Насколько дорого обходится использование pcap для мониторинга 15-30 интерфейсов?

Question

С сетью докеров в одной стандартной конфигурации каждый контейнер имеет свою собственную виртуальную сетевую карту.

Я заинтересован в одновременном мониторинге всех этих объектов, очистке адресов IP src и dst, а также TCP или UDP src и dst.порт, если применимо.

Насколько это может быть дорогостоящим?

Есть ли какой-нибудь способ сделать то, что я хочу, - это мониторинг только интерфейса моста Docker в режиме моста?

При работе с несколькими сетями докеров, связывающимися друг с другом через фланель в Кубернетесе, я обнаружил, что многие IP-адреса src и dst были просто адресом моста.(Предположительно, мост выполняет NAT, но по какой-то причине я не видел правил перевода в iptables -t nat -L)

Answer 1

Значительно.Если вы выполняете pcap внутри контейнеров, то ваши приложения могут потреблять в 2-3 раза больше ресурсов процессора.Но на самом деле все зависит от того, как вы захватываете, ваше выражение захватывает каждый пакет?В вашем приложении интенсивный трафик?

Еще один вопрос предлагает больше идей: Насколько навязчивым является tcpdump?

Как вы уже упоминали, если вы захватываете только в режиме мостаинтерфейс, который вы уже можете видеть переведенные / замаскированные адреса.