K8S使用NodePort时,无法在主机上看到监听的端口 - 探究原因
发布时间: 2023-12-7 文章作者: myluzh 分类名称: Kubernetes
0x00 前言
在新版K8S中,即便 Service 使用 nodeport 暴露,在 node 中使用netstat -anp 或者ss -nlt命令上也看不到 kube-proxy 监听的端口了,但是 nodeport 访问是正常的。
Kubernetes服务不是作为侦听特定端口的进程来实现的。取而代之的是使用iptables (或IPVS),服务基本上是iptables规则。这就是为什么它们不会出现在你的netstat中。
详细查看:https://kubernetes.io/docs/concepts/services-networking/service/#proxy-mode-iptables
0x01 你需要先了解kube-proxy的三种工作模式
1、userspace
userspace模式是 kube-proxy 使用的第一代模式,该模式在 kubernetes v1.0 版本开始支持使用,该模式kube-proxy会为每一个Service创建一个监听端口,发向Cluster IP的请求被Iptables规则重定向到kube-proxy监听的端口上,kube-proxy根据LB算法选择一个提供服务的Pod并和其建立链接,以将请求转发到Pod上。该模式下,kube-proxy充当了一个四层负责均衡器的角色。由于kube-proxy运行在userspace中,在进行转发处理时会增加内核和用户空间之间的数据拷贝,虽然比较稳定,但是效率比较低,不推荐使用。
2、iptables
iptables 模式是 kube-proxy 使用的第二代模式,该模式在 kubernetes v1.1 版本开始支持,从 v1.2 版本开始成为 kube-proxy 的默认模式。
该模式下kube-proxy为service后端的每个Pod创建对应的iptables规则,直接将发向Cluster IP的请求重定向到一个Pod IP。该模式的优点是较userspace模式效率更高,但不能提供灵活的LB策略,当后端Pod不可用时也无法进行重试。
3、ipvs
ipvs 模式被 kube-proxy 采纳为第三代模式,模式在 kubernetes v1.8 版本开始引入,在 v1.9 版本中处于 beta 阶段,在 v1.11 版本中正式开始使用。
ipvs模式和iptables类似,kube-proxy监控Pod的变化并创建相应的ipvs规则。ipvs相对iptables转发效率更高。除此以外,ipvs支持更多的LB算法。如果要设置Kube-proxy为ipvs模式,必须在操作系统中安装IPVS内核模块,否则会降级为iptables。
0x02 如何查看自己k8s集群的kube-proxy使用的是iptables还是ipvs?
方法1:通过 ps -ef | grep kube-proxy 查看--proxy-mode参数内容。
方法2:查看kube-proxy运行日志。
0x03 查找防火墙的端口转发
如果是iptables,查找nodeport 31000端口
[root@k8s-master01 ~]# iptables -tnat -L | grep 31000 KUBE-EXT-FC2LKBLU44TPG3GB tcp -- anywhere anywhere /* hellok8s/hellok8s:hellosvcp */ tcp dpt:31000如果是ipvs,查找nodeport 31000端口
[root@k8s-master01 ~]# ipvsadm -Ln | grep 31000 TCP 172.16.10.20:31000 rr
参考文章:
kube-proxy的三种工作模式
宿主机k8s中netstat看不到端口但可以访问端口
标签: k8s kube-porxy iptables ipvs
搜索内容
热门文章
- DS918+,DS3617xs黑群晖洗白码
- VMware vCenter vSphere ESXi 7.0 许可证&下载链接
- Kali Liunx下msfvenom利用方法
- Kali Liunx字典生成工具Crunch,Cupp,Cewl
- python base64加解密脚本(可变换码表)
- 黑群晖各版本引导下载
- 解决VM虚拟机Kali Liunx连不上网
- JIS-CTF-VulnUpload-CTF01靶机渗透测试笔记
最新文章
- Linux云主机安装GPU驱动(NVIDIA)- A100显卡
- K8S 批量删除被驱逐的Pod(Evicted Pods)
- RouterOS v7 OVPN Client配置 & 国内外地址分流(Mangle表标记路由)
- RouterOS v6 获取CN地址列表 & 国内外地址分流
- 解决Linux空间未释放问题:处理被删除文件的占用
- Nginx日志格式化输出,日志切割
- 关于GlobalSign GCC R6 AlphaSSL CA 2023不受信,证书链修复教程
- 阿里云负载均衡ALB获取客户端真实IP
友情链接
日期存档
- 2024年5月(1)
- 2024年4月(1)
- 2024年3月(3)
- 2024年2月(6)
- 2024年1月(11)
- 2023年12月(13)
- 2023年11月(13)
- 2023年10月(8)
- 2023年9月(11)
- 2023年8月(3)
- 2023年7月(18)
- 2023年6月(16)
- 2023年5月(16)
- 2023年4月(4)
- 2023年3月(7)
- 2023年2月(26)
- 2023年1月(10)
- 2022年12月(7)
- 2022年11月(2)
- 2022年10月(5)
- 2022年9月(8)
- 2022年8月(9)
- 2022年7月(2)
- 2022年6月(3)
- 2022年5月(3)
- 2022年4月(3)
- 2022年3月(7)
- 2022年2月(1)
- 2022年1月(2)
- 2021年12月(6)
- 2021年11月(3)
- 2021年10月(5)
- 2021年9月(8)
- 2021年8月(3)
- 2021年7月(3)
- 2021年6月(3)
- 2021年5月(3)
- 2021年4月(4)
- 2021年3月(3)
- 2021年2月(1)
- 2021年1月(1)
- 2020年12月(8)
- 2020年11月(6)
- 2020年10月(1)
- 2020年9月(3)
- 2020年8月(1)
- 2020年7月(5)
- 2020年6月(1)
- 2020年5月(2)
- 2020年4月(7)
- 2020年3月(20)
- 2020年2月(12)
- 2020年1月(3)
- 2010年10月(3)
发表评论