[问题已处理]-宿主机k8s中netstat看不到端口但可以访问端口

导语学艺不精遇到一个情况修改端口暴露时发现k8s宿主机上netstat看不到监听的端口号但是访问宿主机的ip+端口号可以访问到对应的服务。

原因是配置文件yaml中虽然没有使用 hostNetwork: true 但是直接使用了hostport

经过测试发现每当开启hostport的时候 防火墙会为其添加一条规则做转发。如图所示

iptables -S -t nat |grep 9090

资料显示hostport确实会修改iptables

查找资料得

可以创建一个对应端口的nodeport进行测试。查了资料提示noeport是可以创建成功并监听的。

从这也可以说明使用hostposrt指定的端口并没有listen主机的端口要不然这里就会提示端口重复之类

那么问题又来了同一台机器上同时存在有hostPort跟nodePort的端口这个时候如果curl 31123时 访问的是哪一个呢?

经多次使用curl请求后均是使用了hostport那个nginx pod收到请求

原因还是因为KUBE-NODE-PORT规则在KUBE-SERVICE的链中是处于最后位置而hostPort通过portmap写入的规则排在其之前

因此会先匹配到hostport的规则自然请求就被转到hostport所在的pod中这两者的顺序是没办法改变的因此无论是hostport的应用发布在前还是在后都无法影响请求转发

另外再提一下hostport的规则在ipvsadm中是查询不到的而nodePort的规则则是可以使用ipvsadm查询得到

另外使用较多的port-forward也是可以进行端口转发的它又是个什么情况呢? 它其实使用的是socat及netenter工具网上看到一篇文章原理写的挺好的感兴趣的可以看一看

参考: https://vflong.github.io/sre/k8s/2020/03/15/how-the-kubectl-port-forward-command-works.html

博客参考

https://blog.csdn.net/weixin_60092693/article/details/125813651

http://t.zoukankan.com/cheyunhua-p-15167594.html