NodePort的端口在宿主机上查不到?

最新推荐文章于 2025-08-19 13:02:58 发布
原创 最新推荐文章于 2025-08-19 13:02:58 发布 · 703 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#K8s

目录标题

Cilium

在开启了 Cilium 作为 CNI / Service 代理后,NodePort 并不像 iptables/ipvs 那样由 kube-proxy 管理,而是全部通过 eBPF map 在内核里做转发。要查看 Cilium 下的 NodePort,常用几条命令:

  1. 查看所有服务及其对应的 ClusterIP/NodePort/LB IP 列表

    cilium service list

    这个命令会给出一个表格,里面有:

    • ID:Cilium 给每个 Service 分配的内部标识
    • Frontend:ClusterIP:Port、NodePort(0.0.0.0:NodePort)或外部 LB IP
    • Backends:对应的 Pod IP:Port

  2. 查看底层 eBPF LB 路由(相当于 “iptables -t nat”)

    cilium bpf lb list

    输出里,你可以看到所有 Service frontend(包括 NodePort)和它们的后端节点分布情况。

  3. 如果想直接看 eBPF map

    • 列出所有 map:

      bpftool map list

    • 找到与 Service LB 相关的 map(一般名字里带 cilium_lb4_*cilium_services_v4),然后:

      bpftool map dump name cilium_services_v4

      或者

      bpftool map dump pinned /sys/fs/bpf/tc/globals/cilium_services_v4

    这样可以看到 key(VIP、Port、Proto)到 value(Backend IDs)的映射。

  4. Kubernetes 原生视角(仅做配置核对)

    kubectl get svc -A -o wide

    或者

    kubectl describe svc my-service -n my-namespace

    这里能确认为 Service 分配了哪个 NodePort。

示例:
假设你有一个在 default 命名空间下叫 web 的 Service,NodePort 是 30080,可以这样做:

# 列出所有 Service,看 ID 和 Frontend
cilium service list | grep web

# 查看 eBPF LB 详情,确认 NodePort 30080 映射到哪些后端
cilium bpf lb list | grep 30080

通过上述命令,就能在 Cilium 的 eBPF 层面,准确看到 NodePort 的转发规则,以及它被转发到哪些 Pod 上。

在这里插入图片描述

在这里插入图片描述

kube-proxy

在 Kubernetes 的 NodePort 模式下,其实并没有一个进程在宿主机上“直接” listen 这个端口,所以用 ss/netstat 是看不到的。NodePort 的流量是通过 kube-proxy 在 netfilter(iptables/IPVS)层面做 DNAT/NAT 转发的,你要看的是那里的规则:

  1. iptables 模式下

    # 列出 nat 表中所有的 NodePort 转发规则
iptables -t nat -L KUBE-SERVICES -n --line-numbers | grep <NodePort>

    或者更全一点:

    iptables -t nat -L -n | grep <NodePort>

    你会看到类似:

    DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:30080 to:10.244.1.5:80

    这就说明所有到宿主机 30080 的 TCP 请求都会被转发到 Pod 的 IP:Port。

  2. IPVS 模式下(kube-proxy --proxy-mode=ipvs
    如果你的 kube-proxy 用的是 IPVS,就要用:

    ipvsadm -Ln | grep <NodePort>

    会看到类似:

    TCP  0.0.0.0:30080  rr
  -> 10.244.1.5:80        Masq    1      100%

  3. Kubernetes 原生命令
    如果你只是想快速确认哪个 NodePort 对应哪个 Service,也可以直接:

    kubectl get svc -A -o wide

    或者:

    kubectl describe svc my-service -n my-namespace

    里边都会列出 NodePort: <port>

小结:

  • ss/netstat 只看进程级别的 listening socket,NodePort 并不是某个进程 bind 的端口;
  • iptables-save/ipvsadm 能查看 kube-proxy 在内核层面设置的 DNAT/IPVS 规则;
  • kubectl get/describe svc 则是最高层面查看配置和映射。
k3s的nodeport端口未监听
qq_46654855的博客
07-12 1688
我正在使用k3d (docker中的k3s)做一些教程,我的yml看起来像这样: 复制结果节点端口为31747: 复制然而,wget起作用: 复制我错过了什么?我已经确保我的标签都写着,我的、和都是80;问题是,NodePort范围是否从主机映射到充当节点的码头容器。命令将向您展示,有关更多详细信息,您可以并查看下的属性。我没有k3d,但这里有一个来自kind的例子。 复制 复制如果是,按照注释中的建议使用可能是最简单的方法。或者,开始研究Ingress。入口是在集群外部公开工作负载
什么是 Docker 中的端口映射?何时需要端口映射?
网络技术联盟站
04-24 444
Docker 容器运行在隔离的网络命名空间中,每个容器拥有独立的 IP 地址和网络堆栈。默认情况下,容器可以与同一主机上的其他容器或主机通信,但外部网络(例如主机外部的客户端或设备)无法直接访问容器内部的服务。端口映射通过将主机上端口与容器内的端口绑定,打破这一隔离,使容器服务对外可见。-pports假设你运行了两个 Nginx 容器,均监听容器内的 80 端口。通过端口映射,你可以将它们分别映射到主机的 8080 和 8090 端口。这样,外部用户可以通过和访问同的 Nginx 服务,避免端口冲突。
mac电脑下无法访问minikubeNodePort端口
俞兆鹏的博客
07-15 1万+
通过openvpn等,解决mac电脑里无法访问minikube的service问题。
k8s 中svc映射的外部端口是如何监听的,netstat命令为什么查不到
Mr_wilson_liu的博客
05-29 1164
Kubernetes中,Service(服务)是一种抽象,用于将一组Pod(容器)公开为一个网络服务。根据您的描述,您在Kubernetes中创建了一个Service,并将其类型设置为NodePort,并指定了端口号31514。但是在系统层面使用netstat命令查看时,并没有看到系统在监听31514端口。如果iptables有配置针对31514端口的规则,那么它可能在进行端口转发。如果IPVS有配置针对31514端口的规则,那么它可能在进行负载均衡。
关于netstat查不到映射端口的连接信息的原因
08-02 1530
由于 Docker 的网络隔离和 NAT 机制,宿主机上的可能无法直接显示公网访问的容器端口连接信息。这些连接信息在容器内部是可见的,因为连接最终终止在容器的网络堆栈中。通过理解和配置 Docker 网络,可以更好地调试和管理容器的网络连接。
cilium安装下封闭NodePort映射端口
m0_37642477的博客
09-27 457
cilium安装下封闭NodePort映射端口
Cilium生产环境部署与运维指南
gitblog_00575的博客
06-01 975
Cilium生产环境部署与运维指南 【免费下载链接】cilium Cilium 是一个开源的网络和存储编排工具,用于容器网络、负载均衡和网络安全。 * 用于容器网络、负载均衡和网络安全、支持多种编程语言和框架、容器网络。 * 有什么特点:支持多种编程语言和框架 ...
82、k8s的service-NodePort端口开放和生命周期
m0_74149099的博客
08-28 1775
#没加自定义命名空间,进入了容器-------------------以上纯属看错误--------------------[root@master01 ~]# kubectl exec -it -n xy102 nginx1-654cb56c4-7plg2 bash ##自定义命令空间,需要添加命令空间,进入pod的容器NodePort:service根据标签来匹配对应的pod,只要标签匹配,都能转发到指定的pod内的容器。
k8s ipvs 模式下支持 localhost:<nodeport>方式访问服务
云淡风轻
02-18 1898
今天去定位一个nodeport的问题,发现curl 127.0.0.1:32000 访问nodeport的时候会规律的hang住,本来以为是后端服务的问题,但是curl管理ip:nodeport 是正常的。这个就奇怪了,深入研究了下发现 ipvs模式下是支持这样访问的,如果想使用 localhost: 得使用iptables模式。!!!#endifif (!if (!
设置service的nodeport以后外部无法访问对应的端口的问题
weixin_34268579的博客
04-13 2985
关于Service 设置为NodePort 模式后导致外部无法访问对应的端口问题,查看下node节点上已经出现了30002端口的监听,确保服务器外部安全组等限制已经放行该端口,按照网上搜到的教程配置基本没看到要配置iptables相关的问题。 然后查阅了少资料才看到docker 1.13 版本对iptables的规则进行了改动,默认FORWARD 链的规则为DROP ,带来的问题主要一旦DROP...
kubernetes/k8s概念】Cilium架构与概念
zhonglinzhang
07-14 9639
Cilium着重强调了其在网络安全上的优势,可以透明的对Kubernetes等容器管理平台上的应用程序服务之间的网络连接进行安全防护。 Cilium在设计和实现上,基于Linux的一种新的内核技术eBPF,可以在Linux内部动态插入强大的安全性、可见性和网络控制逻辑,相应的安全策略可以在修改应用程序代码或容器配置的情况下进行应用和更新。 1. Cilium 架构 ...
cilium插件测试_Cilium使用 (Cilium 3)
weixin_35959421的博客
01-17 934
使用k3s测试Cilium,安装步骤可以参见官方文档Cilium安装使用docker安装使用如下命令安装最新版本的dockeryum install -y yum-utils \device-mapper-persistent-data \lvm2yum-config-manager \--add-repo \https://download.docker.com/linux/centos/doc...
最 Cool Kubernetes 网络方案 Cilium 入门教程
云原生实验室
04-21 2655
原文链接:https://davidlovezoe.club/wordpress/archives/851前言最近业界使用范围最广的 K8S CNI 网络方案 Calico 宣布支持 e...
cilium系列之一:安装并配置cilium
李炜伦的博客
09-16 1万+
cilium可以在内核转发和过滤数据包,可以解决现有的kube-proxy性能问题,这是有关介绍链接http://dockone.io/m/article/10046 现在主要的问题仅在于网络是underlay还是overlay,也在于networkpolicy。
最Cool Kubernetes网络方案Cilium入门教程
Docker的专栏
04-24 1021
最近业界使用范围最广的Kubernetes CNI网络方案Calico宣布支持eBPF[1],而作为第一个通过eBPF实现了kube-proxy所有功能的Kubernetes网络方案——...
cilium安装
qq_33588470的博客
06-27 1679
1.cilium安装卸载flannel# 一般生产环境是会这样操作的,因为一旦把 cni 卸载后,所有pod 都会因为没有对应cni 支持,导致pod 无法正常运行和通信异常; # 生产环境如果涉及需要更换cni ,一般会涉及,即便涉及到更换cni的,也会采用新部署一套集群,然后进行迁移; # 卸载flannel cni 插件: # 根据部署时记录,确认版本; [root@master ~]# kubectl delete -f https://raw.githubusercontent.com/cor
中国最适合居住的城市 TOP5:2025 宜居城市深度解析
热门推荐
喝醉酒的小白
08-19 1万+
选择一座适合自己的城市,是人生中的重要决定。杭州、成都、青岛、苏州和珠海这五座城市,各有特色,各有所长,代表了中国同区域、同类型城市的宜居典范。杭州以其优美的自然环境、发达的数字经济和高品质的生活体验,成为 “诗意栖居与数字经济的平衡” 的代表。成都以其悠闲的生活节奏、丰富的美食文化和较低的生活成本,展现了 “慢生活与烟火气的天花板” 的独特魅力。青岛以其优美的海滨风光、完善的基础设施和丰富的海洋资源,成为 “滨海度假与工业基础的互补” 的典范。
新疆的旅游攻略
喝醉酒的小白
04-26 1万+
新疆的美需要时间和耐心去探索,建议根据季节和兴趣调整行程,预留弹性时间感受当地人文与自然的交融。出发前关注“新疆是个好地方”公众号获取实时路况和景区信息,祝旅途愉快!融合北疆自然与南疆人文,涵盖喀纳斯、喀什、伊犁、吐鲁番等核心区域,适合深度游。
Hadoop 3 构建高效的大数据分析方案
喝醉酒的小白
06-09 1万+
本书大概讲了Hadoop、MapReduce、Python-Hadoop、R-Hadoop、Spark、Flink大数据分析相关技术和大数据可视化技术以及云计算和亚马逊。
如何看宿主端口
最新发布
09-04
注意:在宿主机上,Docker容器映射的端口会被Docker守护进程(或者通过代理进程)监听在宿主机上,因此会出现在宿主机监听端口中。 综上所述,我们可以根据同的需求选择同的方法来查看宿主机的端口。 生成...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值