kubernetes按照后,服务器防火墙需要开放哪些端口?

最新推荐文章于 2025-05-23 17:17:59 发布
原创 最新推荐文章于 2025-05-23 17:17:59 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #服务器 #容器

在Kubernetes生产环境中,不应完全关闭防火墙,而应实施最小权限策略。worker节点需开放如kubeletAPI(10250),kube-scheduler(10251),kube-controller-manager(10252)等端口,并可能开放30000-32767端口以支持NodePort服务。使用iptables或nftables来管理并限制流量,确保安全配置经过测试且不会影响集群运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一般安装kubernetes的教程都会教大家首先关闭防火墙,实验环境如此倒是没问题,到了生产环境就离谱了,所以服务器的防火墙依然需要保持最小策略开放,确保服务器的运行安全。

在Kubernetes中,通常是通过操作系统提供的防火墙软件来管理worker节点的防火墙。常见的防火墙软件包括iptables和nftables。

如果你想管理Kubernetes集群中的worker节点防火墙,可以按照以下步骤进行:

  1. 确认所使用的操作系统和防火墙软件:不同的操作系统和防火墙软件可能有不同的配置方式和命令。

  1. 打开必要的端口:根据Kubernetes官方文档,worker节点上需要打开以下端口以支持Kubernetes集群的正常运行:

  • TCP 10250:kubelet API

  • TCP 10251:kube-scheduler

  • TCP 10252:kube-controller-manager

  • TCP 30000-32767:NodePort Services(如果使用)

可以使用防火墙软件的相关命令来打开这些端口。

  1. 限制流量进出worker节点:你可能需要根据安全策略限制worker节点上的流量,例如限制来自外部网络的流量。可以使用防火墙软件的相关命令来限制流量。

注意,配置worker节点的防火墙可能会影响Kubernetes集群的正常运行。因此,在进行任何更改之前,请确保你已经测试过防火墙规则,并且能够在不影响集群运行的情况下进行更改。

CentOS下开放端口及相关操作
邓邓子的博客
12-22 1053
1、开放端口 firewall-cmd --zone=public --add-port=3306/tcp --permanent # 开放端口 firewall-cmd --reload # 配置立即生效 firewall-cmd --zone=public --list-ports #查看端口是否生效 2、关闭端口 firewall-cmd --zone=public --remove-port=3306/tcp --permanent #关闭端口 firewall-cmd --reload
k8s集群开放防火墙策略
qq_42895490的博客
06-23 2176
在生产环境部署 k8s 的过程中,基于安全的需要,可能需要开启 firewalld。本文将介绍 firewalld 的使用方式以及 k8s 集群所需开放端口
k8s各组件端口
风向决定发型丶的博客
05-24 3800
10252:kube-controller-manager和kube-apiserver之间的通信端口,用于接收kube-apiserver发送的请求,包括同步cluster state、管理Pod副本数、节点状态等。10251:kube-scheduler和kube-scheduler组件之间的通信端口,用于接收来自kube-apiserver的调度请求,并将调度结果返回给kube-apiserver。10255:kubelet的只读端口,用于提供节点的健康状况以及容器运行时信息的监控数据。
K8S集群需要开放端口说明
最新发布
学亮编程手记
05-23 913
在离线环境中部署 Kubernetes (K8S) 集群时,需要确保各节点(Master 和 Worker)的防火墙(如firewalld)开放必要的端口,以确保组件间的正常通信。
部署k8s需要开放端口
cyw8998的专栏
01-04 662
可以不关闭防火墙,只需要开启这些端口就行了。
部署k8s,内网之间需开放端口
m0_63004677的博客
02-28 1670
在部署k8s时,如果服务器直接之间节点有端口限制,需要开放以下端口。(踩过的坑,部署k8s的时候,服务器之间端口存在限制,导致一直不停的放开一些端口,这些是总结的需要开放端口
通过防火墙策略解决k8s中ng端口漏洞
雅俗共赏的博客
10-12 3551
通过防火墙策略解决k8s部署的服务扫描出来的漏洞
数据库故障排查指南中防火墙阻止数据库端口通信的大数据解决方案
百态老人的博客
05-16 1114
数据库故障排查中,常见问题包括硬件、网络、存储、数据损坏、人为错误和资源耗尽等。其中,防火墙阻止数据库端口通信是典型的网络故障,可能导致客户端无法连接数据库。定位方法包括网络协议栈分析、防火墙规则检查等。基于大数据的日志采集与流量监控方案,如ELK或Fluentd+Kafka+Spark组合,可实时监控数据库端口通信状态,识别异常拦截行为。自动化修复脚本如Python端口检测脚本和Shell脚本,可自动检测并修复端口拦截问题。总结与优化建议包括建立基线流量模型、自动化修复和平衡安全与性能,以提升系统稳定性。
多台云服务器Kubernetes 集群搭建
虚幻私塾
06-25 1224
两台或多台腾讯云服务器(本人搭建用了两台),都是 CentOs 7.6,master 节点:服务器为 4C8G,公网 IP:124.222.61.xxxnode1节点:服务器为 4C4G,公网 IP:101.43.182.xxx修改 hosts 信息:在 master 节点和 node 节点的 hosts 文件中添加节点信息 禁用防火墙: 禁用 SELINUX: 加载 br_netfilter 模块: 创建文件: 执行命令使修改生效: 安装 ipvs: 在各个节点上都安装 ipset: 安装管理工具 ip
在阿里云服务器上搭建单节点Kubernetes集群的完整指南与故障排除
weixin_39777492的博客
05-06 881
通过本文的步骤,您可以在阿里云服务器上快速搭建单节点Kubernetes集群,并掌握常见问题的排查方法。安全与稳定性:生产环境需谨慎操作防火墙、SELinux及污点配置。资源预留:为Master节点预留足够资源,避免管控组件异常。监控与维护:定期检查证书有效期,部署监控工具。Kubernetes的学习曲线较陡峭,但通过实践与问题解决,您将逐步掌握其核心机制。希望本文能为您的容器化之旅提供有效助力!附录Kubernetes官方文档阿里云容器服务最佳实践。
云原生 k8s 可能使用到的端口整理【不定期更新】
一只奋斗的猪
01-30 2837
`k8s` 因为涉及到的组件太多了,所以端口有很多,这里整理了日常所接触的接口,后续有新的再更新。
Kubernetes开放接口】
小怪兽的博客
05-30 1276
Kubernetes作为云原生应用的基础调度平台,相当于云原生的操作系统,为了便于系统的扩展,Kubernetes开放的以下三个接口,可以分别对接不同的后端,来实现自己的业务逻辑。 CRI(Container Runtime Interface):容器运行时接口,提供计算资源 CNI(Container Network Interface):容器网络接口,提供网络资源 CSI(Container Storage Interface):容器存储接口,提供存储资源 1.CRI - Container
K8s生产环境下启用防火墙
梦想起飞的地方.........
03-05 3301
K8s生产环境下启用防火墙 当初在安装K8s集群时,为了安装方便关闭了所有机器的防火墙,但是如果是生产环境,非常不安全,因此有了这篇文章。文章总结了在开启防火墙状态下,需要开放哪些端口,以及需要注意的点。 准备 服务器操作系统:Ubuntu 16.04 防火墙命令:ufw 集群: 设置 开放etcd集群所需端口2379(客户端监听)和2380(节点间内部通信) ufw ...
云原生Kubernetes:K8S常用服务端口
cronaldo91的博客
09-05 1883
表2 prometheus监控集群端口。(2)prometheus监控集群。表1 K8S集群端口
零基础搭建k8s集群(三)- 提前放行相关的网络端口
ethenoscar2011的博客
09-14 841
本文讲解网络端口的放行,TCP端口:6443、2379-2380、10250、10251、10252、10255、30000-32767UDP端口:8285端口协议说明6443TCP用于的访问2379-2380TCP用于etcd数据库的通信10250TCP用于kubelet的API Server通信10251TCP用于的选举通信10252TCP用于的选举通信10255TCP用于kubelet。
K8s 所有常用端口
热门推荐
多回访
01-14 1万+
协议 端口号 K8s TCP 22 使用主机驱动通过SSH进行节点配置 TCP 2376 主机驱动与Docker守护进程通信的TLS端口 TCP 2379 etcd客户端请求 TCP 2380 etcd节点通信 UDP 8472 Canal/Flannel VXLAN overlay 网络 UDP 4789 Windows集群中Flannel VXLAN overlay网络 TCP 9099 Canal/Flannel健康检查 TCP 9796 集群监控拉取节点指...
K8S所有常用端口
weixin_51134188的博客
12-13 2495
CentOS 7部署k8s集群(v1.19.16)
02-22 1361
CentOS 7部署k8s集群(v1.19.16)
9876是谁的默认端口号?
02-22
<think>好的,用户问的是9876是谁的默认端口号。首先,我需要回想一下常见的默认端口号。比如80是HTTP,443是HTTPS,22是SSH,3306是MySQL,这些比较常见。但9876这个端口号好像不是特别常见的。 可能用户在使用某个软件或服务时遇到了这个端口号,想知道它是哪个服务默认使用的。我需要先检查常见的端口分配列表,看看有没有9876的记录。查资料的话,IANA是负责端口号分配的机构,他们的官方列表里,9876可能没有被列为知名端口。通常知名端口是0-1023,注册端口是1024-49151,动态端口是49152-65535。9876属于注册端口范围,但可能没有被IANA正式注册。 接下来,考虑一些常用软件或框架的自定义端口。比如Apache Spark或者其他分布式系统可能会使用非标准端口。例如,Spark的历史服务器有时会用18080,但不确定有没有9876的情况。另外,Hadoop相关服务也可能使用类似的端口,但需要确认。 或者,某些游戏服务器或特定应用程序可能会使用9876作为默认端口。比如一些多人游戏或私有协议服务。此外,像Docker容器Kubernetes集群中的某些服务也可能配置自定义端口,比如9876。但这些都是具体应用的配置,可能没有统一的标准。 用户可能是在配置防火墙或网络安全策略时遇到了这个端口,需要知道对应的服务以便放行或阻止。这时候,如果无法确定端口用途,建议用户检查本地运行的服务,使用netstat或lsof命令查看哪个进程在监听9876端口。如果是内部应用使用的,可能需要查阅该应用的文档。 另外,考虑到用户之前的问题是关于GitHub的issue标签,可能用户现在的问题也和技术相关,比如在开发或部署过程中遇到了端口问题。因此,回答时需要明确说明9876不是标准端口,但可能被某些特定软件使用,建议用户检查自己的环境或应用配置。 总结来说,9876不是广为人知的默认端口,可能属于特定应用程序或服务的自定义配置。需要用户进一步检查本地服务或相关文档来确定具体用途。</think>9876 并非 **IANA(互联网编号分配机构)** 官方注册的知名端口,但某些软件或服务可能默认使用该端口。以下是常见使用场景: --- ### **1. 特定软件或框架的默认端口** - **Apache Hadoop/YARN** 部分 Hadoop 生态组件(如资源管理器或历史服务器)可能配置为使用 `9876`(非强制,取决于具体部署)。 - **分布式系统或自定义服务** 开发者在私有协议、微服务或内部工具中可能将 `9876` 作为默认端口(需参考对应文档)。 --- ### **2. 网络调试或临时用途** - **测试环境** 开发者可能在示例代码、教程中临时使用 `9876` 作为演示端口(例如 WebSocket、TCP/UDP 测试)。 - **容器或虚拟化平台** Docker、Kubernetes 等可能映射 `9876` 用于特定服务(需检查容器配置)。 --- ### **3. 游戏或 P2P 应用** 某些多人游戏(如私服)或 P2P 文件共享工具可能使用 `9876`,但无统一标准。 --- ### **如何确认本地 9876 端口用途?** 1. **命令行检查**(Linux/macOS/Windows): ```bash # Linux/macOS lsof -i :9876 # 查看占用进程 netstat -tuln | grep 9876 # Windows netstat -ano | findstr "9876" tasklist | findstr "<PID>" # 替换为实际进程ID ``` 2. **防火墙/安全组日志** 若端口暴露在公网,检查防火墙日志中的连接来源和目的。 3. **查阅软件文档** 若为某软件自动开启,需检查其配置文件的端口设置。 --- ### **注意事项** - **安全风险**:若不确定端口用途且存在外部访问,建议暂时关闭并排查。 - **自定义配置**:许多服务允许通过配置文件(如 `config.yml`、`application.properties`)修改默认端口。 如需进一步定位,请提供运行环境或相关日志细节!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lkmtao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值