Questa pagina descrive l'elenco di hostPort riservati in Google Kubernetes Engine (GKE).
hostPort riservati dal sistema GKE
GKE riserva intervalli hostPort specifici per i propri servizi e processi di sistema interni. Queste prenotazioni sono fondamentali per mantenere la
stabilità e la funzionalità dei cluster GKE. Sebbene
GKE sconsigli generalmente l'utilizzo di hostPort per le applicazioni
utente a causa di potenziali conflitti e rischi per la sicurezza, si basa su di essi
per le operazioni interne.
Scopo di hostPort riservati
- Comunicazione del control plane: alcuni componenti GKE, come kubelet e metrics-server, potrebbero utilizzare hostPort specifici per la comunicazione con il control plane o altri servizi interni.
- Daemon di sistema: i daemon e gli agent di sistema GKE potrebbero richiedere l'accesso a porte specifiche sui nodi per il monitoraggio, il logging o altre attività operative.
- Servizi interni: i servizi interni di GKE, responsabili della gestione del cluster e dei controlli di integrità, potrebbero utilizzare hostPort riservati.
Informazioni sugli intervalli riservati
Sebbene gli intervalli esatti possano variare in base alla versione e alla configurazione di GKE, GKE riserva una parte dello spazio delle porte disponibile. Questi intervalli riservati in genere non sono documentati per l'utilizzo da parte di utenti esterni, in quanto sono soggetti a modifiche. È molto importante evitare di utilizzare porte con numeri bassi, in quanto sono comunemente riservate dai sistemi operativi.
Best practice
Best practice:
- Evita l'utilizzo di hostPort: riduci al minimo l'utilizzo di hostPort nei deployment delle applicazioni per ridurre il rischio di conflitti con le porte riservate di GKE.
- Astrazioni del servizio: utilizza i tipi di servizio Kubernetes (NodePort, LoadBalancer, Ingress) come alternative preferite a hostPort.
- Controllo di sicurezza: se hostPort è inevitabile, esamina attentamente e implementa le regole firewall per limitare l'accesso alle porte esposte.
- Considerazioni su Autopilot: quando utilizzi GKE Autopilot, tieni presente che non puoi specificare hostPort esatti.
Elenco di hostPort riservati
| Componente | Porte host riservate |
|---|---|
| CNI / DPv2 | 9990, 6942, 9890, 4244, 9965 |
| kubelet | 4194, 10248, 10250, 10255 |
| kube-proxy | 10249, 10256 |
| node-problem-detector | 20256 |
| fluentbit | 2020, 2021 |
| stackdriver-metadata-agent | 8799 |
| sunrpc (montaggi NFS locali) | 665 - 986 |
| Filestore | 990 |
| k8s-metadata-proxy / gke-metadata-server | 987, 988, 989 |
| node-local-dns | 53, 8080, 9253, 9353 |
| gcfsd | 11253 |
| Criterio di rete Antrea | 10349, 10350, 10351, 10352 |
| network-metering-agent | 47082, 47083 |
| configconnector | 8888, 48797 |
| gke-spiffe | 9889 |
| workload-identity-webhook | 9910 |
| Agente delle metriche GKE | 8200, 8201, 8202, 8203 |
| Plug-in dispositivo GPU | 2112 |
| runsc (gVisor / GKE Sandbox) | 9115 |
| containerd | 1338 |
| GKE Metrics Collector | 11123 |
| netd | 10231 |
Elenco di hostPort riservati specifici per Autopilot
| Componente | Reserved HostPorts |
|---|---|
| Agente Splunk Autopilot | 8006, 14250, 14268, 4317, 9080, 9943, 9411 |
| Agente Monitoring Datadog di Autopilot | 8125, 8126 |
Passaggi successivi
- Leggi una panoramica del networking in GKE.
- Scopri di più sui servizi Kubernetes.
- Scopri di più sull'esposizione delle applicazioni.