聊聊k8s的hostport和NodePort

NodePort

说到NodePort这种 service 类型, 大家应该都很熟悉了，主要是用来给一组 pod 做集群级别的代理，当然也可以通过设置 XX 让他只在特定节点生效。 集群级别的nodeport:

部署后可以查看service:

nodeport 如果可以不用填写，这样 kubernetes 会从 30000-32767 这个端口段随机选择一个未被使用的端口。其实这个等于采用默认的外部流量策略externalTrafficPolicy: Cluster 如果希望指定特定节点做 proxy，可以通过设置 externalTrafficPolicy 字段等于 Local：

到宿主机节点上，可以看到，service 通过 kube-proxy 开启了 10.213.20.196:30008 的监听， 10.213.20.196 是节点：

HostPort

NodePort 虽然可以给 pod 提供节点级别的 porxy，但是如果对于一个daemonset，采用 NodePort 方式来申明节点端口就不这么直观了，这个时候就可以使用pod的 hostport 来直接在pod的节点上暴露端口。

设置完就可以了。

那 hostport 的实现原理是怎么样的呢？是不是也是开了一个程序监听？通过到节点执行 netstat -anp| grep 10000，发现并没有启动一个监听程序，那说明很可能走的是iptables，我们看看 iptables 的 nat 表：

iptables 用法参考： 这里目标 pod 的 ip 是 10.244.1.155，通过 iptables 可以看到，通过CNI-HOSTPORT-DNAT匹配目标端口 10000, jump 到 CNI-DN-2a6b9967ebd3cd7a5eeb3 chain，CNI-DN-2a6b9967ebd3cd7a5eeb3 对于源IP不等于10.244.1.155/32和127.0.0.1/32 的流量转到 10.244.1.155:8000，这个地址就是目标 pod 对应的 containerPort。

注意：按照官方文档说的，除非绝对必要，否则不要为 Pod 指定 hostPort。 将 Pod 绑定到hostPort时，它会限制 Pod 可以调度的位置数，因为每个 组合必须是唯一的。 如果您没有明确指定 hostIP 和 protocol，Kubernetes 将使用 0.0.0.0 作为默认 hostIP 和 TCP 作为默认 protocol，请在使用 hostPort 之前考虑使用 NodePort 服务。