编辑“︁Kubernetes端口映射”︁

= Kubernetes端口映射 =

'''Kubernetes端口映射'''（Port Mapping）是Kubernetes中实现容器网络通信的核心机制之一，它允许将容器内部的端口暴露给集群内的其他服务或外部客户端访问。通过端口映射，Kubernetes能够管理容器化应用程序的网络流量，确保服务之间的可靠通信。

== 基本概念 ==
在Kubernetes中，端口映射主要通过以下两种方式实现：
* '''容器端口（ContainerPort）'''：定义容器内部监听的端口。
* '''服务端口（ServicePort）'''：定义服务对外暴露的端口，并通过端口映射将流量转发到容器端口。

端口映射的核心目的是解决容器化应用程序的网络隔离问题。由于每个容器运行在独立的网络命名空间中，外部无法直接访问容器内部的端口。Kubernetes通过端口映射机制，将容器端口绑定到宿主机的端口或通过Service抽象层暴露服务。

== 端口映射的类型 ==
Kubernetes支持多种端口映射方式，主要包括：

=== 1. 容器级别的端口映射 ===
在Pod定义中通过<code>containers.ports</code>字段声明容器端口：
<syntaxhighlight lang="yaml">
apiVersion: v1
kind: Pod
metadata:
  name: nginx-pod
spec:
  containers:
  - name: nginx
    image: nginx:latest
    ports:
    - containerPort: 80  # 容器内部监听的端口
      protocol: TCP      # 可选TCP/UDP
      name: http         # 端口名称（可选）
</syntaxhighlight>

=== 2. 服务级别的端口映射 ===
通过Service资源将容器端口映射到集群IP或NodePort：
<syntaxhighlight lang="yaml">
apiVersion: v1
kind: Service
metadata:
  name: nginx-service
spec:
  selector:
    app: nginx
  ports:
  - name: http
    port: 8080       # 服务暴露的端口
    targetPort: 80   # 目标容器端口
    protocol: TCP
    nodePort: 30080  # 仅NodePort类型需要（范围30000-32767）
  type: NodePort     # 也可以是ClusterIP或LoadBalancer
</syntaxhighlight>

== 端口映射的工作流程 ==
以下mermaid图展示了端口映射的典型数据流：
<mermaid>
sequenceDiagram
    participant Client
    participant NodeIP
    participant Service
    participant Pod
    Client->>NodeIP: 访问 nodeIP:30080
    NodeIP->>Service: 将流量转发到Service 8080端口
    Service->>Pod: 通过targetPort 80路由到容器
    Pod->>Service: 返回响应
    Service->>NodeIP: 转发响应
    NodeIP->>Client: 返回最终结果
</mermaid>

== 实际案例 ==
=== 案例1：Web应用的多端口暴露 ===
一个需要同时暴露HTTP(80)和HTTPS(443)的Web应用：
<syntaxhighlight lang="yaml">
apiVersion: v1
kind: Service
metadata:
  name: web-service
spec:
  selector:
    app: webapp
  ports:
  - name: http
    port: 80
    targetPort: 8080
  - name: https
    port: 443
    targetPort: 8443
  type: LoadBalancer
</syntaxhighlight>

=== 案例2：UDP服务的端口映射 ===
DNS服务通常使用UDP协议：
<syntaxhighlight lang="yaml">
apiVersion: v1
kind: Service
metadata:
  name: dns-service
spec:
  selector:
    app: dns
  ports:
  - name: dns
    port: 53
    targetPort: 53
    protocol: UDP
</syntaxhighlight>

== 高级配置 ==
=== 端口名称解析 ===
Kubernetes允许通过名称引用端口，这在配置Ingress时特别有用：
<syntaxhighlight lang="yaml">
ports:
- name: metrics
  containerPort: 9100
</syntaxhighlight>

=== 端口范围映射 ===
某些应用需要暴露端口范围（如FTP）：
<syntaxhighlight lang="yaml">
ports:
- containerPort: 21000
  protocol: TCP
- containerPort: 21001
  protocol: TCP
# 需要配置hostPort时需谨慎考虑端口冲突
</syntaxhighlight>

== 常见问题解答 ==
'''Q：端口映射与kubectl port-forward有什么区别？'''
A：端口映射是Kubernetes核心网络功能，而<code>kubectl port-forward</code>是临时调试工具，不应用于生产环境。

'''Q：如何避免NodePort冲突？'''
A：Kubernetes会自动管理NodePort分配，手动指定时需确保端口在30000-32767范围内且未被占用。

'''Q：为什么我的端口映射不生效？'''
A：按此检查：
1. 确认Pod的<code>containerPort</code>与应用的监听端口一致
2. 检查Service的<code>selector</code>是否匹配Pod标签
3. 验证网络策略是否允许流量

== 数学原理 ==
端口映射可以表示为函数：
<math>f: (nodeIP, nodePort) \rightarrow (podIP, containerPort)</math>
其中：
* <math>nodeIP \in NodeIPs</math>
* <math>nodePort \in [30000, 32767]</math>
* <math>podIP \in ClusterIPs</math>
* <math>containerPort \in [1, 65535]</math>

== 性能考量 ==
* 避免过多的端口映射会增加kube-proxy的iptables/ipvs规则数量
* NodePort服务会在所有节点上打开端口，即使没有运行相关Pod
* 考虑使用Ingress控制器集中管理HTTP/HTTPS流量

== 总结 ==
Kubernetes端口映射是连接容器网络与外部世界的关键桥梁。通过合理配置容器端口、服务端口和映射关系，可以构建灵活可靠的网络架构。初学者应从简单的单端口映射开始，逐步掌握多端口和高级网络配置技巧。

[[Category:集成部署]]
[[Category:Kubernetes]]
[[Category:Kubernetes服务与网络]]