kube-apiserver
简介
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
kube-apiserver [flags]
选项
--add-dir-header | |
如果为 true,则将文件目录添加到日志消息的标题中 |
|
--admission-control-config-file string | |
包含准入控制配置的文件。 |
|
--advertise-address string | |
向集群成员通知 apiserver 消息的 IP 地址。 这个地址必须能够被集群中其他成员访问。 如果 IP 地址为空,将会使用 --bind-address, 如果未指定 --bind-address,将会使用主机的默认接口地址。 |
|
--allow-metric-labels stringToString 默认值:[] | |
允许使用的指标标签到指标值的映射列表。键的格式为 <MetricName>,<LabelName>.
值的格式为 <allowed_value>,<allowed_value>...。
例如: |
|
--allow-privileged | |
如果为 true, 将允许特权容器。[默认值=false] | |
--alsologtostderr | |
在向文件输出日志的同时,也将日志写到标准输出。 | |
--anonymous-auth 默认值:true | |
启用到 API 服务器的安全端口的匿名请求。
未被其他认证方法拒绝的请求被当做匿名请求。
匿名请求的用户名为 system:anonymous ,
用户组名为 system:unauthenticated。
|
|
--api-audiences strings | |
API 的标识符。
服务帐户令牌验证者将验证针对 API 使用的令牌是否已绑定到这些受众中的至少一个。
如果配置了 --service-account-issuer 标志,但未配置此标志,
则此字段默认为包含发布者 URL 的单个元素列表。
|
|
--apiserver-count int 默认值:1 | |
集群中运行的 API 服务器数量,必须为正数。 (在启用 --endpoint-reconciler-type=master-count 时使用。) | |
--audit-log-batch-buffer-size int 默认值:10000 | |
批处理和写入之前用于存储事件的缓冲区大小。 仅在批处理模式下使用。 | |
--audit-log-batch-max-size int 默认值:1 | |
每个批次的最大大小。仅在批处理模式下使用。 | |
--audit-log-batch-max-wait duration | |
强制写入尚未达到最大大小的批次之前要等待的时间。 仅在批处理模式下使用。 | |
--audit-log-batch-throttle-burst int | |
如果之前未使用 ThrottleQPS,则为同时发送的最大请求数。 仅在批处理模式下使用。 | |
--audit-log-batch-throttle-enable | |
是否启用了批量限制。仅在批处理模式下使用。 | |
--audit-log-batch-throttle-qps float | |
每秒的最大平均批次数。仅在批处理模式下使用。 | |
--audit-log-compress | |
若设置了此标志,则被轮换的日志文件会使用 gzip 压缩。 | |
--audit-log-format string 默认值:"json" | |
所保存的审计格式。 "legacy" 表示每行一个事件的文本格式。"json" 表示结构化的 JSON 格式。 已知格式为 legacy,json。 | |
--audit-log-maxage int | |
根据文件名中编码的时间戳保留旧审计日志文件的最大天数。 | |
--audit-log-maxbackup int | |
要保留的旧的审计日志文件个数上限。 | |
--audit-log-maxsize int | |
轮换之前,审计日志文件的最大大小(以兆字节为单位)。 | |
--audit-log-mode string 默认值:"blocking" | |
用来发送审计事件的策略。 阻塞(blocking)表示发送事件应阻止服务器响应。 批处理(batch)会导致后端异步缓冲和写入事件。 已知的模式是批处理(batch),阻塞(blocking),严格阻塞(blocking-strict)。 | |
--audit-log-path string | |
如果设置,则所有到达 API 服务器的请求都将记录到该文件中。 "-" 表示标准输出。 | |
--audit-log-truncate-enabled | |
是否启用事件和批次截断。 | |
--audit-log-truncate-max-batch-size int 默认值:10485760 | |
发送到下层后端的每批次的最大数据量。 实际的序列化大小可能会增加数百个字节。 如果一个批次超出此限制,则将其分成几个较小的批次。 | |
--audit-log-truncate-max-event-size int 默认值:102400 | |
发送到下层后端的每批次的最大数据量。 如果事件的大小大于此数字,则将删除第一个请求和响应; 如果这样做没有减小足够大的程度,则将丢弃事件。 | |
--audit-log-version string 默认值:"audit.k8s.io/v1" | |
用于对写入日志的审计事件执行序列化的 API 组和版本。 | |
--audit-policy-file string | |
定义审计策略配置的文件的路径。 | |
--audit-webhook-batch-buffer-size int 默认值:10000 | |
划分批次和写入之前用于存储事件的缓冲区大小。 仅在批处理模式下使用。 | |
--audit-webhook-batch-max-size int 默认值:400 | |
批次的最大大小。 仅在批处理模式下使用。 | |
--audit-webhook-batch-max-wait duration 默认值:30s | |
强制写入尚未达到最大大小的批处理之前要等待的时间。 仅在批处理模式下使用。 | |
--audit-webhook-batch-throttle-burst int 默认值:15 | |
如果之前未使用 ThrottleQPS,同时发送的最大请求数。 仅在批处理模式下使用。 | |
--audit-webhook-batch-throttle-enable 默认值:true | |
是否启用了批量限制。仅在批处理模式下使用。 | |
--audit-webhook-batch-throttle-qps float32 默认值:10 | |
每秒的最大平均批次数。仅在批处理模式下使用。 | |
--audit-webhook-config-file string | |
定义审计 webhook 配置的 kubeconfig 格式文件的路径。 | |
--audit-webhook-initial-backoff duration 默认值:10s | |
重试第一个失败的请求之前要等待的时间。 | |
--audit-webhook-mode string 默认值:"batch" | |
发送审计事件的策略。 阻止(Blocking)表示发送事件应阻止服务器响应。 批处理(Batch)导致后端异步缓冲和写入事件。 已知的模式是批处理(batch),阻塞(blocking),严格阻塞(blocking-strict)。 | |
--audit-webhook-truncate-enabled | |
是否启用事件和批处理截断。 | |
--audit-webhook-truncate-max-batch-size int 默认值:10485760 | |
发送到下层后端的批次的最大数据量。 实际的序列化大小可能会增加数百个字节。 如果一个批次超出此限制,则将其分成几个较小的批次。 | |
--audit-webhook-truncate-max-event-size int 默认值:102400 | |
发送到下层后端的批次的最大数据量。 如果事件的大小大于此数字,则将删除第一个请求和响应; 如果事件和事件的大小没有减小到一定幅度,则将丢弃事件。 | |
--audit-webhook-version string 默认值:"audit.k8s.io/v1" | |
用于序列化写入 Webhook 的审计事件的 API 组和版本。 | |
--authentication-token-webhook-cache-ttl duration 2m0s | |
对来自 Webhook 令牌身份验证器的响应的缓存时间。 | |
--authentication-token-webhook-config-file string | |
包含 Webhook 配置的 kubeconfig 格式文件,用于进行令牌认证。 API 服务器将查询远程服务,以对持有者令牌进行身份验证。 | |
--authentication-token-webhook-version string 默认值:"v1beta1" | |
与 Webhook 之间交换 authentication.k8s.io TokenReview 时使用的 API 版本。 | |
--authorization-mode stringSlice 默认值:"AlwaysAllow" | |
在安全端口上进行鉴权的插件的顺序列表。 逗号分隔的列表:AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC、Node。 | |
--authorization-policy-file string | |
包含鉴权策略的文件,其内容为分行 JSON 格式, 在安全端口上与 --authorization-mode=ABAC 一起使用。 | |
--authorization-webhook-cache-authorized-ttl duration 默认值:5m0s | |
对来自 Webhook 鉴权组件的 “授权(authorized)” 响应的缓存时间。 | |
--authorization-webhook-cache-unauthorized-ttl duration 默认值:30s | |
对来自 Webhook 鉴权模块的 “未授权(unauthorized)” 响应的缓存时间。 | |
--authorization-webhook-config-file string | |
包含 Webhook 配置的文件,其格式为 kubeconfig, 与 --authorization-mode=Webhook 一起使用。 API 服务器将查询远程服务,以对 API 服务器的安全端口的访问执行鉴权。 | |
--authorization-webhook-version string 默认值:"v1beta1" | |
与 Webhook 之间交换 authorization.k8s.io SubjectAccessReview 时使用的 API 版本。 | |
--azure-container-registry-config string | |
包含 Azure 容器仓库配置信息的文件的路径。 | |
--bind-address string 默认值:"0.0.0.0" | |
用来监听 --secure-port 端口的 IP 地址。
集群的其余部分以及 CLI/web 客户端必须可以访问所关联的接口。
如果为空白或未指定地址(0.0.0.0 或 ::),则将使用所有接口。
|
|
--cert-dir string 默认值:"/var/run/kubernetes" | |
TLS 证书所在的目录。
如果提供了 --tls-cert-file 和 --tls-private-key-file
标志值,则将忽略此标志。
|
|
--client-ca-file string | |
如果已设置,则使用与客户端证书的 CommonName 对应的标识对任何出示由 client-ca 文件中的授权机构之一签名的客户端证书的请求进行身份验证。 | |
--cloud-config string | |
云厂商配置文件的路径。空字符串表示无配置文件。 | |
--cloud-provider string | |
云服务提供商。空字符串表示没有云厂商。 | |
--cloud-provider-gce-l7lb-src-cidrs cidrs 默认值:"130.211.0.0/22,35.191.0.0/16" | |
在 GCE 防火墙中打开 CIDR,以进行第 7 层负载均衡流量代理和健康状况检查。 | |
--contention-profiling | |
如果启用了性能分析,则启用锁争用性能分析。 | |
--cors-allowed-origins strings | |
CORS 允许的来源清单,以逗号分隔。 允许的来源可以是支持子域匹配的正则表达式。 如果此列表为空,则不会启用 CORS。 | |
--default-not-ready-toleration-seconds int 默认值:300 | |
对污点 NotReady:NoExecute 的容忍时长(以秒计)。 默认情况下这一容忍度会被添加到尚未具有此容忍度的每个 pod 中。 | |
--default-unreachable-toleration-seconds int 默认值:300 | |
对污点 Unreachable:NoExecute 的容忍时长(以秒计) 默认情况下这一容忍度会被添加到尚未具有此容忍度的每个 pod 中。 | |
--default-watch-cache-size int 默认值:100 | |
默认监听(watch)缓存大小。 如果为零,则将为没有设置默认监视大小的资源禁用监视缓存。 | |
--delete-collection-workers int 默认值: 1 | |
为 DeleteCollection 调用而产生的工作线程数。 这些用于加速名字空间清理。 | |
--disable-admission-plugins strings | |
尽管位于默认启用的插件列表中(NamespaceLifecycle、LimitRanger、ServiceAccount、TaintNodesByCondition、PodSecurity、Priority、DefaultTolerationSeconds、DefaultStorageClass、StorageObjectInUseProtection、PersistentVolumeClaimResize、RuntimeClass、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、MutatingAdmissionWebhook、ValidatingAdmissionWebhook、ResourceQuota)仍须被禁用的插件。
取值为逗号分隔的准入插件列表:AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyServiceExternalIPs、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision、NamespaceExists、NamespaceLifecycle、NodeRestriction、OwnerReferencesPermissionEnforcement、PersistentVolumeClaimResize、PersistentVolumeLabel、PodNodeSelector、PodSecurity、PodSecurityPolicy、PodTolerationRestriction、Priority、ResourceQuota、RuntimeClass、SecurityContextDeny、ServiceAccount、StorageObjectInUseProtection、TaintNodesByCondition、ValidatingAdmissionWebhook。 该标志中插件的顺序无关紧要。 |
|
--disabled-metrics strings | |
此标志为行为不正确的度量指标提供一种处理方案。 你必须提供完全限定的指标名称才能将其禁止。 声明:禁用度量值的行为优先于显示已隐藏的度量值。 | |
--egress-selector-config-file string | |
带有 API 服务器出站选择器配置的文件。 | |
--enable-admission-plugins stringSlice | |
除了默认启用的插件(NamespaceLifecycle、LimitRanger、ServiceAccount、TaintNodesByCondition、PodSecurity、Priority、DefaultTolerationSeconds、DefaultStorageClass、StorageObjectInUseProtection、PersistentVolumeClaimResize、RuntimeClass、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、MutatingAdmissionWebhook、ValidatingAdmissionWebhook、ResourceQuota)之外要启用的插件
取值为逗号分隔的准入插件列表:AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyServiceExternalIPs、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision、NamespaceExists、NamespaceLifecycle、NodeRestriction、OwnerReferencesPermissionEnforcement、PersistentVolumeClaimResize、PersistentVolumeLabel、PodNodeSelector、PodSecurity、PodSecurityPolicy、PodTolerationRestriction、Priority、ResourceQuota、RuntimeClass、SecurityContextDeny、ServiceAccount、StorageObjectInUseProtection、TaintNodesByCondition、ValidatingAdmissionWebhook
该标志中插件的顺序无关紧要。 |
|
--enable-aggregator-routing | |
允许聚合器将请求路由到端点 IP 而非集群 IP。 | |
--enable-bootstrap-token-auth | |
启用以允许将 "kube-system" 名字空间中类型为 "bootstrap.kubernetes.io/token" 的 Secret 用于 TLS 引导身份验证。 | |
--enable-garbage-collector 默认值:true | |
启用通用垃圾收集器。必须与 kube-controller-manager 的相应标志同步。 | |
--enable-priority-and-fairness 默认值:true | |
如果为 true 且启用了 APIPriorityAndFairness 特性门控,
请使用增强的处理程序替换 max-in-flight 处理程序,
以便根据优先级和公平性完成排队和调度。
|
|
--encryption-provider-config string | |
包含加密提供程序配置信息的文件,用在 etcd 中所存储的 Secret 上。 | |
--endpoint-reconciler-type string 默认值:"lease" | |
使用端点协调器(master-count 、lease 或 none )。
|
|
--etcd-cafile string | |
用于保护 etcd 通信的 SSL 证书颁发机构文件。 | |
--etcd-certfile string | |
用于保护 etcd 通信的 SSL 证书文件。 | |
--etcd-compaction-interval duration 默认值:5m0s | |
压缩请求的间隔。 如果为0,则禁用来自 API 服务器的压缩请求。 | |
--etcd-count-metric-poll-period duration 默认值:1m0s | |
针对每种类型的资源数量轮询 etcd 的频率。 0 值表示禁用度量值收集。 | |
--etcd-db-metric-poll-interval duration 默认值:30s | |
轮询 etcd 和更新度量值的请求间隔。0 值表示禁用度量值收集。 | |
--etcd-healthcheck-timeout duration 检查 etcd 健康状况时使用的超时时长。 | |
--etcd-keyfile string | |
用于保护 etcd 通信的 SSL 密钥文件。 | |
--etcd-prefix string 默认值:"/registry" | |
要在 etcd 中所有资源路径之前添加的前缀。 | |
--etcd-servers strings | |
要连接的 etcd 服务器列表(scheme://ip:port ),以逗号分隔。
|
|
--etcd-servers-overrides strings | |
etcd 服务器针对每个资源的重载设置,以逗号分隔。 单个替代格式:组/资源#服务器(group/resource#servers), 其中服务器是 URL,以分号分隔。 | |
--event-ttl duration 默认值:1h0m0s | |
事件的保留时长。 | |
--experimental-logging-sanitization | |
[试验性功能] 启用此标志时,被标记为敏感的字段(密码、密钥、令牌)都不会被日志输出。 运行时的日志清理可能会引入相当程度的计算开销,因此不应该在产品环境中启用。 |
|
--external-hostname string | |
为此主机生成外部化 UR L时要使用的主机名(例如 Swagger API 文档或 OpenID 发现)。 | |
--feature-gates <逗号分隔的 'key=True|False' 键值对> | |
一组 key=value 对,用来描述测试性/试验性功能的特性门控。可选项有:
APIListChunking=true|false (BETA - 默认值=true) |
|
--goaway-chance float | |
为防止 HTTP/2 客户端卡在单个 API 服务器上,可启用随机关闭连接(GOAWAY)。 客户端的其他运行中请求将不会受到影响,并且客户端将重新连接, 可能会在再次通过负载平衡器后登陆到其他 API 服务器上。 此参数设置将发送 GOAWAY 的请求的比例。 具有单个 API 服务器或不使用负载平衡器的群集不应启用此功能。 最小值为0(关闭),最大值为 .02(1/50 请求); 建议使用 .001(1/1000)。 | |
-h, --help | |
kube-apiserver 的帮助命令 | |
--http2-max-streams-per-connection int | |
服务器为客户端提供的 HTTP/2 连接中最大流数的限制。 零表示使用 GoLang 的默认值。 | |
--identity-lease-duration-seconds int 默认值:3600 | |
kube-apiserver 租约时长(按秒计),必须是正数。 (当 APIServerIdentity 特性门控被启用时使用此标志值) | |
--identity-lease-renew-interval-seconds int 默认值:10 | |
kube-apiserver 对其租约进行续期的时间间隔(按秒计),必须是正数。 (当 APIServerIdentity 特性门控被启用时使用此标志值) | |
--kubelet-certificate-authority string | |
证书颁发机构的证书文件的路径。 | |
--kubelet-client-certificate string | |
TLS 的客户端证书文件的路径。 | |
--kubelet-client-key string | |
TLS 客户端密钥文件的路径。 | |
--kubelet-preferred-address-types strings 默认值:Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP | |
用于 kubelet 连接的首选 NodeAddressTypes 列表。 | |
--kubelet-timeout duration 默认值:5s | |
kubelet 操作超时时间。 | |
--kubernetes-service-node-port int | |
如果非零,那么 Kubernetes 主服务(由 apiserver 创建/维护)将是 NodePort 类型, 使用它作为端口的值。 如果为零,则 Kubernetes 主服务将为 ClusterIP 类型。 | |
--lease-reuse-duration-seconds int 默认值:60 | |
每个租约被重用的时长。 如果此值比较低,可以避免大量对象重用此租约。 注意,如果此值过小,可能导致存储层出现性能问题。 | |
--livez-grace-period duration | |
此选项代表 API 服务器完成启动序列并生效所需的最长时间。 从 API 服务器的启动时间到这段时间为止, /livez 将假定未完成的启动后钩子将成功完成,因此返回 true。 | |
--log-backtrace-at traceLocation 默认值::0 | |
当日志机制执行到'文件 :N'时,生成堆栈跟踪。 | |
--log-dir string | |
如果为非空,则在此目录中写入日志文件。 | |
--log-file string | |
如果为非空,使用此值作为日志文件。 | |
--log-file-max-size uint 默认值:1800 | |
定义日志文件可以增长到的最大大小。单位为兆字节。 如果值为 0,则最大文件大小为无限制。 | |
--log-flush-frequency duration 默认值:5s | |
两次日志刷新之间的最大秒数 | |
--logging-format string 默认值:"text" | |
设置日志格式。允许的格式:"text"。 非默认格式不支持以下标志: --add-dir-header 、--alsologtostderr 、--log-backtrace-at 、--log-dir 、--log-file 、--log-file-max-size 、--logtostderr 、--one-output 、-skip-headers 、-skip-log-headers 、--stderrthreshold 、-vmodule 和 --log-flush-frequency 。当前非默认选择为 alpha,会随时更改而不会发出警告。 |
|
--logtostderr 默认值:true | |
在标准错误而不是文件中输出日志记录。 | |
--master-service-namespace string 默认值:"default" | |
已废弃:应该从其中将 Kubernetes 主服务注入到 Pod 中的名字空间。 | |
--max-connection-bytes-per-sec int | |
如果不为零,则将每个用户连接限制为该数(字节数/秒)。 当前仅适用于长时间运行的请求。 | |
--max-mutating-requests-inflight int 默认值:200 | |
如果 --enable-priority-and-fairness 为 true,那么此值和 --max-requests-inflight 的和将确定服务器的总并发限制(必须是正数)。 否则,该值限制进行中变更类型请求的最大个数,零表示无限制。 | |
--max-requests-inflight int 默认值:400 | |
如果 --enable-priority-and-fairness 为 true,那么此值和 --max-mutating-requests-inflight 的和将确定服务器的总并发限制(必须是正数)。 否则,该值限制进行中非变更类型请求的最大个数,零表示无限制。 | |
--min-request-timeout int 默认值:1800 | |
可选字段,表示处理程序在请求超时前,必须保持其处于打开状态的最小秒数。 当前只对监听(Watch)请求的处理程序有效,它基于这个值选择一个随机数作为连接超时值, 以达到分散负载的目的。 | |
--oidc-ca-file string | |
如果设置该值,将会使用 oidc-ca-file 中的机构之一对 OpenID 服务的证书进行验证, 否则将会使用主机的根 CA 对其进行验证。 | |
--oidc-client-id string | |
OpenID 连接客户端的要使用的客户 ID,如果设置了 oidc-issuer-url,则必须设置这个值。 | |
--oidc-groups-claim string | |
如果提供该值,这个自定义 OpenID 连接声明将被用来设定用户组。 该声明值需要是一个字符串或字符串数组。 此标志为实验性的,请查阅身份认证相关文档进一步了解详细信息。 | |
--oidc-groups-prefix string | |
如果提供了此值,则所有组都将以该值作为前缀,以防止与其他身份认证策略冲突。 | |
--oidc-issuer-url string | |
OpenID 颁发者 URL,只接受 HTTPS 方案。 如果设置该值,它将被用于验证 OIDC JSON Web Token(JWT)。 | |
--oidc-required-claim <逗号分隔的 'key=value' 键值对列表> | |
描述 ID 令牌中必需声明的键值对。 如果设置此值,则会验证 ID 令牌中存在与该声明匹配的值。 重复此标志以指定多个声明。 | |
--oidc-signing-algs strings 默认值:RS256 | |
允许的 JOSE 非对称签名算法的逗号分隔列表。 若 JWT 所带的 "alg" 标头值不在列表中,则该 JWT 将被拒绝。 取值依据 RFC 7518 https://tools.ietf.org/html/rfc7518#section-3.1 定义。 | |
--oidc-username-claim string 默认值:"sub" | |
要用作用户名的 OpenID 声明。 请注意,除默认声明("sub")以外的其他声明不能保证是唯一且不可变的。 此标志是实验性的,请参阅身份认证文档以获取更多详细信息。 | |
--oidc-username-prefix string | |
如果提供,则所有用户名都将以该值作为前缀。 如果未提供,则除 "email" 之外的用户名声明都会添加颁发者 URL 作为前缀,以避免冲突。 要略过添加前缀处理,请设置值为 "-"。 | |
--one-output | |
此标志为真时,日志只会被写入到其原生的严重性级别中(而不是同时写到所有较低 严重性级别中)。 | |
--permit-address-sharing 默认值:false | |
若此标志为 true,则使用 SO_REUSEADDR 来绑定端口。 这样设置可以同时绑定到用通配符表示的类似 0.0.0.0 这种 IP 地址, 以及特定的 IP 地址。也可以避免等待内核释放 TIME_WAIT 状态的套接字。 |
|
--permit-port-sharing 默认值:false | |
如果为 true,则在绑定端口时将使用 SO_REUSEPORT, 这样多个实例可以绑定到同一地址和端口上。 | |
--profiling 默认值:true | |
通过 Web 接口 host:port/debug/pprof/ 启用性能分析。
|
|
--proxy-client-cert-file string | |
当必须调用外部程序以处理请求时,用于证明聚合器或者 kube-apiserver 的身份的客户端证书。 包括代理转发到用户 api-server 的请求和调用 Webhook 准入控制插件的请求。 Kubernetes 期望此证书包含来自于 --requestheader-client-ca-file 标志中所给 CA 的签名。 该 CA 在 kube-system 命名空间的 "extension-apiserver-authentication" ConfigMap 中公开。 从 kube-aggregator 收到调用的组件应该使用该 CA 进行各自的双向 TLS 验证。 | |
--proxy-client-key-file string | |
当必须调用外部程序来处理请求时,用来证明聚合器或者 kube-apiserver 的身份的客户端私钥。 这包括代理转发给用户 api-server 的请求和调用 Webhook 准入控制插件的请求。 | |
--request-timeout duration 默认值:1m0s | |
可选字段,指示处理程序在超时之前必须保持打开请求的持续时间。
这是请求的默认请求超时,但对于特定类型的请求,可能会被
--min-request-timeout 等标志覆盖。
|
|
--requestheader-allowed-names strings | |
此值为客户端证书通用名称(Common Name)的列表;表中所列的表项可以用来提供用户名,
方式是使用 --requestheader-username-headers 所指定的头部。
如果为空,能够通过 --requestheader-client-ca-file 中机构
认证的客户端证书都是被允许的。
|
|
--requestheader-client-ca-file string | |
在信任请求头中以 --requestheader-username-headers 指示的用户名之前,
用于验证接入请求中客户端证书的根证书包。
警告:一般不要假定传入请求已被授权。
|
|
--requestheader-extra-headers-prefix strings | |
用于查验请求头部的前缀列表。建议使用 X-Remote-Extra- 。
|
|
--requestheader-group-headers strings | |
用于查验用户组的请求头部列表。建议使用 X-Remote-Group 。
|
|
--requestheader-username-headers strings | |
用于查验用户名的请求头头列表。建议使用 X-Remote-User 。
|
|
--runtime-config <逗号分隔的 'key=value' 对列表> | |
一组启用或禁用内置 API 的键值对。支持的选项包括:
v1=true|false(针对核心 API 组) <group>/<version>=true|false(针对特定 API 组和版本,例如:apps/v1=true) api/all=true|false 控制所有 API 版本 api/ga=true|false 控制所有 v[0-9]+ API 版本 api/beta=true|false 控制所有 v[0-9]+beta[0-9]+ API 版本 api/alpha=true|false 控制所有 v[0-9]+alpha[0-9]+ API 版本 api/legacy 已弃用,并将在以后的版本中删除 |
|
--secure-port int 默认值:6443 | |
带身份验证和鉴权机制的 HTTPS 服务端口。 不能用 0 关闭。 | |
--service-account-extend-token-expiration 默认值:true | |
在生成令牌时,启用投射服务帐户到期时间扩展, 这有助于从旧版令牌安全地过渡到绑定的服务帐户令牌功能。 如果启用此标志,则准入插件注入的令牌的过期时间将延长至 1 年,以防止过渡期间发生意外故障, 并忽略 service-account-max-token-expiration 的值。 | |
--service-account-issuer strings | |
服务帐号令牌颁发者的标识符。 颁发者将在已办法令牌的 "iss" 声明中检查此标识符。 此值为字符串或 URI。 如果根据 OpenID Discovery 1.0 规范检查此选项不是有效的 URI,则即使特性门控设置为 true, ServiceAccountIssuerDiscovery 功能也将保持禁用状态。 强烈建议该值符合 OpenID 规范:https://openid.net/specs/openid-connect-discovery-1_0.html。 实践中,这意味着 service-account-issuer 取值必须是 HTTPS URL。 还强烈建议此 URL 能够在 {service-account-issuer}/.well-known/openid-configuration 处提供 OpenID 发现文档。 当此值被多次指定时,第一次的值用于生成令牌,所有的值用于确定接受哪些发行人。 | |
--service-account-jwks-uri string | |
覆盖 /.well-known/openid-configuration 提供的发现文档中 JSON Web 密钥集的 URI。
如果发现文档和密钥集是通过 API 服务器外部
(而非自动检测到或被外部主机名覆盖)之外的 URL 提供给依赖方的,则此标志很有用。
仅在启用 ServiceAccountIssuerDiscovery 特性门控的情况下有效。
|
|
--service-account-key-file strings | |
包含 PEM 编码的 x509 RSA 或 ECDSA 私钥或公钥的文件,用于验证 ServiceAccount 令牌。
指定的文件可以包含多个键,并且可以使用不同的文件多次指定标志。
如果未指定,则使用 --tls-private-key-file 。
提供 --service-account-signing-key 时必须指定。
|
|
--service-account-lookup 默认值:true | |
如果为 true,则在身份认证时验证 etcd 中是否存在 ServiceAccount 令牌。 | |
--service-account-max-token-expiration duration | |
服务帐户令牌发布者创建的令牌的最长有效期。 如果请求有效期大于此值的有效令牌请求,将使用此值的有效期颁发令牌。 | |
--service-account-signing-key-file string | |
包含服务帐户令牌颁发者当前私钥的文件的路径。 颁发者将使用此私钥签署所颁发的 ID 令牌。 | |
--service-cluster-ip-range string | |
CIDR 表示的 IP 范围用来为服务分配集群 IP。 此地址不得与指定给节点或 Pod 的任何 IP 范围重叠。 | |
--service-node-port-range <形式为 'N1-N2' 的字符串> 默认值:30000-32767 | |
保留给具有 NodePort 可见性的服务的端口范围。 例如:"30000-32767"。范围的两端都包括在内。 | |
--show-hidden-metrics-for-version string | |
你要显示隐藏指标的先前版本。仅先前的次要版本有意义,不允许其他值。 格式为 <major>.<minor>,例如:"1.16"。 这种格式的目的是确保你有机会注意到下一个版本是否隐藏了其他指标, 而不是在此之后将它们从发行版中永久删除时感到惊讶。 | |
--shutdown-delay-duration duration | |
延迟终止时间。在此期间,服务器将继续正常处理请求。 端点 /healthz 和 /livez 将返回成功,但是 /readyz 立即返回失败。 在此延迟过去之后,将开始正常终止。 这可用于允许负载平衡器停止向该服务器发送流量。 | |
--skip-headers | |
如果为 true,日志消息中避免标题前缀。 | |
--skip-log-headers | |
如果为 true,则在打开日志文件时避免标题。 | |
--stderrthreshold int 默认值:2 | |
将达到或超过此阈值的日志写到标准错误输出 | |
--storage-backend string | |
持久化存储后端。选项:"etcd3"(默认)。 | |
--storage-media-type string 默认值:"application/vnd.kubernetes.protobuf" | |
用于在存储中存储对象的媒体类型。 某些资源或存储后端可能仅支持特定的媒体类型,并且将忽略此设置。 | |
--strict-transport-security-directives strings | |
为 HSTS 所设置的指令列表,用逗号分隔。 如果此列表为空,则不会添加 HSTS 指令。 例如: 'max-age=31536000,includeSubDomains,preload' |
|
--tls-cert-file string | |
包含用于 HTTPS 的默认 x509 证书的文件。(CA 证书(如果有)在服务器证书之后并置)。
如果启用了 HTTPS 服务,并且未提供 --tls-cert-file 和
--tls-private-key-file ,
为公共地址生成一个自签名证书和密钥,并将其保存到 --cert-dir 指定的目录中。
|
|
--tls-cipher-suites strings | |
服务器的密码套件的列表,以逗号分隔。如果省略,将使用默认的 Go 密码套件。
首选值: TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、 TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384. 不安全的值有: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_ECDSA_WITH_RC4_128_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_RSA_WITH_RC4_128_SHA、TLS_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_RC4_128_SHA。 |
|
--tls-min-version string | |
支持的最低 TLS 版本。可能的值:VersionTLS10,VersionTLS11,VersionTLS12,VersionTLS13 | |
--tls-private-key-file string | |
包含匹配 --tls-cert-file 的 x509 证书私钥的文件。
|
|
--tls-sni-cert-key string 默认值: [] | |
一对 x509 证书和私钥文件路径,(可选)后缀为全限定域名的域名模式列表,可以使用带有通配符的前缀。
域模式也允许使用 IP 地址,但仅当 apiserver 对客户端请求的IP地址具有可见性时,才应使用 IP。
如果未提供域模式,则提取证书的名称。
非通配符匹配优先于通配符匹配,显式域模式优先于提取出的名称。
对于多个密钥/证书对,请多次使用 --tls-sni-cert-key 。
示例:"example.crt,example.key" 或 "foo.crt,foo.key:\*.foo.com,foo.com"。
|
|
--token-auth-file string | |
如果设置该值,这个文件将被用于通过令牌认证来保护 API 服务的安全端口。 | |
--tracing-config-file string | |
包含 API 服务器跟踪配置的文件。 | |
-v, --v int | |
日志级别详细程度的数字。 | |
--version version[=true] | |
打印版本信息并退出 | |
--vmodule <用逗号分隔的多个 'pattern=N' 配置字符串> | |
以逗号分隔的 pattern=N 设置列表,用于文件过滤的日志记录。
|
|
--watch-cache 默认值:true | |
在 API 服务器中启用监视缓存。 | |
--watch-cache-sizes strings | |
某些资源(Pods、Nodes 等)的监视缓存大小设置,以逗号分隔。
每个资源对应的设置格式:resource[.group]#size ,其中
resource 为小写复数(无版本),
对于 apiVersion v1(旧版核心 API)的资源要省略 group ,
对其它资源要给出 group ;size 为一个数字 。
启用 watch-cache 时,此功能生效。
某些资源(replicationcontrollers 、endpoints 、
nodes 、pods 、services 、
apiservices.apiregistration.k8s.io )
具有通过启发式设置的系统默认值,其他资源默认为
default-watch-cache-size |