为什么主机端口在主机上的netstat输出中没有显示？

这是因为使用了 docker。默认情况下，docker 不会将容器网络命名空间添加到 Linux 运行时数据（/var/run 挂载在 /run 上的 tmpfs），这也是当您运行 ip netns 命令时所看到的内容。
要查看网络命名空间，您需要使用 nsenter。

1. 获取容器 ID。

docker ps

获取容器进程的ID。

docker inspect --format '{{ .State.Pid }}' <<container-id>>

3. 现在使用nsenter来显示Pod的网络空间。使用nsenter相比于docker exec的优势在于，nsenter可以让您在Pod内部执行所有可用的工具或命令，而docker exec只允许有限或受限制的命令。

nsenter -t <<container pid>> -n netstat -tunlp 

为了在工作节点上访问服务，您必须使用 NodePort 类型的服务将 Pod 暴露在工作节点上。运行在 Pod 内部的进程位于不同的网络命名空间中。您可以从 Pod 内部访问应用程序，但是如果没有服务对象，则无法从节点访问。请参见以下内容进行参考：

$ kubectl create deploy nginx --image=nginx
$ kubectl expose deploy nginx --target-port 80 --port 80 --type NodePort
$ NODE_PORT=$(kubectl get svc nginx -ojsonpath='{ .spec.ports[0].nodePort }')
$ netstat -an | grep $NODE_PORT
tcp46      0      0  *.31563                *.*                    LISTEN     

$ curl localhost:$NODE_PORT
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
...

HTH

nsenter -t <container-PID> -n netstat -nltp

这个命令显示容器端口，而不是主机端口，目前还没有回答这个问题。

由于容器内的容器在其自己的网络命名空间中运行，因此 netstat 无法检测到它们。

要列出容器内正在侦听的端口，请使用 nsenter。该工具将帮助您在进程的不同命名空间上执行命令（在我们的情况下是所需容器的 PID）。

1. 获取容器的 PID - SSH 进入 K8s 工作节点并运行 docker inspect <containerid>（如果 docker 是您的容器运行时）

然后，在从上述命令中获取 PID 后运行以下命令：

2. $ nsenter -t <container-PID> -n netstat -nltp

传入连接可以直接使用iptables规则路由到k8s网络中（例如，当使用Calico CNI时）。

你可以尝试。

iptable -L -t nat

并查看您的主机端口是否出现在那里。

在此处查看说明：

https://www.reddit.com/r/kubernetes/comments/kne734/help_demystify_hostport_networking_please/