红帽全球峰会3.7. 使用 CLI 检查带有 OVS 抽样的 OVN-Kubernetes 网络流量
使用 OVS 抽样检查 OVN-Kubernetes 网络流量只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
OVN-Kubernetes 网络流量可以通过 CLI 来查看以下网络 API 的 OVS 抽样:
-
NetworkPolicy -
AdminNetworkPolicy -
BaselineNetworkPolicy -
UserDefinedNetwork隔离 -
EgressFirewall - 多播 ACL。
这些网络事件的脚本可在每个 OVN-Kubernetes 节点的 /usr/bin/ovnkube-observ 路径中找到。
虽然 Network Observability Operator 和检查带有 OVS 抽样的 OVN-Kubernetes 网络流量都适合可调试,但 Network Observability Operator 旨在观察网络事件。另外,使用 CLI 检查带有 OVS 抽样的 OVN-Kubernetes 网络流量可帮助进行数据包追踪;也可以在安装 Network Observability Operator 时使用,但这不是强制要求。
管理员可以添加 --add-ovs-collect 选项来查看节点上的网络流量,或者传递额外的标志来过滤特定 pod 的结果。额外的标记可在带有 OVS 抽样标志"部分的 "OVN-Kubernetes 网络流量中找到。
使用以下步骤通过 CLI 查看 OVN-Kubernetes 网络流量。
先决条件
-
以具有
cluster-admin权限的用户身份登录集群。 - 您已创建了源 pod 和目标 pod,并在它们之间运行流量。
-
您至少创建了以下网络 API 之一:
NetworkPolicy、AdminNetworkPolicy、BaselineNetworkPolicy、UserDefinedNetwork隔离、多播或出口防火墙。
流程
要使用 OVS 抽样功能启用
OVNObservability,请输入以下命令在名为cluster的FeatureGateCR 中启用TechPreviewNoUpgrade功能集:oc patch --type=merge --patch '{"spec": {"featureSet": "TechPreviewNoUpgrade"}}' featuregate/cluster$ oc patch --type=merge --patch '{"spec": {"featureSet": "TechPreviewNoUpgrade"}}' featuregate/clusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
featuregate.config.openshift.io/cluster patched
featuregate.config.openshift.io/cluster patchedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输入以下命令确认启用了
OVNObservability功能:oc get featuregate cluster -o yaml
$ oc get featuregate cluster -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
featureGates: # ... enabled: - name: OVNObservabilityfeatureGates: # ... enabled: - name: OVNObservabilityCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输入以下命令,获取命名空间中的 pod 列表,在其中创建了其中一个相关网络 API。请注意 pod 的
NODE名称,因为以下步骤中使用它们。oc get pods -n <namespace> -o wide
$ oc get pods -n <namespace> -o wideCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES destination-pod 1/1 Running 0 53s 10.131.0.23 ci-ln-1gqp7b2-72292-bb9dv-worker-a-gtmpc <none> <none> source-pod 1/1 Running 0 56s 10.131.0.22 ci-ln-1gqp7b2-72292-bb9dv-worker-a-gtmpc <none> <none>
NAME READY STATUS RESTARTS AGE IP NODE NOMINATED NODE READINESS GATES destination-pod 1/1 Running 0 53s 10.131.0.23 ci-ln-1gqp7b2-72292-bb9dv-worker-a-gtmpc <none> <none> source-pod 1/1 Running 0 56s 10.131.0.22 ci-ln-1gqp7b2-72292-bb9dv-worker-a-gtmpc <none> <none>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输入以下命令获取 OVN-Kubernetes pod 列表,并找到共享与上一步中的 pod 相同的
NODE的 pod:oc get pods -n openshift-ovn-kubernetes -o wide
$ oc get pods -n openshift-ovn-kubernetes -o wideCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
NAME ... READY STATUS RESTARTS AGE IP NODE NOMINATED NODE ovnkube-node-jzn5b 8/8 Running 1 (34m ago) 37m 10.0.128.2 ci-ln-1gqp7b2-72292-bb9dv-worker-a-gtmpc <none> ...
NAME ... READY STATUS RESTARTS AGE IP NODE NOMINATED NODE ovnkube-node-jzn5b 8/8 Running 1 (34m ago) 37m 10.0.128.2 ci-ln-1gqp7b2-72292-bb9dv-worker-a-gtmpc <none> ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输入以下命令在
ovnkube-nodepod 中打开 bash shell:oc exec -it <pod_name> -n openshift-ovn-kubernetes -- bash
$ oc exec -it <pod_name> -n openshift-ovn-kubernetes -- bashCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在
ovnkube-nodepod 中,您可以运行ovnkube-observ -add-ovs-collector脚本来显示使用 OVS 收集器的网络事件。例如:/usr/bin/ovnkube-observ -add-ovs-collector
# /usr/bin/ovnkube-observ -add-ovs-collectorCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 您可以通过带有
-filter-src-ip标志和 pod 的 IP 地址输入以下命令来根据类型(如源 pod)过滤内容。例如:/usr/bin/ovnkube-observ -add-ovs-collector -filter-src-ip <pod_ip_address>
# /usr/bin/ovnkube-observ -add-ovs-collector -filter-src-ip <pod_ip_address>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 有关可以使用
/usr/bin/ovnkube-observ传递的标记的完整列表,请参阅 "OVN-Kubernetes 网络流量带有 OVS sampling 标记"。
3.7.1. 使用 OVS 抽样标记的 OVN-Kubernetes 网络流量
以下标记可用于使用 CLI 查看 OVN-Kubernetes 网络流量。在 ovnkube-node pod 中打开 bash shell 后,将这些标记附加到终端中的以下语法中:
命令语法
/usr/bin/ovnkube-observ <flag>
# /usr/bin/ovnkube-observ <flag>| 标记 | 描述 |
|---|---|
|
|
返回可用于 |
|
| 添加 OVS 收集器以启用抽样。请谨慎使用。确保其他人没有使用可观察性。 |
|
|
通过 NBDB 数据丰富样本。默认值为 |
|
| 仅将数据包过滤到给定目标 IP。 |
|
| 仅过滤来自给定源 IP 的数据包。 |
|
| 使用 psample group_id 打印原始示例 Cookie。 |
|
| 将示例写入的输出文件。 |
|
| 打印完整接收的数据包.为 false 时,每个示例仅打印源和目标 IP。 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}