在使用 Kubernetes 进行容器编排时，常常会遇到各种网络相关的问题。其中一个让不少人困惑的情况是：在 Node 节点上使用 netstat 命令，却看不到 NodePort 类型 Service 的端口。这究竟是什么原因呢？

我们要了解 netstat 命令的工作原理。netstat 主要用于显示网络连接、路由表和网络接口等信息。它是基于传统的网络协议和连接状态来进行信息收集与展示的。

而 NodePort 类型的 Service 在 Kubernetes 中有其独特的实现机制。当创建一个 NodePort 类型的 Service 时，Kubernetes 会在每个 Node 节点上打开一个特定范围的端口（默认是 30000 - 32767），这个端口被映射到后端 Pod 的目标端口上。然而，与传统的网络连接不同，NodePort 类型的 Service 依赖于 iptables 规则和 IPVS 规则来实现流量的转发。

具体来说，Kubernetes 通过在 Node 节点上动态创建 iptables 规则或 IPVS 规则，将到达 NodePort 的流量重定向到对应的 Pod 上。这些规则的存在使得流量的转发并非通过传统意义上的网络连接建立，因此 netstat 无法直接检测到这些端口的“连接”状态。

netstat 对于一些高级网络功能的支持有限。它无法识别基于 iptables 和 IPVS 的流量重定向规则所创建的虚拟连接。所以，即便 NodePort 类型的 Service 端口在正常工作，netstat 也不会显示相关信息。

要查看 NodePort 类型 Service 的端口相关信息，我们可以使用其他工具。例如，kubectl 命令可以用于查看 Service 的详细配置和状态信息，通过“kubectl get service”命令结合具体的 Service 名称，可以获取到 NodePort 的端口号等关键信息。也可以通过查看 iptables 或 IPVS 的规则来了解流量转发的具体配置情况。

在 Node 节点上用 netstat 看不到 NodePort 类型 Service 端口，是由于两者工作机制的差异导致的。了解这背后的原理，能帮助我们更准确地排查和解决网络相关的问题，确保 Kubernetes 集群的稳定运行。