Przechwytywanie zrzutu TCP z węzła systemu Windows w klastrze usługi AKS

Problemy z siecią mogą wystąpić, gdy używasz klastra usługi Microsoft Azure Kubernetes Service (AKS). Aby ułatwić badanie tych problemów, w tym artykule wyjaśniono, jak przechwycić zrzut TCP z węzła systemu Windows w klastrze usługi AKS, a następnie pobrać przechwytywanie na komputer lokalny.

Wymagania wstępne

• Interfejs wiersza polecenia platformy Azure w wersji 2.0.59 lub nowszej. Usługę Azure Cloud Shell można otworzyć w przeglądarce internetowej, aby wprowadzić polecenia interfejsu wiersza polecenia platformy Azure. Możesz też zainstalować lub uaktualnić interfejs wiersza polecenia platformy Azure na komputerze lokalnym. Aby znaleźć wersję zainstalowaną na maszynie, uruchom polecenie az --version.
• Klaster usługi AKS. Jeśli nie masz klastra usługi AKS, utwórz go przy użyciu interfejsu wiersza polecenia platformy Azure lub za pośrednictwem witryny Azure Portal.

Krok 1. Znajdowanie węzłów do rozwiązania problemów

Jak określić, z którego węzła ściągnąć zrzut TCP? Najpierw uzyskasz listę węzłów w klastrze usługi AKS przy użyciu klienta wiersza polecenia kubernetes kubectl. Postępuj zgodnie z instrukcjami, aby nawiązać połączenie z klastrem i uruchomić kubectl get nodes --output wide polecenie przy użyciu witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Zostanie wyświetlona lista węzłów podobna do następujących danych wyjściowych:

$ kubectl get nodes --output wide
NAME                                STATUS   ROLES   AGE     VERSION   INTERNAL-IP    EXTERNAL-IP   OS-IMAGE                         KERNEL-VERSION     CONTAINER-RUNTIME
akswin000000                        Ready    agent   3m8s    v1.20.9   10.240.0.4     <none>        Windows Server 2019 Datacenter   10.0.17763.2237    docker://20.10.6
akswin000001                        Ready    agent   3m50s   v1.20.9   10.240.0.115   <none>        Windows Server 2019 Datacenter   10.0.17763.2237    docker://20.10.6
akswin000002                        Ready    agent   3m32s   v1.20.9   10.240.0.226   <none>        Windows Server 2019 Datacenter   10.0.17763.2237    docker://20.10.6

Krok 2. Nawiązywanie połączenia z węzłem systemu Windows

Następnym krokiem jest nawiązanie połączenia z węzłem klastra usługi AKS. Uwierzytelniasz się przy użyciu klucza protokołu Secure Shell (SSH) lub hasła administratora systemu Windows w połączeniu protokołu RDP (Remote Desktop Protocol). Obie metody wymagają utworzenia połączenia pośredniego, ponieważ obecnie nie można połączyć się bezpośrednio z węzłem systemu Windows usługi AKS. Niezależnie od tego, czy łączysz się z węzłem za pośrednictwem protokołu SSH, czy RDP, musisz określić nazwę użytkownika dla węzłów usługi AKS. Domyślnie ta nazwa użytkownika to azureuser. Oprócz korzystania z połączenia SSH lub RDP można nawiązać połączenie z węzłem systemu Windows z kontenera HostProcess.

HostProcess

1. Utwórz plik hostprocess.yaml z następującą zawartością. Zastąp ciąg AKSWINDOWSNODENAME nazwą węzła systemu Windows usługi AKS.

   apiVersion: v1
   kind: Pod
   metadata:
     labels:
       pod: hpc
     name: hpc
   spec:
     securityContext:
       windowsOptions:
         hostProcess: true
         runAsUserName: "NT AUTHORITY\\SYSTEM"
     hostNetwork: true
     containers:
       - name: hpc
         image: mcr.microsoft.com/windows/servercore:ltsc2022 # Use servercore:1809 for WS2019
         command:
           - powershell.exe
           - -Command
           - "Start-Sleep 2147483"
         imagePullPolicy: IfNotPresent
     nodeSelector:
       kubernetes.io/os: windows
       kubernetes.io/hostname: AKSWINDOWSNODENAME
     tolerations:
       - effect: NoSchedule
         key: node.kubernetes.io/unschedulable
         operator: Exists
       - effect: NoSchedule
         key: node.kubernetes.io/network-unavailable
         operator: Exists
       - effect: NoExecute
         key: node.kubernetes.io/unreachable
         operator: Exists
   

2. Uruchom polecenie , kubectl apply -f hostprocess.yaml aby wdrożyć kontener Windows HostProcess w określonym węźle systemu Windows.

3. Uruchom polecenie kubectl exec -it [HPC-POD-NAME] -- powershell.

4. Uruchom wszystkie polecenia programu PowerShell wewnątrz kontenera HostProcess, aby uzyskać dostęp do węzła systemu Windows.

   Uwaga 16.

   Aby uzyskać dostęp do plików w węźle systemu Windows, przełącz folder główny na C:\ wewnątrz kontenera HostProcess.

Protokół SSH

Jeśli masz klucz SSH, utwórz połączenie SSH z węzłem systemu Windows. Klucz SSH nie jest utrwalany w węzłach usługi AKS. Klucz SSH powraca do tego, co zostało początkowo zainstalowane w klastrze podczas dowolnego:

• Ponowne uruchamianie
• Uaktualnianie wersji
• Uaktualnienie obrazu systemu węzła

RDP

Jeśli nie masz klucza SSH, połącz się przy użyciu protokołu RDP i hasła administratora systemu Windows. Co zrobić, jeśli nie masz tego hasła dla klastra? Następnie zresetuj hasło w interfejsie wiersza polecenia platformy Azure, uruchamiając polecenie az aks update . Określ grupę zasobów, nazwę klastra i nowe hasło. Polecenie wyświetla szczegóły klastra po zakończeniu.

az aks update \
    --resource-group <myResourceGroup> \
    --name <myAKSCluster> \
    --windows-admin-password "<myNewPassword>"

Za pomocą hasła administratora systemu Windows połącz się z węzłem za pomocą protokołu RDP, który obejmuje najpierw wdrożenie maszyny wirtualnej "skok" do tej samej podsieci co klaster.

Przekierowywanie dysku danych do połączenia RDP

Aby przenieść pliki przechwytywania do maszyny, należy przekierować dysk z maszyny do utworzonej maszyny wirtualnej i połączenia RDP z węzłem systemu Windows usługi AKS. To przekierowanie umożliwia skopiowanie plików przechwytywania wygenerowanych później na maszynę.

1. Na komputerze wybierz menu Start, a następnie wyszukaj i wybierz pozycję Podłączanie pulpitu zdalnego.

2. W oknie dialogowym Podłączanie pulpitu zdalnego wybierz pozycję Pokaż opcje.

   

3. Na karcie Zasoby lokalne wybierz pozycję Więcej.

   

4. W nowym oknie dialogowym Podłączanie pulpitu zdalnego wybierz pozycję Dyski , aby rozwinąć listę dysków na maszynie, a następnie wybierz dysk, który chcesz przekierować.

   

Następnie zakończ nawiązywanie połączenia z skonfigurowaną wcześniej maszyną wirtualną z systemem Windows.

Krok 3. Tworzenie przechwytywania pakietów

Po nawiązaniu połączenia z węzłem systemu Windows za pośrednictwem protokołu SSH lub RDP lub z kontenera HostProcess zostanie wyświetlony formularz wiersza polecenia systemu Windows:

azureuser@akswin000000 C:\Users\azureuser>

Teraz otwórz wiersz polecenia i wprowadź poniższe polecenie powłoki sieciowej (netsh) w celu przechwytywania śladów (start śledzenia netsh). To polecenie uruchamia proces przechwytywania pakietów.

netsh trace start capture=yes tracefile=C:\temp\AKS_node_name.etl

Dane wyjściowe są podobne do następującego tekstu:

Trace configuration:
-------------------------------------------------------------------
Status:             Running
Trace File:         AKS_node_name.etl
Append:             Off
Circular:           On
Max Size:           250 MB
Report:             Off

Gdy śledzenie jest uruchomione, zreplikuj problem wiele razy. Ta akcja gwarantuje przechwycenie problemu w zrzutie TCP. Zanotuj sygnaturę czasową podczas replikowania problemu. Aby zatrzymać przechwytywanie pakietów po zakończeniu, wprowadź polecenie netsh trace stop:

azureuser@akswin000000 C:\Users\azureuser>netsh trace stop
Merging traces ... done
Generating data collection ... done
The trace file and additional troubleshooting information have been compiled as "C:\temp\AKS_node_name.cab".
File location = C:\temp\AKS_node_name.etl
Tracing session was successfully stopped.

Krok 4. Transfer przechwytywania lokalnie

HostProcess

Po zakończeniu przechwytywania pakietów zidentyfikuj zasobnik HostProcess, aby można było skopiować zrzut lokalnie.

1. Na komputerze lokalnym otwórz drugą konsolę, a następnie pobierz listę zasobników, uruchamiając kubectl get pods polecenie :

   kubectl get pods
   NAME                                                    READY   STATUS    RESTARTS   AGE
   azure-vote-back-6c4dd64bdf-m4nk7                        1/1     Running   2          3d21h
   azure-vote-front-85b4df594d-jhpzw                       1/1     Running   2          3d21h
   hpc                                                     1/1     Running   0          3m58s
   

   Domyślna nazwa zasobnika HostProcess to hpc, jak pokazano w trzecim wierszu.

2. Skopiuj pliki zrzutu TCP lokalnie, uruchamiając następujące polecenia. Zastąp nazwę zasobnika ciągiem hpc.

   kubectl cp -n default hpc:/temp/AKS_node_name.etl ./AKS_node_name.etl
   tar: Removing leading '/' from member names
   kubectl cp -n default hpc:/temp/AKS_node_name.etl ./AKS_node_name.cab
   tar: Removing leading '/' from member names
   

   Pliki .etl i .cab będą teraz obecne w katalogu lokalnym.

Protokół SSH

Po zakończeniu przechwytywania pakietów zidentyfikuj zasobnik pomocnika, aby można było skopiować zrzut lokalnie. Otwórz drugą konsolę, a następnie pobierz listę zasobników, uruchamiając polecenie kubectl get pods, jak pokazano poniżej.

kubectl get pods
NAME                                                    READY   STATUS    RESTARTS   AGE
azure-vote-back-6c4dd64bdf-m4nk7                        1/1     Running   2          3d21h
azure-vote-front-85b4df594d-jhpzw                       1/1     Running   2          3d21h
node-debugger-aks-nodepool1-38878740-vmss000000-6ztp6   1/1     Running   0          3m58s

Zasobnik pomocnika ma prefiks node-debugger-aks, jak pokazano w trzecim wierszu. Zastąp nazwę zasobnika, a następnie uruchom następujące polecenia secure copy (scp). Te polecenia pobierają pliki dziennika śledzenia zdarzeń (etl) i archiwum (.cab), które są generowane na potrzeby przechwytywania pakietów.

scp -o 'ProxyCommand ssh -p 2022 -W %h:%p azureuser@127.0.0.1' azureuser@10.240.0.97:AKS_node_name.cab .
scp -o 'ProxyCommand ssh -p 2022 -W %h:%p azureuser@127.0.0.1' azureuser@10.240.0.97:AKS_node_name.etl .

Zostanie wyświetlone dane wyjściowe podobne do następującego tekstu:

$ scp -o 'ProxyCommand ssh -p 2022 -W %h:%p azureuser@127.0.0.1' azureuser@10.240.0.97:AKS_node_name.cab .

Authorized uses only. All activity may be monitored and reported.
AKS_node_name.cab                                                                  100%  571KB 984.0KB/s   00:00

scp -o 'ProxyCommand ssh -p 2022 -W %h:%p azureuser@127.0.0.1' azureuser@10.240.0.97:AKS_node_name.etl .

Authorized uses only. All activity may be monitored and reported.
AKS_node_name.etl                                                                  100% 1536KB   1.3MB/s   00:01

RDP

Najpierw wykonaj następujące kroki, aby przenieść pliki zrzutu TCP z węzła systemu Windows usługi AKS do maszyny wirtualnej skokowej:

1. Połącz się z węzłem systemu Windows usługi AKS.

2. Uruchom następujące polecenie net use , aby zamapować współużytkowany zasób maszyny wirtualnej skoku na nazwę dysku (z:). Jeśli zasób udostępniony jest czymś innym niż dysk c:, dostosuj polecenie.

   C:\Users\bookbinder>net use z: \\tsclient\c
   The command completed successfully.
   

3. Następnie uruchom następujące polecenie kopiowania, aby skopiować pliki zrzutu TCP do maszyny wirtualnej szybkiego dostępu:

   C:\Users\azureuser>copy c:\temp\AKS_node_name.* z:\
   AKS_node_name.cab
   AKS_node_name.etl
           2 file(s) copied.
   

Teraz możesz zakończyć połączenie z maszyny wirtualnej szybkiego dostępu do węzła systemu Windows usługi AKS. Dwa pliki wygenerowane na podstawie zrzutu znajdują się teraz na dysku c: maszyny wirtualnej skoku.

Następnie wykonaj następujące kroki, aby skopiować pliki zrzutu z maszyny wirtualnej szybkiego dostępu do maszyny:

1. W Eksplorator plików na maszynie wirtualnej szybkiego dostępu przejdź do katalogu głównego dysku c: .

2. Wybierz pliki AKS_node_name.cab i AKS_node_name.etl.

3. Przeciągnij dwa pliki do połączenia o nazwie C na <myComputerName>.

   

Pliki zrzutu znajdują się teraz w katalogu głównym dysku c: komputera.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.