[发明专利]K8s中基于Calico网络插件的数据包抓取方法及系统

说明书

本发明提供了一种K8s中基于Calico网络插件的数据包抓取方法及系统，包括监听抓包步骤，所述监听抓包步骤包括如下步骤：抓取步骤1：Operator获取初始的配置，所述配置包括监听配置和抓包过滤配置；抓取步骤2：Operator根据所述监听配置开始监听本节点上Calico WorkloadEndpoint资源；抓取步骤3：Operator监听到有WorkloadEndpoint对象被创建；抓取步骤4：Operator获取WorkloadEndpoint对象中的字段信息；抓取步骤5：Operator根据所述抓包过滤配置和所述抓取步骤4获取的字段信息生成抓包规则；抓取步骤6：Operator根据所述抓包规则启动抓包子程序，开始抓包。本发明能够及时获得Pod(应用)变化的信息，并对应修改数据包抓取的操作，较难丢失应用业务数据，做到不丢失或尽量少丢失应用业务数据。

技术领域

本发明涉及数据包抓取的技术领域，具体地，涉及一种K8s中基于Calico网络插件的数据包抓取方法及系统。

背景技术

在传统IT环境中，网络流量监控的基本实现方式为：对服务器网卡进行数据包过滤和抓取，然后对抓取的数据包进行分析。其中服务器网卡以及服务器上部署的应用均属于相对稳定的组件，数据包抓取操作不需要频繁变化。但在Kubernetes(K8s)集群环境中，Pod随时可能被创建、销毁、迁移，这意味着应用以及应用对应的网卡会随时变化，这给数据包抓取带来了很大的挑战：如何及时获得Pod(应用)变化的信息，并对应修改数据包抓取的操作，做到不丢失或尽量少丢失应用业务数据，之后才能进行更精确的网络流量分析和监控。

一种获取节点上所有veth端点的方法是使用linux操作系统提供的netlink API定时轮询，但此种方法的缺陷在于：定时轮询的方式，可能会丢失Pod变化的信息；定时轮询对性能消耗比较大，因为发生变化的网络接口相对于节点上所有的接口(可能上百个)是少数；需要额外的方法获得veth端点对应的Pod信息，依赖于具体网络插件以及容器运行时的实现。

公开号为CN110213198A的中国发明专利公开了一种网络流量监控方法及系统，所述监控方法包括：步骤S1：监控网络设备，从第一服务模块产生的网络数据中抓取数据包；步骤S2：将数据包进行存储；步骤S3：对数据包进行分析，根据分析结果产生动态规则；步骤S4：导入静态规则，根据动态规则和静态规则对第一服务模块产生的网络数据进行监控过滤；步骤S5：将经过监控过滤的网络数据传递至第二服务模块，其中，第一服务模块和第二服务模块的其中一个为网络应用服务模块，另一个为网络接口。此文件提供的网络流量监控方法及系统，监控方式灵活，监控内容可靠，不影响网络数据的正常传输。

针对上述中的现有技术，发明人认为上述方法K8s中不能及时获得Pod(应用)变化的信息，进而不能对应修改数据包抓取的操作，难以做到不丢失或尽量少丢失应用业务数据，导致难以进行较为精确的网络流量分析和监控。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种K8s中基于Calico网络插件的数据包抓取方法及系统。

根据本发明提供的一种K8s中基于Calico网络插件的数据包抓取方法，包括节点，节点包括Operator、Calico和抓包子程序，该方法包括监听抓包步骤，所述监听抓包步骤包括如下步骤：

抓取步骤1：Operator获取初始的配置，所述配置包括监听配置和抓包过滤配置；

抓取步骤2：Operator根据所述监听配置开始监听本节点上CalicoWorkloadEndpoint资源；

抓取步骤3：Operator监听到有WorkloadEndpoint对象被创建；

抓取步骤4：Operator获取WorkloadEndpoint对象中的字段信息；

抓取步骤5：Operator根据所述抓包过滤配置和所述抓取步骤4获取的字段信息生成抓包规则；