kube-apiserver
Synopsis
Kubernetes API 服务器对 API 对象(包括 Pod、Service、ReplicationController 等)的数据进行验证和配置。API 服务器提供 REST 操作服务,并提供集群共享状态的前端,所有其他组件都通过该前端进行交互。
kube-apiserver [flags]
Options
| --admission-control-config-file string | |
包含准入控制配置的文件。 | |
| --advertise-address string | |
用于向集群成员通告 apiserver 的 IP 地址。集群的其余部分必须能够访问此地址。如果为空白,则使用 --bind-address。如果未指定 --bind-address,则使用主机的默认接口。 | |
| --aggregator-reject-forwarding-redirect Default: true | |
聚合器拒绝将转发重定向响应发回给客户端。 | |
| --allow-metric-labels stringToString Default: [] | |
此标签从 metric-label 到值允许列表的映射。键的格式为 <MetricName>,<LabelName>。值的格式为 <allowed_value>,<allowed_value>...例如 metric1,label1='v1,v2,v3', metric1,label2='v1,v2,v3' metric2,label1='v1,v2,v3'。 | |
| --allow-metric-labels-manifest string | |
包含允许列表映射的清单文件的路径。文件格式与 --allow-metric-labels 标志相同。请注意,--allow-metric-labels 标志将覆盖清单文件。 | |
| --allow-privileged | |
如果为 true,则允许特权容器。[default=false] | |
| --anonymous-auth Default: true | |
启用对 API 服务器安全端口的匿名请求。未被其他身份验证方法拒绝的请求被视为匿名请求。匿名请求的用户名为 system:anonymous,组名为 system:unauthenticated。 | |
| --api-audiences strings | |
API 的标识符。服务帐户令牌身份验证器将验证用于 API 的令牌是否至少绑定到这些受众中的一个。如果配置了 --service-account-issuer 标志且未配置此标志,则此字段默认为包含颁发者 URL 的单元素列表。 | |
| --audit-log-batch-buffer-size int Default: 10000 | |
在批量写入之前,存储事件的缓冲区大小。仅在批量模式下使用。 | |
| --audit-log-batch-max-size int Default: 1 | |
批量的最大大小。仅在批量模式下使用。 | |
| --audit-log-batch-max-wait duration | |
在批量未达到最大大小时强制写入之前等待的时间。仅在批量模式下使用。 | |
| --audit-log-batch-throttle-burst int | |
如果之前未使用 ThrottleQPS,则在同一时刻发送的最大请求数量。仅在批量模式下使用。 | |
| --audit-log-batch-throttle-enable | |
是否启用批量限流。仅在批量模式下使用。 | |
| --audit-log-batch-throttle-qps float | |
每秒最大平均批量数量。仅在批量模式下使用。 | |
| --audit-log-compress | |
如果设置,轮换的日志文件将使用 gzip 压缩。 | |
| --audit-log-format string Default: "json" | |
保存的审计日志格式。"legacy" 表示每个事件一行文本格式。"json" 表示结构化 json 格式。已知格式有 legacy, json。 | |
| --audit-log-maxage int | |
根据文件名中编码的时间戳,保留旧审计日志文件的最大天数。 | |
| --audit-log-maxbackup int | |
保留的旧审计日志文件最大数量。设置值为 0 表示对文件数量没有限制。 | |
| --audit-log-maxsize int | |
审计日志文件在轮换前的最大大小(MB)。 | |
| --audit-log-mode string Default: "blocking" | |
发送审计事件的策略。Blocking 表示发送事件将阻塞服务器响应。Batch 导致后端异步缓冲和写入事件。已知模式有 batch, blocking, blocking-strict。 | |
| --audit-log-path string | |
如果设置,所有到达 apiserver 的请求都将记录到此文件。'-' 表示标准输出。 | |
| --audit-log-truncate-enabled | |
是否启用事件和批量截断。 | |
| --audit-log-truncate-max-batch-size int Default: 10485760 | |
发送到底层后端的批量最大大小。实际序列化大小可能大几百字节。如果批量超过此限制,将分割成几个较小的批量。 | |
| --audit-log-truncate-max-event-size int Default: 102400 | |
发送到底层后端的审计事件最大大小。如果事件大小大于此数字,首先删除请求和响应,如果这不足以减小大小,则丢弃事件。 | |
| --audit-log-version string Default: "audit.k8s.io/v1" | |
用于序列化写入日志的审计事件的 API Group 和版本。 | |
| --audit-policy-file string | |
定义审计策略配置的文件路径。 | |
| --audit-webhook-batch-buffer-size int Default: 10000 | |
在批量写入之前,存储事件的缓冲区大小。仅在批量模式下使用。 | |
| --audit-webhook-batch-max-size int Default: 400 | |
批量的最大大小。仅在批量模式下使用。 | |
| --audit-webhook-batch-max-wait duration Default: 30s | |
在批量未达到最大大小时强制写入之前等待的时间。仅在批量模式下使用。 | |
| --audit-webhook-batch-throttle-burst int Default: 15 | |
如果之前未使用 ThrottleQPS,则在同一时刻发送的最大请求数量。仅在批量模式下使用。 | |
| --audit-webhook-batch-throttle-enable Default: true | |
是否启用批量限流。仅在批量模式下使用。 | |
| --audit-webhook-batch-throttle-qps float Default: 10 | |
每秒最大平均批量数量。仅在批量模式下使用。 | |
| --audit-webhook-config-file string | |
定义审计 Webhook 配置的 kubeconfig 格式的文件路径。 | |
| --audit-webhook-initial-backoff duration Default: 10s | |
在重试第一次失败的请求之前等待的时间。 | |
| --audit-webhook-mode string Default: "batch" | |
发送审计事件的策略。Blocking 表示发送事件将阻塞服务器响应。Batch 导致后端异步缓冲和写入事件。已知模式有 batch, blocking, blocking-strict。 | |
| --audit-webhook-truncate-enabled | |
是否启用事件和批量截断。 | |
| --audit-webhook-truncate-max-batch-size int Default: 10485760 | |
发送到底层后端的批量最大大小。实际序列化大小可能大几百字节。如果批量超过此限制,将分割成几个较小的批量。 | |
| --audit-webhook-truncate-max-event-size int Default: 102400 | |
发送到底层后端的审计事件最大大小。如果事件大小大于此数字,首先删除请求和响应,如果这不足以减小大小,则丢弃事件。 | |
| --audit-webhook-version string Default: "audit.k8s.io/v1" | |
用于序列化写入 Webhook 的审计事件的 API Group 和版本。 | |
| --authentication-config string | |
包含身份验证配置的文件,用于配置 JWT Token 身份验证器或匿名身份验证器。需要 StructuredAuthenticationConfiguration 特性门控。还需要 AnonymousAuthConfigurableEndpoints 特性门控才能在配置文件中配置匿名身份验证器。如果文件配置了 JWT Token 身份验证器,则此标志与 --oidc-* 标志互斥。如果文件配置了匿名身份验证器,则此标志与 --anonymous-auth 互斥。 | |
| --authentication-token-webhook-cache-ttl duration Default: 2m0s | |
缓存来自 Webhook 令牌身份验证器的响应的持续时间。 | |
| --authentication-token-webhook-config-file string | |
采用 kubeconfig 格式的 Webhook 令牌身份验证配置的文件。API 服务器将查询远程服务以确定 Bearer Token 的身份验证。 | |
| --authentication-token-webhook-version string Default: "v1beta1" | |
发送到 Webhook 并期望从 Webhook 接收的 authentication.k8s.io TokenReview 的 API 版本。 | |
| --authorization-config string | |
包含用于配置授权器链的授权配置的文件。需要 StructuredAuthorizationConfiguration 特性门控。此标志与 --authorization-mode 和 --authorization-webhook-* 标志互斥。 | |
| --authorization-mode strings | |
在安全端口上执行授权的插件有序列表。如果未使用 --authorization-config,则默认为 AlwaysAllow。逗号分隔列表:AlwaysAllow, AlwaysDeny, ABAC, Webhook, RBAC, Node。 | |
| --authorization-policy-file string | |
包含 JSON 逐行格式授权策略的文件,与 --authorization-mode=ABAC 一起在安全端口上使用。 | |
| --authorization-webhook-cache-authorized-ttl duration Default: 5m0s | |
缓存来自 Webhook 授权器的“已授权”响应的持续时间。 | |
| --authorization-webhook-cache-unauthorized-ttl duration Default: 30s | |
缓存来自 Webhook 授权器的“未授权”响应的持续时间。 | |
| --authorization-webhook-config-file string | |
采用 kubeconfig 格式的 Webhook 配置的文件,与 --authorization-mode=Webhook 一起使用。API 服务器将查询远程服务以确定 API 服务器安全端口上的访问权限。 | |
| --authorization-webhook-version string Default: "v1beta1" | |
发送到 Webhook 并期望从 Webhook 接收的 authorization.k8s.io SubjectAccessReview 的 API 版本。 | |
| --bind-address string Default: 0.0.0.0 | |
监听 --secure-port 端口的 IP 地址。相关的接口必须可被集群的其余部分以及 CLI/Web 客户端访问。如果为空白或未指定地址 (0.0.0.0 或 ::),将使用所有接口和 IP 地址族。 | |
| --cert-dir string Default: "/var/run/kubernetes" | |
TLS 证书所在的目录。如果提供了 --tls-cert-file 和 --tls-private-key-file,则忽略此标志。 | |
| --client-ca-file string | |
如果设置,任何提供由 client-ca-file 中某个颁发机构签名的客户端证书的请求都将使用与客户端证书的 CommonName 对应的身份进行身份验证。 | |
| --contention-profiling | |
如果启用了性能分析,则启用块性能分析 | |
| --cors-allowed-origins strings | |
允许 CORS 的来源列表,逗号分隔。允许的来源可以是支持子域匹配的正则表达式。如果此列表为空,则不启用 CORS。请确保每个表达式通过以 '^' 开头或包含 '//' 前缀以及以 '$' 结尾或包含 ':' 端口分隔符后缀来匹配整个主机名。有效表达式的示例包括 '//example.com(:|$)' 和 '^https://example.com(:|$)' | |
| --debug-socket-path string | |
使用 unprotected (无 authn/authz) Unix 域套接字进行性能分析,指定其路径。 | |
| --default-not-ready-toleration-seconds int Default: 300 | |
指示默认添加到每个尚未具有此类容忍度的 Pod 的 notReady:NoExecute 容忍度的 tolerationSeconds。 | |
| --default-unreachable-toleration-seconds int Default: 300 | |
指示默认添加到每个尚未具有此类容忍度的 unreachable:NoExecute 容忍度的 tolerationSeconds。 | |
| --delete-collection-workers int Default: 1 | |
DeleteCollection 调用产生的 worker 数量。用于加快命名空间清理。 | |
| --disable-admission-plugins strings | |
应禁用的准入插件,即使它们位于默认启用的插件列表 (NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, CertificateApproval, CertificateSigning, ClusterTrustBundleAttest, CertificateSubjectRestriction, DefaultIngressClass, PodTopologyLabels, MutatingAdmissionPolicy, MutatingAdmissionWebhook, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook, ResourceQuota) 中。逗号分隔的准入插件列表:AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionPolicy, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, PodTopologyLabels, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook。此标志中插件的顺序无关紧要。 | |
| --disable-http2-serving | |
如果为 true,将禁用 HTTP2 服务 [default=false] | |
| --disabled-metrics strings | |
此标志为行为异常的指标提供了一个逃生口。必须提供完全限定的指标名称才能禁用它。免责声明:禁用指标的优先级高于显示隐藏指标。 | |
| --egress-selector-config-file string | |
包含 apiserver 出口选择器配置的文件。 | |
| --emulated-version strings | |
不同组件模拟其功能(API、特性等)的版本。 | |
| --emulation-forward-compatible | |
如果为 true,对于在模拟版本中默认启用或通过 --runtime-config 启用的任何 Beta+ API,即使它们是在模拟版本之后引入的,其具有更高优先级/稳定性的未来版本也将自动启用。仅当模拟版本低于二进制版本时才能设置为 true。 | |
| --enable-admission-plugins strings | |
除了默认启用的插件 (NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, CertificateApproval, CertificateSigning, ClusterTrustBundleAttest, CertificateSubjectRestriction, DefaultIngressClass, PodTopologyLabels, MutatingAdmissionPolicy, MutatingAdmissionWebhook, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook, ResourceQuota) 外,应启用的准入插件。逗号分隔的准入插件列表:AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionPolicy, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, PodTopologyLabels, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook。此标志中插件的顺序无关紧要。 | |
| --enable-aggregator-routing | |
启用聚合器将请求路由到 Endpoint IP 而不是 Cluster IP。 | |
| --enable-bootstrap-token-auth | |
启用此选项以允许使用 'kube-system' 命名空间中类型为 'bootstrap.kubernetes.io/token' 的 Secret 进行 TLS Bootstrap 认证。 | |
| --enable-garbage-collector Default: true | |
启用通用垃圾收集器。必须与 kube-controller-manager 的相应标志同步。 | |
| --enable-priority-and-fairness Default: true | |
如果为 true,则将 max-in-flight 处理程序替换为具有优先级和公平性的增强型队列和分派处理程序。 | |
| --encryption-provider-config string | |
包含用于在 etcd 中存储 Secret 的加密提供者配置的文件。 | |
| --encryption-provider-config-automatic-reload | |
确定是否应在磁盘内容更改时自动重新加载由 --encryption-provider-config 设置的文件。将此设置为 true 会禁用通过 API 服务器 healthz 端点唯一识别不同 KMS 插件的能力。 | |
| --endpoint-reconciler-type string Default: "lease" | |
使用 endpoint reconciler (master-count, lease, none)。master-count 已弃用,并将在未来版本中移除。 | |
| --etcd-cafile string | |
用于保护 etcd 通信的 SSL 证书颁发机构文件。 | |
| --etcd-certfile string | |
用于保护 etcd 通信的 SSL 证书文件。 | |
| --etcd-compaction-interval duration Default: 5m0s | |
压缩请求的间隔。如果为 0,则禁用 apiserver 的压缩请求。 | |
| --etcd-count-metric-poll-period duration Default: 1m0s | |
按类型轮询 etcd 以获取资源数量的频率。0 禁用指标收集。 | |
| --etcd-db-metric-poll-interval duration Default: 30s | |
轮询 etcd 并更新指标的请求间隔。0 禁用指标收集。 | |
| --etcd-healthcheck-timeout duration Default: 2s | |
检查 etcd 健康状况时使用的超时时间。 | |
| --etcd-keyfile string | |
用于保护 etcd 通信的 SSL 密钥文件。 | |
| --etcd-prefix string Default: "/registry" | |
在 etcd 中所有资源路径前添加的前缀。 | |
| --etcd-readycheck-timeout duration Default: 2s | |
检查 etcd 准备就绪时使用的超时时间。 | |
| --etcd-servers strings | |
要连接的 etcd 服务器列表(scheme://ip:port),逗号分隔。 | |
| --etcd-servers-overrides strings | |
每个资源的 etcd 服务器覆盖,逗号分隔。单个覆盖格式:group/resource#servers,其中 servers 是 URL,分号分隔。请注意,这仅适用于编译到此服务器二进制文件中的资源。 | |
| --event-ttl duration Default: 1h0m0s | |
保留事件的时间。 | |
| --external-hostname string | |
为 Master 生成外部化 URL(例如 Swagger API 文档或 OpenID Discovery)时使用的主机名。 | |
| --feature-gates colonSeparatedMultimapStringString | |
逗号分隔的 component:key=value 对列表,用于描述不同组件的 Alpha/实验性功能的特性门控。 | |
| --goaway-chance float | |
为了防止 HTTP/2 客户端卡在单个 apiserver 上,随机关闭连接 (GOAWAY)。客户端正在处理的其他请求不会受到影响,客户端将重新连接,并可能在再次通过负载均衡器后连接到不同的 apiserver。此参数设置将发送 GOAWAY 的请求的比例。具有单个 apiserver 或不使用负载均衡器的集群不应启用此功能。最小值为 0(关闭),最大值为 .02(1/50 请求);建议的起始点为 .001(1/1000)。 | |
| -h, --help | |
kube-apiserver 的帮助信息 | |
| --http2-max-streams-per-connection int | |
服务器提供给客户端的 HTTP/2 连接中最大流数量限制。零表示使用 golang 的默认值。 | |
| --kubelet-certificate-authority string | |
证书颁发机构证书文件的路径。 | |
| --kubelet-client-certificate string | |
TLS 客户端证书文件的路径。 | |
| --kubelet-client-key string | |
TLS 客户端密钥文件的路径。 | |
| --kubelet-preferred-address-types strings Default: "Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP" | |
用于 Kubelet 连接的首选 NodeAddressTypes 列表。 | |
| --kubelet-timeout duration Default: 5s | |
Kubelet 操作的超时时间。 | |
| --kubernetes-service-node-port int | |
如果非零,apiserver 创建/维护的 Kubernetes master Service 将是 NodePort 类型,使用此值作为端口。如果为零,Kubernetes master Service 将是 ClusterIP 类型。 | |
| --lease-reuse-duration-seconds int Default: 60 | |
每个租约被重用的时间(秒)。较低的值可以避免大量对象重用同一租约。请注意,过小的值可能会导致存储层出现性能问题。 | |
| --livez-grace-period duration | |
此选项表示 apiserver 完成其启动顺序并变为活动的所需最大时间。从 apiserver 启动时间到经过此时间量,/livez 将假定未完成的 post-start hook 将成功完成,因此返回 true。 | |
| --log-flush-frequency duration Default: 5s | |
日志刷新之间的最大秒数。 | |
| --log-text-info-buffer-size quantity | |
[Alpha] 在文本格式且拆分输出流的情况下,info 消息可以缓冲一段时间以提高性能。默认值零字节会禁用缓冲。大小可以指定为字节数 (512)、1000 的倍数 (1K)、1024 的倍数 (2Ki) 或这些倍数的幂次 (3M, 4G, 5Mi, 6Gi)。启用 LoggingAlphaOptions 特性门控即可使用此功能。 | |
| --log-text-split-stream | |
[Alpha] 在文本格式下,将错误消息写入 stderr,将 info 消息写入 stdout。默认是写入单个流到 stdout。启用 LoggingAlphaOptions 特性门控即可使用此功能。 | |
| --logging-format string 默认值: "text" | |
设置日志格式。允许的格式:"text"。 | |
| --max-connection-bytes-per-sec int | |
如果非零,则将每个用户连接限制为此数字(字节/秒)。目前仅适用于长时间运行的请求。 | |
| --max-mutating-requests-inflight int 默认值: 200 | |
如果 --enable-priority-and-fairness 为 true,则此值与 --max-requests-inflight 相加确定服务器的总并发限制(必须为正)。否则,此标志限制进行中的最大变更请求数,零值则完全禁用此限制。 | |
| --max-requests-inflight int 默认值: 400 | |
如果 --enable-priority-and-fairness 为 true,则此值与 --max-mutating-requests-inflight 相加确定服务器的总并发限制(必须为正)。否则,此标志限制进行中的最大非变更请求数,零值则完全禁用此限制。 | |
| --min-request-timeout int 默认值: 1800 | |
一个可选字段,指示处理程序在超时前必须保持请求打开的最短秒数。目前仅适用于 watch 请求处理程序,它会在此数字之上选取一个随机值作为连接超时,以分散负载。 | |
| --oidc-ca-file string | |
如果设置,OpenID 服务器的证书将由 oidc-ca-file 中的某个机构验证,否则将使用主机根 CA 集。 | |
| --oidc-client-id string | |
OpenID Connect 客户端的客户端 ID,如果设置了 oidc-issuer-url,则必须设置此项。 | |
| --oidc-groups-claim string | |
如果提供,这是用于指定用户组的自定义 OpenID Connect 声明的名称。该声明的值应为字符串或字符串数组。此标志是实验性的,请参阅身份验证文档了解更多详细信息。 | |
| --oidc-groups-prefix string | |
如果提供,所有组将以此值作为前缀,以防止与其他身份验证策略发生冲突。 | |
| --oidc-issuer-url string | |
OpenID 发行者的 URL,只接受 HTTPS 方案。如果设置,它将用于验证 OIDC JSON Web Token (JWT)。 | |
| --oidc-required-claim <逗号分隔的 'key=value' 对> | |
一个 key=value 对,描述 ID 令牌中的一个必需声明。如果设置,将验证该声明是否存在于 ID 令牌中并具有匹配的值。重复此标志以指定多个声明。 | |
| --oidc-signing-algs strings 默认值: "RS256" | |
允许的 JOSE 非对称签名算法的逗号分隔列表。支持的具有 'alg' 头部值的 JWT 为:RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512。这些值由 RFC 7518 定义,网址为 https://tools.ietf.org/html/rfc7518#section-3.1。 | |
| --oidc-username-claim string 默认值: "sub" | |
用作用户名的 OpenID 声明。请注意,除默认值 ('sub') 以外的声明不保证是唯一且不可变的。此标志是实验性的,请参阅身份验证文档了解更多详细信息。 | |
| --oidc-username-prefix string | |
如果提供,所有用户名将以此值作为前缀。如果未提供,除 'email' 以外的用户名声明将以发行者 URL 作为前缀以避免冲突。要跳过任何前缀,请提供值 '-'。 | |
| --peer-advertise-ip string | |
如果设置且 UnknownVersionInteroperabilityProxy 特性门控已启用,当请求由于 kube-apiserver 之间的版本偏差而无法由对等节点处理时,对等 kube-apiserver 将使用此 IP 地址向此 kube-apiserver 代理请求。此标志仅用于配置了多个 kube-apiserver 以实现高可用性的集群。 | |
| --peer-advertise-port string | |
如果设置且 UnknownVersionInteroperabilityProxy 特性门控已启用,当请求由于 kube-apiserver 之间的版本偏差而无法由对等节点处理时,对等 kube-apiserver 将使用此端口向此 kube-apiserver 代理请求。此标志仅用于配置了多个 kube-apiserver 以实现高可用性的集群。 | |
| --peer-ca-file string | |
如果设置且 UnknownVersionInteroperabilityProxy 特性门控已启用,将使用此文件验证对等 kube-apiserver 的服务证书。此标志仅用于配置了多个 kube-apiserver 以实现高可用性的集群。 | |
| --permit-address-sharing | |
如果为 true,则在绑定端口时将使用 SO_REUSEADDR。这允许同时绑定到 0.0.0.0 和特定 IP 等通配符 IP,并避免等待内核释放处于 TIME_WAIT 状态的套接字。[default=false] | |
| --permit-port-sharing | |
如果为 true,则在绑定端口时将使用 SO_REUSEPORT,这允许在同一地址和端口上绑定多个实例。[default=false] | |
| --profiling 默认值: true | |
通过 Web 界面 host:port/debug/pprof/ 启用性能分析。 | |
| --proxy-client-cert-file string | |
聚合并器或 kube-apiserver 在请求过程中需要向外调用时,用于证明其身份的客户端证书。这包括将请求代理到用户 api-server 以及调用 webhook admission 插件。预期此证书包含 --requestheader-client-ca-file 标志中 CA 的签名。该 CA 发布在 kube-system 命名空间的 'extension-apiserver-authentication' ConfigMap 中。从 kube-aggregator 接收调用的组件应使用该 CA 执行其相互 TLS 验证的一半。 | |
| --proxy-client-key-file string | |
聚合并器或 kube-apiserver 在请求过程中需要向外调用时,用于证明其身份的客户端证书的私钥。这包括将请求代理到用户 api-server 以及调用 webhook admission 插件。 | |
| --request-timeout duration 默认值: 1m0s | |
一个可选字段,指示处理程序在超时前必须保持请求打开的持续时间。这是请求的默认请求超时,但可能被 --min-request-timeout 等标志覆盖,适用于特定类型的请求。 | |
| --requestheader-allowed-names strings | |
允许在 --requestheader-username-headers 指定的头部中提供用户名的客户端证书通用名列表。如果为空,则允许由 --requestheader-client-ca-file 中的机构验证的任何客户端证书。 | |
| --requestheader-client-ca-file string | |
在信任 --requestheader-username-headers 指定的头部中的用户名之前,用于验证传入请求上的客户端证书的根证书包。警告:通常不要依赖于对传入请求已完成授权。 | |
| --requestheader-extra-headers-prefix strings | |
要检查的请求头部前缀列表。建议使用 X-Remote-Extra-。 | |
| --requestheader-group-headers strings | |
要检查组的请求头部列表。建议使用 X-Remote-Group。 | |
| --requestheader-uid-headers strings | |
要检查 UIDs 的请求头部列表。建议使用 X-Remote-Uid。需要启用 RemoteRequestHeaderUID 特性。 | |
| --requestheader-username-headers strings | |
要检查用户名的请求头部列表。X-Remote-User 很常见。 | |
| --runtime-config <逗号分隔的 'key=value' 对> | |
一组 key=value 对,用于启用或禁用内置 API。支持的选项包括 | |
| --runtime-config-emulation-forward-compatible | |
如果为 true,则即使在仿真版本之后引入了在 --runtime-config 标志中由 group/version 标识的 API,也将安装它们。如果为 false,则如果在 --runtime-config 标志中启用的任何由 group/version 标识的 API 在仿真版本之后引入,服务器将无法启动。仅当仿真版本低于二进制版本时才能设置为 true。 | |
| --secure-port int 默认值: 6443 | |
用于提供带身份验证和授权的 HTTPS 的端口。不能通过设置为 0 来关闭。 | |
| --service-account-extend-token-expiration 默认值: true | |
在令牌生成期间开启投射型服务账号到期延长,这有助于从传统令牌安全地过渡到绑定服务账号令牌功能。如果启用此标志,准入注入的令牌将延长至多 1 年,以防止过渡期间发生意外故障,此时将忽略 service-account-max-token-expiration 的值。 | |
| --service-account-issuer strings | |
服务账号令牌发行者的标识符。发行者将在发出的令牌的“iss”声明中断言此标识符。此值为字符串或 URI。如果此选项根据 OpenID Discovery 1.0 规范不是有效的 URI,即使特性门控设置为 true,ServiceAccountIssuerDiscovery 特性仍将保持禁用状态。强烈建议此值符合 OpenID 规范:https://openid.net/specs/openid-connect-discovery-1_0.html。实际上,这意味着 service-account-issuer 必须是 https URL。还强烈建议此 URL 能够在 {service-account-issuer}/.well-known/openid-configuration 提供 OpenID 发现文档。当此标志被指定多次时,第一个用于生成令牌,所有指定的都用于确定哪些发行者被接受。 | |
| --service-account-jwks-uri string | |
覆盖在 /.well-known/openid-configuration 提供的发现文档中 JSON Web Key Set 的 URI。如果发现文档和密钥集通过 API 服务器的外部地址(自动检测或通过 external-hostname 覆盖)以外的 URL 提供给依赖方,此标志非常有用。 | |
| --service-account-key-file strings | |
包含 PEM 编码的 x509 RSA 或 ECDSA 私钥或公钥的文件,用于验证 ServiceAccount 令牌。指定的文件可以包含多个密钥,并且可以多次指定此标志以使用不同的文件。如果未指定,则使用 --tls-private-key-file。当提供了 --service-account-signing-key-file 时,必须指定此项 | |
| --service-account-lookup 默认值: true | |
如果为 true,则作为身份验证的一部分,验证 ServiceAccount 令牌是否存在于 etcd 中。 | |
| --service-account-max-token-expiration duration | |
服务账号令牌发行者创建的令牌的最大有效期。如果请求的 TokenRequest 的有效期大于此值,则将签发一个有效期为该值的令牌。 | |
| --service-account-signing-endpoint string | |
外部 JWT 签名器正在监听的 socket 路径。此标志与 --service-account-signing-key-file 和 --service-account-key-file 互斥。需要启用特性门控 (ExternalServiceAccountTokenSigner) | |
| --service-account-signing-key-file string | |
包含服务账号令牌发行者当前私钥的文件路径。发行者将使用此私钥对发出的 ID 令牌进行签名。 | |
| --service-cluster-ip-range string | |
用于分配服务集群 IP 的 CIDR 表示法 IP 范围。此范围不得与分配给节点或 Pod 的任何 IP 范围重叠。最多允许两个双栈 CIDR。 | |
| --service-node-port-range <'N1-N2' 形式的字符串> 默认值: 30000-32767 | |
为 NodePort 可见性服务保留的端口范围。此范围不得与节点上的临时端口范围重叠。示例:'30000-32767'。范围两端都包含在内。 | |
| --show-hidden-metrics-for-version string | |
您要显示隐藏指标的先前版本。只有先前的次要版本有意义,其他值将不被允许。格式为 <主版本>.<次要版本>,例如:'1.16'。此格式的目的是确保您有机会注意到下一个版本是否会隐藏其他指标,而不是在再下一个版本中永久移除时感到惊讶。 | |
| --shutdown-delay-duration duration | |
延迟终止的时间。在此期间,服务器会正常处理请求。/healthz 和 /livez 端点将返回成功,但 /readyz 会立即返回失败。优雅终止在此延迟时间过后开始。这可用于允许负载均衡器停止向此服务器发送流量。 | |
| --shutdown-send-retry-after | |
如果为 true,HTTP Server 将继续监听,直到所有非长时间运行的请求处理完毕,在此期间,所有传入请求将被拒绝,状态码为 429 并带有 'Retry-After' 响应头部,此外,还设置 'Connection: close' 响应头部,以便在空闲时拆除 TCP 连接。 | |
| --shutdown-watch-termination-grace-period duration | |
如果设置此选项,它表示 apiserver 在优雅服务器关机窗口期间等待活动 watch 请求处理完毕的最大宽限期。 | |
| --storage-backend string | |
用于持久化的存储后端。选项:'etcd3' (默认值)。 | |
| --storage-initialization-timeout duration 默认值: 1m0s | |
在声明 apiserver 已就绪之前,等待存储初始化的最大时间。默认为 1m。 | |
| --storage-media-type string 默认值: "application/vnd.kubernetes.protobuf" | |
用于在存储中存储对象的媒体类型。某些资源或存储后端可能仅支持特定媒体类型,并会忽略此设置。支持的媒体类型:[application/json, application/yaml, application/vnd.kubernetes.protobuf] | |
| --strict-transport-security-directives strings | |
HSTS 的指令列表,逗号分隔。如果此列表为空,则不添加 HSTS 指令。示例:'max-age=31536000,includeSubDomains,preload' | |
| --tls-cert-file string | |
包含用于 HTTPS 的默认 x509 证书的文件。(如有 CA 证书,则附加在服务器证书之后)。如果启用了 HTTPS 服务,并且未提供 --tls-cert-file 和 --tls-private-key-file,则会为公共地址生成自签名证书和密钥,并保存到 --cert-dir 指定的目录。 | |
| --tls-cipher-suites strings | |
服务器允许的密码套件的逗号分隔列表。如果省略,将使用默认的 Go 密码套件。 | |
| --tls-min-version string | |
支持的最低 TLS 版本。可能的值:VersionTLS10, VersionTLS11, VersionTLS12, VersionTLS13 | |
| --tls-private-key-file string | |
包含与 --tls-cert-file 匹配的默认 x509 私钥的文件。 | |
| --tls-sni-cert-key string | |
一对 x509 证书和私钥文件路径,可选地附加一个域名模式列表,这些模式是完全限定域名,可能带有前缀通配符段。域名模式也允许 IP 地址,但只有在 apiserver 可以看到客户端请求的 IP 地址时才应使用 IP。如果未提供域名模式,则提取证书的名称。非通配符匹配优先于通配符匹配,显式域名模式优先于提取的名称。对于多个密钥/证书对,请多次使用 --tls-sni-cert-key。示例:"example.crt,example.key" 或 "foo.crt,foo.key:*.foo.com,foo.com"。 | |
| --token-auth-file string | |
如果设置,该文件将通过令牌身份验证来保护 API 服务器的安全端口。 | |
| --tracing-config-file string | |
包含 apiserver 跟踪配置的文件。 | |
| -v, --v int | |
日志详细级别的数值 | |
| --version version[=true] | |
--version, --version=raw 打印版本信息并退出;--version=vX.Y.Z... 设置报告的版本 | |
| --vmodule pattern=N,... | |
以逗号分隔的 pattern=N 设置列表,用于文件过滤日志记录(仅适用于 text 日志格式) | |
| --watch-cache 默认值: true | |
在 apiserver 中启用 watch 缓存 | |
| --watch-cache-sizes strings | |
一些资源 (pods, nodes 等) 的 watch 缓存大小设置,逗号分隔。单个设置格式:resource[.group]#size,其中 resource 是小写的复数 (无版本),对于 apiVersion v1 (传统核心 API) 的资源省略 group,对于其他资源包含 group,size 是一个数字。此选项仅对内置于 apiserver 的资源有意义,对由 CRD 或从外部服务器聚合的资源无效,且仅在 watch-cache 启用时才会被考虑。此处唯一有意义的大小设置为零,表示禁用该资源的 watch 缓存;所有非零值都是等效的,表示不禁用该资源的 watch 缓存 | |
此页面是自动生成的。
如果您计划报告此页面的问题,请在您的问题描述中提及此页面是自动生成的。修复可能需要在 Kubernetes 项目中的其他地方进行。