开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

避免在服务中保留不必要的NodePort

在云计算领域，避免在服务中保留不必要的NodePort是一种最佳实践，它可以提高服务的安全性和性能。NodePort是Kubernetes中一种用于将服务公开到集群外部的端口类型。然而，保留不必要的NodePort可能会导致以下问题：

安全性风险：如果不必要地保留NodePort，可能会暴露服务到公共网络中，增加了潜在的攻击面。攻击者可以直接访问该端口，并尝试利用漏洞或进行恶意操作。因此，最好只在必要时才使用NodePort，并限制访问权限。
端口冲突：每个NodePort都需要在整个集群中唯一。如果保留了大量不必要的NodePort，可能会导致端口冲突，使得其他服务无法正常工作。
性能影响：保留不必要的NodePort可能会占用集群中的资源，包括网络带宽和节点的处理能力。这可能导致性能下降，影响其他重要服务的正常运行。

为了避免在服务中保留不必要的NodePort，可以采取以下措施：

审查和清理：定期审查集群中的服务和相关的NodePort，识别并清理不再需要的NodePort。可以通过kubectl命令或Kubernetes API进行查询和管理。
使用LoadBalancer类型：如果只需要将服务公开到集群外部，可以考虑使用LoadBalancer类型的服务。这种类型会自动创建一个负载均衡器，并分配一个唯一的外部IP地址，避免了NodePort的使用。
使用Ingress：对于需要更复杂的路由和负载均衡需求的服务，可以考虑使用Ingress资源。Ingress可以将多个服务公开到集群外部，并提供高级的路由和负载均衡功能。

腾讯云相关产品和产品介绍链接地址：

腾讯云容器服务（Tencent Kubernetes Engine，TKE）：https://cloud.tencent.com/product/tke
腾讯云负载均衡（CLB）：https://cloud.tencent.com/product/clb
腾讯云云原生应用平台（Tencent Cloud Native Application Platform，TCAP）：https://cloud.tencent.com/product/tcap
腾讯云弹性容器实例（Tencent Elastic Container Instance，TECI）：https://cloud.tencent.com/product/eci

相关搜索:如何避免不必要的服务请求？在"update或insert“SQL中避免不必要的更新？在EKS集群中创建NodePort服务时出错如何避免列表理解中不必要的工作？如何在React中避免不必要的重新渲染？在与Postgres冲突时，如何避免不必要的更新？如何避免在React中不必要地重新渲染组件？如何避免在带有钩子组件中进行不必要的渲染如何避免在链式hadoop中不必要地重复map步骤在JPA中向ManyToMany集合添加条目时，如何避免不必要的查询？Halide:如何避免Halide LUT索引中不必要的执行开销如何在Kubernetes中以编程方式获取服务的NodePort？无法使用NodePort服务连接到kubernetes中的redis pod 如何避免pandas数据帧连接中不必要的多索引条目？在TypeScript中使用可选泛型时，如何避免不必要的参数？在C中不必要的指针转换如何避免在切换视图时对子组件进行额外或不必要的渲染？当我在Istio中启用mtls时，我如何通过暴露的NodePort访问我的服务？去掉不必要的线(轴？)在Choroplethr中在ToDictionary中AsNoTracking是不必要的吗？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

【Kubernetes系列】第11篇网络原理解析（下篇）

覆盖网络(overlay network)是将TCP数据包装在另一种网络包里面进行路由转发和通信的技术。Overlay网络不是默认必须的，但是它们在特定场景下非常有用。比如当我们没有足够的IP空间，或者网络无法处理额外路由，抑或当我们需要Overlay提供的某些额外管理特性。一个常见的场景是当云提供商的路由表能处理的路由数是有限制时，例如AWS路由表最多支持50条路由才不至于影响网络性能。因此如果我们有超过50个Kubernetes节点，AWS路由表将不够。这种情况下，使用Overlay网络将帮到我们。

03

[译]数据包在 Kubernetes 中的一生（3）

https://dramasamy.medium.com/life-of-a-packet-in-kubernetes-part-3-dd881476da0f

02

Kubernetes 中数据包的生命周期 -- 第 3 部分

本文是 Kubernetes 中数据包的生命周期系列文章的第 3 部分。我们将讨论 Kubernetes 的 kube-proxy 组件如何使用 iptables 来控制流量。了解 kube-proxy 在 Kubernetes 环境中的作用以及它如何使用 iptables 来控制流量非常重要。

02

记录一下阿里云ACK的nodeport Local Cluster

很久很近以前（恩200多天前了），创建了一个服务应用，使用了nodeport的方式对外暴露服务，划重点--控制台创建的网络服务：

03

如何在集群的负载均衡过程保留请求源IP

应用部署不一定总是简单的安装和运行, 有时候还需要考虑网络的问题. 本文将介绍如何在k8s集群中使服务能获取到请求的源IP.

00

K8S v1.26 服务滚动更新期间流量损失优化取得重大进展

Kubernetes v1.26 包括网络流量工程方面的重大进步，其中两个功能（服务内部流量策略支持和 EndpointSlice 终止条件）升级为 GA，第三个功能（代理终止端点 Proxy terminating endpoints）升级为测试版。这些增强功能的组合旨在解决当今人们在 traffic 工程中面临的缺点，并为未来解锁新功能。

04

一次Kubernetes网络不通"争吵"引发的思考

"你到底在说什么啊，我K8s的ecs节点要访问clb的地址不通和本地网卡有什么关系..." 气愤语气都从电话那头传了过来，这时电话两端都沉默了。过了好一会传来地铁小姐姐甜美的播报声打断了刚刚的沉寂「乘坐地铁必须全程佩戴口罩，下一站西湖文化广场...」。

01

k8s之Service

我们定义service如下，其中selector是用来筛选需要代理的pod，targetPort是目标pod的端口，port是指该service的端口。

02

Cilium 系列-7-Cilium 的 NodePort 实现从 SNAT 改为 DSR

将 Kubernetes 的 CNI 从其他组件切换为 Cilium, 已经可以有效地提升网络的性能。但是通过对 Cilium 不同模式的切换/功能的启用，可以进一步提升 Cilium 的网络性能。具体调优项包括不限于：

03

kubernetes service 原理解析

在 kubernetes 中，当创建带有多个副本的 deployment 时，kubernetes 会创建出多个 pod，此时即一个服务后端有多个容器，那么在 kubernetes 中负载均衡怎么做，容器漂移后 ip 也会发生变化，如何做服务发现以及会话保持？这就是 service 的作用，service 是一组具有相同 label pod 集合的抽象，集群内外的各个服务可以通过 service 进行互相通信，当创建一个 service 对象时也会对应创建一个 endpoint 对象，endpoint 是用来做容器发现的，service 只是将多个 pod 进行关联，实际的路由转发都是由 kubernetes 中的 kube-proxy 组件来实现，因此，service 必须结合 kube-proxy 使用，kube-proxy 组件可以运行在 kubernetes 集群中的每一个节点上也可以只运行在单独的几个节点上，其会根据 service 和 endpoints 的变动来改变节点上 iptables 或者 ipvs 中保存的路由规则。

00

kubernetes service 原理解析

在 kubernetes 中，当创建带有多个副本的 deployment 时，kubernetes 会创建出多个 pod，此时即一个服务后端有多个容器，那么在 kubernetes 中负载均衡怎么做，容器漂移后 ip 也会发生变化，如何做服务发现以及会话保持？这就是 service 的作用，service 是一组具有相同 label pod 集合的抽象，集群内外的各个服务可以通过 service 进行互相通信，当创建一个 service 对象时也会对应创建一个 endpoint 对象，endpoint 是用来做容器发现的，service 只是将多个 pod 进行关联，实际的路由转发都是由 kubernetes 中的 kube-proxy 组件来实现，因此，service 必须结合 kube-proxy 使用，kube-proxy 组件可以运行在 kubernetes 集群中的每一个节点上也可以只运行在单独的几个节点上，其会根据 service 和 endpoints 的变动来改变节点上 iptables 或者 ipvs 中保存的路由规则。

03

【转】干货，Kubernetes中的Source Ip机制。

你必须拥有一个正常工作的 Kubernetes 1.5 集群，用来运行本文中的示例。该示例使用一个简单的 nginx webserver 回送它接收到的请求的 HTTP 头中的源 IP 地址。你可以像下面这样创建它：

04

k8s 网络转发问题记录

环境：内网服务器k8s上部署了服务端、openresty前端，通过公网服务器转发到内网的nginx对应端口。

01

云原生｜K8s中external-traffic-policy导致的业务问题

最近有同事问我为什么有的SVC的External IP可以从k8s的control节点ping或者curl通，有的却不能。

01

kubernetes搭建gitlab开启ssh

代码仓库gitlab,jenkins出发代码更新打包部署到kubernetes集群。jenkins构建频繁出现：error: RPC failed; HTTP 504 curl 22 The requested URL returned error: 504

02

七层调度：ingress 资源及 Ingress Controller 控制器

使用 Service NodePort 可以实现 IP:端口对外访问，通过任意 Node 节点可访问对应的资源，这意味着每个端口只能使用一次，一个端口对应一个应用。

04

通过Service访问应用（2）

为了便于理解和学习，请先阅读上一篇《通过Service访问应用（1）》再继续学习本篇内容。

02

什么是127.0.0.1，如何使用这个IP地址？

127.0.0.1是一个非常有名的IP地址——你甚至可能在T恤上见过它。但它到底是什么，为什么这么有名？

02

Kubernetes憎恨者指南

在某些技术领域，Kubernetes 被认为是一个不必要的复杂时间浪费，初创公司应该避免使用。使用 Kubernetes 和一个小团队被视为过度工程的标志。

01

落地k8s容易出现13个实践错误

在我们多年使用kubernetes的经验中，我们有幸看到了很多集群（在GCP，AWS和Azure上都是托管的和非托管的），并且我们看到一些错误在不断重复。

02

如何基于k8s快速搭建TeamCity（YAML分享）

最近有朋友基于之前的博客《Docker最全教程之使用TeamCity来完成内部CI、CD流程（十七）》搭建TeamCity时出现了一些问题，由于平常比较忙，没有及时答复，非常抱歉。

04

k8s网络模型与集群通信

在k8s中，我们的应用会以pod的形式被调度到各个node节点上，在设计集群如何处理容器之间的网络时是一个不小的挑战，今天我们会从pod（应用）通信来展开关于k8s网络的讨论。

02

如何基于k8s快速搭建TeamCity（YAML分享）

最近有朋友基于之前的博客《Docker最全教程之使用TeamCity来完成内部CI、CD流程（十七）》搭建TeamCity时出现了一些问题，由于平常比较忙，没有及时答复，非常抱歉。

01

Rancher 2.x 搭建及管理 Kubernetes 集群

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/aixiaoyang168/article/details/88600530

01

Rancher 2.x 搭建及管理 Kubernetes 集群

Rancher 是一套容器管理平台，它可以帮助组织在生产环境中轻松快捷的部署和管理容器。Rancher可以轻松地管理各种环境的 Kubernetes，满足IT需求并为 DevOps 团队提供支持。Rancher 用户可以选择使用 Rancher Kubernetes Engine(RKE) 创建 K8s 集群，也可以使用 GKE，AKS 和 EKS 等云K8s 服务。Rancher 用户还可以导入和管理现有的 Kubernetes 集群。同时 Rancher UI 为 DevOps 工程师提供了一个直观的用户界面来管理他们的服务容器。

03

Kubernetes(三) 如何从外部访问服务

.example_responsive_1 { width: 200px; height: 50px; } @media(min-width: 290px) { .example_responsive_1 { width: 270px; height: 50px; } } @media(min-width: 370px) { .example_responsive_1 { width: 339px; height: 50px; } } @media(min-width: 500px) { .example_responsive_1 { width: 468px; height: 50px; } } @media(min-width: 720px) { .example_responsive_1 { width: 655px; height: 50px; } } @media(min-width: 800px) { .example_responsive_1 { width: 728px; height: 50px; } } (adsbygoogle = window.adsbygoogle || []).push({});

02

使用Ingress来负载分发微服务

NodePort Service存在太多缺陷，不适合生产环境。LoadBlancer Service则不太灵活，比如针对微服务架构，那么不同服务是否需要多个负载均衡服务呢？那么，我们还有其他选择么？那就是Ingress。

02

k8s集群上ingress实战

使用ingress之前要先在k8s集群部署ingress controller，ingress controller本身需要LoadBalancer支持，一个基本的访问流如下：

05

关于 Java 内存泄露的错误认知，你所应该了解的

在本篇博文中，我们将了解什么是 Java 中的内存泄漏，以及关于 Java 内存泄漏场景的错误认知进行简要解析。

07

部署 Prometheus 和 Grafana 到 k8s

上次我们主要分享了 asp.net core 集成 prometheus，以及简单的 prometheus 使用，在实际在 k8s 中部署的时候就不能在使用前面讲的静态配置的方式来部署了，需要使用 Prometheus 的服务发现。

05

在k8s中获取客户端真实IP实践

当需明确服务请求来源以满足业务需求时，则需后端服务能够准确获取请求客户端的真实源 IP。例如以下场景：

03

Kubernetes 1.28：Sidecar 容器、Job和Proxy的新功能

Kubernetes 1.28 现已发布，具有 44 项新的或改进的增强功能！此版本包含许多主要功能，例如对 sidecar 容器的内置支持、作业优化和更好的代理。这些新功能可以帮助您提高 Kubernetes 集群的性能、效率和安全性。

04

在 Kubernetes 中如何给 NodePort 配置 NetworkPolicy

如上图，业务方需要隔离 namespae 的服务，禁止 bar 空间的负载访问，而允许用户从 Load Balancer (LB) 通过 NodePort 访问服务。可以很容易地写出一个网络策略:

02

解决pod健康检查问题

引自：Solving the mystery of pods health checks failures in Kubernetes。原文中的某些描述并不清晰，本文作了调整。

05

Kubernetes 零基础入门

Kubernetes 是 Google 团队发起并维护的基于 Docker 的开源容器集群管理系统，它不仅支持常见的云平台，而且支持内部数据中心。它的目标是管理跨多个主机的容器，提供基本的部署，维护以及运用伸缩，主要实现语言为 Go 语言。

02

Kubernetes发布SpringBoot项目过程总结

SpringBoot 项目创建完成后，通常会打成 jar 包运行，如果不使用 Kubernetes 可以直接通过 java -jar 或者脚本启动，如果需要发布到 Kubernetes 环境，那么需要编写 Dockerfile、构建镜像、推送到远程 harbor、编写 Kubernetes yaml 等步骤，假设目前你已经完成 SpringBoot 项目开发环境正常运行和打包，下面我会详细介绍如何完成镜像构建和运行这个过程。

04

部署k8s集群（k8s集群搭建详细实践版）

Kubeadm是一个K8s部署工具，提供kubeadm init和kubeadm join，用于快速部署Kubernetes集群。

使用Kubernetes和Ambassador API Gateway部署Java应用程序

在本文中，您将学习如何将三个简单的Java服务部署到Kubernetes（通过新的Docker for Mac / Windows集成在本地运行），并通过Kubernetes-native Ambassador API Gateway向前端用户公开前端服务。所以，抓住你选择的含咖啡因的饮料，在你的终端前舒服一点！

02

Kubernetes(K8s) —— 容器编排管理技术

kubeadm 是官方社区推出的一个用于快速部署 kubernetes 集群的工具，这个工具能通过两条指令完成一个 kubernetes 集群的部署：

04

Cluster Setup - Secure Ingress--安全入口

前言 https://cloud.tencent.com/act?from=10680 https://cloud.tencent.com/act/season?from=14065 https://

02

Kubernetes 的核心概念：Pod、Service 和 Namespace 解析

Kubernetes是当今最流行的容器编排和集群管理平台之一。本博客将深入解析Kubernetes的核心架构，重点介绍主节点、工作节点和容器运行时，并探讨核心概念：Pod、Service和Namespace。通过对这些关键组件的理解，读者将掌握在Kubernetes中部署和管理应用程序的基础知识。

01

【TKE】 IPVS 转发模式下内网 CLB 回环问题分析

有客户反馈集群中两个 Service 之间调用有偶发超时现象，经过排查后发现是触发了 TKE 中的内网 CLB 回环问题导致（相同场景下公网CLB 无此回环问题），但客户又反馈另一个集群也有类似的调用场景，但一直没有出现过超时现象。经过查看对比，两个集群中 Service 之间调用场景确实是一致的，但两个集群中被调用服务的 Service 中 externalTrafficPolicy 配置有差异，有回环问题的集群配置为"Local"，无回环问题的集群配置为 "Cluster"。

04

Istio Helm Chart 详解 - Gateways

前面提到过，Istio 的 Helm Chart，除去用于安装之外，还有部分对 Istio 部署进行调整的能力。Gateways 一节内容，就包含了定制 Istio Ingress/Egress Gateway 的能力。

02

Kubernetes部署ELK并使用Filebeat收集容器日志

Elasticsearch运行时要求vm.max_map_count内核参数必须大于262144，因此开始之前需要确保这个参数正常调整过。

01

成为K8S专家必修之路

当2021年容器化云原生炙手可热时代，但凡想在云市场分一杯羹的云厂商，K8S已经成为所有云厂商重要的ALL in 项目之一。如果在2016年的时候你是否还对Kubernetes 这么重要是否swarm更加优秀，当时我研发老板对我说的，这个东西没有什么用，你好好做DBA 做好运维就可以的时候。我已经敏锐感知到运维时代在变化。

01

如何克服OpenStack混合云集成问题

当谈及使用OpenStack和公共云供应商（如AWS）开发混合云时，很多IT专业人士都有着一个长长的愿望清单。混合云是2016年最热门的IT流行语之一。一些企业会倾向于开发一个OpenStack混合云，其中内部或私有云运行使用的是开源云平台，而公共云部分则选择亚马逊网络服务、谷歌或微软这三大云服务供应商之一。但是，由于OpenStack仍然处于开发阶段，OpenStack混合云计算开发相关的可用接口和工具并没有像众多IT专业人士所希望的那样完整或高效。 OpenStack与其他云平台之间还存在着一些脱

051.Kubernetes集群管理-日志管理

在Kubernetes集群环境中，一个完整的应用或服务都会涉及为数众多的组件运行，各组件所在的Node及实例数量都是可变的。日志子系统如果不做集中化管理，则会给系统的运维支撑造成很大的困难，因此建议在集群层面对日志进行统一收集和检索等工作。

03

ArgoCD 简明教程

Argo CD 是一个为 Kubernetes 而生的，遵循声明式 GitOps 理念的持续部署（CD）工具，它的配置和使用非常简单，并且自带一个简单易用的 Dashboard 页面，并且支持多种配置管理/模板工具（例如 Kustomize、Helm、Ksonnet、Jsonnet、plain-YAML）。Argo CD 被实现为一个 Kubernetes 控制器，它持续监控正在运行的应用程序并将当前的实时状态与所需的目标状态（例如 Git 仓库中的配置）进行比较，在 Git 仓库更改时自动同步和部署应用程序。

03

Citus 简介，将 Postgres 转换为分布式数据库

Citus 是 Postgres 的开源扩展，它在集群中的多个节点上分布数据和查询。因为 Citus 是 Postgres 的扩展（不是 fork），所以当您使用 Citus 时，您也在使用 Postgres。您可以利用最新的 Postgres 功能、工具和生态系统。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭