kube-proxy

NodePort 监听特定的接口

默认情况下kube-proxy生成的nodeport端口监听在0.0.0.0上。这样可能会带来一些问题。 比如： 在kubeadm搭建的kubernetes集群中使用ipvs，会造成使用svcIP+nodeport端口可以访问到nodeport映射的服务。让我们误以为svcIP转发了这个请求。实际上请求是进入了nodeport的端口。

使用 --nodeport-addresses 标志（仅适用于 Kubernetes 版本 1.19 及更高版本）：您可以通过在 kube-proxy 的启动参数中添加 --nodeport-addresses=<interface> 来指定要监听的特定接口。

将  替换为您希望 kube-proxy 监听的接口的名称或 IP 地址。

例如，如果您希望 kube-proxy 监听在名为 eth0 的接口上，您可以使用以下命令启动 kube-proxy：

kube-proxy --nodeport-addresses=eth0

这样svcIP+nodeport端口将无法访问。