80: Flags [.], ack 240, win 231, options [nop,nop,TS val 300957902 ecr 300958061], length 0
12:03:16.884785 IP 192.168.250.64.1336 > web-app-db7f7c59-d4xm6.80: Flags [.], ack 852, win 240, options [nop,nop,TS val 300957902 ecr 300958061], length 0
12:03:16.889312 IP 192.168.250.64.1336 > web-app-db7f7c59-d4xm6.80: Flags [F.], seq 78, ack 852, win 240, options [nop,nop,TS val 300957903 ecr 300958061], length 0
12:03:16.889351 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.1336: Flags [F.], seq 852, ack 79, win 217, options [nop,nop,TS val 300958062 ecr 300957903], length 0
12:03:16.889535 IP 192.168.250.64.1336 > web-app-db7f7c59-d4xm6.80: Flags [.], ack 853, win 240, options [nop,nop,TS val 300957903 ecr 300958062], length 0
12:08:10.336319 IP6 fe80::ecee:eeff:feee:eeee > ff02::2: ICMP6, router solicitation, length 16
12:15:47.717966 IP 192.168.250.64.2856 > web-app-db7f7c59-d4xm6.80: Flags [S], seq 3314747302, win 28400, options [mss 1420,sackOK,TS val 301145611 ecr 0,nop,wscale 7], length 0
12:15:47.717993 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.2856: Flags [S.], seq 2539474977, ack 3314747303, win 27760, options [mss 1400,sackOK,TS val 301145769 ecr 301145611,nop,wscale 7], length 0
12:15:47.718162 IP 192.168.250.64.2856 > web-app-db7f7c59-d4xm6.80: Flags [.], ack 1, win 222, options [nop,nop,TS val 301145611 ecr 301145769], length 0
12:15:47.718164 IP 192.168.250.64.2856 > web-app-db7f7c59-d4xm6.80: Flags [P.], seq 1:78, ack 1, win 222, options [nop,nop,TS val 301145611 ecr 301145769], length 77: HTTP: GET / HTTP/1.1
12:15:47.718191 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.2856: Flags [.], ack 78, win 217, options [nop,nop,TS val 301145769 ecr 301145611], length 0
12:15:47.718339 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.2856: Flags [P.], seq 1:240, ack 78, win 217, options [nop,nop,TS val 301145769 ecr 301145611], length 239: HTTP: HTTP/1.1 200 OK
12:15:47.718403 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.2856: Flags [P.], seq 240:852, ack 78, win 217, options [nop,nop,TS val 301145769 ecr 301145611], length 612: HTTP
12:15:47.718451 IP 192.168.250.64.2856 > web-app-db7f7c59-d4xm6.80: Flags [.], ack 240, win 231, options [nop,nop,TS val 301145611 ecr 301145769], length 0
12:15:47.718489 IP 192.168.250.64.2856 > web-app-db7f7c59-d4xm6.80: Flags [.], ack 852, win 240, options [nop,nop,TS val 301145611 ecr 301145769], length 0
12:15:47.723049 IP 192.168.250.64.2856 > web-app-db7f7c59-d4xm6.80: Flags [F.], seq 78, ack 852, win 240, options [nop,nop,TS val 301145612 ecr 301145769], length 0
12:15:47.723093 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.2856: Flags [F.], seq 852, ack 79, win 217, options [nop,nop,TS val 301145770 ecr 301145612], length 0
12:15:47.723243 IP 192.168.250.64.2856 > web-app-db7f7c59-d4xm6.80: Flags [.], ack 853, win 240, options [nop,nop,TS val 301145612 ecr 301145770], length 0
12:15:50.493995 IP 192.168.250.64.31340 > web-app-db7f7c59-d4xm6.80: Flags [S], seq 124258064, win 28400, options [mss 1420,sackOK,TS val 301146305 ecr 0,nop,wscale 7], length 0
12:15:50.494022 IP web-app-db7f7c59-d4xm6.80 > 192.168.250.64.31340: Flags [S.], seq 3544403648, ack 124258065, win 27760, options [mss 1400,sackOK,TS val 301146463 ecr 301146305,nop,wscale 7], length 0
12:15:50.494189 IP 192.168.250.64.31340 > web-app-db7f7c59-d4xm6.80: Flags [.], ack 1, win 222, options

您还可以查看 ksniff 工具,这是一个kubectl插件,利用tcpdump和Wireshark在Kubernetes集群中的任何pod上启动远程捕获。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接