腳本之家服務器常用軟件

快捷導航

K8S集群需要開放的端口說明介紹

更新時間：2025年05月29日 10:55:53 作者：學亮編程手記

這篇文章主要介紹了K8S集群需要開放的端口說明,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教

一、Master 節(jié)點需開放的端口

端口范圍	協(xié)議	用途
6443	TCP	Kubernetes API Server（所有節(jié)點和外部訪問的核心端口）
2379-2380	TCP	etcd 客戶端和服務端通信（若使用外部 etcd 需額外配置）
10250	TCP	Kubelet API（Master 與 Worker 間的指標、日志、執(zhí)行命令通信）
10259	TCP	kube-scheduler 的 metrics 和健康檢查（≥1.23 版本）
10257	TCP	kube-controller-manager 的 metrics 和健康檢查（≥1.23 版本）
8472	UDP	Flannel CNI 的 VXLAN overlay 網(wǎng)絡（根據(jù) CNI 插件調(diào)整，如 Calico 不同）
30000-32767	TCP	NodePort 服務的外部訪問端口范圍（可自定義）

二、Worker 節(jié)點需開放的端口

端口范圍	協(xié)議	用途
10250	TCP	Kubelet API（Master 訪問 Worker 的指標、日志等）
30000-32767	TCP	NodePort 服務的外部訪問端口
8472	UDP	Flannel CNI 的 VXLAN 通信（其他 CNI 如 Calico 可能用 IPIP 或 TCP）
9796	TCP	部分監(jiān)控工具（如 Prometheus）的指標采集端口（非必需）

三、所有節(jié)點需開放的端口

端口	協(xié)議	用途
22	TCP	SSH 管理訪問（建議限制來源 IP）
6783-6784	TCP	Weave CNI 的通信端口（若使用 Weave）
53	TCP/UDP	CoreDNS 或 kube-dns 的 DNS 解析

四、防火墻配置示例（firewalld）

1. Master 節(jié)點命令

sudo firewall-cmd --permanent --add-port=6443/tcp
sudo firewall-cmd --permanent --add-port=2379-2380/tcp
sudo firewall-cmd --permanent --add-port=10250/tcp
sudo firewall-cmd --permanent --add-port=10257/tcp
sudo firewall-cmd --permanent --add-port=10259/tcp
sudo firewall-cmd --permanent --add-port=8472/udp
sudo firewall-cmd --permanent --add-port=30000-32767/tcp
sudo firewall-cmd --reload

2. Worker 節(jié)點命令

sudo firewall-cmd --permanent --add-port=10250/tcp
sudo firewall-cmd --permanent --add-port=30000-32767/tcp
sudo firewall-cmd --permanent --add-port=8472/udp
sudo firewall-cmd --reload

五、關鍵注意事項

CNI 插件差異：

Flannel：需開放 UDP 8472（VXLAN）。
Calico：需開放 TCP 179（BGP）、IPIP 協(xié)議（默認為協(xié)議號 4）。
Weave：需開放 TCP 6783-6784 和 UDP 6783-6784。

離線環(huán)境特殊要求：

確保所有節(jié)點的防火墻規(guī)則在部署前已配置，避免因網(wǎng)絡不通導致安裝失敗。
如果使用私有鏡像倉庫，需開放其端口（如 HTTP 8080 或 HTTPS 443）。

安全建議：

使用 --zone=trusted 將 Pod 和 Service 網(wǎng)段加入信任區(qū)域（替換為實際 CIDR）：

sudo firewall-cmd --permanent --zone=trusted --add-source=10.244.0.0/16  # Flannel 默認網(wǎng)段
sudo firewall-cmd --permanent --zone=trusted --add-source=10.96.0.0/12   # Service 網(wǎng)段

驗證端口：

sudo firewall-cmd --list-all  # 查看已開放端口

通過以上配置，可確保離線 K8S 集群各組件間的通信正常。根據(jù)實際使用的 CNI 插件和 Kubernetes 版本調(diào)整端口。

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

您可能感興趣的文章:

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

K8S集群需要開放的端口說明介紹

目錄

一、Master 節(jié)點需開放的端口

二、Worker 節(jié)點需開放的端口

三、所有節(jié)點需開放的端口

四、防火墻配置示例（firewalld）

1. Master 節(jié)點命令

2. Worker 節(jié)點命令

五、關鍵注意事項

總結(jié)

相關文章

最新評論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

K8S集群需要開放的端口說明介紹

目錄

一、Master 節(jié)點需開放的端口

二、Worker 節(jié)點需開放的端口

三、所有節(jié)點需開放的端口

四、防火墻配置示例（firewalld）

1. Master 節(jié)點命令

2. Worker 節(jié)點命令

五、關鍵注意事項

總結(jié)

相關文章

最新評論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

一、Master 節(jié)點需開放的端口

二、Worker 節(jié)點需開放的端口

四、防火墻配置示例（firewalld）