导语:学艺不精,遇到一个情况,修改端口暴露时发现,k8s宿主机上netstat看不到监听的端口号,但是访问宿主机的ip+端口号可以访问到对应的服务。
原因是,配置文件yaml中虽然没有使用 hostNetwork: true
,但是直接使用了hostport
经过测试发现每当开启hostport的时候 防火墙会为其添加一条规则做转发。如图所示
iptables -S -t nat |grep 9090
资料显示hostport确实会修改iptables
查找资料得
可以创建一个对应端口的nodeport进行测试。查了资料提示noeport是可以创建成功并监听的。
从这也可以说明使用hostposrt指定的端口并没有listen主机的端口,要不然这里就会提示端口重复之类
那么问题又来了,同一台机器上同时存在有hostPort跟nodePort的端口,这个时候如果curl 31123时, 访问的是哪一个呢?
经多次使用curl请求后,均是使用了hostport那个nginx pod收到请求
原因还是因为KUBE-NODE-PORT规则在KUBE-SERVICE的链中是处于最后位置,而hostPort通过portmap写入的规则排在其之前
因此会先匹配到hostport的规则,自然请求就被转到hostport所在的pod中,这两者的顺序是没办法改变的,因此无论是hostport的应用发布在前还是在后都无法影响请求转发
另外再提一下,hostport的规则在ipvsadm中是查询不到的,而nodePort的规则则是可以使用ipvsadm查询得到
另外使用较多的port-forward也是可以进行端口转发的,它又是个什么情况呢? 它其实使用的是socat及netenter工具,网上看到一篇文章,原理写的挺好的,感兴趣的可以看一看
参考: https://vflong.github.io/sre/k8s/2020/03/15/how-the-kubectl-port-forward-command-works.html
博客参考
https://blog.csdn.net/weixin_60092693/article/details/125813651
http://t.zoukankan.com/cheyunhua-p-15167594.html