1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

OpenShift上のコンテナのパケットキャプチャファイルを取得する

Last updated at Posted at 2021-12-24

はじめに

OpenShift上のコンテナのトラフィックを解析するにあたり、色々と模索したので備忘録として残します。
ここでは以下の2つの方法でパケットキャプチャファイルを取得し、Wiresharkでの解析を行いました。

  • サイドカーコンテナー(対象のコンテナと同じPodに存在)
  • ksniff

まだまだ勉強中であるため、間違い等あるかと思いますが、ご了承ください。

参考情報

環境情報

OpenShift Container Platform 4.7

パケットキャプチャファイル取得方法1: サイドカーコンテナ

同じPod内であれば、コンテナはネットワーク的に分離されておらず、IPアドレスを共有しています。

そのため、パケットキャプチャの取得対象のコンテナに対して、パケットをサイドカーコンテナからキャプチャすることができます。

サイドカーコンテナを使用してパケットキャプチャファイルを取得するためには、それ用にイメージを自作する、もしくは、既存のパブリックなコンテナイメージを使用します。

今回は、tcpdumpコマンドなどネットワークデバッグに必要なコマンドがインストールされているnicolaka/netshootというパブリックのコンテナイメージを使用しています。

ログ

  • 全文は省略しますが、yamlファイルでキャプチャしたいコンテナと合わせてサイドカーコンテナを定義します。
    • ここでは、debugという名前でサイドカーコンテナを作成します。
spec:
  template:
    spec:
      containers:
        # MQ Container
        - image: 'ibmcom/mq:9.2.2.0-r1'
          name: qmgr
              :
        # Sidecar Container for tcpdump
        - image: nicolaka/netshoot
          name: debug
          command:
            - /bin/sh
            - -c
            - sleep 3600
:
  • yamlファイルの作成など必要な準備が完了したら、Podをデプロイします。
oc process -f ./xxx.yml | oc apply -f -
  • debugコンテナにtcpdumpコマンドが存在することを確認します。
$ oc exec -it oqm1-0 -c debug -- tcpdump -h
tcpdump version 4.99.1
libpcap version 1.10.1 (with TPACKET_V3)
OpenSSL 1.1.1k  25 Mar 2021
Usage: tcpdump [-AbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ] [--count]
		[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
		[ -i interface ] [ --immediate-mode ] [ -j tstamptype ]
		[ -M secret ] [ --number ] [ --print ] [ -Q in|out|inout ]
		[ -r file ] [ -s snaplen ] [ -T type ] [ --version ]
		[ -V file ] [ -w file ] [ -W filecount ] [ -y datalinktype ]
		[ --time-stamp-precision precision ] [ --micro ] [ --nano ]
		[ -z postrotate-command ] [ -Z user ] [ expression ]
  • サービスアカウントの作成とSCCの付与します。
    • debugコンテナはrootで動作するため
    • ここではanyuidのsccを持つサービスアカウントdebugを作成する。
$ oc adm policy add-scc-to-user anyuid -z default
clusterrole.rbac.authorization.k8s.io/system:openshift:scc:anyuid added: "default"

=> Podを再起動し、適用します。

  • tcpdumpコマンドを実行してみます。
$ oc exec -it oqm1-0 -c debug -- tcpdump
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

=> これで、パケットをキャプチャできることが確認できました。

  • パケットキャプチャの取得
    • 対象のコンテナを動作させ、その間のパケットをキャプチャし、パケットキャプチャファイルを生成します。
$ oc exec -it oqm1-0 -c debug -- tcpdump -w /tmp/tcpdump.hb60.cap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

:(パケットキャプチャ中)

// 終了する場合にはctl+c
$ oc exec -it oqm1-0 -c debug -- tcpdump -w /tmp/tcpdump.hb60.cap
tcpdump: listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
^C
39 packets captured
39 packets received by filter
0 packets dropped by kernel
  • debugコンテナにパケットキャプチャファイルが作成されていることを確認します。
$ oc exec -it oqm1-0 -c debug -- ls -l /tmp/
total 12
-rw-r--r--    1 root     root         11292 Aug 25 12:24 tcpdump.hb60.cap
  • 今回は、ローカル環境のWiresharkで解析したいため、OpenShiftからローカル環境(~/Desktop)にパケットキャプチャファイルをコピーします。
$ oc cp -c debug oqm1-0:/tmp/tcpdump.hb60.cap Desktop/tcpdump.hb60.cap
tar: removing leading '/' from member names
  • ローカル環境にコピーできました。
$ ls -l Desktop | grep tcp
-rw-r--r--@  1 xxxxxxxxx  staff   11292  8 25 21:26 tcpdump.hb60.cap

=> これで、Wiresharkに取り込んで、解析することができます。

パケットキャプチャファイル取得方法2: oc sniff

yamlが変更できない(サイドカーコンテナを起動できない)場合でも、パケットキャプチャをしたかったので、サイドカーコンテナ以外の方法がないかも検討しました。

Packet capture inside Pod using community ksniff with OpenShift 4で紹介されているksniffを使用すれば、サイドカーコンテナがなくてもパケットキャプチャができそうなので試してみました。

ただし、「ksniffはコミュニティプロジェクトであるため、Red Hatが直接メンテナンスしているわけではありません。何か問題が発生した場合や使い勝手について質問がある場合は、GitHubでissueを作成」とのことです。

ログ

参考情報を元にインストールしていきます。

  • まず、ksniffのzipファイルをダウンロードします。
$ wget https://github.com/eldadru/ksniff/releases/download/v1.6.0/ksniff.zip
--2021-08-31 20:31:08--  https://github.com/eldadru/ksniff/releases/download/v1.6.0/ksniff.zip
github.com (github.com) をDNSに問いあわせています... 52.69.186.44
github.com (github.com)|52.69.186.44|:443 に接続しています... 接続しました
HTTP による接続要求を送信しました応答を待っています... 302 Found
場所: https://github-releases.githubusercontent.com/137678747/1b61f880-821d-11eb-8933-e9e362793cd9?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20210831%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20210831T113109Z&X-Amz-Expires=300&X-Amz-Signature=e8f12167ab7cbc40d6db9f412a8176c317dec818bd4db5ff3c3b221db6a0fb06&X-Amz-SignedHeaders=host&actor_id=0&key_id=0&repo_id=137678747&response-content-disposition=attachment%3B%20filename%3Dksniff.zip&response-content-type=application%2Foctet-stream [続く]
--2021-08-31 20:31:08--  https://github-releases.githubusercontent.com/137678747/1b61f880-821d-11eb-8933-e9e362793cd9?X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWNJYAX4CSVEH53A%2F20210831%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20210831T113109Z&X-Amz-Expires=300&X-Amz-Signature=e8f12167ab7cbc40d6db9f412a8176c317dec818bd4db5ff3c3b221db6a0fb06&X-Amz-SignedHeaders=host&actor_id=0&key_id=0&repo_id=137678747&response-content-disposition=attachment%3B%20filename%3Dksniff.zip&response-content-type=application%2Foctet-stream
github-releases.githubusercontent.com (github-releases.githubusercontent.com) をDNSに問いあわせています... 2606:50c0:8001::154, 2606:50c0:8002::154, 2606:50c0:8003::154, ...
github-releases.githubusercontent.com (github-releases.githubusercontent.com)|2606:50c0:8001::154|:443 に接続しています... 接続しました
HTTP による接続要求を送信しました応答を待っています... 200 OK
長さ: 53497723 (51M) [application/octet-stream]
`ksniff.zip' に保存中

ksniff.zip                           100%[=====================================================================>]  51.02M  7.51MB/s 時間 6.3s

2021-08-31 20:31:15 (8.09 MB/s) - `ksniff.zip' へ保存完了 [53497723/53497723]
  • ダウンロードしたzipファイルをunzipします。
$ unzip ksniff.zip
Archive:  ksniff.zip
  inflating: kubectl-sniff
  inflating: kubectl-sniff-windows
  inflating: kubectl-sniff-darwin
  inflating: static-tcpdump
  inflating: Makefile
  inflating: plugin.yaml
  inflating: LICENSE

$ mv kubectl-sniff /usr/local/bin/

$ oc plugin list
The following compatible plugins are available:

/usr/local/bin/kubectl-sniff
  • make installコマンドでインストールします。
$ make install
mkdir -p /usr/local/bin
cp kubectl-sniff-darwin /usr/local/bin/kubectl-sniff
cp plugin.yaml /usr/local/bin
cp static-tcpdump /usr/local/bin
  • これで、oc sniffコマンドが使用可能になりました。
$ oc sniff
Usage:
  sniff pod [-n namespace] [-c container] [-f filter] [-o output-file] [-l local-tcpdump-path] [-r remote-tcpdump-path] [flags]

Examples:
kubectl sniff hello-minikube-7c77b68cff-qbvsd -c hello-minikube

Flags:
  -c, --container string                container (optional)
  -x, --context string                  kubectl context to work on (optional)
  -f, --filter string                   tcpdump filter (optional)
  -h, --help                            help for sniff
      --image string                    the privileged container image (optional)
  -i, --interface string                pod interface to packet capture (optional) (default "any")
  -l, --local-tcpdump-path string       local static tcpdump binary path (optional)
  -n, --namespace string                namespace (optional)
  -o, --output-file string              output file path, tcpdump output will be redirect to this file instead of wireshark (optional) ('-' stdout)
      --pod-creation-timeout duration   the length of time to wait for privileged pod to be created (e.g. 20s, 2m, 1h). A value of zero means the creation never times out. (default 1m0s)
  -p, --privileged                      if specified, ksniff will deploy another pod that have privileges to attach target pod network namespace
  -r, --remote-tcpdump-path string      remote static tcpdump binary path (optional) (default "/tmp/static-tcpdump")
      --socket string                   the container runtime socket path (optional)
  -v, --verbose                         if specified, ksniff output will include debug information (optional)
  • パケットキャプチャファイルを取得します。
$ oc sniff -p oqm1-0 -n xxxxxxxx -o test.pcap
INFO[0000] no container specified, taking first container we found in pod.
INFO[0000] selected container: 'qmgr'
INFO[0000] sniffing method: privileged pod
INFO[0000] sniffing on pod: 'oqm1-0' [namespace: 'xxxxxxxx', container: 'qmgr', filter: '', interface: 'any']
INFO[0000] creating privileged pod on node: '10.244.128.7'
INFO[0000] pod created: &Pod{ObjectMeta:{ksniff-bzp6p ksniff- xxxxxxxx /api/v1/namespaces/xxxxxxxx/pods/ksniff-bzp6p 14c7fcae-4095-401d-9d34-b42652b407aa 42044091 

:

INFO[0000] waiting for pod successful startup
INFO[0005] pod: 'ksniff-bzp6p' created successfully on node: '10.244.128.7'
INFO[0005] executing command: '[chroot /host crictl inspect --output json f809f4e48680c26f38853f15bc5af7d2ae21c126706ae8c4c6a16de3c41cf2c8]' on container: 'ksniff-privileged', pod: 'ksniff-bzp6p', namespace: 'xxxxxxxx'
INFO[0006] command: '[chroot /host crictl inspect --output json f809f4e48680c26f38853f15bc5af7d2ae21c126706ae8c4c6a16de3c41cf2c8]' executing successfully exitCode: '0', stdErr :''
INFO[0006] output file option specified, storing output in: 'test.pcap'
INFO[0006] starting remote sniffing using privileged pod
INFO[0006] executing command: '[nsenter -n -t 193742 -- tcpdump -i any -U -w - ]' on container: 'ksniff-privileged', pod: 'ksniff-bzp6p', namespace: 'xxxxxxxx'
^C
  • oc sniffコマンドを実行すると、専用のPodが自動作成されます。
$ oc get pods -o wide

NAME            READY   STATUS    RESTARTS   AGE     IP              NODE           NOMINATED NODE   READINESS GATES
ksniff-bzp6p    1/1     Running   0          21m     172.17.18.132   10.244.128.7   <none>           <none>
oqm1-0          2/2     Running   156        6d11h   172.17.56.181   10.244.128.5   <none>           <none>
  • oc sniffコマンドではパケットキャプチャファイルをローカル環境に直接作成できるので、少し便利です。
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?