kubernetes(k8s)修改service NodePort的端口范围

最新推荐文章于 2025-05-07 13:59:53 发布
最新推荐文章于 2025-05-07 13:59:53 发布
阅读量7.9k 收藏 14
点赞数 1
分类专栏: Kubernetes 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangbenchu/article/details/122966038
版权

修改NodePort的范围

前提:

  • 在 Kubernetes 集群中,NodePort 默认范围是 30000-32767,某些情况下,因为您所在公司的网络策略限制,您可能需要修改 NodePort 的端口范围,本文描述了具体的操作方法。
  • 下面的配置是基于 kubeadm 安装的集群

1、修改kube-apiserver.yaml文件

使用 kubeadm 安装 K8S 集群的情况下,您的 Master 节点上会有一个文件 /etc/kubernetes/manifests/kube-apiserver.yaml,修改此文件,向其中添加 --service-node-port-range=20000-22767 (请使用您自己需要的端口范围),如下所示:

apiVersion: v1
kind: Pod
metadata:
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=172.17.216.80
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    - --client-ca-file=/etc/kubernetes/pki/ca.crt
    - --enable-admission-plugins=NodeRestriction
    - --enable-bootstrap-token-auth=true
    - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
    - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
    - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
    - --etcd-servers=https://127.0.0.1:2379
    - --insecure-port=0
    - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
    - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
    - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
    - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
    - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
    - --requestheader-allowed-names=front-proxy-client
    - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
    - --requestheader-extra-headers-prefix=X-Remote-Extra-
    - --requestheader-group-headers=X-Remote-Group
    - --requestheader-username-headers=X-Remote-User
    - --secure-port=6443
    - --service-account-key-file=/etc/kubernetes/pki/sa.pub
    - --service-cluster-ip-range=10.96.0.0/12
    - --service-node-port-range=20000-22767
    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
    image: registry.cn-hangzhou.aliyuncs.com/google_containers/kube-apiserver:v1.16.0
    imagePullPolicy: IfNotPresent
    livenessProbe:
      failureThreshold: 8
      httpGet:
        host: 172.17.216.80
        path: /healthz
        port: 6443
        scheme: HTTPS
      initialDelaySeconds: 15
      timeoutSeconds: 15
  ...

2、重启apiserver

执行以下命令,重启 apiser

# 获得 apiserver 的 pod 名字
export apiserver_pods=$(kubectl get pods --selector=component=kube-apiserver -n kube-system --output=jsonpath={.items..metadata.name})
# 删除 apiserver 的 pod
kubectl delete pod $apiserver_pods -n kube-system

3、验证结果

执行以下命令,验证修改是否生效:

kubectl describe pod $apiserver_pods -n kube-system

输出结果如下所示:(此时,我们可以看到,apiserver 已经使用新的命令行参数启动)

...
    Host Port:     <none>
    Command:
      kube-apiserver
      --advertise-address=172.17.216.80
      ……
      --service-node-port-range=20000-22767
    State:          Running
      Started:      Mon, 11 Nov 2019 21:31:39 +0800
    Ready:          True
    Restart Count:  0
    Requests:
      cpu:        250m
  ...

注意

  • 对于已经创建的NodePort类型的Service,您需要删除重新创建
  • 如果您的集群有多个 Master 节点,您需要逐个修改每个节点上的 /etc/kubernetes/manifests/kube-apiserver.yaml 文件,并重启 apiserver

参考地址

K8S中,nodePort默认端口范围和如何修改端口范围
afang888的博客
06-26 2442
比如,可以通过编辑 kube-apiserver 的启动参数 --service-node-port-range 来设置不同的端口范围,但务必确保所选范围没有被系统或者其他服务占用,并且符合网络安全策略的要求。例如,可以将范围设置为 --service-node-port-range=30000-65535(假设环境中允许使用更大的端口范围)。在kube-apiserver的配置文件中,找到args参数下方,添加--service-node-port-range参数指定新的NodePort端口范围
82、k8sservice-NodePort端口开放和生命周期
m0_74149099的博客
08-28 1663
#没加自定义命名空间,进入不了容器-------------------以上纯属看错误--------------------[root@master01 ~]# kubectl exec -it -n xy102 nginx1-654cb56c4-7plg2 bash ##自定义命令空间,需要添加命令空间,进入pod的容器NodePortservice根据标签来匹配对应的pod,只要标签匹配,都能转发到指定的pod内的容器
kubesphere 修改默认端口 30880,K8S 修改默认端口范围
bayue12的博客
05-31 1120
执行上面的语句的时候 kubesphere 会自动更新环境,如果没有成功可以查看日志。修改 kubesphere 的 30880 默认端口为 18880。下面增加相应的端口范围。重启 kubelet。出现下面画面就成功了。
k8s架构、基本概念
最新发布
weixin_64274932的博客
05-07 836
从port和nodePort两个端口过来的数据都需要经过反向代理kube-proxy,流入后端pod的targetPort上,最后到达pod内的容器端口。的端口,从port或nodePort来的流量经过kube-proxy 反向代理负载均衡转发到后端Pod的targetPort上,最后进入容器。RS新一代的无状态的Pod应用控制器,它与RC的不同之处在于支持的标签选择器不同,RC只支持等值选择器,RS还额外支持基于集合的选择器。如需在运行的Pod中生成新的容器,可在pod定义文件中修改端口不能相同。
K8s 修改NodePort的范围
一片冰心
05-14 2290
修改NodePort的范围 在 Kubernetes 集群中,NodePort 默认范围是 30000-32767,某些情况下,因为您所在公司的网络策略限制,您可能需要修改 NodePort端口范围,本文描述了具体的操作方法。 修改kube-apiserver.yaml 使用 kubeadm 安装 K8S 集群的情况下,您的 Master 节点上会有一个文件 /etc/kubernetes/manifests/kube-apiserver.yaml,修改此文件,向其中添加 --service-node.
k8s 修改端口取值范围
任我行的博客
09-22 1646
背景: 在 Kubernetes 集群中,NodePort 默认范围是 30000-32767,某些情况下,因为您所在公司的网络策略限制,您可能需要修改 NodePort端口范围 : 操作方法: 更新配置文件:/etc/kubernetes/manifests/kube-apiserver.yaml,添加参数:–service-node-port-range=20000-22767,删除kube-apiserver (一般kube-apiserver都是静态pod,无需重启)。 apiVersion.
修改 KubernetesNodePort 端口范围
wuzhenxu1995的博客
06-27 1600
修改 KubernetesNodePort 端口范围 ERROR:K8SInternalError Service \"ipaa-app\" is invalid: spec.ports[0].nodePort: Invalid value: 8777: provided port is not in the valid range. The range of valid ports is 30000-32768
k8s 更改NodePort默认端口范围
xiaxia2022的博客
09-13 3992
kubeadm 更改NodePort端口范围 kubernetes默认端口号范围是 30000-32767 ,如果期望值不是这个区间则需要更改。 1.找到配置文件里,一般的在这个文件夹下: /etc/kubernetes/manifests/ 2.找到文件名为kube-apiserver.yaml 的文件,也可能是json格式 3.编辑添加配置 service-node-port-range=10000-20000 #cat kube-apiserver.yaml .
k8s 四种Service类型(ClusterIP、NodePort、LoadBalancer、ExternalName)详解
热门推荐
博客虽小,世界尽在其中
08-08 3万+
本文深入探讨了Kubernetes (k8s)Service资源的四种核心类型,每种类型均在设计上服务于不同的网络访问需求,为在Kubernetes集群内部及外部高效、灵活地暴露服务提供了强大支持。 ExternalName Service:本文首先介绍了ExternalName Service,这是一种特殊类型的Service,它不提供负载均衡或代理功能,而是将集群内的服务名解析为集群外部的DNS名称。这种类型特别适用于需要将服务请求重定向到集群外部资源(如另一个集群中的服务或第三方SaaS服务)的
K8s外部网络访问之NodePort资源附件
10-22
首先,理解NodePort的含义:NodePort是在每个Kubernetes节点上开放一个静态端口,并将该端口的流量转发到Service所选择的目标Pod。这样,任何能够访问集群节点IP和特定端口的外部客户端都可以与Service交互。Node...
Kubernetes 修改默认的端口范围
曼陀罗的博客
05-30 768
Kubernetes 修改默认的端口范围 Kubernetes 服务的 NodePort 默认端口范围是 30000-32767,在某些业务场景下,这个限制不太适用,我们可以自定义端口范围,操作步骤如下: vi /etc/kubernetes/manifests/kube-apiserver.yaml 配置文件,增加配置 --service-node-port-range=2-65535apiVersion: v1 kind: Pod metadata: creationTimestamp: null la
K8S配置apiserver:修改service默认端口范围
学亮编程手记
11-05 689
修改kube-apiserver.yaml。
k8s集群修改service端口范围,不限制30000-32767
wuguiyu的博客
11-26 296
k8s集群修改service端口范围(30000-32767)
【学习笔记 - Kubernetesk8s)】Kubernetes 修改默认的端口范围
AlanLee97的博客
02-29 6723
Kubernetes 修改默认的端口范围 Kubernetes 服务的 NodePort 默认端口范围是 30000-32767,在某些场合下,这个限制不太适用,我们可以自定义它的端口范围,操作步骤如下: 编辑 vi /etc/kubernetes/manifests/kube-apiserver.yaml 配置文件,增加配置 --service-node-port-range=2-65535 a...
2、k8s命令(pod相关(驱逐、强制删除)、让Master当Node用、修改nodeport端口范围修改k8sDNS、运行nslookup容器
lihongbao80的专栏
01-27 1万+
驱逐pod相关 1、驱逐节点上的pod kubectl drain node02 --delete-local-data --ignore-daemonsets --force 2、将node置为SchedulingDisabled不可调度状态,后续的新创建pod容器时scheduler调度不会考虑该node,旧的pod容器不会受影响,仍可以对外提供正常服务。(特殊情况:pod容器如果跟node绑定的话,容器下次更新就不会回到原宿主机,该情况如何处理呢?可能设置成不可调度状态就不太合适。调度器 预调度策略
k8s 修改NodePort 范围
qq_15138049的博客
11-23 2830
k8s nodeport 范围修改
k8s修改kube-apiserver的service-node-port-range端口范围
学亮编程手记
01-19 2674
nodePort: Invalid value valid ports is 30000-32767
weixin_39990804的博客
11-26 3481
kubernetes 版本 1.19.2 provided port is not in the valid range. The range of valid ports is 30000-32767 在 Kubernetes(k8s) 创建 service 使用nodePort 暴露 外部端口6379 时报错 The Service “redis” is invalid: spec.ports[0].nodePort: Invalid value: 6379: provided port is not
修改K8SNodePort方式暴露服务的端口的默认范围(30000-32767)的方法
B.I.T
12-03 2万+
比如像把端口范围改成0-65535,则在apiserver的启动命令里面添加如下参数: –service-node-port-range=0-65535
autosar crypto
04-02
<think>好的,我现在需要回答用户关于AUTOSAR中加密模块实现或使用的问题。首先,用户提到了Crypto Driver的实现,根据引用内容,Crypto Driver可以管理多个Crypto Driver Objects,每个对象独立,且每个对象只能同时执行一个加密原语。因此,我应该从AUTOSAR的加密相关模块入手,逐步展开说明。 首先,我应该确认AUTOSAR中与加密相关的模块有哪些。根据我的知识,AUTOSAR的加密模块主要包括Crypto Stack,其中包含Crypto Interface、Crypto Service Manager、Crypto Driver等。可能还需要提到各个模块的作用和它们之间的关系。 然后,我需要详细解释每个模块的功能。比如,Crypto Interface(CRYIF)作为中间层,负责与应用层和底层驱动的通信;Crypto Service Manager(CSM)处理队列和调度;Crypto Driver(CRYDRV)直接与硬件或软件加密模块交互。这里需要确保术语的正确性,避免混淆。 接下来,关于实现方法,需要分层次说明。用户可能想知道如何配置这些模块,如何选择加密算法,以及如何集成到AUTOSAR架构中。可能需要提到配置工具的使用,如ETAS ISOLAR或Vector DaVinci,这些工具可以帮助生成配置代码。 在使用方法方面,应该举例说明常见的应用场景,比如TLS通信中的加密、数字签名验证等。同时,需要提到如何通过API调用加密服务,比如使用同步或异步接口,错误处理机制等。 另外,用户提供的引用中提到了Crypto Driver Objects的工作区限制,每个对象只能同时处理一个任务。这一点需要强调,可能影响多任务环境下的性能,需要合理配置多个对象来并行处理任务。 最后,生成相关问题时要围绕AUTOSAR加密模块的更多细节,比如密钥管理、性能优化、与硬件安全模块的集成等,确保问题有针对性,能帮助用户进一步了解。 需要检查术语的准确性,比如是否正确区分了Crypto Service Manager和Crypto Interface的职责,是否有遗漏的重要模块如密钥管理模块。同时,确保示例和说明符合用户提供的引用内容,正确引用标记。可能还需要确认是否有最新的AUTOSAR版本中的变化,但假设用户需要基础解释,暂不深入版本差异。 总结回答结构:先介绍模块组成,再详细每个模块的作用,然后说明实现和使用方法,最后举例应用场景。确保各部分自然衔接,使用中文表达清晰,符合格式要求,如行内公式用$...$,独立公式用$$...$$,但此问题中可能不需要数学公式,但需注意其他格式要求如代码块和引用标记。</think>在AUTOSAR(汽车开放系统架构)中,加密功能的实现主要通过**Crypto Stack**完成,其核心模块包括**Crypto Interface(CRYIF)**、**Crypto Service Manager(CSM)**和**Crypto Driver(CRYDRV)**。以下是具体实现和用法: --- ### 1. **模块组成与功能** - **Crypto Interface(CRYIF)** 作为中间层,负责与应用层(如通信协议栈或安全模块)交互,并调用底层Crypto Driver的接口。它抽象了加密操作(如哈希、签名、加解密)的细节,提供统一的API[^1]。 - **Crypto Service Manager(CSM)** 管理加密请求的队列和调度,支持同步/异步调用模式。例如,当多个ECU同时请求加密服务时,CSM会协调资源分配,避免冲突。 - **Crypto Driver(CRYDRV)** 直接与硬件加密模块(如HSM)或软件加密库交互。每个Crypto Driver可实例化多个**Crypto Driver Objects**,每个对象独立且仅支持单任务执行。例如: ```c // 示例:AUTOSAR配置中定义Crypto Driver Object CryptoDriverObject Config { ObjectId = 0x01; Priority = HIGH; SupportedAlgorithms = AES256, SHA3; } ``` --- ### 2. **实现方法** - **分层配置** 使用AUTOSAR工具链(如ETAS ISOLAR或Vector DaVinci)配置加密模块: 1. 定义需要的加密算法(如AES、RSA)。 2. 绑定Crypto Driver到具体硬件(如英飞凌HSM)。 3. 通过CSM配置任务优先级和超时机制。 - **密钥管理** 密钥通常存储在安全存储区(如HSM的NVM),并通过**Key Manager**模块动态加载,避免明文暴露。 --- ### 3. **典型应用场景** - **车载通信安全** 在CAN FD或以太网通信中,使用AES-CMAC验证消息完整性。 - **OTA升级** 对固件包进行数字签名(ECDSA)验证,防止恶意篡改。 - **身份认证** 通过TLS协议实现ECU与云端的安全握手,依赖Crypto Stack的RSA密钥交换。 --- ### 4. **性能优化** - **多对象并行** 由于每个Crypto Driver Object仅支持单任务,可通过配置多个对象提升吞吐量。 - **硬件加速** 优先使用HSM硬件加速算法(如AES-NI指令集),而非纯软件实现。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值