K8S集群需要开放的端口说明

于 2025-05-23 17:17:59 发布
阅读量723 收藏 17
点赞数 22
分类专栏: k8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a772304419/article/details/148172655
版权

在离线环境中部署 Kubernetes (K8S) 集群时,需要确保各节点(Master 和 Worker)的防火墙(如 firewalld)开放必要的端口,以确保组件间的正常通信。以下是需要开放的端口分类说明:

一、Master 节点需开放的端口

端口范围协议用途
6443TCPKubernetes API Server(所有节点和外部访问的核心端口)
2379-2380TCPetcd 客户端和服务端通信(若使用外部 etcd 需额外配置)
10250TCPKubelet API(Master 与 Worker 间的指标、日志、执行命令通信)
10259TCPkube-scheduler 的 metrics 和健康检查(≥1.23 版本)
10257TCPkube-controller-manager 的 metrics 和健康检查(≥1.23 版本)
8472UDPFlannel CNI 的 VXLAN overlay 网络(根据 CNI 插件调整,如 Calico 不同)
30000-32767TCPNodePort 服务的外部访问端口范围(可自定义)

二、Worker 节点需开放的端口

端口范围协议用途
10250TCPKubelet API(Master 访问 Worker 的指标、日志等)
30000-32767TCPNodePort 服务的外部访问端口
8472UDPFlannel CNI 的 VXLAN 通信(其他 CNI 如 Calico 可能用 IPIP 或 TCP)
9796TCP部分监控工具(如 Prometheus)的指标采集端口(非必需)

三、所有节点需开放的端口

端口协议用途
22TCPSSH 管理访问(建议限制来源 IP)
6783-6784TCPWeave CNI 的通信端口(若使用 Weave)
53TCP/UDPCoreDNS 或 kube-dns 的 DNS 解析

四、防火墙配置示例(firewalld)

1. Master 节点命令
sudo firewall-cmd --permanent --add-port=6443/tcp
sudo firewall-cmd --permanent --add-port=2379-2380/tcp
sudo firewall-cmd --permanent --add-port=10250/tcp
sudo firewall-cmd --permanent --add-port=10257/tcp
sudo firewall-cmd --permanent --add-port=10259/tcp
sudo firewall-cmd --permanent --add-port=8472/udp
sudo firewall-cmd --permanent --add-port=30000-32767/tcp
sudo firewall-cmd --reload
2. Worker 节点命令
sudo firewall-cmd --permanent --add-port=10250/tcp
sudo firewall-cmd --permanent --add-port=30000-32767/tcp
sudo firewall-cmd --permanent --add-port=8472/udp
sudo firewall-cmd --reload

五、关键注意事项

  1. CNI 插件差异

    • Flannel:需开放 UDP 8472(VXLAN)。
    • Calico:需开放 TCP 179(BGP)、IPIP 协议(默认为 协议号 4)。
    • Weave:需开放 TCP 6783-6784 和 UDP 6783-6784。

  2. 离线环境特殊要求

    • 确保所有节点的防火墙规则在部署前已配置,避免因网络不通导致安装失败。
    • 如果使用私有镜像仓库,需开放其端口(如 HTTP 8080 或 HTTPS 443)。

  3. 安全建议

    • 使用 --zone=trusted 将 Pod 和 Service 网段加入信任区域(替换为实际 CIDR):
      sudo firewall-cmd --permanent --zone=trusted --add-source=10.244.0.0/16  # Flannel 默认网段
sudo firewall-cmd --permanent --zone=trusted --add-source=10.96.0.0/12   # Service 网段

  4. 验证端口

    sudo firewall-cmd --list-all  # 查看已开放端口

通过以上配置,可确保离线 K8S 集群各组件间的通信正常。根据实际使用的 CNI 插件和 Kubernetes 版本调整端口。

K8s(二十二):k8s集群如何部署一个Spring Boot项目(依赖于MySQL和Redis外部服务)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-21 2万+
🔴 K8s(二十二):k8s集群如何部署一个Spring Boot项目(依赖于MySQL和Redis外部服务)
【Jenkins+K8s】持续集成与交付 (二十):K8s集群通过Deployment方式部署安装Jenkins
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
06-11 2万+
本文将介绍如何在 Kubernetes 集群上安装和配置 Jenkins。
云原生Kubernetes:K8S常用服务端口
cronaldo91的博客
09-05 1843
表2 prometheus监控集群端口。(2)prometheus监控集群。表1 K8S集群端口
Kubernetes:(四)常用命令
ver_mouth__的博客
07-29 7138
YAML,即YAMLAin’taMarkupLanguage(YAML不是一种标记语言)的递归缩写。YAML其实意思是YetAnotherMarkupLanguage(仍是一种标记语言)。它主要强度这种语言是以数据为中心,而不是以标记为中心,而像XML语言就使用了大量的标记。YAML可读性高,易于理解,用来表达数据序列化的格式。它的语法和其他高级语言类似,还可以简单表达数组、散列表,标量等数据形态。.yml,例如application.yml●port。...
零基础搭建k8s集群(三)- 提前放行相关的网络端口
ethenoscar2011的博客
09-14 808
本文讲解网络端口的放行,TCP端口:6443、2379-2380、10250、10251、10252、10255、30000-32767UDP端口:8285端口协议说明6443TCP用于的访问2379-2380TCP用于etcd数据库的通信10250TCP用于kubelet的API Server通信10251TCP用于的选举通信10252TCP用于的选举通信10255TCP用于kubelet。
k8s外部访问pod内部容器端口-NodePort
生有涯,知无涯
03-20 5428
k8s外部访问pod内部容器端口-NodePort
部署k8s需要开放端口
cyw8998的专栏
01-04 647
可以不关闭防火墙,只需要开启这些端口就行了。
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
k8s集群部署文档说明
10-16
为了确保 k8s 集群的安全,需要配置防火墙,放行相关端口。用户可以按照指导配置防火墙规则。 7. 节点设置 在 k8s 集群中,每个节点都需要设置自己的 hostname、MAC 地址和 product_uuid。用户可以按照指导设置...
k8s集群部署
2201_75391148的博客
08-16 1028
基于docker的单master的k8s集群初步安装的步骤如上,大家在安装部署时需要注意步骤顺序,如果k8s init失败,可以使用kubeadm reset重置环境,检查步骤后重新初始化。
K8s 容器暴露端口
Gabriel的博客
08-28 1401
需要容器内部服务与宿主机同一网段特点:当Pod调度到哪个节点就使用哪个节点的IP地址,客户端使用IP地址访问容器里面的服务。一个node只能启动一个pod端口端口不能冲突。可以直接访问 192.168.54.129。
kubeadm安装k8s集群
qq_45139829的博客
01-12 1236
固定静态IP。
K8s概述:几种集群方案的对比
最新发布
2401_86401423的博客
09-07 753
而在DC/OS平台下,各应用调度框架与Mesos资源实现了松耦合,Mesos仅负责资源的调度,而上层应用的调度则由各应用的Framework自身完成,Framework自身也可以通过容器的方式运行在平台之上。其它框架的调度器是直接面对整个集群,Mesos的优势在于,第一层调度先将整个Node分配给一个Framework,然后Framework的调度器面对的集群规模小很多,然后在里面进行二次调度,而且如果有多个Framework,例如有多个Marathon,则可以并行调度不冲突。
k8s各组件的端口说明
bintown的博客
08-24 1249
k8s各组件端口说明
k8s、pod
2301_78069073的博客
10-31 1342
每个 Pod 都有一个特殊的被称为"基础容器"的 Pause 容器。Pause 容器对应的镜像属于K8s平台的一部分,除了 pause 容器,每个 Pod 还包含一个或者多个紧密相关的用户应用容器
k8s占用的端口号,使用netstat命令查不到
weixin_35756130的博客
01-01 2118
k8s使用的端口号可能会有很多,因为它是一个容器编排系统,它可以管理和运行大量的容器。这些容器可能会运行在不同的主机上,并且可能使用不同的端口。 如果你想要查看k8s使用的端口号,你可以使用kubectl命令行工具,使用以下命令查看集群中所有的服务: kubectlget svc --all-namespaces 这将会列出集群中所有的服务以及它们使用的端口号。 另外,k8s还使用一些特定的端口...
K8s 所有常用端口
多回访
01-14 1万+
协议 端口K8s TCP 22 使用主机驱动通过SSH进行节点配置 TCP 2376 主机驱动与Docker守护进程通信的TLS端口 TCP 2379 etcd客户端请求 TCP 2380 etcd节点通信 UDP 8472 Canal/Flannel VXLAN overlay 网络 UDP 4789 Windows集群中Flannel VXLAN overlay网络 TCP 9099 Canal/Flannel健康检查 TCP 9796 集群监控拉取节点指...
k8s暴露集群内和集群外服务的方法
「 虚幻私塾」
08-08 970
一般 pod 都是根据 service 资源来进行集群内的暴露,因为 k8s 在 pod 启动前就已经给调度节点上的 pod 分配好 ip 地址了,因此我们并不能提前知道提供服务的 pod 的 ip 地址。那么 service 服务提供的功能就是,使用者根本无需关心后端提供服务 pod 的数量,以及各自对应的 ip 地址。为什么需要LB的服务,其实最重要的是有独立公有 ip 地址,当客户端向 Ingress 发送 HTTP 请求时,Ingress 会根据请求的主机名和路径决定请求转发到的服务。...
k8s篇-k8s集群架构及组件详解【史上最详细】
鬼刺
12-26 2万+
O kubernetes简介 k8s是什么 k8s是一个可移植的、可扩展的开源平台,用于管理容器化的工作负载和服务,可以促进声明式配置和自动化。 k8s能做什么 1)服务发现和负载均衡 Kubernetes 可以使用 DNS 名称或自己的 IP 地址公开容器,如果到容器的流量很大,Kubernetes 可以负载均衡并分配网络流量,从而使部署稳定。 2)存储编排 Kubernete...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学亮编程手记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值