Esta página descreve a lista de hostPorts reservados no Google Kubernetes Engine (GKE).
GKE System reserved hostPorts
O GKE reserva intervalos de hostPort específicos para os respetivos processos e serviços
do sistema interno. Estas reservas são essenciais para manter a estabilidade e a funcionalidade dos clusters do GKE. Embora o GKE desaconselhe geralmente a utilização de hostPort para aplicações de utilizador devido a potenciais conflitos e riscos de segurança, depende delas para operações internas.
Finalidade das hostPorts reservadas
- Comunicação do plano de controlo: determinados componentes do GKE, como o kubelet e o metrics-server, podem usar hostPorts específicos para a comunicação com o plano de controlo ou outros serviços internos.
- Daemons do sistema: os daemons e os agentes do sistema do GKE podem requerer acesso a portas específicas nos nós para monitorização, registo ou outras tarefas operacionais.
- Serviços internos: os serviços internos do GKE, responsáveis pela gestão de clusters e verificações de estado, podem usar hostPorts reservados.
Compreender os intervalos reservados
Embora os intervalos exatos possam variar consoante a versão e a configuração do GKE, o GKE reserva uma parte do espaço de portas disponível. Normalmente, estes intervalos reservados não são documentados para utilização por utilizadores externos, uma vez que estão sujeitos a alterações. É muito importante evitar a utilização de portas com números baixos, uma vez que são normalmente reservadas pelos sistemas operativos.
Práticas recomendadas
Práticas recomendadas:
- Evite a utilização de hostPort: minimize a utilização de hostPort nas implementações da sua aplicação para reduzir o risco de conflitos com as portas reservadas do GKE.
- Abstrações de serviços: use tipos de serviços do Kubernetes (NodePort, LoadBalancer, Ingress) como alternativas preferenciais ao hostPort.
- Análise de segurança: se hostPort for inevitável, reveja cuidadosamente e implemente regras de firewall para restringir o acesso às portas expostas.
- Considerações sobre o Autopilot: quando usa o GKE Autopilot, tenha em atenção que não pode especificar hostPorts exatos.
Lista de hostPorts reservados
| Componente | Portas de anfitrião reservadas |
|---|---|
| CNI / DPv2 | 9990, 6942, 9890, 4244, 9965 |
| kubelet | 4194, 10248, 10250, 10255 |
| kube-proxy | 10249, 10256 |
| node-problem-detector | 20256 |
| fluentbit | 2020, 2021 e 2022 |
| stackdriver-metadata-agent | 8799 |
| sunrpc (montagens NFS locais) | 665 - 986 |
| Filestore | 990 |
| k8s-metadata-proxy / gke-metadata-server | 987, 988, 989 |
| node-local-dns | 53, 8080, 9253, 9353 |
| gcfsd | 11253 |
| Política de rede Antrea | 10349, 10350, 10351, 10352 |
| network-metering-agent | 47082, 47083 |
| configconnector | 8888, 48797 |
| gke-spiffe | 9889 |
| workload-identity-webhook | 9910 |
| Agente de métricas do GKE | 8200 - 8227 |
| Plug-in de dispositivo GPU | 2112 |
| runsc (gVisor / GKE Sandbox) | 9115 |
| containerd | 1338 |
| GKE Metrics Collector | 11123 |
| netd | 10231 |
Lista de hostPorts reservados específicos do Autopilot
| Componente | HostPorts reservados |
|---|---|
| Agente do Splunk do Autopilot | 8006, 14250, 14268, 4317, 9080, 9943, 9411 |
| Agente de monitorização do Datadog do Autopilot | 8125, 8126 |
O que se segue?
- Leia uma vista geral das redes no GKE.
- Saiba mais sobre os serviços Kubernetes.
- Saiba mais sobre a exposição de aplicações.