导语：学艺不精，遇到一个情况，修改端口暴露时发现，k8s宿主机上netstat看不到监听的端口号，但是访问宿主机的ip+端口号可以访问到对应的服务。

原因是，配置文件yaml中虽然没有使用 hostNetwork: true ，但是直接使用了hostport

经过测试发现每当开启hostport的时候 防火墙会为其添加一条规则做转发。如图所示

iptables -S -t nat |grep 9090

资料显示hostport确实会修改iptables

查找资料得

可以创建一个对应端口的nodeport进行测试。查了资料提示noeport是可以创建成功并监听的。

从这也可以说明使用hostposrt指定的端口并没有listen主机的端口，要不然这里就会提示端口重复之类

那么问题又来了，同一台机器上同时存在有hostPort跟nodePort的端口，这个时候如果curl 31123时， 访问的是哪一个呢?

经多次使用curl请求后，均是使用了hostport那个nginx pod收到请求

原因还是因为KUBE-NODE-PORT规则在KUBE-SERVICE的链中是处于最后位置，而hostPort通过portmap写入的规则排在其之前

因此会先匹配到hostport的规则，自然请求就被转到hostport所在的pod中，这两者的顺序是没办法改变的，因此无论是hostport的应用发布在前还是在后都无法影响请求转发

另外再提一下，hostport的规则在ipvsadm中是查询不到的，而nodePort的规则则是可以使用ipvsadm查询得到

另外使用较多的port-forward也是可以进行端口转发的，它又是个什么情况呢? 它其实使用的是socat及netenter工具，网上看到一篇文章，原理写的挺好的，感兴趣的可以看一看

参考: https://vflong.github.io/sre/k8s/2020/03/15/how-the-kubectl-port-forward-command-works.html

博客参考

https://blog.csdn.net/weixin_60092693/article/details/125813651

http://t.zoukankan.com/cheyunhua-p-15167594.html