kubeadm 配置 (v1beta4)

概览

包 v1beta4 定义了 kubeadm 配置文件的 v1beta4 版本格式。此版本通过修复一些小问题并添加一些新字段,对 v1beta3 格式进行了改进。

自 v1beta3 以来的变更列表

  • ClusterConfiguration 下的控制平面组件中支持自定义环境变量。使用 apiServer.extraEnvscontrollerManager.extraEnvsscheduler.extraEnvsetcd.local.extraEnvs
  • ResetConfiguration API 类型现已在 v1beta4 中受支持。用户可以通过向 kubeadm reset 传递 --config 文件来重置节点。
  • 干运行模式 (dry run mode) 现可在 InitConfigurationJoinConfiguration 中配置。
  • 将现有的 string/string 额外参数映射替换为支持重复的结构化额外参数。此更改适用于 ClusterConfiguration - apiServer.extraArgscontrollerManager.extraArgsscheduler.extraArgsetcd.local.extraArgs。也适用于 nodeRegistration.kubeletExtraArgs
  • 添加 ClusterConfiguration.encryptionAlgorithm,可用于设置此集群密钥和证书使用的非对称加密算法。可以是 "RSA-2048"(默认)、"RSA-3072""RSA-4096""ECDSA-P256" 中的一个。
  • 添加 ClusterConfiguration.dns.disabledClusterConfiguration.proxy.disabled,可用于在集群初始化期间禁用 CoreDNS 和 kube-proxy 附加组件。在集群创建期间跳过相关的附加组件阶段将把相同的字段设置为 true
  • InitConfigurationJoinConfiguration 中添加 nodeRegistration.imagePullSerial 字段,可用于控制 kubeadm 是串行还是并行拉取镜像。
  • --config 传递给 kubeadm upgrade 子命令时,v1beta4 现在支持 UpgradeConfiguration kubeadm API。在使用 --config 传递给 upgrade 子命令时,对 kubeletkube-proxy 的组件配置以及 InitConfigurationClusterConfiguration 的使用已被弃用,并将被忽略。
  • InitConfigurationJoinConfigurationResetConfigurationUpgradeConfiguration 中添加 Timeouts 结构,可用于配置各种超时。ClusterConfiguration.timeoutForControlPlane 字段被 Timeouts.controlPlaneComponentHealthCheck 替换。JoinConfiguration.discovery.timeouttimeouts.Discovery 替换。
  • ClusterConfiguration 中添加 certificateValidityPeriodcaCertificateValidityPeriod 字段。这些字段可用于控制 kubeadm 在 initjoinupgradecerts 等子命令期间生成的证书的有效期。非 CA 证书的默认值仍然是 1 年,CA 证书的默认值仍然是 10 年。只有非 CA 证书可以继续通过 kubeadm certs renew 进行续订。

从旧的 kubeadm 配置版本迁移

  • kubeadm v1.15.x 及更新版本可用于从 v1beta1 迁移到 v1beta2。
  • kubeadm v1.22.x 及更新版本不再支持 v1beta1 和更旧的 API,但可用于将 v1beta2 迁移到 v1beta3。
  • kubeadm v1.27.x 及更新版本不再支持 v1beta2 和更旧的 API。
  • kubeadm v1.31.x 及更新版本可用于从 v1beta3 迁移到 v1beta4。

基础知识

配置 kubeadm 的首选方法是使用 --config 选项传递 YAML 配置文件。kubeadm 配置文件中定义的一些配置选项也可以作为命令行标志使用,但这种方法只支持最常见/简单的用例。

一个 kubeadm 配置文件可以包含使用三个破折号 (---) 分隔的多种配置类型。

kubeadm 支持以下配置类型

apiVersion: kubeadm.k8s.io/v1beta4
kind: InitConfiguration

apiVersion: kubeadm.k8s.io/v1beta4
kind: ClusterConfiguration

apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration

apiVersion: kubeproxy.config.k8s.io/v1alpha1
kind: KubeProxyConfiguration

apiVersion: kubeadm.k8s.io/v1beta4
kind: JoinConfiguration

apiVersion: kubeadm.k8s.io/v1beta4
kind: ResetConfiguration

apiVersion: kubeadm.k8s.io/v1beta4
kind: UpgradeConfiguration

要打印 initjoin 操作的默认配置,请使用以下命令

kubeadm config print init-defaults
kubeadm config print join-defaults
kubeadm config print reset-defaults
kubeadm config print upgrade-defaults

配置文件中必须包含的配置类型列表取决于你正在执行的操作 (initjoin) 以及你将使用的配置选项(默认值或高级定制)。

如果未提供某些配置类型,或者仅提供部分内容,kubeadm 将使用默认值;kubeadm 提供的默认值还包括在需要时强制执行组件之间的值一致性(例如,controller manager 上的 --cluster-cidr 标志和 kube-proxy 上的 clusterCIDR)。

用户始终可以覆盖默认值,但与安全相关的一小部分设置除外(例如,强制 api server 使用 authorization-mode Node 和 RBAC)。

如果用户提供了与你正在执行的操作不符的配置类型,kubeadm 将忽略这些类型并打印警告。

Kubeadm init 配置类型

使用 --config 选项执行 kubeadm init 时,可以使用以下配置类型:InitConfiguration, ClusterConfiguration, KubeProxyConfiguration, KubeletConfiguration,但 InitConfiguration 和 ClusterConfiguration 中只有一个是必需的。

apiVersion: kubeadm.k8s.io/v1beta4
kind: InitConfiguration
bootstrapTokens:
...
nodeRegistration:
...

InitConfiguration 类型应用于配置运行时设置,在 kubeadm init 的情况下,这些设置包括引导令牌的配置以及执行 kubeadm 的节点特有的所有设置,包括

  • NodeRegistration,它包含与将新节点注册到集群相关的字段;使用它来定制节点名称、要使用的 CRI 套接字或应仅应用于此节点的任何其他设置(例如节点 IP)。

  • LocalAPIEndpoint,它表示要部署在此节点上的 API 服务器实例的端点;例如,使用它来定制 API 服务器的广播地址。

apiVersion: kubeadm.k8s.io/v1beta4
kind: ClusterConfiguration
networking:
  ...
etcd:
  ...
apiServer:
  extraArgs:
    ...
  extraVolumes:
    ...
...

ClusterConfiguration 类型应用于配置集群范围的设置,包括以下设置:

  • networking,它包含集群网络拓扑的配置;例如,使用它来定制 Pod 子网或 Services 子网。

  • etcd:例如,使用它来定制本地 etcd 或配置 API 服务器使用外部 etcd 集群。

  • kube-apiserver, kube-scheduler, kube-controller-manager 配置;使用它通过添加自定义设置或覆盖 kubeadm 默认设置来定制控制平面组件。

apiVersion: kubeproxy.config.k8s.io/v1alpha1
kind: KubeProxyConfiguration
...

KubeProxyConfiguration 类型应用于更改传递给集群中部署的 kube-proxy 实例的配置。如果未提供此对象或仅提供部分内容,kubeadm 将应用默认值。

有关 kube-proxy 的官方文档,请参阅 https://kubernetes.ac.cn/docs/reference/command-line-tools-reference/kube-proxy/ 或 https://pkg.go.dev/k8s.io/kube-proxy/config/v1alpha1#KubeProxyConfiguration。

apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
...

KubeletConfiguration 类型应用于更改将传递给集群中所有 kubelet 实例的配置。如果未提供此对象或仅提供部分内容,kubeadm 将应用默认值。

有关 kubelet 的官方文档,请参阅 https://kubernetes.ac.cn/docs/reference/command-line-tools-reference/kubelet/ 或 https://pkg.go.dev/k8s.io/kubelet/config/v1beta1#KubeletConfiguration。

以下是一个包含多个配置类型的单个 YAML 文件的完整示例,可在运行 kubeadm init 期间使用。

apiVersion: kubeadm.k8s.io/v1beta4
kind: InitConfiguration
bootstrapTokens:
  - token: "9a08jv.c0izixklcxtmnze7"
    description: "kubeadm bootstrap token"
    ttl: "24h"
  - token: "783bde.3f89s0fje9f38fhf"
    description: "another bootstrap token"
    usages:
  - authentication
  - signing
    groups:
  - system:bootstrappers:kubeadm:default-node-token

nodeRegistration:
  name: "ec2-10-100-0-1"
  criSocket: "unix:///var/run/containerd/containerd.sock"
  taints:
    - key: "kubeadmNode"
      value: "someValue"
      effect: "NoSchedule"
  kubeletExtraArgs:
    - name: v
      value: "5"
  ignorePreflightErrors:
    - IsPrivilegedUser
  imagePullPolicy: "IfNotPresent"
  imagePullSerial: true

localAPIEndpoint:
  advertiseAddress: "10.100.0.1"
  bindPort: 6443
certificateKey: "e6a2eb8581237ab72a4f494f30285ec12a9694d750b9785706a83bfcbbbd2204"
skipPhases:
  - preflight
timeouts:
  controlPlaneComponentHealthCheck: "60s"
  kubenetesAPICall: "40s"
---
apiVersion: kubeadm.k8s.io/v1beta4
kind: ClusterConfiguration
etcd:

  # one of local or external
  local:
    imageRepository: "registry.k8s.io"
    imageTag: "3.2.24"
    dataDir: "/var/lib/etcd"
    extraArgs:
      - name: listen-client-urls
        value: http://10.100.0.1:2379
    extraEnvs:
      - name: SOME_VAR
        value: SOME_VALUE
    serverCertSANs:
      - ec2-10-100-0-1.compute-1.amazonaws.com
    peerCertSANs:
      - 10.100.0.1
  # external:
  #   endpoints:
  #     - 10.100.0.1:2379
  #     - 10.100.0.2:2379
  #   caFile: "/etcd/kubernetes/pki/etcd/etcd-ca.crt"
  #   certFile: "/etcd/kubernetes/pki/etcd/etcd.crt"
  #   keyFile: "/etcd/kubernetes/pki/etcd/etcd.key"

networking:
  serviceSubnet: "10.96.0.0/16"
  podSubnet: "10.244.0.0/24"
  dnsDomain: "cluster.local"
kubernetesVersion: "v1.21.0"
controlPlaneEndpoint: "10.100.0.1:6443"
apiServer:
  extraArgs:
    - name: authorization-mode
      value: Node,RBAC
  extraEnvs:
    - name: SOME_VAR
      value: SOME_VALUE
  extraVolumes:
    - name: "some-volume"
      hostPath: "/etc/some-path"
      mountPath: "/etc/some-pod-path"
      readOnly: false
      pathType: File
  certSANs:
    - "10.100.1.1"
    - "ec2-10-100-0-1.compute-1.amazonaws.com"

controllerManager:
  extraArgs:
    - name: node-cidr-mask-size
      value: "20"
  extraVolumes:
    - name: "some-volume"
      hostPath: "/etc/some-path"
      mountPath: "/etc/some-pod-path"
      readOnly: false
      pathType: File

scheduler:
  extraArgs:
    - name: address
      value: 10.100.0.1
  extraVolumes:
    - name: "some-volume"
      hostPath: "/etc/some-path"
      mountPath: "/etc/some-pod-path"
      readOnly: false
      pathType: File

certificatesDir: "/etc/kubernetes/pki"
imageRepository: "registry.k8s.io"
clusterName: "example-cluster"
encryptionAlgorithm: ECDSA-P256
dns:
  disabled: true  # disable CoreDNS
proxy:
  disabled: true   # disable kube-proxy

---
apiVersion: kubelet.config.k8s.io/v1beta1
kind: KubeletConfiguration
# kubelet specific options here
---
apiVersion: kubeproxy.config.k8s.io/v1alpha1
kind: KubeProxyConfiguration
# kube-proxy specific options here

Kubeadm join 配置类型

使用 --config 选项执行 kubeadm join 时,应提供 JoinConfiguration 类型。

apiVersion: kubeadm.k8s.io/v1beta4
kind: JoinConfiguration
discovery:
  bootstrapToken:
    apiServerEndpoint: some-address:6443
    token: abcdef.0123456789abcdef
    unsafeSkipCAVerification: true
  tlsBootstrapToken: abcdef.0123456789abcdef

JoinConfiguration 类型应用于配置运行时设置,在 kubeadm join 的情况下,这些设置包括用于访问集群信息的发现方法以及执行 kubeadm 的节点特有的所有设置,包括

  • nodeRegistration,它包含与将新节点注册到集群相关的字段;使用它来定制节点名称、要使用的 CRI 套接字或应仅应用于此节点的任何其他设置(例如节点 IP)。

  • apiEndpoint,它表示最终将部署在此节点上的 API 服务器实例的端点。

Kubeadm reset 配置类型

使用 --config 选项执行 kubeadm reset 时,应提供 ResetConfiguration 类型。

apiVersion: kubeadm.k8s.io/v1beta4
kind: ResetConfiguration
...

Kubeadm upgrade 配置类型

使用 --config 选项执行 kubeadm upgrade 时,应提供 UpgradeConfiguration 类型。

apiVersion: kubeadm.k8s.io/v1beta4
kind: UpgradeConfiguration
apply:
  ...
diff:
  ...
node:
  ...
plan:
  ...

UpgradeConfiguration 结构包含一些仅适用于 kubeadm upgrade 不同子命令的子结构。例如,apply 子结构将与 kubeadm upgrade apply 子命令一起使用,在这种情况下将忽略所有其他子结构。

资源类型

BootstrapToken

出现在

BootstrapToken 描述了一个引导令牌,它作为 Secret 存储在集群中

字段描述
token [必需]
BootstrapTokenString

token 用于在节点和控制平面之间建立双向信任。用于将节点加入集群。

description
string

description 设置了一个易于理解的消息,说明此令牌存在的原因和用途,以便其他管理员可以了解其目的。

ttl
meta/v1.Duration

ttl 定义此令牌的存活时间。默认为 24hexpiresttl 是互斥的。

expires
meta/v1.Time

expires 指定此令牌的过期时间戳。默认为根据 ttl 在运行时动态设置。expiresttl 是互斥的。

usages
[]string

usages 描述了此令牌的使用方式。默认情况下可用于建立双向信任,但可以在此处更改。

groups
[]string

groups 指定此令牌在用于身份验证时将作为额外的组进行认证。

BootstrapTokenString

出现在

BootstrapTokenString 是一个格式为 abcdef.abcdef0123456789 的令牌,用于从加入节点的角度验证 API 服务器的可用性,并作为节点在 "kubeadm join" 引导阶段的身份验证方法。此令牌是且应该是短期的。

字段描述
- [必需]
string		未提供描述。
- [必需]
string		未提供描述。

ClusterConfiguration

ClusterConfiguration 包含 kubeadm 集群的集群范围配置。

字段描述
apiVersion
string		kubeadm.k8s.io/v1beta4
kind
string		ClusterConfiguration
etcd
Etcd

etcd 包含 etcd 的配置。

networking
网络

networking 包含集群网络拓扑的配置。

kubernetesVersion
string

kubernetesVersion 是控制平面的目标版本。

controlPlaneEndpoint
string

controlPlaneEndpoint 为控制平面设置一个稳定的 IP 地址或 DNS 名称;它可以是有效的 IP 地址或 RFC-1123 DNS 子域,两者都可以带有可选的 TCP 端口。如果未指定 controlPlaneEndpoint,则使用 advertiseAddress + bindPort;如果指定了 controlPlaneEndpoint 但未指定 TCP 端口,则使用 bindPort。可能的用途包括

  • 在具有多个控制平面实例的集群中,此字段应分配给控制平面实例前面的外部负载均衡器的地址。
  • 在强制执行节点回收的环境中,controlPlaneEndpoint 可用于为控制平面分配一个稳定的 DNS。
apiServer
APIServer

apiServer 包含 API 服务器的额外设置。

controllerManager
ControlPlaneComponent

controllerManager 包含 controller manager 的额外设置。

scheduler
ControlPlaneComponent

scheduler 包含 scheduler 的额外设置。

dns
DNS

dns 定义了集群中安装的 DNS 附加组件的选项。

proxy [必需]
Proxy

proxy 定义了集群中安装的 proxy 附加组件的选项。

certificatesDir
string

certificatesDir 指定存储或查找所有必需证书的位置。

imageRepository
string

imageRepository 设置拉取镜像的容器注册表。如果为空,默认为 registry.k8s.io。如果 Kubernetes 版本是 CI 构建(Kubernetes 版本以 ci/ 开头),则控制平面组件和 kube-proxy 默认使用 gcr.io/k8s-staging-ci-images,而其他所有镜像将使用 registry.k8s.io

featureGates
map[string]bool

featureGates 包含用户启用的特性门控。

clusterName
string

集群名称。

encryptionAlgorithm
EncryptionAlgorithmType

encryptionAlgorithm 包含用于密钥和证书的非对称加密算法类型。可以是 "RSA-2048"(默认)、"RSA-3072""RSA-4096""ECDSA-P256" 中的一个。

certificateValidityPeriod
meta/v1.Duration

certificateValidityPeriod 指定 kubeadm 生成的非 CA 证书的有效期。默认值:8760h(365 天 * 24 小时 = 1 年)

caCertificateValidityPeriod
meta/v1.Duration

caCertificateValidityPeriod 指定 kubeadm 生成的 CA 证书的有效期。默认值:87600h(365 天 * 24 小时 * 10 = 10 年)

InitConfiguration

InitConfiguration 包含一系列仅限 "kubeadm init" 运行时的特定信息。仅限 kubeadm init 的信息。这些字段仅在首次运行 kubeadm init 时使用。之后,这些字段中的信息不会上传到用于 kubeadm upgrade 等命令的 kubeadm-config ConfigMap。这些字段必须可省略 (omitempty)。

字段描述
apiVersion
string		kubeadm.k8s.io/v1beta4
kind
string		InitConfiguration
bootstrapTokens
[]BootstrapToken

bootstrapTokenskubeadm init 期间生效,描述要创建的一组引导令牌。此信息不会上传到 kubeadm 集群 ConfigMap,部分原因是其敏感性。

dryRun [必需]
bool

dryRun 指示是否启用干运行模式,在干运行模式下不应用任何更改,只输出将要执行的操作。

nodeRegistration
NodeRegistrationOptions

nodeRegistration 包含与将新的控制平面节点注册到集群相关的字段。

localAPIEndpoint
APIEndpoint

localAPIEndpoint 表示部署在此控制平面节点上的 API 服务器实例的端点。在 HA 设置中,这与 ClusterConfiguration.controlPlaneEndpoint 不同,后者是集群的全局端点,负责将请求负载均衡到每个单独的 API 服务器。此配置对象允许你定制本地 API 服务器通告的可访问 IP/DNS 名称和端口。默认情况下,kubeadm 会尝试自动检测默认接口的 IP 并使用它,但如果该过程失败,你可以在此处设置所需的值。

certificateKey
string

certificateKey 设置在 uploadcerts init 阶段将证书和密钥上传到集群中的 Secret 之前用于加密它们。证书密钥是一个十六进制编码的字符串,是一个大小为 32 字节的 AES 密钥。

skipPhases
[]string

skipPhases 是命令执行期间要跳过的阶段列表。可以使用 kubeadm init --help 命令获取阶段列表。标志 --skip-phases 优先于此字段。

patches
Patches

patches 包含与在 kubeadm init 期间向 kubeadm 部署的组件应用补丁相关的选项。

timeouts
Timeouts

timeouts 包含适用于 kubeadm 命令的各种超时设置。

JoinConfiguration

JoinConfiguration 包含描述特定节点的元素。

字段描述
apiVersion
string		kubeadm.k8s.io/v1beta4
kind
string		JoinConfiguration
dryRun
bool

dryRun 指示是否启用干运行模式,如果设置了,则不应用任何更改,只输出将要执行的操作。

nodeRegistration
NodeRegistrationOptions

nodeRegistration 包含与将新的控制平面节点注册到集群相关的字段

caCertPath
string

caCertPath 是用于保护节点和控制平面之间通信的 SSL 证书颁发机构的路径。默认为 "/etc/kubernetes/pki/ca.crt"。

discovery [必需]
Discovery

discovery 指定 kubelet 在 TLS 引导过程中使用的选项。

controlPlane
JoinControlPlane

controlPlane 定义了要在加入节点上部署的附加控制平面实例。如果为 nil,则不会部署附加的控制平面实例。

skipPhases
[]string

skipPhases 是命令执行期间要跳过的阶段列表。可以使用 kubeadm join --help 命令获取阶段列表。标志 --skip-phases 优先于此字段。

patches
Patches

patches 包含与在 kubeadm join 期间向 kubeadm 部署的组件应用补丁相关的选项。

timeouts
Timeouts

timeouts 包含适用于 kubeadm 命令的各种超时设置。

ResetConfiguration

ResetConfiguration 包含一系列专门用于 kubeadm reset 的运行时信息字段。

字段描述
apiVersion
string		kubeadm.k8s.io/v1beta4
kind
string		ResetConfiguration
cleanupTmpDir
bool

cleanupTmpDir 指定在重置过程中是否应清理 "/etc/kubernetes/tmp" 目录。

certificatesDir
string

certificatesDir 指定存储证书的目录。如果指定,将在重置过程中清理该目录。

criSocket
string

criSocket 用于检索容器运行时信息并用于删除容器。如果未通过标志或配置文件指定 criSocket,kubeadm 将尝试检测一个有效的 CRI 套接字。

dryRun
bool

dryRun 指示是否启用干运行模式,如果设置了,则不应用任何更改,只输出将要执行的操作。

force
bool

force 标志指示 kubeadm 在不提示确认的情况下重置节点。

ignorePreflightErrors
[]string

ignorePreflightErrors 提供在重置过程中要忽略的预检错误列表,例如 IsPrivilegedUser,Swap。值 all 忽略所有检查的错误。

skipPhases
[]string

skipPhases 是命令执行期间要跳过的阶段列表。可以使用 kubeadm reset phase --help 命令获取阶段列表。

unmountFlags
[]string

unmountFlags 是 kubeadm 在 "reset" 期间卸载目录时可以使用的一系列 unmount2() 系统调用标志。此标志可以是以下之一:"MNT_FORCE""MNT_DETACH""MNT_EXPIRE""UMOUNT_NOFOLLOW"。默认情况下此列表为空。

timeouts
Timeouts

Timeouts 包含适用于 kubeadm 命令的各种超时设置。

UpgradeConfiguration

UpgradeConfiguration 包含一系列特定于 kubeadm upgrade 子命令的选项。

字段描述
apiVersion
string		kubeadm.k8s.io/v1beta4
kind
string		UpgradeConfiguration
apply
UpgradeApplyConfiguration

apply 包含一系列特定于 kubeadm upgrade apply 命令的选项。

diff
UpgradeDiffConfiguration

diff 包含一系列特定于 kubeadm upgrade diff 命令的选项。

node
UpgradeNodeConfiguration

node 包含一系列特定于 kubeadm upgrade node 命令的选项。

plan
UpgradePlanConfiguration

plan 包含一系列特定于 kubeadm upgrade plan 命令的选项。

timeouts
Timeouts

timeouts 包含适用于 kubeadm 命令的各种超时设置。

APIEndpoint

出现在

APIEndpoint 结构包含部署在节点上的 API 服务器实例的元素。

字段描述
advertiseAddress
string

advertiseAddress 设置 API 服务器广播的 IP 地址。

bindPort
int32

bindPort 设置 API 服务器绑定的安全端口。默认为 6443。

APIServer

出现在

APIServer 包含集群中 API 服务器部署所需的设置。

字段描述
ControlPlaneComponent [必需]
ControlPlaneComponent		(ControlPlaneComponent 的成员嵌入到此类型中。) 未提供描述。
certSANs
[]string

certSANs 为 API 服务器签名证书设置额外的 Subject Alternative Names (SAN)。

Arg

出现在

Arg 表示一个带有名称和值的参数。

字段描述
name [必需]
string

参数的名称。

value [必需]
string

参数的值。

BootstrapTokenDiscovery

出现在

BootstrapTokenDiscovery 用于设置基于引导令牌的发现选项。

字段描述
token [必需]
string

token 是一个用于验证从控制平面获取的集群信息的令牌。

apiServerEndpoint
string

apiServerEndpoint 是获取信息的 API 服务器的 IP 或域名。

caCertHashes
[]string

caCertHashes 指定在使用基于令牌的发现时要验证的一组公钥 pin。发现过程中找到的根 CA 必须与这些值之一匹配。指定空集会禁用根 CA pinning,这可能不安全。每个哈希指定为 <type>:<value>,其中当前唯一支持的类型是 "sha256"。这是一个 DER 编码的 ASN.1 中 Subject Public Key Info (SPKI) 对象的十六进制编码 SHA-256 哈希。例如,可以使用 OpenSSL 计算这些哈希。

unsafeSkipCAVerification
bool

unsafeSkipCAVerification 允许在不通过 caCertHashes 进行 CA 验证的情况下进行基于令牌的发现。这会削弱 kubeadm 的安全性,因为其他节点可能冒充控制平面。

ControlPlaneComponent

出现在

ControlPlaneComponent 包含集群控制平面组件的通用设置。

字段描述
extraArgs
[]Arg

extraArgs 是要传递给控制平面组件的一组额外标志。此列表中的参数名称是命令行上出现的标志名称,但不带前导破折号。额外参数将覆盖现有的默认参数。允许存在重复的额外参数。

extraVolumes
[]HostPathMount

extraVolumes 是一组额外的宿主卷,挂载到控制平面组件。

extraEnvs
[]EnvVar

extraEnvs 是要传递给控制平面组件的一组额外环境变量。使用 extraEnvs 传递的环境变量将覆盖任何现有环境变量,或 kubeadm 默认添加的 *_proxy 环境变量。

DNS

出现在

DNS 定义了集群中应使用的 DNS 附加组件。

字段描述
ImageMeta [必需]
ImageMeta		(ImageMeta 的成员嵌入到此类型中。)

imageMeta 允许自定义 DNS 附加组件使用的镜像。

disabled [必需]
bool

disabled 指定是否在集群中禁用此附加组件。

Discovery

出现在

Discovery 指定 kubelet 在 TLS 引导过程中使用的选项。

字段描述
bootstrapToken
BootstrapTokenDiscovery

bootstrapToken 用于设置基于引导令牌的发现选项。bootstrapTokenfile 是互斥的。

file
FileDiscovery

file 用于指定一个文件或 URL,该文件或 URL 是一个 kubeconfig 文件,从中加载集群信息。bootstrapTokenfile 相互排斥。

tlsBootstrapToken
string

tlsBootstrapToken 是用于 TLS 引导的令牌。如果 bootstrapToken 已设置,此字段默认为 bootstrapToken.token,但可以被覆盖。如果 file 已设置,则在 KubeConfigFile 不包含任何其他身份验证信息的情况下,此字段 **必须设置**。

EncryptionAlgorithmType

(string 的别名)

出现在

EncryptionAlgorithmType 可以定义非对称加密算法类型。

EnvVar

出现在

EnvVar 表示容器中存在的环境变量。

字段描述
EnvVar [必需]
core/v1.EnvVar		(EnvVar 的成员嵌入到此类型中。) 未提供描述。

Etcd

出现在

Etcd 包含描述 Etcd 配置的元素。

字段描述
local
LocalEtcd

local 提供了配置本地 etcd 实例的控制选项。localexternal 相互排斥。

external
ExternalEtcd

external 描述如何连接到外部 etcd 集群。localexternal 相互排斥。

ExternalEtcd

出现在

ExternalEtcd 描述外部 etcd 集群。Kubeadm 不知道证书文件的位置,它们必须由用户提供。

字段描述
endpoints [必需]
[]string

endpoints 包含 etcd 成员列表。

caFile [必需]
string

caFile 是一个 SSL 证书颁发机构 (CA) 文件,用于保护 etcd 通信。如果使用 TLS 连接,则为必需。

certFile [必需]
string

certFile 是一个 SSL 证书文件,用于保护 etcd 通信。如果使用 TLS 连接,则为必需。

keyFile [必需]
string

keyFile 是一个 SSL 密钥文件,用于保护 etcd 通信。如果使用 TLS 连接,则为必需。

FileDiscovery

出现在

FileDiscovery 用于指定一个文件或 URL,该文件或 URL 是一个 kubeconfig 文件,从中加载集群信息。

字段描述
kubeConfigPath [必需]
string

kubeConfigPath 用于指定 kubeconfig 文件的实际文件路径或 URL,从中加载集群信息。

HostPathMount

出现在

HostPathMount 包含描述从宿主机挂载的卷的元素。

字段描述
name [必需]
string

name 是 Pod 模板中卷的名称。

hostPath [必需]
string

hostPath 是宿主机中将被挂载到 Pod 内部的路径。

mountPath [必需]
string

mountPath 是 Pod 内部路径,其中 hostPath 将被挂载。

readOnly
bool

readOnly 控制对卷的写入访问权限。

pathType
core/v1.HostPathType

pathTypehostPath 的类型。

ImageMeta

出现在

ImageMeta 允许自定义非源自 Kubernetes/Kubernetes 发布过程的组件所使用的镜像。

字段描述
imageRepository
string

imageRepository 设置拉取镜像的容器镜像仓库。如果未设置,则使用 ClusterConfiguration 中定义的 imageRepository

imageTag
string

imageTag 允许指定镜像的标签。如果此值已设置,kubeadm 在升级过程中不会自动更改上述组件的版本。

JoinControlPlane

出现在

JoinControlPlane 包含描述要在加入节点上部署的附加控制平面实例的元素。

字段描述
localAPIEndpoint
APIEndpoint

localAPIEndpoint 表示将要部署在此节点上的 API 服务器实例的端点。

certificateKey
string

certificateKey 是用于解密证书的密钥,这些证书是在加入新的控制平面节点时从 Secret 下载的。对应的加密密钥位于 InitConfiguration 中。证书密钥是一个十六进制编码的字符串,是一个大小为 32 字节的 AES 密钥。

LocalEtcd

出现在

LocalEtcd 描述 kubeadm 应在本地运行 etcd 集群。

字段描述
ImageMeta [必需]
ImageMeta		(ImageMeta 的成员嵌入到此类型中。)

ImageMeta 允许自定义 etcd 使用的容器。

dataDir [必需]
string

dataDir 是 etcd 存放其数据的目录。默认为 "/var/lib/etcd"。

extraArgs [必需]
[]Arg

extraArgs 是在静态 Pod 中运行 etcd 二进制文件时提供的额外参数。此列表中的参数名称是命令行上出现的标志名称,但不包含前导的破折号。额外参数将覆盖现有的默认参数。允许存在重复的额外参数。

extraEnvs
[]EnvVar

extraEnvs 是要传递给控制平面组件的一组额外环境变量。使用 extraEnvs 传递的环境变量将覆盖任何现有环境变量,或 kubeadm 默认添加的 *_proxy 环境变量。

serverCertSANs
[]string

serverCertSANs 为 etcd 服务器签名证书设置额外的 Subject Alternative Names (SANs)。

peerCertSANs
[]string

peerCertSANs 为 etcd 对等签名证书设置额外的 Subject Alternative Names (SANs)。

网络

出现在

Networking 包含描述集群网络配置的元素。

字段描述
serviceSubnet
string

serviceSubnet 是 Kubernetes Services 使用的子网。默认为 "10.96.0.0/12"。

podSubnet
string

podSubnet 是 Pods 使用的子网。

dnsDomain
string

dnsDomain 是 Kubernetes Services 使用的 DNS 域名。默认为 "cluster.local"。

NodeRegistrationOptions

出现在

NodeRegistrationOptions 包含与通过 kubeadm initkubeadm join 向集群注册新的控制平面或节点相关的字段。

字段描述
name
string

name 是 Node API 对象的 .Metadata.Name 字段,该对象将在本次 kubeadm initkubeadm join 操作中创建。此字段也用于 kubelet 连接到 API 服务器的客户端证书中的 CommonName 字段。如果未提供,默认为节点的主机名。

criSocket
string

criSocket 用于检索容器运行时信息。此信息将以注解的形式添加到 Node API 对象上,以便将来重复使用。

taints [必需]
[]core/v1.Taint

taints 指定 Node API 对象应使用哪些污点 (taints) 进行注册。如果此字段未设置(即为 nil),则对于控制平面节点,它将默认为控制平面污点。如果您不想为控制平面节点设置污点,请将此字段设置为空列表,例如在 YAML 文件中设置 taints: []。此字段仅用于节点注册。

kubeletExtraArgs
[]Arg

kubeletExtraArgs 将额外参数传递给 kubelet。此处的参数通过 kubeadm 在运行时为 kubelet 写入并由 kubelet 引用的环境变量文件传递给 kubelet 命令行。这将覆盖 kubelet-config ConfigMap 中的通用基础级别配置。解析时,标志的优先级更高。这些值是本地的,并且特定于 kubeadm 执行所在的节点。此列表中的参数名称是命令行上出现的标志名称,但不包含前导的破折号。额外参数将覆盖现有的默认参数。允许存在重复的额外参数。

ignorePreflightErrors
[]string

ignorePreflightErrors 提供一个预检错误的切片,在注册当前节点时会忽略这些错误,例如 'IsPrivilegedUser,Swap'。值 'all' 忽略所有检查的错误。

imagePullPolicy
core/v1.PullPolicy

imagePullPolicy 指定在 kubeadm initjoin 操作期间的镜像拉取策略。此字段的值必须是 "Always"、"IfNotPresent" 或 "Never" 之一。如果此字段未设置,kubeadm 将其默认为 "IfNotPresent",或者在宿主机上不存在所需镜像时拉取它们。

imagePullSerial
bool

imagePullSerial 指定 kubeadm 执行的镜像拉取是串行进行还是并行进行。默认值: true

Patches

出现在

Patches 包含与对 kubeadm 部署的组件应用补丁相关的选项。

字段描述
directory
string

directory 是一个目录的路径,该目录包含名称为 "target[suffix][+patchtype].extension" 的文件。例如,"kube-apiserver0+merge.yaml" 或者只是 "etcd.json"。"target" 可以是 "kube-apiserver", "kube-controller-manager", "kube-scheduler", "etcd", "kubeletconfiguration", "corednsdeployment" 之一。"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们匹配 kubectl 支持的补丁格式。默认的 "patchtype" 是 "strategic"。"extension" 必须是 "json" 或 "yaml"。"suffix" 是一个可选字符串,可用于确定哪些补丁按字母数字顺序首先应用。

Proxy

出现在

Proxy 定义了集群中应该使用的代理插件。

字段描述
disabled [必需]
bool

disabled 指定是否在集群中禁用此附加组件。

Timeouts

出现在

Timeouts 包含适用于 kubeadm 命令的各种超时设置。

字段描述
controlPlaneComponentHealthCheck
meta/v1.Duration

controlPlaneComponentHealthCheck 是在 kubeadm initkubeadm join 期间,等待控制平面组件(如 API 服务器)变为健康的时间。默认值: 4m

kubeletHealthCheck
meta/v1.Duration

kubeletHealthCheck 是在 kubeadm initkubeadm join 期间,等待 kubelet 变为健康的时间。默认值: 4m

kubernetesAPICall
meta/v1.Duration

kubernetesAPICall 是等待 kubeadm 客户端完成向 API 服务器发出请求的时间。这适用于所有类型的请求 (GET, POST 等)。默认值: 1m

etcdAPICall
meta/v1.Duration

etcdAPICall 是等待 kubeadm etcd 客户端完成向 etcd 集群发出请求的时间。默认值: 2m

tlsBootstrap
meta/v1.Duration

tlsBootstrap 是等待 kubelet 完成加入节点的 TLS 引导的时间。默认值: 5m

discovery
meta/v1.Duration

discovery 是等待 kubeadm 为加入节点验证 API 服务器身份的时间。默认值: 5m

upgradeManifests [必需]
meta/v1.Duration

upgradeManifests 是升级静态 Pod manifests 的超时时间。默认值: 5m

UpgradeApplyConfiguration

出现在

UpgradeApplyConfiguration 包含特定于 "kubeadm upgrade apply" 命令的可配置选项列表。

字段描述
kubernetesVersion
string

kubernetesVersion 是控制平面的目标版本。

allowExperimentalUpgrades
bool

allowExperimentalUpgrades 指示 kubeadm 将不稳定的 Kubernetes 版本作为备用升级选项显示,并允许升级到 Kubernetes 的 alpha/beta/发布候选版本。默认值: false

allowRCUpgrades
bool

启用 allowRCUpgrades 将显示 Kubernetes 的发布候选版本作为备用升级选项,并允许升级到 Kubernetes 的发布候选版本。

certificateRenewal
bool

certificateRenewal 指示 kubeadm 在升级期间执行证书续订。默认为 true。

dryRun
bool

dryRun 指示是否启用了“试运行”模式,如果启用,则不应用任何更改,只输出将要执行的操作。

etcdUpgrade
bool

etcdUpgrade 指示 kubeadm 在升级期间执行 etcd 升级。默认为 true。

forceUpgrade
bool

forceUpgrade 标志指示 kubeadm 在不提示确认的情况下升级集群。

ignorePreflightErrors
[]string

ignorePreflightErrors 提供一个预检错误的切片,在升级过程中会忽略这些错误,例如 IsPrivilegedUser,Swap。值 all 忽略所有检查的错误。

patches
Patches

patches 包含与在 kubeadm upgrade 期间对 kubeadm 部署的组件应用补丁相关的选项。

printConfig
bool

printConfig 指定是否应打印升级中将使用的配置文件。

skipPhases [必需]
[]string

skipPhases 是一个在命令执行期间跳过的阶段列表。注意:此字段目前在 kubeadm upgrade apply 命令中被忽略,但将来会支持。

imagePullPolicy
core/v1.PullPolicy

imagePullPolicy 指定在 kubeadm upgrade apply 操作期间的镜像拉取策略。此字段的值必须是 "Always"、"IfNotPresent" 或 "Never" 之一。如果此字段未设置,kubeadm 将其默认为 "IfNotPresent",或者在宿主机上不存在所需镜像时拉取它们。

imagePullSerial
bool

imagePullSerial 指定 kubeadm 执行的镜像拉取是串行进行还是并行进行。默认值: true

UpgradeDiffConfiguration

出现在

UpgradeDiffConfiguration 包含特定于 kubeadm upgrade diff 命令的可配置选项列表。

字段描述
kubernetesVersion
string

kubernetesVersion 是控制平面的目标版本。

contextLines
int

diffContextLines 是差异(diff)中的上下文行数。

UpgradeNodeConfiguration

出现在

UpgradeNodeConfiguration 包含特定于 "kubeadm upgrade node" 命令的可配置选项列表。

字段描述
certificateRenewal
bool

certificateRenewal 指示 kubeadm 在升级期间执行证书续订。默认为 true。

dryRun
bool

dryRun 指示是否启用了“试运行”模式,如果启用,则不应用任何更改,只输出将要执行的操作。

etcdUpgrade
bool

etcdUpgrade 指示 kubeadm 在升级期间执行 etcd 升级。默认为 true。

ignorePreflightErrors
[]string

ignorePreflightErrors 提供一个预检错误的切片,在升级过程中会忽略这些错误,例如 'IsPrivilegedUser,Swap'。值 'all' 忽略所有检查的错误。

skipPhases
[]string

skipPhases 是一个在命令执行期间跳过的阶段列表。可以通过 kubeadm upgrade node phase --help 命令获取阶段列表。

patches
Patches

patches 包含与在 kubeadm upgrade 期间对 kubeadm 部署的组件应用补丁相关的选项。

imagePullPolicy
core/v1.PullPolicy

imagePullPolicy 指定在 kubeadm upgrade node 操作期间的镜像拉取策略。此字段的值必须是 "Always"、"IfNotPresent" 或 "Never" 之一。如果此字段未设置,kubeadm 将其默认为 "IfNotPresent",或者在宿主机上不存在所需镜像时拉取它们。

imagePullSerial
bool

imagePullSerial 指定 kubeadm 执行的镜像拉取是串行进行还是并行进行。默认值: true

UpgradePlanConfiguration

出现在

UpgradePlanConfiguration 包含特定于 "kubeadm upgrade plan" 命令的可配置选项列表。

字段描述
kubernetesVersion [必需]
string

kubernetesVersion 是控制平面的目标版本。

allowExperimentalUpgrades
bool

allowExperimentalUpgrades 指示 kubeadm 将不稳定的 Kubernetes 版本作为备用升级选项显示,并允许升级到 Kubernetes 的 alpha/beta/发布候选版本。默认值: false

allowRCUpgrades
bool

启用 allowRCUpgrades 将显示 Kubernetes 的发布候选版本作为备用升级选项,并允许升级到 Kubernetes 的发布候选版本。

dryRun
bool

dryRun 指示是否启用了“试运行”模式,如果启用,则不应用任何更改,只输出将要执行的操作。

ignorePreflightErrors
[]string

ignorePreflightErrors 提供一个预检错误的切片,在升级过程中会忽略这些错误,例如 'IsPrivilegedUser,Swap'。值 'all' 忽略所有检查的错误。

printConfig
bool

printConfig 指定是否应打印升级中将使用的配置文件。

此页面是自动生成的。

如果您打算报告此页面的问题,请在您的 Issue 描述中提及此页面是自动生成的。修复可能需要在 Kubernetes 项目中的其他地方进行。

上次修改于 2025 年 4 月 10 日下午 1:15 (PST):更新 kubeadm config v1beta4 以提高可读性 (a9a4591618)