Questa pagina descrive l'elenco di hostPort riservati in Google Kubernetes Engine (GKE).
hostPort riservati dal sistema GKE
GKE riserva intervalli di hostPort specifici per i suoi processi e servizi di sistema interni. Queste prenotazioni sono fondamentali per mantenere la stabilità e la funzionalità dei cluster GKE. Sebbene GKE in genere sconsigli l'utilizzo di hostPort per le applicazioni utente a causa di potenziali conflitti e rischi per la sicurezza, si basa su di essi per le operazioni interne.
Scopo degli hostPort riservati
- Comunicazione del piano di controllo: alcuni componenti GKE, come kubelet e metrics-server, potrebbero utilizzare hostPort specifici per la comunicazione con il piano di controllo o altri servizi interni.
- Daemon di sistema: i daemon e gli agenti di sistema GKE potrebbero richiedere l'accesso a porte specifiche sui nodi per il monitoraggio, la registrazione o altre attività operative.
- Servizi interni: i servizi interni di GKE, responsabili della gestione dei cluster e dei controlli di integrità, potrebbero utilizzare hostPort riservati.
Informazioni sugli intervalli riservati
Sebbene gli intervalli esatti possano variare in base alla versione e alla configurazione di GKE, GKE riserva una parte dello spazio delle porte disponibile. Questi intervalli riservati in genere non sono documentati per l'utilizzo da parte di utenti esterni, in quanto sono soggetti a modifiche. È molto importante evitare di utilizzare porte con numeri bassi, in quanto sono comunemente riservate dai sistemi operativi.
Best practice
Best practice:
- Evita l'utilizzo di hostPort: riduci al minimo l'utilizzo di hostPort nei deployment delle applicazioni per ridurre il rischio di conflitti con le porte riservate di GKE.
- Astrazioni dei servizi: utilizza i tipi di servizi Kubernetes (NodePort, LoadBalancer, Ingress) come alternative preferite a hostPort.
- Controllo di sicurezza: se hostPort è inevitabile, esamina attentamente e implementa le regole firewall per limitare l'accesso alle porte esposte.
- Considerazioni su Autopilot: quando utilizzi GKE Autopilot, tieni presente che non puoi specificare hostPort esatti.
Elenco degli hostPort riservati
| Componente | HostPort riservati |
|---|---|
| CNI / DPv2 | 9990, 6942, 9890, 4244, 9965 |
| kubelet | 4194, 10248, 10250, 10255 |
| kube-proxy | 10249, 10256 |
| node-problem-detector | 20256 |
| fluentbit | 2020, 2021, 2022 |
| stackdriver-metadata-agent | 8799 |
| sunrpc (montaggi NFS locali) | 665 - 986 |
| Filestore | 990 |
| k8s-metadata-proxy / gke-metadata-server | 987, 988, 989 |
| node-local-dns | 53, 8080, 9253, 9353 |
| gcfsd | 11253 |
| Criterio di rete Antrea | 10349, 10350, 10351, 10352 |
| network-metering-agent | 47082, 47083 |
| configconnector | 8888, 48797 |
| gke-spiffe | 9889 |
| workload-identity-webhook | 9910 |
| Agente metriche GKE | 8200 - 8227 |
| node-gboc | 8228 - 8231 |
| Plug-in dispositivo GPU | 2112 |
| runsc (gVisor / GKE Sandbox) | 9115 |
| containerd | 1338 |
| Agente di raccolta metriche GKE | 11123 |
| netd | 10231 |
| Driver CSI Cloud Storage FUSE | 9920, 9921 |
Elenco degli hostPort riservati specifici per Autopilot
| Componente | HostPort riservati |
|---|---|
| Agente Splunk Autopilot | 8006, 14250, 14268, 4317, 9080, 9943, 9411 |
| Agente di monitoraggio Datadog Autopilot | 8125, 8126 |
Passaggi successivi
- Leggi una panoramica del networking in GKE.
- Scopri di più sui servizi Kubernetes.
- Scopri di più sull'esposizione delle applicazioni.