Se usó la API de Cloud Translation para traducir esta página.

HostPorts reservados

Autopilot Estándar

En esta página, se describe la lista de hostPorts reservados en Google Kubernetes Engine (GKE).

hostPorts reservados por el sistema de GKE

GKE reserva rangos hostPort específicos para sus procesos y servicios internos del sistema. Estas reservas son fundamentales para mantener la estabilidad y la funcionalidad de los clústeres de GKE. Si bien GKE generalmente desaconseja el uso de hostPort para las aplicaciones del usuario debido a posibles conflictos y riesgos de seguridad, las usa para las operaciones internas.

Propósito de los hostPorts reservados

Comunicación del plano de control: Es posible que ciertos componentes de GKE, como kubelet y metrics-server, usen hostPorts específicos para comunicarse con el plano de control o con otros servicios internos.
Daemons del sistema: Es posible que los daemons y agentes del sistema de GKE requieran acceso a puertos específicos en los nodos para la supervisión, el registro o cualquier otra tarea operativa.
Servicios internos: Los servicios internos de GKE, responsables de la administración del clúster y las verificaciones de estado, pueden usar hostPorts reservados.

Información sobre los rangos reservados

Si bien los rangos exactos pueden variar según la versión y la configuración de GKE, GKE reserva una parte del espacio de puertos disponible. Por lo general, estos rangos reservados no se documentan para el uso de usuarios externos, ya que están sujetos a cambios. Es muy importante evitar el uso de puertos con números bajos, ya que los sistemas operativos suelen reservarlos.

Prácticas recomendadas

Recomendaciones:

Evita el uso de hostPort: Minimiza el uso de hostPort en las implementaciones de tu aplicación para reducir el riesgo de conflictos con los puertos reservados de GKE.
Abstracciones de Service: Usa los tipos de servicio de Kubernetes (NodePort, LoadBalancer, Ingress) como alternativas preferidas a hostPort.
Análisis de seguridad: Si hostPort es inevitable, revisa y aplica cuidadosamente las reglas de firewall para restringir el acceso a los puertos expuestos.
Consideraciones sobre Autopilot: Cuando usas GKE Autopilot, ten en cuenta que no puedes especificar hostPorts exactos.

Lista de hostPorts reservados

Componente	Puertos de host reservados
CNI / DPv2	9990, 6942, 9890, 4244, 9965
kubelet	4194, 10248, 10250, 10255
kube-proxy	10249, 10256
node-problem-detector	20256
fluentbit	2020 y 2021
stackdriver-metadata-agent	8799
sunrpc (activaciones de NFS locales)	665 - 986
Filestore	990
k8s-metadata-proxy o gke-metadata-server	987, 988 y 989
node-local-dns	53, 8080, 9253, 9353
gcfsd	11253
Política de red de Antrea	10349, 10350, 10351, 10352
network-metering-agent	47082 y 47083
configconnector	8888, 48797
gke-spiffe	9889
workload-identity-webhook	9910
Agente de métricas de GKE	8200, 8201, 8202, 8203
Complemento GPU Device	2112
runsc (gVisor / GKE Sandbox)	9115
containerd	1338
Recopilador de métricas de GKE	11123
netd	10231

Lista de hostPorts reservados que son específicos de Autopilot

Componente	HostPorts reservados
Agente de Splunk Autopilot	8006, 14250, 14268, 4317, 9080, 9943, 9411
Agente de Monitoring de Datadog de Autopilot	8125 y 8126

¿Qué sigue?

Lee una descripción general de las herramientas de redes en GKE.
Obtén información sobre los Servicios de Kubernetes.
Obtén más información para exponer aplicaciones.