Questa pagina è stata tradotta dall'API Cloud Translation.

hostPorts riservati

Autopilot Standard

Questa pagina descrive l'elenco di hostPort riservati in Google Kubernetes Engine (GKE).

hostPort riservati dal sistema GKE

GKE riserva intervalli hostPort specifici per i propri servizi e processi di sistema interni. Queste prenotazioni sono fondamentali per mantenere la stabilità e la funzionalità dei cluster GKE. Sebbene GKE sconsigli generalmente l'utilizzo di hostPort per le applicazioni utente a causa di potenziali conflitti e rischi per la sicurezza, si basa su di essi per le operazioni interne.

Scopo di hostPort riservati

Comunicazione del control plane: alcuni componenti GKE, come kubelet e metrics-server, potrebbero utilizzare hostPort specifici per la comunicazione con il control plane o altri servizi interni.
Daemon di sistema: i daemon e gli agent di sistema GKE potrebbero richiedere l'accesso a porte specifiche sui nodi per il monitoraggio, il logging o altre attività operative.
Servizi interni: i servizi interni di GKE, responsabili della gestione del cluster e dei controlli di integrità, potrebbero utilizzare hostPort riservati.

Informazioni sugli intervalli riservati

Sebbene gli intervalli esatti possano variare in base alla versione e alla configurazione di GKE, GKE riserva una parte dello spazio delle porte disponibile. Questi intervalli riservati in genere non sono documentati per l'utilizzo da parte di utenti esterni, in quanto sono soggetti a modifiche. È molto importante evitare di utilizzare porte con numeri bassi, in quanto sono comunemente riservate dai sistemi operativi.

Best practice

Best practice:

Evita l'utilizzo di hostPort: riduci al minimo l'utilizzo di hostPort nei deployment delle applicazioni per ridurre il rischio di conflitti con le porte riservate di GKE.
Astrazioni del servizio: utilizza i tipi di servizio Kubernetes (NodePort, LoadBalancer, Ingress) come alternative preferite a hostPort.
Controllo di sicurezza: se hostPort è inevitabile, esamina attentamente e implementa le regole firewall per limitare l'accesso alle porte esposte.
Considerazioni su Autopilot: quando utilizzi GKE Autopilot, tieni presente che non puoi specificare hostPort esatti.

Elenco di hostPort riservati

Componente	Porte host riservate
CNI / DPv2	9990, 6942, 9890, 4244, 9965
kubelet	4194, 10248, 10250, 10255
kube-proxy	10249, 10256
node-problem-detector	20256
fluentbit	2020, 2021
stackdriver-metadata-agent	8799
sunrpc (montaggi NFS locali)	665 - 986
Filestore	990
k8s-metadata-proxy / gke-metadata-server	987, 988, 989
node-local-dns	53, 8080, 9253, 9353
gcfsd	11253
Criterio di rete Antrea	10349, 10350, 10351, 10352
network-metering-agent	47082, 47083
configconnector	8888, 48797
gke-spiffe	9889
workload-identity-webhook	9910
Agente delle metriche GKE	8200, 8201, 8202, 8203
Plug-in dispositivo GPU	2112
runsc (gVisor / GKE Sandbox)	9115
containerd	1338
GKE Metrics Collector	11123
netd	10231

Elenco di hostPort riservati specifici per Autopilot

Componente	Reserved HostPorts
Agente Splunk Autopilot	8006, 14250, 14268, 4317, 9080, 9943, 9411
Agente Monitoring Datadog di Autopilot	8125, 8126

Passaggi successivi

Leggi una panoramica del networking in GKE.
Scopri di più sui servizi Kubernetes.
Scopri di più sull'esposizione delle applicazioni.