深入理解 kubectl port-forward:快速调试 Kubernetes 服务的利器

郝同学的测开笔记2025-06-20 17:19

前言

先简单说一下我们的服务,我们的服务是基于k8s部署的,接入层负责接收请求,service层负责真正的业务逻辑。 然后service层并没有提供集群外网访问,但遇到一个业务场景,就是要调用这个服务的某个接口来处理问题,但并 不想把这个接口暴露在外网,所以就用到了今天文章的主角kubectl port-forward来进行端口转发。

什么是端口转发?

将本地端口与集群内的 Pod 或 Service 端口建立安全隧道。它允许开发者直接访问集群内部的资源,无需暴露 Service 到外网。

基础使用

转发到 Pod

ruby 复制代码 
kubectl port-forward <pod-name> <local-port>:<pod-port> -n <namespace>

示例:

arduino 复制代码 
# 将本地 9999 转发到 default 命名空间下 某个 Pod 的 80 端口
kubectl port-forward mei-java-7f46b8dc48-76m2g 9999:80 -n default

访问 http://localhost:9999 即可访问 Pod 的服务。

转发到 Service

ruby 复制代码 
kubectl port-forward svc/<service-name> <local-port>:<service-port> -n <namespace>

示例:

bash 复制代码 
# 转发到 Service
kubectl port-forward svc/mei-java 9999:80 -n default

然后就可以使用curl构建请求,比如curl -X POST http://127.0.0.1:9999/{api路径}

多端口转发

xml 复制代码 
kubectl port-forward <pod-name> 8080:80 8443:443 -n <namespace>

核心原理

底层机制

port-forward 通过以下步骤实现:

  1. 建立与 API Server 的连接:

    kubectl 首先与 Kubernetes API Server 建立长连接(基于 HTTPS)。

  2. 创建 SPDY 流通道:

    通过 SPDY 协议(HTTP/2 前身)在本地和 API Server 之间创建双向流。

  3. API Server 代理流量:

    API Server 将请求转发到目标 Pod 的 Kubelet,最终到达容器端口。

网络流量路径

arduino 复制代码 
本地机器 → kubectl → API Server → Kubelet → 目标 Pod
  • 全程加密 :所有流量经过 API Server 的 TLS 加密。
  • 无外网暴露 :仅在本地和集群内部通信。

优势

  • 仅本地访问,安全性高
  • 无需修改集群配置
  • 调整、临时访问很方便

实战场景

访问 Web 服务的内部 API

我目前遇到的场景就是需要调用服务内部API,但又不想暴露到外网,所以就用到了这个命令。

我本地没有装kubectl,我是直接在部署集群的机器上执行的。

csharp 复制代码 
kubectl port-forward svc/{服务名称} 9999:80 -n {命名空间}

# 浏览器访问
curl -X POST http://127.0.0.1:9999/{api路径}

就这两部轻松搞定。

高级技巧

后台运行

css 复制代码 
kubectl port-forward svc/{服务名称} 9999:80 -n {命名空间} &

终止后台任务:

bash 复制代码 
jobs -l       # 查看任务ID
kill %1       # 终止任务

指定本地监听 IP

css 复制代码 
# 仅允许本机访问(默认)
kubectl port-forward --address 127.0.0.1 svc/{服务名称} 9999:80 -n {命名空间}

# 允许局域网访问
kubectl port-forward --address 0.0.0.0 svc/{服务名称} 9999:80 -n {命名空间}

常见问题与排查

错误: unable to listen on port 9999

  • 原因 :本地端口被占用。

  • 解决 :更换端口或终止占用进程:

    bash 复制代码 
    lsof -i :9999 # 查看占用进程
kill -9 <PID>  # 终止进程

连接中断

  • 原因 :API Server 连接超时或 Pod 重启。

  • 解决:

    使用 --pod-running-timeout=1m 参数延长等待时间:

    css 复制代码 
    kubectl port-forward --pod-running-timeout=1m svc/{服务名称} 9999:80 -n {命名空间}

安全注意事项

因为我是在部署集群的机器上执行的,如果在自己的电脑上操作,需要注意以下安全问题:

  1. 最小权限原则:

    使用低权限的 kubeconfig 文件(如仅限 getlist 操作)。

  2. 避免长期运行:

    调试完成后及时终止 port-forward 进程。

最后

看似很简单的一个命令,掌握其原理和技巧,能极大提升开发和故障排查效率。

相关推荐
鬼火儿6 小时前
SpringBoot】Spring Boot 项目的打包配置
java·后端
cr7xin7 小时前
缓存三大问题及解决方案
redis·后端·缓存
间彧8 小时前
Kubernetes的Pod与Docker Compose中的服务在概念上有何异同?
后端
间彧8 小时前
从开发到生产,如何将Docker Compose项目平滑迁移到Kubernetes?
后端
间彧8 小时前
如何结合CI/CD流水线自动选择正确的Docker Compose配置?
后端
间彧8 小时前
在多环境(开发、测试、生产)下,如何管理不同的Docker Compose配置?
后端
间彧8 小时前
如何为Docker Compose中的服务配置健康检查,确保服务真正可用?
后端
间彧8 小时前
Docker Compose和Kubernetes在编排服务时有哪些核心区别?
后端
间彧8 小时前
如何在实际项目中集成Arthas Tunnel Server实现Kubernetes集群的远程诊断?
后端
brzhang9 小时前
读懂 MiniMax Agent 的设计逻辑,然后我复刻了一个MiniMax Agent
前端·后端·架构
热门推荐
01GitHub 镜像站点02《大数据技术原理与应用》实验报告三 熟悉HBase常用操作03UV安装并设置国内源04综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件05BongoCat - 跨平台键盘猫动画工具06Linux下V2Ray安装配置指南07npm使用国内淘宝镜像的方法08jdk21下载、安装(Windows、Linux、macOS)09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)