kube-apiserver启动基本参数详解

原文地址:https://blog.csdn.net/zhonglinzhang/article/details/90697495

Generic flags:

参数 描述
--advertise-address 向集群成员发布apiserver的IP地址,该地址必须能够被集群的成员访问。如果为空,则使用 --bind-address,如果 --bind-address未指定,那么使用主机的默认接口。
--authorization-mode 在安全端口上执行授权的有序的插件列表。默认值:AlwaysAllow以逗号分隔的列表:AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node.

Etcd flags

参数 描述
--etcd-cafile 保护etcd通信的SSL证书颁发机构文件
--etcd-certfile 用于保护etcd通信的SSL证书文件
--etcd-keyfile 用来保护etcd通信的SSL key文件
--etcd-servers etcd服务器列表(格式://ip:port),逗号分隔

Secure serving flags:

参数 描述
--bind-address 监听安全端口的IP地址。必须能被集群的其他以及CLI/web客户机访问
--tls-cert-file 包含HTTPS的默认x509证书的文件。 CA证书,如果有的话,在服务器证书之后连接。如果启用了HTTPS服务,但未提供 --tls-cert-file和--tls-private-key-file,则会为公共地址生成自签名证书和密钥,并将其保存到--cert-dir指定的目录中。
--tls-private-key-file 包含和--tls-cert-file配对的默认x509私钥的文件

Insecure serving flags:

参数 描述
--address ip 监听的服务地址,(default 127.0.0.1)
--insecure-bind-address 地址绑定到不安全服务端口,(default 127.0.0.1),将来会被remove
--insecure-port (default 8080)

Auditing flags:

参数 描述
--audit-log-maxage 根据文件名中的编码时间戳,保存审计日志文件的最大天数
audit-log-maxbackup 保存审计日志文件的最大数量
audit-log-maxsize 审计日志文件回滚前的最大大小(兆字节)
--audit-log-path 如果设置,所有到apiserver的请求都会记录到这个文件中。‘-’表示写入标准输出,不指定此参数会禁用日志后端

Features flags:

参数 描述
--enable-swagger-ui 启用swagger ui

Authentication flags:

参数 描述
--anonymous-auth 允许匿名请求到API server的安全端口。未被其他身份验证方法拒绝的请求将被视为匿名请求。匿名请求的system username:anonymous,system group name:unauthenticated。默认值 true
--client-ca-file 启用客户端证书认证。该参数引用的文件中必须包含一个或多个证书颁发机构,用于验证提交给该组件的客户端证书。如果客户端证书已验证,则用其中的 Common Name 作为请求的用户名
--enable-bootstrap-token-auth 启用允许‘kube-system' namespace中的secrets类型的 'bootstrap.kubernetes.io/token'用于TLS引导身份验证
--requestheader-client-ca-file string 根证书绑定包用于在信任--requestheader-username-headers指定的标头中的用户名前,在传入请求上验证客户证书
--service-account-key-file 包含PEM编码的x509 RSA或ECDSA私有或者公共密钥的文件。用于验证service account token。指定的文件可以包含多个值。参数可以被指定多个不同的文件。如未指定,--tls-private-key-file将被使用。如果提供了--service-account-signing-key,则必须指定该参数
--token-auth-file 使用该文件在安全端口通过token身份验证来保护API服务
--requestheader-allowed-names strings List of client certificate common names to allow to provide usernames in headers specified by --requestheader-username-headers. If empty, any client certificate validated by the authorities in --requestheader-client-ca-file is allowed. 客户端证书常用名称列表,允许在--requestheader-username-headers指定的头中提供用户名,如果为空,则允许在--requestheader-client-ca文件中通过验证任何客户端证书
--requestheader-client-ca-file string Root certificate bundle to use to verify client certificates on incoming requests before trusting usernames in headers specified by --requestheader-username-headers. WARNING: generally do not depend on authorization being already done for incoming requests.根证书绑定包用于在信任--requestheader-username-headers 指定头中的用户名前,验证客户证书
--requestheader-extra-headers-prefix strings List of request header prefixes to inspect. X-Remote-Extra- is suggested 要检查的请求头前缀列表。建议使用 X-Remote-Extra-
--requestheader-group-headers strings List of request headers to inspect for groups. X-Remote-Group is suggested 要检查组的请求头列表。建议采用X-Remote组。
--requestheader-username-headers strings List of request headers to inspect for usernames. X-Remote-User is common. 要检查用户名的请求头列表。一般使用X-Remote-User
--proxy-client-cert-file string Client certificate used to prove the identity of the aggregator or kube-apiserver when it must call out during a request. This includes proxying requests to a user api-server and calling out to webhook admission plugins. It is expected that this cert includes a signature from the CA in the --requestheader-client-ca-file flag. That CA is published in the 'extension-apiserver-authentication' configmap in the kube-system namespace. Components receiving calls from kube-aggregator should use that CA to perform their half of the mutual TLS verification. 用于证明 aggregator 或 kube-apiserver 在请求期间发出呼叫的身份的客户端证书,包括 api-server 的请求代理给以及对webhook准入插件的调用。此证书包括来自--requestheader-client-ca-file中的CA的签名。该CA在kube-system命名空间的 “extension-apiserver-authentication” configmap中。被 kube-aggregator 调用的组件应该使用该CA来执行其TLS验证。
--proxy-client-key-file string Private key for the client certificate used to prove the identity of the aggregator or kube-apiserver when it must call out during a request. This includes proxying requests to a user api-server and calling out to webhook admission plugins.客户端证书的私钥,用于在请求期间证明 aggregator 或kube-apiserver的身份时。包括api-server的请求代理给以及对webhook准入插件的调用。

Authorization flags:

参数 描述
--authorization-mode 在安全端口上执行授权的有序的插件列表。默认值:AlwaysAllow.以逗号分隔的列表:AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node.

Api enablement flags

参数 描述
--runtime-config mapStringString 一组键值对,描述可能传给apiserver的runtime配置。<group> / <version>(或核心组的<version>)键可用于打开/关闭特定的api版本。 api / all是控制所有api版本的特殊键,默认设置为false,除非你知道你做了什么。 api / legacy已弃用,将来会将其删除,请停止使用它。
--admission-control 准入控制过程分两个阶段。第一阶段,运行 mutating admission controllers。第二阶段,运行 validating admission controllers。有些控制器会运行两次。如果任一阶段中的任何控制器拒绝请求,则立即拒绝整个请求,并向最终用户返回错误。AlwaysAdmit, AlwaysDeny, AlwaysPullImages, DefaultStorageClass, DefaultTolerationSeconds, DenyEscalatingExec, DenyExecOnPrivileged, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, Initializers, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PersistentVolumeLabel, PodNodeSelector, PodPreset, PodSecurityPolicy, PodTolerationRestriction, Priority, ResourceQuota, SecurityContextDeny, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionWebhook
--advertise-address 向集群成员发布apiserver的IP地址,该地址必须能够被集群的成员访问。如果为空,则使用 --bind-address,如果 --bind-address未指定,那么使用主机的默认接口。
--bind-address 监听安全端口的IP地址。必须能被集群的其他以及CLI/web客户机访问

Misc flags:

参数 描述
--allow-privileged true允许特权模式的容器。默认值false
--apiserver-count 集群中运行的 api server 数量,默认值 1.使用时--endpoint-reconciler-type=master-count时启用的
--event-ttl 保留事件的时间。默认值 1h0m0s
--kubelet-https=true kubelet通信使用https,默认值 true
--service-account-signing-key-file 指向包含service account token签发方当前私钥文件的路径。签发方将用这个私钥签署已发行的ID token。 需要设置'TokenRequest' feature gate
--service-cluster-ip-range CIDR表示IP范围,用于分配服务集群IP。不能与分配给pod节点的IP重叠 (default 10.0.0.0/24)
--service-node-port-range portRange 为NodePort服务保留的端口范围。默认值 30000-32767

Global flags:

参数 描述
--alsologtostderr 日志信息同时输出到stderr及文件
--logtostderr 日志信息输出到stderr 而不是文件
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 210,914评论 6 490
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 89,935评论 2 383
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,531评论 0 345
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,309评论 1 282
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,381评论 5 384
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,730评论 1 289
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,882评论 3 404
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,643评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,095评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,448评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,566评论 1 339
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,253评论 4 328
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,829评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,715评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,945评论 1 264
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,248评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,440评论 2 348

推荐阅读更多精彩内容