目录标题
✅ Kubernetes & 数据库部署典型端口用途总览
💡 说明:所有端口基于官方文档或社区广泛部署标准,列明用途、通信方向、默认暴露范围和参考依据。
🚢 Kubernetes 核心组件端口划分
| 端口号 | 协议 | 组件 | 通信方向 | 用途描述 | 参考 |
|---|---|---|---|---|---|
| 6443 | TCP | kube-apiserver | Client → API Server | 控制面 API Server,主入口,组件与用户 CLI 的通信点 | K8s Docs |
| 2379–2380 | TCP | etcd | API Server ↔ etcd | 分布式键值存储,k8s 所有状态数据保存在此 | etcd Docs |
| 10250 | TCP | kubelet | API Server → Node | API Server 与各 Node 的 kubelet 通信,用于容器生命周期管理 | K8s Docs |
| 10255(默认禁用) | TCP | kubelet(只读) | 客户端 → Node | 只读 HTTP 端口,非安全通道,现代版本默认关闭 | Deprecated |
| 10256 | TCP | kube-proxy | API Server → kube-proxy | 管理 iptables 或 IPVS 规则的代理 | K8s Docs |
| 10257 | TCP | kube-controller-manager | 控制面内部 | 健康检查 / webhook | Ports |
| 10259 | TCP | kube-scheduler | 控制面内部 | 健康检查 | 同上 |
| 30000–32767 | TCP/UDP | NodePort 服务 | 客户端 → 节点 | 暴露 Service 给外部访问(可配置) | K8s Service Types |
🌐 网络组件相关端口(CNI、Overlay 网络)
| 端口号 | 协议 | 组件 | 用途描述 |
|---|---|---|---|
| 179 | TCP | Calico | BGP 路由通告(Calico BGP 模式) |
| 5473 | TCP | Cilium | operator 与 agent 的 gRPC 通信 |
| 4240, 4244 | TCP | Cilium | envoy 监听 / health / metrics |
| 6783–6784 | UDP | weave-net | overlay 网络通信端口 |
| 9962–9965 | TCP | Cilium | health API、clustermesh 端口等 |
📝 Cilium 中的端口视启用的功能不同而定,可通过
cilium status查看当前监听。
📡 监控与指标采集组件端口
| 端口号 | 组件 | 用途说明 |
|---|---|---|
| 9090 | Prometheus | 监控数据聚合和查询入口 |
| 9093 | Alertmanager | 告警分发组件的服务入口 |
| 9100 | node-exporter | 节点级资源监控指标暴露(Node 级) |
| 9443 | metrics-server | 提供容器级 metrics 给 kube-apiserver 使用 |
| 9187 | postgres-exporter | PostgreSQL 指标采集 |
| 9104 | mysqld_exporter | MySQL/MariaDB 指标采集 |
| 9121 | redis_exporter | Redis 指标采集 |
🗄️ 数据库端口规范
PostgreSQL
| 端口 | 用途 |
|---|---|
| 5432 | 默认 PostgreSQL 服务端口 |
| 6432 | PgBouncer 连接池(性能优化) |
| 8008 | Patroni API(高可用管理) |
| 2379 | 使用 etcd 作为 DCS 时的 etcd 服务端口 |
MySQL / MariaDB
| 端口 | 用途 |
|---|---|
| 3306 | 默认 MySQL 服务端口 |
| 4567 | Galera cluster 多主同步通信 |
| 4568 | Galera 增量状态传输(IST) |
| 4444 | Galera 全量状态传输(SST) |
Redis
| 端口 | 用途 |
|---|---|
| 6379 | 默认 Redis 服务端口 |
| 6380 | Redis TLS 通信或 Sentinel 服务(自定义) |
MongoDB
| 端口 | 用途 |
|---|---|
| 27017 | 默认服务端口(mongod) |
| 27018 | 副本集、分片集群的其他 mongod 实例 |
| 9101 | MongoDB exporter,用于 Prometheus 抓取指标 |
🔒 安全实践与策略建议
| 目标 | 建议实践 |
|---|---|
| 控制平面端口限制 | 使用防火墙、安全组、iptables 限制除运维和控制组件以外访问 |
| NodePort 范围规范 | 建议修改为如 --service-node-port-range=20000-25000 避免冲突 |
| 数据库端口隔离 | 外部只暴露连接池(如 PgBouncer),主数据库服务应内网隔离 |
| 监控接口加密 | 所有 exporter 接口建议绑定 127.0.0.1 或经 Ingress 代理,加 TLS/Auth |
📚 推荐资料参考
- Kubernetes 官方文档:https://kubernetes.io/docs/reference/ports/
- etcd 网络通信说明:https://etcd.io/docs/v3.5/op-guide/network/
- Cilium 端口说明:https://docs.cilium.io/
- PostgreSQL HA(Patroni + etcd):https://patroni.readthedocs.io/
- Galera 端口说明:https://galeracluster.com/library/documentation/firewall-settings.html
- Prometheus Exporters:https://prometheus.io/docs/instrumenting/exporters/
📘 可按需输出内容
- ✅ Excel 格式导出的完整端口用途表
- ✅ 各组件通信拓扑图(PDF/Visio/PlantUML)
- ✅ Kubernetes + 数据库部署的防火墙规则 YAML 示例
- ✅ CMDB 端口分配管理规范模板
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
