Nesta página, descrevemos a lista de hostPorts reservados no Google Kubernetes Engine (GKE).
hostPorts reservados do sistema GKE
O GKE reserva intervalos hostPort específicos para os processos e serviços internos do sistema. Essas reservas são cruciais para manter a
estabilidade e a funcionalidade dos clusters do GKE. Embora o GKE geralmente não recomende o uso de hostPort para aplicativos de usuário devido a possíveis conflitos e riscos de segurança, ele depende deles para operações internas.
Finalidade dos hostPorts reservados
- Comunicação do plano de controle: alguns componentes do GKE, como o kubelet e o metrics-server, podem usar hostPorts específicos para comunicação com o plano de controle ou outros serviços internos.
- Daemons do sistema: os daemons e agentes do sistema do GKE podem exigir acesso a portas específicas nos nós para monitoramento, geração de registros ou outras tarefas operacionais.
- Serviços internos: os serviços internos do GKE, responsáveis pelo gerenciamento de clusters e verificações de integridade, podem usar hostPorts reservados.
Noções básicas sobre intervalos reservados
Embora os intervalos exatos possam variar de acordo com a versão e a configuração do GKE, o GKE reserva uma parte do espaço de porta disponível. Esses intervalos reservados geralmente não são documentados para uso de usuários externos, já que estão sujeitos a mudanças. É muito importante evitar o uso de portas de número baixo, já que elas são comumente reservadas por sistemas operacionais.
Práticas recomendadas
Práticas recomendadas:
- Evite o uso de hostPort: minimize o uso de hostPort nas implantações de aplicativos para reduzir o risco de conflitos com as portas reservadas do GKE.
- Abstrações de serviço: use tipos de serviço do Kubernetes (NodePort, LoadBalancer, Entrada) como alternativas preferenciais ao hostPort.
- Análise de segurança: se hostPort for inevitável, revise e implemente com cuidado regras de firewall para restringir o acesso às portas expostas.
- Considerações sobre o Autopilot: ao usar o GKE Autopilot, não é possível especificar hostPorts exatos.
Lista de hostPorts reservados
| Componente | Portas de host reservadas |
|---|---|
| CNI / DPv2 | 9990, 6942, 9890, 4244, 9965 |
| kubelet | 4194, 10248, 10250, 10255 |
| kube-proxy | 10249, 10256 |
| node-problem-detector | 20256 |
| fluentbit | 2020, 2021 |
| stackdriver-metadata-agent | 8799 |
| sunrpc (montagens locais do NFS) | 665 - 986 |
| Filestore | 990 |
| k8s-metadata-proxy / gke-metadata-server | 987, 988, 989 |
| node-local-dns | 53, 8080, 9253, 9353 |
| gcfsd | 11253 |
| Política de rede do Antrea | 10349, 10350, 10351, 10352 |
| network-metering-agent | 47082, 47083 |
| configconnector | 8888, 48797 |
| gke-spiffe | 9889 |
| workload-identity-webhook | 9910 |
| Agente de métricas do GKE | 8200, 8201, 8202, 8203 |
| Plug-in de dispositivo da GPU | 2112 |
| runsc (gVisor / GKE Sandbox) | 9115 |
| containerd | 1338 |
| Coletor de métricas do GKE | 11123 |
| netd | 10231 |
Lista de hostPorts reservados específicos do Autopilot
| Componente | HostPorts reservados |
|---|---|
| Agente do Autopilot Splunk | 8006, 14250, 14268, 4317, 9080, 9943, 9411 |
| Agente de monitoramento do Datadog do Autopilot | 8125, 8126 |
A seguir
- Leia uma visão geral da rede no GKE.
- Saiba mais sobre os Serviços do Kubernetes.
- Saiba mais sobre exposição de aplicativos.