探索Inspektor Gadget：从架构到实践的全维度解析

Inspektor Gadget 是基于 eBPF（一种运行在内核空间的安全沙箱技术）构建的容器与系统检查框架，为 Kubernetes 和 Linux 主机提供强大的可观测性工具集。本文将从功能组件、工作流程到实践案例，全面解析其技术架构与应用方法。

一、核心功能组件解析

1.1 命令行工具集

提供 ig 和 kubectl-gadget 两大工具入口，分别面向 Linux 主机和 Kubernetes 环境。ig 聚焦本地系统监控，kubectl-gadget 则通过 Kubernetes API 扩展实现容器集群的全面观测。

1.2 eBPF 程序库

核心功能通过 gadget 目录下的 eBPF 程序实现，涵盖：

• 系统调用跟踪（如 trace_exec、trace_open）
• 网络监控（如 tcpdump、trace_tcp）
• 性能分析（如 profile_cpu、top_process）

1.3 容器运行时集成

通过 container-collection 模块实现与容器运行时（Docker/Containerd）的深度集成，提供容器元数据富集和生命周期追踪能力。

二、工作流程与执行路径

2.1 事件捕获流程

eBPF 程序通过内核钩子（tracepoint/kprobe）捕获系统事件，经共享内存（eBPF map）传递至用户空间，最终由 Go 代码处理并格式化输出。

2.2 关键执行路径

• 入口点：cmd/ig/main.go 和 cmd/kubectl-gadget/main.go 分别初始化命令行解析器
• 核心逻辑：pkg/gadget-context 管理 gadget 生命周期，pkg/operators 处理事件流
• 数据输出：pkg/columns 模块负责格式化输出，支持多种展示格式

2.3 容器感知机制

通过 container-utils 模块识别容器标识，将原始事件与容器元数据（Pod 名称、命名空间等）关联，实现细粒度的容器级监控。

三、实践案例与操作指南

3.1 容器CPU性能分析

🔍 操作步骤：

# 克隆项目仓库
git clone https://gitcode.com/gh_mirrors/in/inspektor-gadget
cd inspektor-gadget

# 构建并运行CPU剖析工具
make -C gadgets/profile_cpu
ig run profile_cpu:latest

💡 技巧：使用 -o json 参数输出结构化数据，结合 jq 进行高级分析：

ig run profile_cpu:latest -o json | jq '.[] | select(.cpu > 0.5)'

3.2 网络流量监控

在 Kubernetes 环境中追踪特定 Pod 的 DNS 请求：

kubectl gadget trace dns -n default --pod myapp

3.3 常见问题解决方案

1. 权限不足：确保以 root 权限运行，或配置 CAP_BPF 等必要 capabilities
2. 内核版本兼容：低于 5.8 的内核需通过 --force 参数跳过 BTF 检查

四、总结与扩展

Inspektor Gadget 通过 eBPF 技术实现了对容器和主机的高效监控，其模块化设计支持灵活扩展。建议通过 gadgets/ 目录探索更多工具，或参考 docs/gadget-devel/ 文档开发自定义 gadget。

官方文档：docs/index.md 开发指南：docs/devel/contributing.md