kube-apiserver
概要
Kubernetes API 服务器验证并配置数据,用于 api 对象,包括 Pod、Service、ReplicationControllers 等。API 服务器提供 REST 操作,并通过所有其他组件交互的集群共享状态的前端。
kube-apiserver [flags]
选项
| --admission-control strings | |
准入分为两个阶段。在第一阶段,只有变异准入插件运行。在第二阶段,只有验证准入插件运行。下面的列表中名称可能代表验证插件、变异插件或两者。将插件传递给此标志的顺序无关紧要。逗号分隔的列表:AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionPolicy, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeDeclaredFeatureValidator, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, PodTopologyLabels, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook。(已弃用:请改用 --enable-admission-plugins 或 --disable-admission-plugins。将在未来的版本中删除。) | |
| --admission-control-config-file string | |
包含准入控制配置的文件。 | |
| --advertise-address string | |
要在集群成员中通告 apiserver 的 IP 地址。此地址必须可被集群的其余部分访问。如果为空,将使用 --bind-address。如果未指定 --bind-address,将使用主机的默认接口。 | |
| --aggregator-reject-forwarding-redirect 默认值:true | |
Aggregator 拒绝将转发重定向响应返回给客户端。 | |
| --allow-metric-labels stringToString 默认值:[] | |
从指标标签到值的允许列表的映射。键的格式为 <MetricName>,<LabelName>。值的格式为 <allowed_value>,<allowed_value>...例如 metric1,label1='v1,v2,v3', metric1,label2='v1,v2,v3' metric2,label1='v1,v2,v3'。 | |
| --allow-metric-labels-manifest string | |
包含允许列表映射的清单文件的路径。文件的格式与 --allow-metric-labels 标志相同。请注意,--allow-metric-labels 标志将覆盖清单文件。 | |
| --allow-privileged | |
如果为 true,则允许特权容器。[默认值:false] | |
| --anonymous-auth 默认值:true | |
启用对 API 服务器安全端口的匿名请求。未被其他身份验证方法拒绝的请求被视为匿名请求。匿名请求具有用户名 system:anonymous 和组名 system:unauthenticated。 | |
| --api-audiences strings | |
API 的标识符。服务帐户令牌验证程序将验证用于访问 API 的令牌是否绑定到其中至少一个受众。如果配置了 --service-account-issuer 标志且未指定此标志,则此字段默认为包含发行者 URL 的单个元素列表。 | |
| --audit-log-batch-buffer-size int 默认值:10000 | |
在批量和写入之前存储事件的缓冲区的容量。仅在批量模式下使用。 | |
| --audit-log-batch-max-size int 默认值:1 | |
批次的最大大小。仅在批量模式下使用。 | |
| --audit-log-batch-max-wait duration | |
在强制写入未达到最大大小的批次之前等待的时间量。仅在批量模式下使用。 | |
| --audit-log-batch-throttle-burst int | |
如果之前未使用 ThrottleQPS,则同一时刻发送的请求的最大数量。仅在批量模式下使用。 | |
| --audit-log-batch-throttle-enable | |
是否启用批量节流。仅在批量模式下使用。 | |
| --audit-log-batch-throttle-qps float | |
每秒的最大平均批次数。仅在批量模式下使用。 | |
| --audit-log-compress | |
如果设置,则旋转的日志文件将使用 gzip 压缩。 | |
| --audit-log-format string 默认值:"json" | |
已保存审计的格式。“legacy”表示每个事件的单行文本格式。“json”表示结构化 json 格式。已知格式为 legacy,json。 | |
| --audit-log-maxage int | |
基于文件名中编码的时间戳,保留旧审计日志文件的最大天数。 | |
| --audit-log-maxbackup int | |
要保留的旧审计日志文件的最大数量。将值设置为 0 将意味着文件数量没有限制。 | |
| --audit-log-maxsize int | |
审计日志文件在旋转之前可以达到的最大大小(以 MB 为单位)。 | |
| --audit-log-mode string 默认值:"blocking" | |
发送审计事件的策略。Blocking 表示发送事件应阻塞服务器响应。Batch 使后端缓冲和异步写入事件。已知模式为 batch,blocking,blocking-strict。 | |
| --audit-log-path string | |
如果设置,所有传到 apiserver 的请求都将记录到此文件。'-' 表示标准输出。 | |
| --audit-log-truncate-enabled | |
是否启用事件和批次截断。 | |
| --audit-log-truncate-max-batch-size int 默认值:10485760 | |
发送到基础后端的批次的最大大小。实际序列化大小可能会大几百字节。如果批次超过此限制,则将其拆分为较小的批次。 | |
| --audit-log-truncate-max-event-size int 默认值:102400 | |
发送到基础后端的审计事件的最大大小。如果事件的大小大于此数字,则首先删除请求和响应,如果这不足以减小大小,则丢弃事件。 | |
| --audit-log-version string 默认值:"audit.k8s.io/v1" | |
用于序列化写入日志的审计事件的 API 组和版本。 | |
| --audit-policy-file string | |
包含审计策略配置的文件的路径。 | |
| --audit-webhook-batch-buffer-size int 默认值:10000 | |
在批量和写入之前存储事件的缓冲区的容量。仅在批量模式下使用。 | |
| --audit-webhook-batch-max-size int 默认值:400 | |
批次的最大大小。仅在批量模式下使用。 | |
| --audit-webhook-batch-max-wait duration 默认值:30s | |
在强制写入未达到最大大小的批次之前等待的时间量。仅在批量模式下使用。 | |
| --audit-webhook-batch-throttle-burst int 默认值:15 | |
如果之前未使用 ThrottleQPS,则同一时刻发送的请求的最大数量。仅在批量模式下使用。 | |
| --audit-webhook-batch-throttle-enable 默认值:true | |
是否启用批量节流。仅在批量模式下使用。 | |
| --audit-webhook-batch-throttle-qps float 默认值:10 | |
每秒的最大平均批次数。仅在批量模式下使用。 | |
| --audit-webhook-config-file string | |
包含 webhook 配置的文件,格式为 kubeconfig,用于与 --authorization-mode=Webhook 一起使用。API 服务器将查询远程服务以确定 API 服务器安全端口上的访问权限。 | |
| --audit-webhook-initial-backoff duration 默认值:10s | |
在重试第一次失败请求之前等待的时间量。 | |
| --audit-webhook-mode string 默认值:"batch" | |
发送审计事件的策略。Blocking 表示发送事件应阻塞服务器响应。Batch 使后端缓冲和异步写入事件。已知模式为 batch,blocking,blocking-strict。 | |
| --audit-webhook-truncate-enabled | |
是否启用事件和批次截断。 | |
| --audit-webhook-truncate-max-batch-size int 默认值:10485760 | |
发送到基础后端的批次的最大大小。实际序列化大小可能会大几百字节。如果批次超过此限制,则将其拆分为较小的批次。 | |
| --audit-webhook-truncate-max-event-size int 默认值:102400 | |
发送到基础后端的审计事件的最大大小。如果事件的大小大于此数字,则首先删除请求和响应,如果这不足以减小大小,则丢弃事件。 | |
| --audit-webhook-version string 默认值:"v1beta1" | |
用于序列化写入 webhook 的审计事件的 API 组和版本。 | |
| --authentication-config string | |
包含身份验证配置的文件,用于配置 JWT 令牌验证程序或匿名验证程序。需要 StructuredAuthenticationConfiguration 特性门控。如果文件配置了 JWT 令牌验证程序,则此标志与 --oidc-* 标志互斥。如果文件配置了匿名验证程序,则此标志与 --anonymous-auth 互斥。 | |
| --authentication-token-webhook-cache-ttl duration 默认值:2m0s | |
从 webhook token 身份验证器缓存响应的持续时间。 | |
| --authentication-token-webhook-config-file string | |
包含身份验证 webhook 配置的文件,格式为 kubeconfig。API 服务器将查询远程服务以确定对 API 服务器的承载令牌的身份验证。 | |
| --authentication-token-webhook-version string 默认值:"v1beta1" | |
发送到 webhook 并从中期望的 authorization.k8s.io TokenReview 的 API 版本。 | |
| --authorization-config string | |
包含授权配置的文件,用于配置授权器链。需要 StructuredAuthorizationConfiguration 特性门控。此标志与其他 --authorization-mode 和 --authorization-webhook-* 标志互斥。 | |
| --authorization-mode strings | |
在安全端口上执行授权的插件的有序列表。如果未使用 --authorization-config,则默认为 AlwaysAllow。逗号分隔的列表:AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node。 | |
| --authorization-policy-file string | |
包含授权策略的文件,格式为 json 行格式,与 --authorization-mode=ABAC 一起使用,在安全端口上。 | |
| --authorization-webhook-cache-authorized-ttl duration 默认值:5m0s | |
从 webhook 授权器缓存“已授权”响应的持续时间。 | |
| --authorization-webhook-cache-unauthorized-ttl duration 默认值:30s | |
从 webhook 授权器缓存“未授权”响应的持续时间。 | |
| --authorization-webhook-config-file string | |
包含 webhook 配置的文件,格式为 kubeconfig,与 --authorization-mode=Webhook 一起使用。API 服务器将查询远程服务以确定 API 服务器安全端口上的访问权限。 | |
| --authorization-webhook-version string 默认值:"v1beta1" | |
发送到 webhook 并从中期望的 authorization.k8s.io SubjectAccessReview 的 API 版本。 | |
| --bind-address string 默认值:0.0.0.0 | |
用于监听 --secure-port 端口的 IP 地址。关联的接口必须可以被集群的其余部分以及 CLI/Web 客户端访问。如果为空或未指定地址 (0.0.0.0 或 ::),则将使用所有接口和 IP 地址族。 | |
| --cert-dir string 默认值: "/var/run/kubernetes" | |
TLS 证书所在的目录。如果提供了 --tls-cert-file 和 --tls-private-key-file,则将忽略此标志。 | |
| --client-ca-file string | |
如果设置,则由客户端 CA 文件中的任何一个颁发机构签名的请求都将使用客户端证书的 CommonName 进行身份验证。 | |
| --contention-profiling | |
如果启用了 profiling,则启用阻塞 profiling | |
| --coordinated-leadership-lease-duration duration 默认值: 15s | |
用于协调领导者选举的租期时长。 | |
| --coordinated-leadership-renew-deadline duration 默认值: 10s | |
协调领导者选举租期续订的截止时间。 | |
| --coordinated-leadership-retry-period duration 默认值: 2s | |
重试协调领导者选举租期续订的周期。 | |
| --cors-allowed-origins strings | |
逗号分隔的允许 CORS 的来源列表。允许的来源可以是正则表达式,以支持子域匹配。如果此列表为空,CORS 将不会被启用。请确保每个表达式通过在开头锚定 '^' 或包含 '//' 前缀,以及在结尾锚定 '$' 或包含 ':' 端口分隔符后缀来匹配整个主机名。有效的表达式示例是 '//example.com(:|$)' 和 '^https://example.com(:|$)' | |
| --debug-socket-path string | |
使用未受保护的 (无身份验证/授权) Unix 域套接字,用于使用给定路径进行 profiling | |
| --default-not-ready-toleration-seconds int 默认值: 300 | |
指示添加到每个不具有此类 toleration 的 pod 的默认 toleration for notReady:NoExecute 的 tolerationSeconds。 | |
| --default-unreachable-toleration-seconds int 默认值: 300 | |
指示添加到每个不具有此类 toleration 的 pod 的默认 toleration for unreachable:NoExecute 的 tolerationSeconds。 | |
| --delete-collection-workers int 默认值: 1 | |
为 DeleteCollection 调用生成的 worker 数量。这些用于加速命名空间清理。 | |
| --disable-admission-plugins strings | |
虽然在默认启用的插件列表中,但应禁用的 admission 插件 (NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, CertificateApproval, CertificateSigning, ClusterTrustBundleAttest, CertificateSubjectRestriction, DefaultIngressClass, PodTopologyLabels, NodeDeclaredFeatureValidator, MutatingAdmissionPolicy, MutatingAdmissionWebhook, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook, ResourceQuota)。逗号分隔的 admission 插件列表:AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionPolicy, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeDeclaredFeatureValidator, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, PodTopologyLabels, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook。此标志中插件的顺序无关紧要。 | |
| --disable-http2-serving | |
如果为 true,将禁用 HTTP2 服务 [默认值=false] | |
| --disabled-metrics strings | |
此标志为表现不佳的指标提供了一个转出通道。您必须提供完全限定的指标名称才能禁用它。免责声明:禁用指标优先于显示隐藏指标。 | |
| --egress-selector-config-file string | |
包含 apiserver egress selector 配置的文件。 | |
| --emulated-version strings | |
不同组件模拟其功能(API、功能等)的版本。 | |
| --emulation-forward-compatible | |
如果为 true,对于默认或通过 --runtime-config 在模拟版本中启用的任何 beta+ API,即使在模拟版本之后引入,它们未来的版本(具有更高的优先级/稳定性)也将自动启用。只有当模拟版本低于二进制版本时,才能设置为 true。 | |
| --enable-admission-plugins strings | |
除了默认启用的插件 (NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, CertificateApproval, CertificateSigning, ClusterTrustBundleAttest, CertificateSubjectRestriction, DefaultIngressClass, PodTopologyLabels, NodeDeclaredFeatureValidator, MutatingAdmissionPolicy, MutatingAdmissionWebhook, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook, ResourceQuota) 之外,应启用的 admission 插件。逗号分隔的 admission 插件列表:AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionPolicy, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeDeclaredFeatureValidator, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, PodTopologyLabels, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook。此标志中插件的顺序无关紧要。 | |
| --enable-aggregator-routing | |
将 aggregator routing 请求转换为端点 IP,而不是集群 IP。 | |
| --enable-bootstrap-token-auth | |
启用后,允许 'kube-system' 命名空间中类型为 'bootstrap.kubernetes.io/token' 的 secret 用于 TLS bootstrapping 身份验证。 | |
| --enable-garbage-collector 默认值: true | |
启用通用垃圾回收器。必须与 kube-controller-manager 中相应的标志同步。 | |
| --enable-logs-handler | |
如果为 true,则为 apiserver 日志安装一个 /logs 处理程序。(已弃用:Log handler 功能已弃用) | |
| --enable-priority-and-fairness 默认值: true | |
如果为 true,则替换 max-in-flight 处理程序,使用增强的处理程序进行优先级和公平性排队和调度 | |
| --encryption-provider-config string | |
包含用于在 etcd 中存储 secret 的加密提供程序配置的文件 | |
| --encryption-provider-config-automatic-reload | |
确定是否应在磁盘内容发生更改时自动重新加载由 --encryption-provider-config 设置的文件。将此设置为 true 会禁用通过 API 服务器 healthz 端点唯一标识不同的 KMS 插件的能力。 | |
| --endpoint-reconciler-type string 默认值: "lease" | |
使用端点协调器 (master-count, lease, none) master-count 已弃用,将在未来的版本中删除。 | |
| --etcd-cafile string | |
用于保护 etcd 通信的 SSL 证书颁发机构文件。 | |
| --etcd-certfile string | |
用于保护 etcd 通信的 SSL 证书文件。 | |
| --etcd-compaction-interval duration 默认值: 5m0s | |
压缩请求的间隔。如果为 0,则禁用来自 apiserver 的压缩请求。 | |
| --etcd-count-metric-poll-period duration 默认值: 1m0s | |
轮询 etcd 以获取每种资源类型的数量的频率。0 禁用指标收集。 | |
| --etcd-db-metric-poll-interval duration 默认值: 30s | |
轮询 etcd 并更新指标的间隔。0 禁用指标收集 | |
| --etcd-healthcheck-timeout duration 默认值: 2s | |
检查 etcd 健康状况时使用的超时时间。 | |
| --etcd-keyfile string | |
用于保护 etcd 通信的 SSL 密钥文件。 | |
| --etcd-prefix string 默认值: "/registry" | |
要添加到 etcd 中所有资源路径的前缀。 | |
| --etcd-readycheck-timeout duration 默认值: 2s | |
检查 etcd 就绪状态时使用的超时时间 | |
| --etcd-servers strings | |
要连接的 etcd 服务器列表 (scheme://ip:port),逗号分隔。 | |
| --etcd-servers-overrides strings | |
每个资源的 etcd 服务器覆盖,逗号分隔。单个覆盖格式:group/resource#servers,其中 servers 是 URL,用分号分隔。请注意,这仅适用于编译到此服务器二进制文件中的资源。例如:“/pods#http://etcd4:2379;http://etcd5:2379,/events#http://etcd6:2379” | |
| --event-ttl duration 默认值: 1h0m0s | |
保留事件的时间量。 | |
| --external-hostname string | |
生成此 master 的外部化 URL(例如 Swagger API Docs 或 OpenID Discovery)时使用的主机名。 | |
| --feature-gates colonSeparatedMultimapStringString | |
逗号分隔的组件:键=值对列表,描述不同组件的 alpha/实验功能的特性门。 | |
| --goaway-chance float | |
为了防止 HTTP/2 客户端卡在单个 apiserver 上,随机关闭一个连接 (GOAWAY)。客户端的其他正在进行的请求不会受到影响,并且客户端将重新连接,很可能在通过负载均衡器后降落在不同的 apiserver 上。此参数设置将发送 GOAWAY 的请求比例。具有单个 apiserver 或不使用负载均衡器的集群不应启用此功能。最小值为 0(关闭),最大值为 .02(1/50 请求);.001(1/1000)是一个推荐的起始点。 | |
| -h, --help | |
kube-apiserver 的帮助信息 | |
| --http2-max-streams-per-connection int | |
服务器允许客户端在 HTTP/2 连接中拥有的最大流数量限制。零表示使用 golang 的默认值。 | |
| --kubelet-certificate-authority string | |
证书颁发机构证书文件的路径。 | |
| --kubelet-client-certificate string | |
用于 TLS 的客户端证书文件的路径。 | |
| --kubelet-client-key string | |
用于 TLS 的客户端密钥文件的路径。 | |
| --kubelet-preferred-address-types strings 默认值: "Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP" | |
用于 kubelet 连接的首选 NodeAddressTypes 列表。 | |
| --kubelet-timeout duration 默认值: 5s | |
kubelet 操作的超时时间。 | |
| --kubernetes-service-node-port int | |
如果非零,Kubernetes master 服务(apiserver 创建/维护的服务)将为 NodePort 类型,并使用此值作为端口值。如果为零,Kubernetes master 服务将为 ClusterIP 类型。 | |
| --lease-reuse-duration-seconds int 默认值: 60 | |
每个租约被重用的时间,以秒为单位。较低的值可以避免大量对象重用相同的租约。请注意,过小的值可能会导致存储层出现性能问题。 | |
| --livez-grace-period duration | |
此选项表示 apiserver 完成其启动序列并变为活动状态所需的最大时间。从 apiserver 启动时间开始,直到经过此时间,/livez 将假定未完成的 post-start 钩子将成功完成,因此返回 true。 | |
| --log-flush-frequency duration 默认值: 5s | |
日志刷新之间的最大秒数 | |
| --log-text-info-buffer-size quantity | |
[Alpha] 以拆分输出流的文本格式显示时,信息消息可以缓冲一段时间以提高性能。默认值为零字节,禁用缓冲。大小可以指定为字节数 (512)、1000 的倍数 (1K)、1024 的倍数 (2Ki) 或这些倍数的幂 (3M, 4G, 5Mi, 6Gi)。启用 LoggingAlphaOptions 功能门才能使用此选项。 | |
| --log-text-split-stream | |
[Alpha] 在文本格式中,将错误消息写入 stderr,将信息消息写入 stdout。默认情况下,将单个流写入 stdout。启用 LoggingAlphaOptions 功能门以使用此选项。 | |
| --logging-format string 默认值: "text" | |
设置日志格式。允许的格式: "text"。 | |
| --max-connection-bytes-per-sec int | |
如果非零,则将每个用户连接限制为每秒此字节数。当前仅适用于长期运行的请求。 | |
| --max-mutating-requests-inflight int 默认值: 200 | |
如果 --enable-priority-and-fairness 为 true,则此值和 --max-requests-inflight 的总和将确定服务器的总并发限制(必须为正数)。否则,此标志限制了正在进行的变异请求的最大数量,或者零值完全禁用了限制。 | |
| --max-requests-inflight int 默认值: 400 | |
如果 --enable-priority-and-fairness 为 true,则此值和 --max-mutating-requests-inflight 的总和将确定服务器的总并发限制(必须为正数)。否则,此标志限制了正在进行的非变异请求的最大数量,或者零值完全禁用了限制。 | |
| --min-compatibility-version strings | |
服务器应与之兼容的控制平面组件的最小版本。 | |
| --min-request-timeout int 默认值: 1800 | |
一个可选字段,指示处理程序在超时之前必须保持请求打开的最小秒数。当前仅由 watch 请求处理程序尊重,该处理程序会在此数字之上选择一个随机值作为连接超时时间,以分散负载。 | |
| --oidc-ca-file string | |
如果设置,OpenID 服务器的证书将由 oidc-ca-file 中的一个颁发机构进行验证,否则将使用主机根 CA 集。 | |
| --oidc-client-id string | |
OpenID Connect 客户端的客户端 ID,如果设置了 oidc-issuer-url,则必须设置。 | |
| --oidc-groups-claim string | |
如果提供,则为指定用户组的自定义 OpenID Connect 声明的名称。声明值预计为字符串或字符串数组。此标志是实验性的,请参阅身份验证文档以获取更多详细信息。 | |
| --oidc-groups-prefix string | |
如果提供,所有组都将使用此值作为前缀,以防止与其他身份验证策略冲突。 | |
| --oidc-issuer-url string | |
OpenID 发行者的 URL,仅接受 HTTPS 方案。如果设置,它将用于验证 OIDC JSON Web Token (JWT)。 | |
| --oidc-required-claim <逗号分隔的 'key=value' 对> | |
ID Token 中所需的声明的键=值对。如果设置,则会验证声明是否存在于 ID Token 中,并且具有匹配的值。重复此标志以指定多个声明。 | |
| --oidc-signing-algs strings 默认值: "RS256" | |
逗号分隔的允许的 JOSE 非对称签名算法列表。JWT 中支持的 'alg' 标头值为:RS256、RS384、RS512、ES256、ES384、ES512、PS256、PS384、PS512。这些值由 RFC 7518 https://tools.ietf.org/html/rfc7518#section-3.1 定义。 | |
| --oidc-username-claim string 默认值: "sub" | |
用作用户名的 OpenID 声明。请注意,除默认值 ('sub') 之外的声明不保证是唯一的和不可变的。此标志是实验性的,请参阅身份验证文档以获取更多详细信息。 | |
| --oidc-username-prefix string | |
如果提供,所有用户名都将使用此值作为前缀。如果未提供,则除 'email' 之外的用户名声明将由发行者 URL 作为前缀,以避免冲突。要跳过任何前缀,请提供值 '-'。 | |
| --peer-advertise-ip string | |
如果设置且启用了 UnknownVersionInteroperabilityProxy 功能门,则当请求由于 kube-apiserver 之间的版本偏差而无法由对等方处理时,对等 kube-apiserver 将使用此 IP 来代理请求到此 kube-apiserver。此标志仅用于配置了多个 kube-apiserver 以实现高可用性的集群。 | |
| --peer-advertise-port string | |
如果设置且启用了 UnknownVersionInteroperabilityProxy 功能门,则当请求由于 kube-apiserver 之间的版本偏差而无法由对等方处理时,对等 kube-apiserver 将使用此端口来代理请求到此 kube-apiserver。此标志仅用于配置了多个 kube-apiserver 以实现高可用性的集群。 | |
| --peer-ca-file string | |
如果设置且启用了 UnknownVersionInteroperabilityProxy 功能门,则此文件将用于验证对等 kube-apiserver 的服务证书。此标志仅用于配置了多个 kube-apiserver 以实现高可用性的集群。 | |
| --permit-address-sharing | |
如果为 true,则在绑定端口时将使用 SO_REUSEADDR。这允许并行绑定到通配符 IP(如 0.0.0.0)和特定 IP,并避免等待内核释放处于 TIME_WAIT 状态的套接字。 [默认值:false] | |
| --permit-port-sharing | |
如果为 true,则在绑定端口时将使用 SO_REUSEPORT,这允许多个实例绑定到相同的地址和端口。 [默认值:false] | |
| --profiling 默认值: true | |
通过 web 界面 host:port/debug/pprof/ 启用 profiling | |
| --proxy-client-cert-file string | |
用于证明聚合器或 kube-apiserver 身份的客户端证书,在请求期间必须调用时使用。这包括将请求代理到用户 api-server 以及调用 webhook 准入插件。预计此证书包含来自 --requestheader-client-ca-file 标志中 CA 的签名。该 CA 在 kube-system 命名空间中的 'extension-apiserver-authentication' configmap 中发布。从 kube-aggregator 接收调用的组件应使用该 CA 来执行相互 TLS 验证的另一半。 | |
| --proxy-client-key-file string | |
用于证明聚合器或 kube-apiserver 身份的客户端证书的私钥,在请求期间必须调用时使用。这包括将请求代理到用户 api-server 以及调用 webhook 准入插件。 | |
| --request-timeout duration 默认值: 1m0s | |
一个可选字段,指示处理程序在超时之前必须保持请求打开的持续时间。这是请求的默认超时时间,但可能会被 --min-request-timeout 等标志覆盖,以用于特定类型的请求。 | |
| --requestheader-allowed-names strings | |
允许提供通过 --requestheader-username-headers 指定的标头中用户名的客户端证书的常见名称列表。如果为空,则通过 --requestheader-client-ca-file 中指定的颁发机构验证的任何客户端证书都允许。 | |
| --requestheader-client-ca-file string | |
用于验证传入请求上标头中用户名的客户端证书包。警告:通常不要依赖于已经完成授权的传入请求。 | |
| --requestheader-extra-headers-prefix strings | |
要检查的请求标头前缀列表。建议使用 X-Remote-Extra-。 | |
| --requestheader-group-headers strings | |
要检查组的请求标头列表。建议使用 X-Remote-Group。 | |
| --requestheader-uid-headers strings | |
要检查 UID 的请求标头列表。建议使用 X-Remote-Uid。需要启用 RemoteRequestHeaderUID 功能才能使用。 | |
| --requestheader-username-headers strings | |
用于检查用户名的请求头列表。X-Remote-User 是常用的。 | |
| --runtime-config <逗号分隔的 'key=value' 对> | |
一组启用或禁用内置 API 的键=值对。支持的选项是 | |
| --runtime-config-emulation-forward-compatible | |
如果为 true,在 --runtime-config 标志中启用的 API,即使在仿真版本之后引入,也将被安装。如果为 false,如果 --runtime-config 标志中启用的任何 API 在仿真版本之后引入,服务器将无法启动。只有当仿真版本低于二进制版本时,才能设置为 true。 | |
| --secure-port int 默认值: 6443 | |
用于提供具有身份验证和授权的 HTTPS 的端口。不能使用 0 关闭它。 | |
| --service-account-extend-token-expiration 默认值: true | |
在令牌生成期间启用投射的服务帐户过期扩展,这有助于安全地从旧令牌过渡到绑定服务帐户令牌功能。如果启用此标志,注入的令牌将被扩展到最多 1 年,以防止转换期间出现意外故障,忽略 service-account-max-token-expiration 的值。 | |
| --service-account-issuer strings | |
服务帐户令牌颁发者的标识符。颁发者将在颁发令牌的 ID 声明中断言此标识符。此值是一个字符串或 URI。如果此选项不是有效的 URI,则即使功能门设置为 true,ServiceAccountIssuerDiscovery 功能也将保持禁用状态。强烈建议此值符合 OpenID 规范:https://openid.net/specs/openid-connect-discovery-1_0.html。实际上,这意味着 service-account-issuer 必须是 https URL。强烈建议此 URL 能够从 {service-account-issuer}/.well-known/openid-configuration 提供 OpenID 发现文档。 | |
| --service-account-jwks-uri string | |
覆盖在 /.well-known/openid-configuration 中提供的发现文档中的 JSON Web Key Set 的 URI。如果发现文档和密钥集通过 API 服务器的外部(如自动检测或使用 external-hostname 覆盖)以外的 URL 提供给依赖方,则此标志很有用。 | |
| --service-account-key-file strings | |
包含 PEM 编码的 x509 RSA 或 ECDSA 私钥或公钥的文件,用于验证 ServiceAccount 令牌。指定的文件可以包含多个密钥,并且可以多次指定该标志,使用不同的文件。如果未指定,则使用 --tls-private-key-file。必须在提供 --service-account-signing-key-file 时指定 | |
| --service-account-lookup 默认值:true | |
如果为 true,则在身份验证过程中,验证 ServiceAccount 令牌是否存在于 etcd 中。 | |
| --service-account-max-token-expiration duration | |
服务帐户令牌颁发者创建的令牌的最大有效期。如果请求的 TokenRequest 具有大于此值的有效期限,则将颁发具有此值有效期限的令牌。 | |
| --service-account-signing-endpoint string | |
外部 JWT 签名程序正在监听的套接字路径。此标志与 --service-account-signing-key-file 和 --service-account-key-file 互斥。需要启用特性门控 (ExternalServiceAccountTokenSigner) | |
| --service-account-signing-key-file string | |
包含服务帐户令牌颁发者的当前私钥的文件的路径。颁发者将使用此私钥对颁发的 ID 令牌进行签名。 | |
| --service-cluster-ip-range string | |
用于分配服务集群 IP 的 CIDR 表示法的 IP 范围。此范围不得与分配给节点或 Pod 的任何 IP 范围重叠。允许最多两个双栈 CIDR。 | |
| --service-node-port-range <a string in the form 'N1-N2'> 默认值:30000-32767 | |
为具有 NodePort 可见性的服务保留的端口范围。此范围不得与节点上的临时端口范围重叠。示例:'30000-32767'。范围两端均为闭区间。 | |
| --show-hidden-metrics-for-version 字符串 | |
您想要显示隐藏指标的先前版本。只有前一个次要版本才有意义,其他值将不允许。格式为 <major>.<minor>,例如:'1.16'。这种格式的目的是确保您有机会注意到下一个版本是否隐藏了其他指标,而不是在下一个版本中它们被永久删除时感到惊讶。 | |
| --shutdown-delay-duration duration | |
延迟终止的时间。在此期间,服务器继续正常提供请求。/healthz 和 /livez 端点将返回成功,但 /readyz 立即返回失败。在延迟结束后,开始优雅终止。这可用于允许负载均衡器停止将流量发送到此服务器。 | |
| --shutdown-send-retry-after | |
如果为 true,HTTP 服务器将继续侦听,直到所有非长期运行的请求都已完成,在此期间,所有传入请求都将被拒绝,状态码为 429,并带有 'Retry-After' 响应头,此外,为了在空闲时关闭 TCP 连接,设置了 'Connection: close' 响应头。 | |
| --shutdown-watch-termination-grace-period duration | |
如果设置此选项,则表示 apiserver 在优雅服务器关闭期间等待活动 watch 请求完成的最大宽限期。 | |
| --storage-backend string | |
持久化的存储后端。选项:'etcd3' (默认值)。 | |
| --storage-initialization-timeout duration 默认值:1m0s | |
在声明 apiserver 准备就绪之前,等待存储初始化所用的最大时间。默认为 1m。 | |
| --storage-media-type string 默认值:"application/vnd.kubernetes.protobuf" | |
用于在存储中存储对象的媒体类型。某些资源或存储后端可能仅支持特定的媒体类型,并将忽略此设置。支持的媒体类型:[application/json, application/yaml, application/vnd.kubernetes.protobuf] | |
| --strict-transport-security-directives strings | |
HSTS 的指令列表,用逗号分隔。如果此列表为空,则不会添加 HSTS 指令。示例:'max-age=31536000,includeSubDomains,preload' | |
| --tls-cert-file 字符串 | |
包含用于 HTTPS 的默认 x509 证书的文件。(CA 证书(如果有),在服务器证书之后连接)。如果启用了 HTTPS 服务,并且未提供 --tls-cert-file 和 --tls-private-key-file,则将为公共地址生成自签名证书和密钥,并将其保存到 --cert-dir 指定的目录中。 | |
| --tls-cipher-suites 字符串 | |
服务器的逗号分隔的密码套件列表。如果省略,将使用默认的 Go 密码套件。 | |
| --tls-min-version 字符串 | |
支持的最小 TLS 版本。可能的值:VersionTLS10, VersionTLS11, VersionTLS12, VersionTLS13 | |
| --tls-private-key-file 字符串 | |
包含与 --tls-cert-file 匹配的默认 x509 私钥的文件。 | |
| --tls-sni-cert-key 字符串 | |
x509 证书和私钥文件路径对,可以选择性地附加一个完全限定域名列表,这些域名可能带有前缀通配符段。域名模式也允许 IP 地址,但仅当 apiserver 可以访问客户端请求的 IP 地址时才应使用 IP 地址。如果未提供域名模式,则提取证书的名称。非通配符匹配优先于通配符匹配,显式域名模式优先于提取的名称。对于多个密钥/证书对,请多次使用 --tls-sni-cert-key。示例:“example.crt,example.key”或“foo.crt,foo.key:*.foo.com,foo.com”。 | |
| --token-auth-file string | |
如果设置,该文件将用于通过令牌身份验证保护 API 服务器的安全端口。 | |
| --tracing-config-file string | |
包含 apiserver 追踪配置的文件。 | |
| -v, --v 整数 | |
日志级别详细程度的数字 | |
| --version version[=true] | |
--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本 | |
| --vmodule pattern=N,... | |
用于文件过滤日志的逗号分隔的模式=N 设置列表(仅适用于文本日志格式) | |
| --watch-cache 默认值:true | |
在 apiserver 中启用 watch 缓存 | |
| --watch-cache-sizes strings | |
某些资源(pod、节点等)的 watch 缓存大小设置,用逗号分隔。单个设置格式:resource[.group]#size,其中 resource 是小写复数(没有版本),group 对于 apiVersion v1(遗留核心 API)的资源省略,对于其他资源包含,size 是一个数字。此选项仅对内置到 apiserver 中的资源有意义,不适用于由 CRD 定义或从外部服务器聚合的资源,并且仅在启用 watch 缓存时才进行咨询。唯一有意义的尺寸设置是零,这意味着禁用相关资源的 watch 缓存;所有非零值都等效,意味着不禁用该资源的 watch 缓存 | |
本页面是自动生成的。
如果您打算报告此页面的问题,请在您的问题描述中提及该页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。