端口和协议
当在具有严格网络边界的环境中运行 Kubernetes 时,例如带有物理网络防火墙的本地数据中心或公共云中的虚拟网络,了解 Kubernetes 组件使用的端口和协议会很有用。
控制平面
| 协议 | 方向 | 端口范围 | 目的 | 使用方 |
|---|---|---|---|---|
| TCP | 入站 | 6443 | Kubernetes API 服务器 | 全部 |
| TCP | 入站 | 2379-2380 | etcd 服务器客户端 API | kube-apiserver, etcd |
| TCP | 入站 | 10250 | Kubelet API | 自身、控制平面 |
| TCP | 入站 | 10259 | kube-scheduler | 自身 |
| TCP | 入站 | 10257 | kube-controller-manager | 自身 |
虽然 etcd 端口包含在控制平面部分,但您也可以托管自己的 etcd 集群,或者使用自定义端口。
工作节点
| 协议 | 方向 | 端口范围 | 目的 | 使用方 |
|---|---|---|---|---|
| TCP | 入站 | 10250 | Kubelet API | 自身、控制平面 |
| TCP | 入站 | 10256 | kube-proxy | 自身、负载均衡器 |
| TCP | 入站 | 30000-32767 | NodePort 服务† | 全部 |
| UDP | 入站 | 30000-32767 | NodePort 服务† | 全部 |
† NodePort 服务的默认端口范围。
所有默认端口号都可以被覆盖。当使用自定义端口时,需要打开这些自定义端口而不是这里提到的默认端口。
一个常见的例子是 API 服务器端口,有时会切换到 443。或者,默认端口保持不变,API 服务器放置在监听 443 并将请求路由到默认端口上的 API 服务器的负载均衡器后面。
最后修改于 2024 年 9 月 18 日太平洋标准时间晚上 10:34:更新 ports-and-protocols.md (87cc62f6e4)