Kubelet 配置 (v1beta1)

[Alpha] Text 包含日志格式“text”的选项。仅当启用 LoggingAlphaOptions 特性门控时可用。

[Alpha] JSON 包含日志格式“json”的选项。仅当启用 LoggingAlphaOptions 特性门控时可用。

Format 标志指定日志消息的结构。format 的默认值为 text

日志刷新之间的最大时间。如果是一个字符串，则解析为一个持续时间（例如“1s”）。如果是一个整数，则是最大纳秒数（例如 1 秒 = 1000000000）。如果选定的日志后端写入日志消息时不进行缓冲，则忽略此选项。

详细程度是确定记录哪些日志消息的阈值。默认值为零，仅记录最重要的消息。较高的值会启用其他消息。错误消息始终会被记录。

VModule 覆盖单个文件的详细程度阈值。仅支持“text”日志格式。

[Alpha] Options 包含特定于不同日志格式的额外参数。只会使用所选格式的选项，但会验证所有选项。仅当启用 LoggingAlphaOptions 特性门控时可用。

ErrorStream 可用于覆盖 os.Stderr 默认值。

InfoStream 可用于覆盖 os.Stdout 默认值。

[Alpha] SplitStream 将错误消息重定向到 stderr，而信息消息则转到 stdout，并带有缓冲。默认是将两者都写入 stdout，而不进行缓冲。仅当启用 LoggingAlphaOptions 特性门控时可用。

[Alpha] InfoBufferSize 设置使用拆分流时的信息流大小。默认值为零，这会禁用缓冲。仅当启用 LoggingAlphaOptions 特性门控时可用。

Duration 包含持续时间

SerializeAsString 控制值是序列化为字符串还是整数

此组件将向其报告跟踪的收集器的端点。连接是不安全的，目前不支持 TLS。建议不设置，端点是 otlp grpc 默认值，localhost:4317。

SamplingRatePerMillion 是每百万跨度要收集的样本数。建议不设置。如果未设置，则采样器会遵循其父跨度的采样率，否则永远不会采样。

providers 是 kubelet 将启用的凭据提供程序插件列表。多个提供程序可能与单个映像匹配，在这种情况下，将从所有提供程序向 kubelet 返回凭据。如果为单个映像调用多个提供程序，则结果会合并。如果提供程序返回重叠的身份验证密钥，则使用此列表中较早的提供程序的值。

enableServer 启用 Kubelet 的安全服务器。注意：Kubelet 的不安全端口由 readOnlyPort 选项控制。默认值：true

staticPodPath 是包含要运行的本地（静态）Pod 的目录的路径，或单个静态 Pod 文件的路径。默认值：""

podLogsDir 是 kubelet 将用于放置 Pod 日志文件的自定义根目录路径。默认值：“/var/log/pods/”注意：不建议使用 temp 文件夹作为日志目录，因为它可能在许多地方导致意外行为。

syncFrequency 是同步运行的容器和配置之间的最大时间间隔。默认值：“1m”

fileCheckFrequency 是检查配置文件以获取新数据之间的持续时间。默认值：“20s”

httpCheckFrequency 是检查 http 以获取新数据之间的持续时间。默认值：“20s”

staticPodURL 是用于访问要运行的静态 Pod 的 URL。默认值：""

staticPodURLHeader 是一个切片映射，其中包含访问 podURL 时要使用的 HTTP 标头。默认值：nil

address 是 Kubelet 要在其上服务的 IP 地址（设置为 0.0.0.0 表示所有接口）。默认值：“0.0.0.0”

port 是 Kubelet 要在其上服务的端口。端口号必须介于 1 和 65535 之间（包括 1 和 65535）。默认值：10250

readOnlyPort 是 Kubelet 提供的只读端口，不进行身份验证/授权。端口号必须在 1 到 65535 之间（包括 1 和 65535）。将此字段设置为 0 会禁用只读服务。默认值：0（禁用）

tlsCertFile 是包含 HTTPS 的 x509 证书的文件。（如果有 CA 证书，则将其连接在服务器证书之后）。如果未提供 tlsCertFile 和 tlsPrivateKeyFile，则会为公共地址生成自签名证书和密钥，并将其保存到传递给 Kubelet 的 --cert-dir 标志的目录中。默认值：""

tlsPrivateKeyFile 是包含与 tlsCertFile 匹配的 x509 私钥的文件。默认值：""

tlsCipherSuites 是服务器允许的密码套件列表。请注意，TLS 1.3 密码套件是不可配置的。值来自 tls 包常量（https://golang.ac.cn/pkg/crypto/tls/#pkg-constants）。默认值：nil

tlsMinVersion 是支持的最低 TLS 版本。值来自 tls 包常量（https://golang.ac.cn/pkg/crypto/tls/#pkg-constants）。默认值：""

rotateCertificates 启用客户端证书轮换。Kubelet 将从 certificates.k8s.io API 请求新证书。这需要批准者批准证书签名请求。默认值：false

serverTLSBootstrap 启用服务器证书引导。Kubelet 将不会自签名服务证书，而是从 'certificates.k8s.io' API 请求证书。这需要批准者批准证书签名请求 (CSR)。设置此字段时必须启用 RotateKubeletServerCertificate 功能。默认值：false

authentication 指定如何对 Kubelet 服务器的请求进行身份验证。默认值：anonymous: enabled: false webhook: enabled: true cacheTTL: "2m"

authorization 指定如何授权对 Kubelet 服务器的请求。默认值：mode: Webhook webhook: cacheAuthorizedTTL: "5m" cacheUnauthorizedTTL: "30s"

registryPullQPS 是每秒从镜像仓库拉取镜像的限制。该值不能为负数。设置为 0 表示没有限制。默认值：5

registryBurst 是突发拉取的最大大小，允许拉取暂时突发到此数量，同时仍不超过 registryPullQPS。该值不能为负数。仅当 registryPullQPS 大于 0 时才使用。默认值：10

eventRecordQPS 是每秒创建的最大事件数。如果为 0，则不强制执行任何限制。该值不能为负数。默认值：50

eventBurst 是突发事件创建的最大大小，允许事件创建暂时突发到此数量，同时仍不超过 eventRecordQPS。此字段不能为负数，并且仅在 eventRecordQPS > 0 时使用。默认值：100

enableDebuggingHandlers 启用日志访问和本地运行容器和命令的服务器端点，包括 exec、attach、logs 和 portforward 功能。默认值：true

enableContentionProfiling 启用阻塞分析，如果 enableDebuggingHandlers 为 true。默认值：false

healthzPort 是 localhost healthz 端点的端口（设置为 0 以禁用）。有效数字在 1 到 65535 之间。默认值：10248

healthzBindAddress 是 healthz 服务器监听的 IP 地址。默认值："127.0.0.1"

oomScoreAdj 是 kubelet 进程的 oom-score-adj 值。值必须在 [-1000, 1000] 范围内。默认值：-999

clusterDomain 是此集群的 DNS 域。如果设置，kubelet 将配置所有容器以搜索此域以及主机的搜索域。默认值：""

clusterDNS 是集群 DNS 服务器的 IP 地址列表。如果设置，kubelet 将配置所有容器使用此列表进行 DNS 解析，而不是使用主机的 DNS 服务器。默认值：nil

streamingConnectionIdleTimeout 是流式连接在自动关闭之前可以空闲的最长时间。默认值："4h"

nodeStatusUpdateFrequency 是 kubelet 计算节点状态的频率。如果未启用节点租约功能，它也是 kubelet 将节点状态发布到主节点的频率。注意：当未启用节点租约功能时，更改常量时要小心，它必须与 nodecontroller 中的 nodeMonitorGracePeriod 一起使用。默认值："10s"

nodeStatusReportFrequency 是如果节点状态没有变化，kubelet 将节点状态发布到主节点的频率。如果检测到任何更改，Kubelet 将忽略此频率并立即发布节点状态。仅当启用节点租约功能时才使用。nodeStatusReportFrequency 的默认值为 5m。但是，如果显式设置了 nodeStatusUpdateFrequency，则 nodeStatusReportFrequency 的默认值将设置为 nodeStatusUpdateFrequency，以便向后兼容。默认值："5m"

nodeLeaseDurationSeconds 是 Kubelet 在其相应的租约上设置的持续时间。NodeLease 通过让 Kubelet 在 kube-node-lease 命名空间中创建并定期续订一个以节点命名的租约来提供节点运行状况的指示。如果租约过期，则该节点可以被视为不健康。根据 KEP-0009，租约当前每 10 秒续订一次。将来，租约续订间隔可能会根据租约持续时间进行设置。字段值必须大于 0。默认值：40

imageMinimumGCAge 是未使用的镜像在被垃圾回收之前的最短时间。默认值："2m"

imageMaximumGCAge 是镜像在被垃圾回收之前可以未使用的最长时间。此字段的默认值为 "0s"，这将禁用此字段——这意味着镜像不会因为长时间未使用而被垃圾回收。默认值："0s"（禁用）

imageGCHighThresholdPercent 是磁盘使用率超过此百分比后始终运行镜像垃圾回收的百分比。通过将此字段值除以 100 来计算百分比，因此此字段必须介于 0 到 100 之间（包括 0 和 100）。指定后，该值必须大于 imageGCLowThresholdPercent。默认值：85

imageGCLowThresholdPercent 是磁盘使用率低于此百分比时永远不会运行镜像垃圾回收的百分比。垃圾回收的最低磁盘使用率。通过将此字段值除以 100 来计算百分比，因此该字段值必须介于 0 到 100 之间（包括 0 和 100）。指定后，该值必须小于 imageGCHighThresholdPercent。默认值：80

volumeStatsAggPeriod 是计算和缓存所有 Pod 的卷磁盘使用情况的频率。默认值："1m"

kubeletCgroups 是隔离 kubelet 的 cgroup 的绝对名称。默认值：""

systemCgroups 是用于放置所有不在容器中的非内核进程的 cgroup 的绝对名称。空值表示没有容器。回滚该标志需要重新启动。如果此字段不为空，则必须指定 cgroupRoot。默认值：""

cgroupRoot 是用于 Pod 的根 cgroup。这是容器运行时尽最大努力处理的。

cgroupsPerQOS 启用基于 QoS 的 CGroup 层次结构：QoS 类的顶级 CGroups，并且所有 Burstable 和 BestEffort Pod 都将在其特定的顶级 QoS CGroup 下启动。默认值：true

cgroupDriver 是 kubelet 用于操作主机上的 CGroup 的驱动程序（cgroupfs 或 systemd）。默认值："cgroupfs"

cpuManagerPolicy 是要使用的策略的名称。需要启用 CPUManager 功能门。默认值："None"

singleProcessOOMKill，如果为 true，将阻止为 cgroups v2 中的容器 cgroup 设置 memory.oom.group 标志。这会导致容器中的进程被单独 OOM 杀死，而不是作为一个组。这意味着如果为 true，则行为与 cgroups v1 的行为一致。默认值在您未指定时自动确定。在非 Linux 系统（如 Windows）上，只允许 null / absent。在 cgroup v1 Linux 上，只允许 null / absent 和 true。在 cgroup v2 Linux 上，允许 null / absent、true 和 false。默认值为 false。

cpuManagerPolicyOptions 是一组 key=value，用于设置额外的选项以微调 cpu 管理器策略的行为。需要启用 "CPUManager" 和 "CPUManagerPolicyOptions" 功能门。默认值：nil

cpuManagerReconcilePeriod 是 CPU 管理器的协调周期。需要启用 CPUManager 功能门。默认值："10s"

memoryManagerPolicy 是内存管理器使用的策略的名称。需要启用 MemoryManager 功能门。默认值："none"

topologyManagerPolicy 是要使用的拓扑管理器策略的名称。有效值包括

• restricted：kubelet 仅允许请求的资源具有最佳 NUMA 节点对齐的 Pod；
• best-effort：kubelet 将偏向 CPU 和设备资源具有 NUMA 对齐的 Pod；
• none：kubelet 不了解 Pod 的 CPU 和设备资源的 NUMA 对齐。
• single-numa-node：kubelet 仅允许 CPU 和设备资源具有单个 NUMA 对齐的 Pod。

默认值："none"

topologyManagerScope 表示拓扑管理器请求的拓扑提示生成范围以及提示提供程序生成的范围。有效值包括

• container：拓扑策略按每个容器应用。
• pod：拓扑策略按每个 Pod 应用。

默认值："container"

TopologyManagerPolicyOptions 是一组 key=value，用于设置额外的选项以微调拓扑管理器策略的行为。需要启用 "TopologyManager" 和 "TopologyManagerPolicyOptions" 功能门。默认值：nil

qosReserved 是一组资源名称到百分比的键值对，用于指定保留供 Guaranteed QoS 层独占使用的资源的最小百分比。当前支持的资源：“memory”需要启用 QOSReserved 功能门。默认值：nil

runtimeRequestTimeout 是所有运行时请求的超时时间，除了长时间运行的请求 - pull、logs、exec 和 attach。默认值："2m"

hairpinMode 指定 Kubelet 应如何为 hairpin 数据包配置容器桥接器。设置此标志允许服务中的端点在尝试访问自己的服务时回退到自身进行负载平衡。值

• "promiscuous-bridge"：使容器桥接器处于混杂模式。
• "hairpin-veth"：在容器 veth 接口上设置 hairpin 标志。
• "none"：不执行任何操作。

通常，必须设置 --hairpin-mode=hairpin-veth 才能实现 hairpin NAT，因为混杂桥接器假设存在一个名为 cbr0 的容器桥接器。默认值："promiscuous-bridge"

maxPods 是此 Kubelet 上可以运行的最大 Pod 数量。该值必须是非负整数。默认值：110

podCIDR 是用于 Pod IP 地址的 CIDR，仅在独立模式下使用。在集群模式下，此值从控制平面获取。默认值：""

podPidsLimit 是任何 Pod 中允许的最大 PID 数量。默认值：-1

resolvConf 是用作容器 DNS 解析配置基础的解析器配置文件。如果设置为空字符串，将覆盖默认值并有效地禁用 DNS 查找。默认值："/etc/resolv.conf"

runOnce 使 Kubelet 检查 API 服务器一次以获取 Pod，除了静态 Pod 文件指定的 Pod 外还运行这些 Pod，然后退出。默认值：false

cpuCFSQuota 为指定 CPU 限制的容器启用 CPU CFS 配额强制执行。默认值：true

cpuCFSQuotaPeriod 是 CPU CFS 配额周期值，cpu.cfs_period_us。该值必须介于 1 毫秒到 1 秒之间（包括 1 毫秒和 1 秒）。需要启用 CustomCPUCFSQuotaPeriod 功能门。默认值："100ms"

nodeStatusMaxImages 限制在 Node.status.images 中报告的镜像数量。该值必须大于 -2。注意：如果指定 -1，则不应用限制。如果指定 0，则不返回任何镜像。默认值：50

maxOpenFiles 是 Kubelet 进程可以打开的文件数量。该值必须是非负数。默认值：1000000

contentType 是发送到 apiserver 的请求的 contentType。默认值："application/vnd.kubernetes.protobuf"

kubeAPIQPS 是与 Kubernetes apiserver 通信时使用的 QPS。默认值：50

kubeAPIBurst 是与 Kubernetes API 服务器通信时允许的突发请求数量。此字段不能为负数。默认值：100

serializeImagePulls 启用后，会告诉 Kubelet 一次拉取一个镜像。我们建议在运行版本 < 1.9 的 Docker 守护程序或使用 Aufs 存储后端的节点上不要更改默认值。问题 #10959 有更多详细信息。默认值：true

MaxParallelImagePulls 设置并行拉取镜像的最大数量。如果 SerializeImagePulls 为 true，则不能设置此字段。将其设置为 nil 表示没有限制。默认值：nil

evictionHard 是一个将信号名称映射到数量的映射，定义了硬驱逐阈值。例如：{"memory.available": "300Mi"}。要显式禁用，请在任意资源上传递 0% 或 100% 的阈值。默认值：memory.available: "100Mi" nodefs.available: "10%" nodefs.inodesFree: "5%" imagefs.available: "15%"

evictionSoft 是一个将信号名称映射到数量的映射，定义了软驱逐阈值。例如：{"memory.available": "300Mi"}。默认值：nil

evictionSoftGracePeriod 是一个将信号名称映射到数量的映射，定义了每个软驱逐信号的宽限期。例如：{"memory.available": "30s"}。默认值：nil

evictionPressureTransitionPeriod 是 kubelet 在退出驱逐压力状态之前必须等待的持续时间。默认值："5m"

evictionMaxPodGracePeriod 是在响应达到软驱逐阈值时终止 Pod 时允许使用的最大宽限期（以秒为单位）。此值实际上在软驱逐期间限制了 Pod 的 terminationGracePeriodSeconds 值。默认值：0

evictionMinimumReclaim 是一个将信号名称映射到数量的映射，定义了最小回收量，它描述了当资源处于压力下时，kubelet 在执行 pod 驱逐时将回收的给定资源的最小量。例如：{"imagefs.available": "2Gi"}。默认值：nil

podsPerCore 是每个核心的最大 Pod 数量。不能超过 maxPods。该值必须是非负整数。如果为 0，则 Pod 的数量没有限制。默认值：0

enableControllerAttachDetach 启用 Attach/Detach 控制器来管理计划到此节点的卷的附加/分离，并禁用 kubelet 执行任何附加/分离操作。注意：kubelet 不支持附加/分离 CSI 卷，因此此选项对于该用例必须为 true。默认值：true

protectKernelDefaults，如果为 true，则如果内核标志不符合预期，则会导致 Kubelet 错误。否则，Kubelet 将尝试修改内核标志以匹配其预期。默认值：false

makeIPTablesUtilChains，如果为 true，则会导致 Kubelet 在 iptables 中创建 KUBE-IPTABLES-HINT 链，作为向其他组件提示系统上 iptables 配置的提示。默认值：true

iptablesMasqueradeBit 以前控制 KUBE-MARK-MASQ 链的创建。已弃用：不再有任何效果。默认值：14

iptablesDropBit 以前控制 KUBE-MARK-DROP 链的创建。已弃用：不再有任何效果。默认值：15

featureGates 是一个将功能名称映射到布尔值的映射，用于启用或禁用实验性功能。此字段零星地修改了 "k8s.io/kubernetes/pkg/features/kube_features.go" 中的内置默认值。默认值：nil

failSwapOn 告诉 Kubelet 如果节点上启用了交换，则启动失败。默认值：true

memorySwap 配置可用于容器工作负载的交换内存。

containerLogMaxSize 是一个数量，定义了容器日志文件在轮换之前的最大大小。例如："5Mi" 或 "256Ki"。默认值："10Mi"

containerLogMaxFiles 指定一个容器可以存在的最大容器日志文件数量。默认值：5

ContainerLogMaxWorkers 指定为执行日志轮换操作而生成的最大并发工作线程数。将此计数设置为 1 以禁用并发日志轮换工作流。默认值：1

ContainerLogMonitorInterval 指定监视容器日志以执行日志轮换操作的持续时间。默认值为 10 * time.Seconds。但是，可以根据日志生成速率和需要轮换的大小将其自定义为较小的值。默认值：10s

configMapAndSecretChangeDetectionStrategy 是 ConfigMap 和 Secret 管理器运行的模式。有效值包括

• Get：kubelet 直接从 API 服务器获取必要的对象；
• Cache：kubelet 对从 API 服务器获取的对象使用 TTL 缓存；
• Watch：kubelet 使用 watch 来观察其感兴趣的对象的更改。

默认值："Watch"

systemReserved 是一组 ResourceName=ResourceQuantity 对（例如 cpu=200m,memory=150G），用于描述为非 Kubernetes 组件保留的资源。当前仅支持 cpu 和内存。有关更多详细信息，请参见 https://kubernetes.ac.cn/docs/tasks/administer-cluster/reserve-compute-resources。默认值：nil

kubeReserved 是一组 ResourceName=ResourceQuantity 对（例如 cpu=200m,memory=150G），用于描述为 Kubernetes 系统组件保留的资源。当前支持 cpu、内存和根文件系统的本地存储。有关更多详细信息，请参见 https://kubernetes.ac.cn/docs/tasks/administer-cluster/reserve-compute-resources。默认值：nil

reservedSystemCPUs 选项指定为宿主机级别的系统线程和 Kubernetes 相关线程保留的 CPU 列表。这提供了一个“静态”CPU 列表，而不是 systemReserved 和 kubeReserved 的“动态”列表。此选项不支持 systemReservedCgroup 或 kubeReservedCgroup。

showHiddenMetricsForVersion 是您要显示隐藏指标的先前版本。只有上一个次要版本才有意义，不允许使用其他值。格式为 <major>.<minor>，例如：1.16。此格式的目的是确保您有机会注意到下一个版本是否隐藏了其他指标，而不是在下一个版本中永久删除这些指标时感到惊讶。默认值：""

systemReservedCgroup 帮助 kubelet 识别用于强制执行操作系统系统守护进程的 systemReserved 计算资源保留的顶级 CGroup 的绝对名称。有关更多信息，请参阅 节点可分配资源 文档。默认值：""

kubeReservedCgroup 帮助 kubelet 识别用于强制执行 Kubernetes 节点系统守护进程的 KubeReserved 计算资源保留的顶级 CGroup 的绝对名称。有关更多信息，请参阅 节点可分配资源 文档。默认值：""

此标志指定 Kubelet 需要执行的各种节点可分配资源强制执行。此标志接受选项列表。可接受的选项为 none、pods、system-reserved 和 kube-reserved。如果指定 none，则不得指定其他选项。当 system-reserved 在列表中时，必须指定 systemReservedCgroup。当 kube-reserved 在列表中时，必须指定 kubeReservedCgroup。仅当 cgroupsPerQOS 设置为 true 时才支持此字段。有关更多信息，请参阅 节点可分配资源。默认值：["pods"]

以逗号分隔的不安全 sysctl 或 sysctl 模式（以 * 结尾）的白名单。不安全 sysctl 组为 kernel.shm*、kernel.msg*、kernel.sem、fs.mqueue.* 和 net.*。例如："kernel.msg*,net.ipv4.route.min_pmtu" 默认值：[]

volumePluginDir 是在其中搜索其他第三方卷插件的目录的完整路径。默认值："/usr/libexec/kubernetes/kubelet-plugins/volume/exec/"

providerID（如果设置）会设置外部提供程序（即 cloudprovider）可用于识别特定节点的实例的唯一 ID。默认值：""

kernelMemcgNotification（如果设置）会指示 kubelet 与内核 memcg 通知集成，以确定是否超过内存驱逐阈值，而不是轮询。默认值：false

logging 指定日志记录的选项。有关更多信息，请参阅 日志选项。默认值：Format: text

enableSystemLogHandler 通过 Web 界面 host:port/logs/ 启用系统日志。默认值：true

enableSystemLogQuery 在 /logs 端点上启用节点日志查询功能。此外，必须启用 EnableSystemLogHandler 才能使此功能正常工作。默认值：false

shutdownGracePeriod 指定节点应延迟关闭的总持续时间以及节点关闭期间 Pod 终止的总宽限期。默认值："0s"

shutdownGracePeriodCriticalPods 指定在节点关闭期间用于终止关键 Pod 的持续时间。此值应小于 shutdownGracePeriod。例如，如果 shutdownGracePeriod=30s，而 shutdownGracePeriodCriticalPods=10s，则在节点关闭期间，前 20 秒将用于正常终止普通 Pod，而最后 10 秒将用于终止关键 Pod。默认值："0s"

shutdownGracePeriodByPodPriority 指定基于 Pod 的关联优先级类值的 Pod 关闭宽限期。当收到关闭请求时，Kubelet 将对节点上运行的所有 Pod 启动关闭操作，关闭宽限期取决于 Pod 的优先级，然后等待所有 Pod 退出。数组中的每个条目都表示当节点关闭时，优先级类值在该值和列表中下一个更高条目之间的 Pod 的优雅关闭时间。例如，为了允许关键 Pod 有 10 秒的关闭时间，优先级 >= 10000 的 Pod 有 20 秒的关闭时间，其余所有 Pod 有 30 秒的关闭时间。

shutdownGracePeriodByPodPriority

• priority: 2000000000 shutdownGracePeriodSeconds: 10
• priority: 10000 shutdownGracePeriodSeconds: 20
• priority: 0 shutdownGracePeriodSeconds: 30

Kubelet 在退出前等待的时间最长将是节点上表示的每个优先级类范围的所有 shutdownGracePeriodSeconds 中的最大值。当所有 Pod 都已退出或达到其宽限期时，Kubelet 将释放关闭抑制锁。 需要启用 GracefulNodeShutdown 功能门。如果设置了 ShutdownGracePeriod 或 ShutdownGracePeriodCriticalPods，则此配置必须为空。 默认值：nil

CrashLoopBackOff 包含修改容器重启行为的节点级参数的配置

reservedMemory 指定 NUMA 节点的以逗号分隔的内存预留列表。此参数仅在内存管理器功能的上下文中才有意义。内存管理器不会为容器工作负载分配预留内存。例如，如果您有一个具有 10Gi 内存的 NUMA0，并且 reservedMemory 被指定为在 NUMA0 上预留 1Gi 的内存，则内存管理器将假定只有 9Gi 可用于分配。您可以指定不同数量的 NUMA 节点和内存类型。您可以完全省略此参数，但您应该意识到所有 NUMA 节点的预留内存量应等于 节点可分配内存 指定的内存量。如果至少有一个节点可分配参数具有非零值，您将需要指定至少一个 NUMA 节点。此外，请避免指定

1. 重复项，相同的 NUMA 节点和内存类型，但具有不同的值。
2. 任何内存类型的零限制。
3. 机器下不存在的 NUMA 节点 ID。
4. 除内存和 hugepages- 之外的内存类型

默认值：nil

enableProfilingHandler 允许通过 Web 界面 host:port/debug/pprof/ 启用性能分析。 默认值：true

enableDebugFlagsHandler 允许通过 Web 界面 host:port/debug/flags/v 启用标志端点。 默认值：true

SeccompDefault 允许使用 RuntimeDefault 作为所有工作负载的默认 seccomp 配置文件。 默认值：false

MemoryThrottlingFactor 指定设置 cgroupv2 memory.high 值以强制执行 MemoryQoS 时，乘以内存限制或节点可分配内存的因子。减小此因子将为容器 cgroups 设置较低的高限值并施加更大的回收压力，而增大此因子将施加较小的回收压力。有关更多详细信息，请参见 https://kep.k8s.io/2570。 默认值：0.9

registerWithTaints 是一个污点数组，在 kubelet 注册自身时添加到节点对象。这仅在 registerNode 为 true 时以及节点初始注册时生效。 默认值：nil

registerNode 允许自动向 apiserver 注册。 默认值：true

Tracing 指定 OpenTelemetry 跟踪客户端的版本化配置。有关更多详细信息，请参见 https://kep.k8s.io/2832。 默认值：nil

LocalStorageCapacityIsolation 启用本地临时存储隔离功能。默认设置为 true。此功能允许用户为容器的临时存储设置请求/限制，并以与 cpu 和内存类似的方式进行管理。它还允许为 emptyDir 卷设置 sizeLimit，如果卷的磁盘使用量超过限制，则会触发 Pod 驱逐。此功能取决于检测正确根文件系统磁盘使用情况的能力。对于某些系统（例如无根 kind），如果不支持此功能，则应禁用 LocalStorageCapacityIsolation 功能。禁用后，用户不应为容器的临时存储设置请求/限制，或为 emptyDir 设置 sizeLimit。默认值：true

ContainerRuntimeEndpoint 是容器运行时的端点。Linux 上支持 Unix 域套接字，而 Windows 上支持 npipe 和 tcp 端点。示例：'unix:///path/to/runtime.sock'，'npipe:////./pipe/runtime'

ImageServiceEndpoint 是容器镜像服务的端点。Linux 上支持 Unix 域套接字，而 Windows 上支持 npipe 和 tcp 端点。示例：'unix:///path/to/runtime.sock'，'npipe:////./pipe/runtime'。如果未指定，则使用 containerRuntimeEndpoint 中的值。

FailCgroupV1 阻止 kubelet 在使用 cgroup v1 的主机上启动。默认情况下，此值设置为 'false'，这意味着除非显式启用此选项，否则允许 kubelet 在 cgroup v1 主机上启动。 默认值：false

source 是我们正在序列化的源。

maxContainerRestartPeriod 是容器重启的退避延迟可以累积的最大持续时间，最小 1 秒，最大 300 秒。如果未设置，则默认为内部 crashloopbackoff 最大值 (300s)。

name 是凭证提供程序的必需名称。它必须与 kubelet 看到的提供程序可执行文件的名称匹配。该可执行文件必须位于 kubelet 的 bin 目录中（由 --image-credential-provider-bin-dir 标志设置）。

matchImages 是用于匹配镜像的必需字符串列表，以确定是否应调用此提供程序。如果其中一个字符串与 kubelet 请求的镜像匹配，则将调用该插件并有机会提供凭证。镜像应包含注册表域和 URL 路径。

matchImages 中的每个条目都是一个模式，可以可选地包含端口和路径。可以在域中使用 glob，但不能在端口或路径中使用。glob 支持作为子域，例如 '.k8s.io' 或 'k8s..io'，以及顶级域，例如 'k8s.*'。还支持匹配部分子域，例如 'app*.k8s.io'。每个 glob 只能匹配单个子域段，因此 *.io 不匹配 *.k8s.io。

当以下所有条件都为 true 时，镜像和 matchImage 之间存在匹配

• 两者都包含相同数量的域部分，并且每个部分都匹配。
• imageMatch 的 URL 路径必须是目标镜像 URL 路径的前缀。
• 如果 imageMatch 包含端口，则端口也必须与镜像中的端口匹配。

matchImages 的示例值

• 123456789.dkr.ecr.us-east-1.amazonaws.com
• *.azurecr.io
• gcr.io
• ..registry.io
• registry.io:8080/path

defaultCacheDuration 是如果插件响应中未提供缓存持续时间，则插件将凭证缓存在内存中的默认持续时间。此字段是必需的。

exec CredentialProviderRequest 的必需输入版本。返回的 CredentialProviderResponse 必须使用与输入相同的编码版本。当前支持的值为

• credentialprovider.kubelet.k8s.io/v1beta1

执行命令时要传递给命令的参数。

Env 定义要暴露给进程的其他环境变量。这些变量与主机的环境变量以及 client-go 用于将参数传递给插件的变量合并在一起。

enabled 允许对 kubelet 服务器进行匿名请求。未被其他身份验证方法拒绝的请求将被视为匿名请求。匿名请求的用户名是 system:anonymous，组名是 system:unauthenticated。

x509 包含与 x509 客户端证书身份验证相关的设置。

webhook 包含与 webhook 持有者令牌身份验证相关的设置。

anonymous 包含与匿名身份验证相关的设置。

mode 是应用于 kubelet 服务器请求的授权模式。有效值是 AlwaysAllow 和 Webhook。Webhook 模式使用 SubjectAccessReview API 来确定授权。

webhook 包含与 Webhook 授权相关的设置。

enabled 允许由 tokenreviews.authentication.k8s.io API 支持的持有者令牌身份验证。

cacheTTL 启用身份验证结果的缓存

cacheAuthorizedTTL 是缓存 webhook 授权器返回的“已授权”响应的持续时间。

cacheUnauthorizedTTL 是缓存 webhook 授权器返回的“未授权”响应的持续时间。

clientCAFile 是 PEM 编码的证书捆绑包的路径。如果设置，则任何出示由捆绑包中的一个颁发机构签名的客户端证书的请求都将使用与客户端证书中的 CommonName 对应的用户名以及与 Organization 对应的组进行身份验证。

swapBehavior 配置可用于容器工作负载的交换内存。可以是 ""，"NoSwap"：工作负载不能使用交换，默认选项。"LimitedSwap"：工作负载交换使用量受到限制。交换限制与容器的内存请求成比例。

priority 是与关闭宽限期关联的优先级值

shutdownGracePeriodSeconds 是以秒为单位的关闭宽限期