埠和協定
當在具有嚴格網路邊界的環境中執行 Kubernetes 時,例如具有實體網路防火牆的內部部署資料中心或公有雲中的虛擬網路,了解 Kubernetes 元件使用的埠和協定非常有用。
控制平面
| 協定 | 方向 | 埠範圍 | 目的 | 使用者 |
|---|---|---|---|---|
| TCP | 輸入 | 6443 | Kubernetes API 伺服器 | 全部 |
| TCP | 輸入 | 2379-2380 | etcd 伺服器用戶端 API | kube-apiserver, etcd |
| TCP | 輸入 | 10250 | Kubelet API | 自身, 控制平面 |
| TCP | 輸入 | 10259 | kube-scheduler | 自身 |
| TCP | 輸入 | 10257 | kube-controller-manager | 自身 |
雖然 etcd 埠包含在控制平面章節中,您也可以在外部或自訂埠上託管您自己的 etcd 叢集。
工作節點
| 協定 | 方向 | 埠範圍 | 目的 | 使用者 |
|---|---|---|---|---|
| TCP | 輸入 | 10250 | Kubelet API | 自身, 控制平面 |
| TCP | 輸入 | 10256 | kube-proxy | 自身, 負載平衡器 |
| TCP | 輸入 | 30000-32767 | NodePort 服務† | 全部 |
† NodePort 服務的預設埠範圍。
所有預設埠號都可以覆寫。當使用自訂埠時,需要開啟這些埠,而不是此處提及的預設埠。
一個常見的範例是 API 伺服器埠,有時會切換到 443。或者,預設埠保持不變,並且 API 伺服器放置在監聽 443 並將請求路由到預設埠上 API 伺服器的負載平衡器後面。
上次修改時間:2024 年 3 月 25 日 11:47 AM PST:將 kube-proxy healthz 埠新增至 ports-and-protocols.md (d917d5020c)