准确--Kubernetes 修改 NodePort 端口范围操作文档

ascarl20102025-12-19 11:50

Kubernetes 修改 NodePort 端口范围操作指南

1. 目的与背景

Kubernetes 默认的 NodePort 范围是 30000-32767。为了满足特定业务需求(如使用 10305 端口),需要手动调整 API Server 的启动参数,将允许的端口范围扩大。

2. 环境说明

  • K8s 版本:1.29.5
  • 部署方式:Kubeadm
  • 运行时:Containerd
  • 集群规模:1 Master + 3 Workers

3. 操作前置检查

在执行修改前,需确保新宿主机端口范围不会与现有系统服务冲突。

bash 复制代码 
# 1. 检查目标端口 10305 是否被占用
netstat -ntlp | grep 10305

# 2. 扫描 10000-11000 段是否有重要服务
netstat -ntlp | grep -E ":10[0-9]{3}"

4. 关键:备份原始配置

严禁直接修改。 静态 Pod 的配置文件极其敏感,一旦缩进错误会导致整个集群 API 无法访问。

bash 复制代码 
# 备份到 root 目录下,切勿留在 /etc/kubernetes/manifests/ 目录内
cp /etc/kubernetes/manifests/kube-apiserver.yaml /root/kube-apiserver.yaml.bak.$(date +%F)

5. 修改步骤

5.1 编辑配置文件

bash 复制代码 
vi /etc/kubernetes/manifests/kube-apiserver.yaml

5.2 添加端口范围参数

spec.containers.command 列表下添加参数。确保缩进与上方参数完全对齐(通常为 4 个空格)。

yaml 复制代码 
spec:
  containers:
  - command:
    - kube-apiserver
    - --advertise-address=192.168.205.36
    # --- 新增/修改此行 ---
    - --service-node-port-range=1-65535
    # --------------------
    - --allow-privileged=true
    - --authorization-mode=Node,RBAC
    # ... 其他参数保持不变

6. 强制配置生效(针对 1.29 版本)

由于 kubelet 对静态 Pod 的监控有时存在延迟,建议采用"位移法"强制触发 API Server 重启。

bash 复制代码 
# 1. 移出配置文件(触发停止)
mv /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/

# 2. 等待进程彻底消失
sleep 5
ps -ef | grep kube-apiserver | grep -v grep

# 3. 移回配置文件(触发启动)
mv /tmp/kube-apiserver.yaml /etc/kubernetes/manifests/

7. 验证配置

7.1 检查进程参数(最直接方法)

确认返回结果中包含你设置的新范围。

bash 复制代码 
ps -ef | grep kube-apiserver | grep service-node-port-range

7.2 检查 Pod 运行状态

确保 API Server 已成功拉起并处于 Running 状态。

bash 复制代码 
kubectl get pods -n kube-system -l component=kube-apiserver

8. 业务应用测试

编写 Service 资源文件并应用,验证是否不再报错。

yaml 复制代码 
apiVersion: v1
kind: Service
metadata:
  name: dev-szjg-ddzr-jgc-pc-nodeport
spec:
  type: NodePort
  ports:
  - port: 80
    targetPort: 80
    nodePort: 10305 # 现在可以使用 30000 以下的端口了
  selector:
    app: your-app-label

9. 风险防范与故障回滚

9.1 安全建议

  • 手动指定端口 :扩大范围后,请在 Service 中显式指定 nodePort。避免 K8s 随机分配到系统核心服务的端口(如 22, 443, 6443 等)。
  • 组件端口避让 :绝对不要占用 10248-10259 范围,这是 Kubelet 和其他组件的健康检查/指标端口。
  • 防火墙规则 :范围扩大后,需同步更新所有节点的 iptablesfirewalld 策略。

9.2 故障回滚

如果修改后 kubectl 无法连接且 API Server 无法启动:

  1. 还原文件cp /root/kube-apiserver.yaml.bak.* /etc/kubernetes/manifests/kube-apiserver.yaml
  2. 强制拉起systemctl restart kubelet
相关推荐
AI攻城狮2 小时前
OpenClaw 里 TAVILY_API_KEY 明明写在 ~/.bashrc,为什么还是失效?一次完整排查与修复
人工智能·云原生·aigc
Sheffield5 小时前
Alpine是什么,为什么是Docker首选?
linux·docker·容器
阿里云云原生1 天前
零配置部署顶级模型!函数计算一键解锁 Qwen3.5
云原生
AI攻城狮1 天前
Kimi Bot + OpenClaw 完整配置指南:5 步实现本地 AI Agent 集成
人工智能·云原生·aigc
AI攻城狮2 天前
RAG Chunking 为什么这么难?5 大挑战 + 最佳实践指南
人工智能·云原生·aigc
可观测性用观测云3 天前
云原生网关 Ingress-Nginx 链路追踪实战:OpenTelemetry 采集与观测云集成方案
nginx·kubernetes
哈里谢顿4 天前
Kubernetes Operator核心概念、实现原理和实战开发
云原生
阿里云云原生4 天前
你的 OpenClaw 真的在受控运行吗?
云原生
阿里云云原生4 天前
5 分钟零代码改造,让 Go 应用自动获得全链路可观测能力
云原生·go
Shanyoufusu124 天前
RKE2 单节点集群安装 Rancher+ 私有镜像仓库搭建 完整教程
云原生
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Window 10部署openclaw报错node.exe : npm error code 12805本地部署 OpenClaw + DeepSeek-R1 完全指南06OpenClaw优化飞书API 额度已耗尽问题07OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录08Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09OpenClaw 飞书机器人不回复消息?3 小时踩坑总结10小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)