在 Kubernetes 中,kubectl top 命令默认仅支持查看 Pod 或节点的 CPU/内存资源使用情况,并不直接提供 TCP 连接数的统计功能。若要获取 Pod 的 TCP 连接数,需结合其他工具和方法。以下是具体实现方案:
1. 直接进入容器查看 TCP 连接数
(1) 使用 kubectl exec 执行命令
若容器内已安装 netstat 或 ss 工具:
kubectl exec <pod-name> -n <namespace> -c <container-name> -- \
netstat -ant | grep 'ESTABLISHED' | wc -l
# 或使用更高效的 ss 命令
kubectl exec <pod-name> -n <namespace> -c <container-name> -- \
ss -ant state established | wc -l(2) 示例输出
5 # 当前容器有 5 个已建立的 TCP 连接2. 从宿主机查看 Pod 的 TCP 连接数
每个 Pod 的容器共享宿主机的网络命名空间(默认情况下),或使用独立命名空间(如 CNI 插件配置)。可通过以下步骤操作:
(1) 找到 Pod 的容器 ID
kubectl get pod <pod-name> -n <namespace> -o jsonpath='{.status.containerStatuses[0].containerID}' | cut -d'/' -f3
# 输出示例:c0e54c1a1a1a(2) 进入宿主机的网络命名空间
# 找到容器的进程 PID
PID=$(docker inspect -f '{{.State.Pid}}' <container-id>)
# 使用 nsenter 进入网络命名空间
nsenter -t $PID -n ss -ant state established | wc -l3. 使用 Sidecar 容器监控 TCP 连接
在 Pod 中添加一个 Sidecar 容器,定期采集 TCP 连接数并暴露指标:
(1) 示例 Sidecar 容器配置
apiVersion: v1
kind: Pod
metadata:
name: app-with-tcp-monitor
spec:
containers:
- name: main-app
image: nginx:latest
- name: tcp-monitor
image: alpine:latest
command: ["sh", "-c"]
args:
- while true; do
netstat -ant | grep ESTABLISHED | wc -l > /var/run/tcp_connections;
sleep 10;
done
volumeMounts:
- name: tcp-stats
mountPath: /var/run
volumes:
- name: tcp-stats
emptyDir: {}(2) 从 Sidecar 读取数据
kubectl exec app-with-tcp-monitor -c tcp-monitor -n <namespace> -- cat /var/run/tcp_connections4. 通过监控系统采集 TCP 连接数
集成 Prometheus + Grafana 实现自动化监控:
(1) 使用 kube-state-metrics 或自定义 Exporter
-
部署 kube-ss 等工具,暴露 TCP 连接指标。
-
或编写自定义 Exporter,通过
ss/netstat采集数据。
(2) 查询 Prometheus
sum by (pod) (
node_netstat_Tcp_CurrEstab{pod="<pod-name>"}
)5. 快速脚本统计命名空间内所有 Pod 的 TCP 连接数
#!/bin/bash
NAMESPACE="default"
# 遍历所有 Pod
kubectl get pods -n $NAMESPACE -o name | while read POD; do
POD_NAME=${POD#pod/}
echo "Pod: $POD_NAME"
# 遍历每个容器
kubectl get pod $POD_NAME -n $NAMESPACE -o jsonpath='{.spec.containers[*].name}' | tr ' ' '\n' | while read CONTAINER; do
COUNT=$(kubectl exec $POD_NAME -n $NAMESPACE -c $CONTAINER -- \
sh -c "ss -ant state established 2>/dev/null | wc -l" 2>/dev/null)
echo " Container $CONTAINER: $COUNT TCP 连接"
done
done输出示例:
Pod: web-app-5dfd6f846d-xj7hw
Container main-app: 12 TCP 连接
Container istio-proxy: 8 TCP 连接总结
| 方法 | 适用场景 | 优点 | 缺点 |
|---|---|---|---|
kubectl exec | 快速临时检查 | 无需额外配置 | 需容器内有 netstat/ss 工具 |
| 宿主机检查 | 深度排查网络问题 | 不依赖容器工具 | 需登录宿主机,操作复杂 |
| Sidecar 监控 | 长期监控需求 | 数据持久化 | 增加资源开销 |
| Prometheus | 生产环境自动化监控 | 集成告警和可视化 | 需部署和维护监控系统 |
注意事项
1)容器工具缺失
若容器内无 netstat/ss,可挂载宿主机二进制文件(需兼容容器架构):
volumeMounts:
- name: host-bin
mountPath: /usr/bin/netstat
readOnly: true
volumes:
- name: host-bin
hostPath:
path: /usr/bin/netstat2)安全权限
宿主机命令可能需要 root 权限,确保 ServiceAccount 有足够权限。
3)性能影响
高频采集可能影响容器性能,建议间隔不低于 30 秒。
