kube-apiserver

Файл з конфігурацією контролю допуску.

IP-адреса, на якій буде публікуватися інформація про apiserver для членів кластеру. Ця адреса має бути доступною для решти учасників кластера. Якщо не вказано, буде використано --bind-address. Якщо --bind-address не вказано, буде використано стандартний інтерфейс хоста.

Агрегатор відхиляє перенаправлення відповіді редиректу назад клієнту.

Зіставляє метрику-мітку зі списком дозволених значень цієї мітки. Формат ключа — <MetricName>,<LabelName>. Формат значення — < allowed_value>, <allowed_value>...наприклад, metric1,label1='v1,v2,v3', metric1,label2='v1,v2,v3' metric2,label1='v1,v2,v3'.

Шлях до файлу маніфесту, який містить зіставлення allow-list. Формат файлу такий самий, як і у прапорця --allow-metric-labels. Зауважте, що прапорець --allow-metric-labels замінить файл маніфесту.

Якщо true, дозволити привілейовані контейнери. [default=false]

Дозволяє анонімні запити до захищеного порту сервера API. Запити, які не були відхилені іншими методами автентифікації, вважаються анонімними. Анонімні запити мають імʼя користувача system:anonymous і назву групи system:unauthenticated.

Ідентифікатори API. Автентифікатор токенів службового облікового запису перевіряє, що токени, які використовуються з API, привʼязані принаймні до однієї з цих аудиторій. Якщо прапорець --service-account-issuer налаштовано, а цей прапорець не встановлено, стандартно у цьому полі буде вказано список з одного елемента, що містить URL-адресу емітента.

Розмір буфера для зберігання подій перед пакетною передачею та записом. Використовується тільки у пакетному режимі.

Максимальний розмір пакету. Використовується тільки в пакетному режимі.

Час очікування перед примусовим записом пакету, який не досягнув максимального розміру. Використовується тільки в пакетному режимі.

Максимальна кількість запитів, надісланих одночасно, якщо ThrottleQPS не використовувався раніше. Використовується тільки в пакетному режимі.

Чи ввімкнено пакетний тротлінг. Використовується тільки в пакетному режимі.

Максимальна середня кількість партій в секунду. Використовується тільки в пакетному режимі.

Якщо встановлено, файли логів, що ротуються, буде стиснуто за допомогою gzip.

Формат збережених аудитів. "legacy" вказує на 1-рядковий текстовий формат для кожної події. "json" вказує на структурований формат json. Відомі формати: legacy, json.

Максимальна кількість днів для зберігання старих файлів логів аудиту на основі мітки часу, закодованої в їхньому імені.

Максимальна кількість старих файлів логів аудиту, які слід зберігати. Встановлення значення 0 означатиме відсутність обмежень на кількість файлів.

Максимальний розмір у мегабайтах файлу логу аудиту до того, як буде виконано його ротацію.

Стратегія надсилання подій аудиту. Блокування вказує на те, що надсилання подій має блокувати відповіді сервера. Пакетне виконання змушує бекенд буферизувати і записувати події асинхронно. Відомі такі режими: batch, blocking, blocking-strict.

Якщо встановлено, всі запити, що надходять до apiserver, будуть записуватися до цього файлу. '-' означає стандартний вивід.

Чи увімкнено усікання подій та пакетів.

Максимальний розмір пакету, що надсилається до відповідного бекенду. Фактичний розмір серіалізованого файлу може бути на кілька сотень байт більшим. Якщо пакет перевищує цей ліміт, він розбивається на кілька пакетів меншого розміру.

Максимальний розмір події аудиту, що надсилається до відповідного бекенду. Якщо розмір події перевищує це число, перший запит і відповідь видаляються, а якщо це не зменшує розмір достатньо, подія відкидається.

Група та версія API, що використовується для серіалізації подій аудиту, записаних до логу.

Шлях до файлу, який визначає конфігурацію політики аудиту.

Розмір буфера для зберігання подій перед пакетною передачею та записом. Використовується тільки у пакетному режимі.

Максимальний розмір пакету. Використовується тільки у пакетному режимі.

Час очікування перед примусовим записом пакету, який не досягнув максимального розміру. Використовується тільки у пакетному режимі.

Максимальна кількість запитів, надісланих одночасно, якщо ThrottleQPS не використовувався раніше. Використовується тільки у пакетному режимі.

Чи ввімкнено пакетний тротлінг. Використовується тільки у пакетному режимі.

Максимальна середня кількість пакетів за секунду. Використовується тільки у пакетному режимі.

Шлях до файлу у форматі kubeconfig, який визначає конфігурацію вебхука аудиту.

Час очікування перед повторною спробою після першого невдалого запиту.

Стратегія надсилання подій аудиту. Блокування вказує на те, що надсилання подій має блокувати відповіді сервера. Режим batch змушує бекенд буферизувати і записувати події асинхронно. Відомі такі режими: batch, blocking, blocking-strict.

Чи увімкнено усікання подій та пакетів.

Максимальний розмір пакету, що надсилається до відповідного бекенду. Фактичний розмір серіалізованого файлу може бути на кілька сотень байт більшим. Якщо пакет перевищує цей ліміт, він розбивається на кілька пакетів меншого розміру.

Максимальний розмір події аудиту, що надсилається до відповідного бекенду. Якщо розмір події перевищує це число, перший запит і відповідь видаляються, а якщо це не зменшує розмір достатньо, подія відкидається.

Група та версія API, що використовується для серіалізації подій аудиту, записаних у webhook.

Файл з конфігурацією автентифікації для налаштування автентифікатора JWT Token або анонімного автентифікатора. Примітка: Ця функція доступна у версії Alpha, починаючи з v1.29.--feature-gate=StructuredAuthenticationConfiguration=true, щоб увімкнути цю функцію.Ця функція є взаємовиключною з прапорцями oidc-*. Для налаштування анонімного автентифікатора вам потрібно ввімкнути --feature-gate=AnonymousAuthConfigurableEndpoints. Коли ви налаштовуєте анонімний автентифікатор у конфігурації автентифікації, ви не можете використовувати прапорець --anonymous-auth.

Тривалість кешування відповідей від автентифікатора токенів вебхуків.

Файл з конфігурацією вебхука для автентифікації токенів у форматі kubeconfig. Сервер API буде запитувати віддалений сервіс для визначення автентичності токенів на предʼявника.

Версія API authentication.k8s.io TokenReview для надсилання та очікування від вебхука.

Файл з конфігурацією авторизації для налаштування ланцюжка авторизації.Примітка: Ця можливість зʼявилася у версії Alpha починаючи з v1.29.--feature-gate=StructuredAuthorizationConfiguration=true прапорець функції має бути встановлений у true для увімкнення функціональності.Ця можливість є взаємовиключною з іншими прапорцями --authorization-mode та --authorization-webhook-*.

Впорядкований список втулків для авторизації на захищеному порту. Стандартно має значення AlwaysAllow, якщо не вказано --authorization-config. Список втулків, розділених комами: AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node.

Файл з політикою авторизації у форматі json, що використовується з --authorization-mode=ABAC, на захищеному порту.

Тривалість кешування 'authorized' відповідей від авторизатора вебхука.

Тривалість кешування 'unauthorized' відповідей від авторизатора вебхука.

Файл з конфігурацією webhook у форматі kubeconfig, що використовується з --authorization-mode=Webhook. Сервер API запитує віддалений сервіс для визначення доступу на захищеному порту сервера API.

Версія API authorization.k8s.io SubjectAccessReview, яку потрібно надсилати до вебхука та очікувати від нього.

IP-адреса, на якій буде прослуховуватися порт --secure-port. Відповідний інтерфейс(и) має бути доступним для решти кластера, а також для CLI/веб-клієнтів. Якщо цей параметр не вказано або вказано невизначену адресу (0.0.0.0 або ::), будуть використані всі інтерфейси та сімейства IP-адрес.

Тека, в якій знаходяться TLS-сертифікати. Якщо вказано --tls-cert-file та --tls-private-key-file, цей прапорець буде проігноровано.

Якщо встановлено, будь-який запит, що надає клієнтський сертифікат, підписаний одним із центрів сертифікації у клієнтському файлі, буде автентифіковано за допомогою ідентифікатора, що відповідає CommonName клієнтського сертифіката.

Дозволяє профілювання блоків, якщо профілювання увімкнено

Список дозволених джерел для CORS, через кому. Допустимим джерелом може бути регулярний вираз для підтримки співставлення субдоменів. Якщо цей список порожній, CORS не буде ввімкнено. Будь ласка, переконайтеся, що кожен вираз співпадає з повним імʼям хоста шляхом привʼязки до початку за допомогою '^' або включення префікса '//', а також шляхом привʼязки до кінця за допомогою '$' або включення суфікса-розділювача портів ':'. Прикладами допустимих виразів є '//example.com(:|$)' і '^https://example.com(:|$)'

Використовуйте незахищений (без authn/authz) unix-доменний сокет для профілювання за вказаним шляхом

Вказує толерантність у секундах для notReady:NoExecute, яка стандартно додається до кожного Podʼа, який ще не має такої толерантності.

Показує tolerationSeconds толерантності для unreachable:NoExecute, яка стандартно додається до кожного Podʼа, який ще не має такої толерантності.

Кількість обробників, створених для виклику DeleteCollection. Вони використовуються для прискорення очищення простору імен.

Втулки допуску, які слід вимкнути, хоча вони є у списку стандартно ввімкнутих втулків (NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, CertificateApproval, CertificateSigning, ClusterTrustBundleAttest, CertificateSubjectRestriction, DefaultIngressClass, MutatingAdmissionWebhook, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook, ResourceQuota). Список втулків допуску розділених комою: AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook. Порядок розташування втулків у цьому прапорці не має значення.

Якщо значення true, HTTP2-сервіс буде вимкнено [default=false].

Цей прапорець забезпечує аварійний вихід для метрик, що поводяться не належним чином. Щоб вимкнути метрику, ви маєте вказати її повну назву. Застереження: вимкнення метрик має вищий пріоритет, ніж показ прихованих метрик.

Файл з конфігурацією селектора egress apiserver.

У версіях різні компоненти емулюють свої можливості (API, функції, ...) інших компонентів.
Якщо встановлено, компонент буде емулювати поведінку цієї версії замість базової двійкової версії.
Формат версії може бути лише major.minor, наприклад: '--emulated-version=wardle=1.2,kube=1.31'. Можливі варіанти:
kube=1.31..1.31 (default=1.31) Якщо компонент не вказано, стандартно використовується "kube"

Втулки допуску, які слід увімкнути на додачу до стандартно увімкнутих (NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, CertificateApproval, CertificateSigning, ClusterTrustBundleAttest, CertificateSubjectRestriction, DefaultIngressClass, MutatingAdmissionWebhook, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook, ResourceQuota). Розділений комами список втулків допуску: AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook. Порядок розташування втулків у цьому прапорці не має значення.

Вмикає маршрутизацію запитів агрегатора на IP точок доступу, а не на IP кластера.

Увімкніть, щоб дозволити використовувати секрети типу 'bootstrap.kubernetes.io/token' у просторі імен 'kube-system' для автентифікації за допомогою TLS-завантаження.

Вмикає загальний збирач сміття. МАЄ бути синхронізовано з відповідним прапорцем kube-controller-manager.

Якщо true, замініть обробник max-in-flight на покращений обробник, який ставить в чергу та розподіляє відправлення з пріоритетом та справедливістю

Файл, що містить конфігурацію для провайдерів шифрування, які будуть використовуватися для зберігання секретів у etcd

Визначає, чи слід автоматично перезавантажувати файл, заданий за допомогою --encryption-provider-config, у разі зміни вмісту диска. Встановлення цього параметра у значення true вимикає можливість унікальної ідентифікації окремих втулків KMS за допомогою точок доступу API сервера healthz.

Використовувати узгоджувач точок доступу (master-count, lease, none) master-count є застарілим і буде вилучений у наступній версії.

Файл центру сертифікації SSL, який використовується для захисту звʼязку etcd.

Файл SSL-сертифікату, який використовується для захисту звʼязку etcd.

Інтервал запитів на ущільнення. Якщо 0, то запит на ущільнення від apiserver вимкнено.

Частота опитування etcd для кількості ресурсів за типом. 0 вимикає збір метрик.

Інтервал запитів на опитування etcd та оновлення метрики. 0 вимикає збір метрики

Тайм-аут для перевірки стану etcd.

Файл ключа SSL, який використовується для захисту комунікації etcd.

Префікс для додавання до всіх шляхів до ресурсів у etcd.

Тайм-аут для перевірки готовності etcd

Список etcd серверів для зʼєднання (scheme://ip: port), через кому.

Окремі перевизначення серверів etcd для кожного ресурсу, через кому. Формат перевизначення: група/ресурс#сервери, де сервери — це URL-адреси, розділені крапкою з комою. Зауважте, що це стосується лише ресурсів, скомпільованих у цей двійковий файл сервера.

Кількість часу для збереження подій.

Імʼя хоста, яке використовуватиметься під час генерації зовнішніх URL-адрес для цього master (наприклад, Swagger API Docs або OpenID Discovery).

Розділений комами список пар component:key=value, які описують функціональні можливості для альфа/експериментальних можливостей різних компонентів.
Якщо компонент не вказано, стандартно використовується "kube". Цей прапорець можна викликати багаторазово. Наприклад: --feature-gates 'wardle:featureA=true,wardle:featureB=false' --feature-gates 'kube:featureC=true'. Можливі варіанти:
kube:APIResponseCompression=true|false (BETA — default=true)
kube:APIServerIdentity=true|false (BETA — default=true)
kube:APIServerTracing=true|false (BETA — default=true)
kube:APIServingWithRoutine=true|false (ALPHA — default=false)
kube:AllAlpha=true|false (ALPHA — default=false)
kube:AllBeta=true|false (BETA — default=false)
kube:AnonymousAuthConfigurableEndpoints=true|false (ALPHA — default=false)
kube:AnyVolumeDataSource=true|false (BETA — default=true)
kube:AuthorizeNodeWithSelectors=true|false (ALPHA — default=false)
kube:AuthorizeWithSelectors=true|false (ALPHA — default=false)
kube:CPUManagerPolicyAlphaOptions=true|false (ALPHA — default=false)
kube:CPUManagerPolicyBetaOptions=true|false (BETA — default=true)
kube:CPUManagerPolicyOptions=true|false (BETA — default=true)
kube:CRDValidationRatcheting=true|false (BETA — default=true)
kube:CSIMigrationPortworx=true|false (BETA — default=true)
kube:CSIVolumeHealth=true|false (ALPHA — default=false)
kube:CloudControllerManagerWebhook=true|false (ALPHA — default=false)
kube:ClusterTrustBundle=true|false (ALPHA — default=false)
kube:ClusterTrustBundleProjection=true|false (ALPHA — default=false)
kube:ComponentSLIs=true|false (BETA — default=true)
kube:ConcurrentWatchObjectDecode=true|false (BETA — default=false)
kube:ConsistentListFromCache=true|false (BETA — default=true)
kube:ContainerCheckpoint=true|false (BETA — default=true)
kube:ContextualLogging=true|false (BETA — default=true)
kube:CoordinatedLeaderElection=true|false (ALPHA — default=false)
kube:CronJobsScheduledAnnotation=true|false (BETA — default=true)
kube:CrossNamespaceVolumeDataSource=true|false (ALPHA — default=false)
kube:CustomCPUCFSQuotaPeriod=true|false (ALPHA — default=false)
kube:CustomResourceFieldSelectors=true|false (BETA — default=true)
kube:DRAControlPlaneController=true|false (ALPHA — default=false)
kube:DisableAllocatorDualWrite=true|false (ALPHA — default=false)
kube:DisableNodeKubeProxyVersion=true|false (BETA — default=true)
kube:DynamicResourceAllocation=true|false (ALPHA — default=false)
kube:EventedPLEG=true|false (ALPHA — default=false)
kube:GracefulNodeShutdown=true|false (BETA — default=true)
kube:GracefulNodeShutdownBasedOnPodPriority=true|false (BETA — default=true)
kube:HPAScaleToZero=true|false (ALPHA — default=false)
kube:HonorPVReclaimPolicy=true|false (BETA — default=true)
kube:ImageMaximumGCAge=true|false (BETA — default=true)
kube:ImageVolume=true|false (ALPHA — default=false)
kube:InPlacePodVerticalScaling=true|false (ALPHA — default=false)
kube:InTreePluginPortworxUnregister=true|false (ALPHA — default=false)
kube:InformerResourceVersion=true|false (ALPHA — default=false)
kube:JobBackoffLimitPerIndex=true|false (BETA — default=true)
kube:JobManagedBy=true|false (ALPHA — default=false)
kube:JobPodReplacementPolicy=true|false (BETA — default=true)
kube:JobSuccessPolicy=true|false (BETA — default=true)
kube:KubeletCgroupDriverFromCRI=true|false (BETA — default=true)
kube:KubeletInUserNamespace=true|false (ALPHA — default=false)
kube:KubeletPodResourcesDynamicResources=true|false (ALPHA — default=false)
kube:KubeletPodResourcesGet=true|false (ALPHA — default=false)
kube:KubeletSeparateDiskGC=true|false (BETA — default=true)
kube:KubeletTracing=true|false (BETA — default=true)
kube:LoadBalancerIPMode=true|false (BETA — default=true)
kube:LocalStorageCapacityIsolationFSQuotaMonitoring=true|false (BETA — default=false)
kube:LoggingAlphaOptions=true|false (ALPHA — default=false)
kube:LoggingBetaOptions=true|false (BETA — default=true)
kube:MatchLabelKeysInPodAffinity=true|false (BETA — default=true)
kube:MatchLabelKeysInPodTopologySpread=true|false (BETA — default=true)
kube:MaxUnavailableStatefulSet=true|false (ALPHA — default=false)
kube:MemoryManager=true|false (BETA — default=true)
kube:MemoryQoS=true|false (ALPHA — default=false)
kube:MultiCIDRServiceAllocator=true|false (BETA — default=false)
kube:MutatingAdmissionPolicy=true|false (ALPHA — default=false)
kube:NFTablesProxyMode=true|false (BETA — default=true)
kube:NodeInclusionPolicyInPodTopologySpread=true|false (BETA — default=true)
kube:NodeLogQuery=true|false (BETA — default=false)
kube:NodeSwap=true|false (BETA — default=true)
kube:OpenAPIEnums=true|false (BETA — default=true)
kube:PodAndContainerStatsFromCRI=true|false (ALPHA — default=false)
kube:PodDeletionCost=true|false (BETA — default=true)
kube:PodIndexLabel=true|false (BETA — default=true)
kube:PodLifecycleSleepAction=true|false (BETA — default=true)
kube:PodReadyToStartContainersCondition=true|false (BETA — default=true)
kube:PortForwardWebsockets=true|false (BETA — default=true)
kube:ProcMountType=true|false (BETA — default=false)
kube:QOSReserved=true|false (ALPHA — default=false)
kube:RecoverVolumeExpansionFailure=true|false (ALPHA — default=false)
kube:RecursiveReadOnlyMounts=true|false (BETA — default=true)
kube:RelaxedEnvironmentVariableValidation=true|false (ALPHA — default=false)
kube:ReloadKubeletServerCertificateFile=true|false (BETA — default=true)
kube:ResilientWatchCacheInitialization=true|false (BETA — default=true)
kube:ResourceHealthStatus=true|false (ALPHA — default=false)
kube:RetryGenerateName=true|false (BETA — default=true)
kube:RotateKubeletServerCertificate=true|false (BETA — default=true)
kube:RuntimeClassInImageCriApi=true|false (ALPHA — default=false)
kube:SELinuxMount=true|false (ALPHA — default=false)
kube:SELinuxMountReadWriteOncePod=true|false (BETA — default=true)
kube:SchedulerQueueingHints=true|false (BETA — default=false)
kube:SeparateCacheWatchRPC=true|false (BETA — default=true)
kube:SeparateTaintEvictionController=true|false (BETA — default=true)
kube:ServiceAccountTokenJTI=true|false (BETA — default=true)
kube:ServiceAccountTokenNodeBinding=true|false (BETA — default=true)
kube:ServiceAccountTokenNodeBindingValidation=true|false (BETA — default=true)
kube:ServiceAccountTokenPodNodeInfo=true|false (BETA — default=true)
kube:ServiceTrafficDistribution=true|false (BETA — default=true)
kube:SidecarContainers=true|false (BETA — default=true)
kube:SizeMemoryBackedVolumes=true|false (BETA — default=true)
kube:StatefulSetAutoDeletePVC=true|false (BETA — default=true)
kube:StorageNamespaceIndex=true|false (BETA — default=true)
kube:StorageVersionAPI=true|false (ALPHA — default=false)
kube:StorageVersionHash=true|false (BETA — default=true)
kube:StorageVersionMigrator=true|false (ALPHA — default=false)
kube:StrictCostEnforcementForVAP=true|false (BETA — default=false)
kube:StrictCostEnforcementForWebhooks=true|false (BETA — default=false)
kube:StructuredAuthenticationConfiguration=true|false (BETA — default=true)
kube:StructuredAuthorizationConfiguration=true|false (BETA — default=true)
kube:SupplementalGroupsPolicy=true|false (ALPHA — default=false)
kube:TopologyAwareHints=true|false (BETA — default=true)
kube:TopologyManagerPolicyAlphaOptions=true|false (ALPHA — default=false)
kube:TopologyManagerPolicyBetaOptions=true|false (BETA — default=true)
kube:TopologyManagerPolicyOptions=true|false (BETA — default=true)
kube:TranslateStreamCloseWebsocketRequests=true|false (BETA — default=true)
kube:UnauthenticatedHTTP2DOSMitigation=true|false (BETA — default=true)
kube:UnknownVersionInteroperabilityProxy=true|false (ALPHA — default=false)
kube:UserNamespacesPodSecurityStandards=true|false (ALPHA — default=false)
kube:UserNamespacesSupport=true|false (BETA — default=false)
kube:VolumeAttributesClass=true|false (BETA — default=false)
kube:VolumeCapacityPriority=true|false (ALPHA — default=false)
kube:WatchCacheInitializationPostStartHook=true|false (BETA — default=false)
kube:WatchFromStorageWithoutResourceVersion=true|false (BETA — default=false)
kube:WatchList=true|false (ALPHA — default=false)
kube:WatchListClient=true|false (BETA — default=false)
kube:WinDSR=true|false (ALPHA — default=false)
kube:WinOverlay=true|false (BETA — default=true)
kube:WindowsHostNetwork=true|false (ALPHA — default=true)

Щоб запобігти застряганню HTTP/2-клієнтів на одному apiserver, випадково закрийте зʼєднання (GOAWAY). Інші запити клієнта не будуть зачеплені, і клієнт відновить зʼєднання, ймовірно, потрапивши на інший apiserver після того, як знову пройде через балансувальник навантаження. Цей аргумент задає частку запитів, які будуть відправлені GOAWAY. Кластери з одним apiserver або ті, що не використовують балансувальник навантаження, НЕ повинні вмикати цей параметр. Мінімальне значення — 0 (вимкнено), максимальне — 0.02 (1/50 запитів); 0.001 (1/1000) є рекомендованим початковим значенням.

Довідка kube-apiserver

Обмеження, яке сервер надає клієнтам на максимальну кількість потоків у зʼєднанні HTTP/2. Нуль означає використання стандартного значення golang.

Шлях до файлу сертифіката центру сертифікації.

Шлях до файлу клієнтського сертифіката для TLS.

Шлях до файлу клієнтського ключа для TLS.

Список бажаних типів NodeAddressTypes для зʼєднань kubelet.

Таймаут для операцій kubelet.

Якщо значення відмінне від нуля, майстер-сервіс Kubernetes (який створює/підтримує apiserver) матиме тип NodePort, використовуючи його як значення порту. Якщо нульове значення, майстер-сервіс Kubernetes матиме тип ClusterIP.

Час у секундах, протягом якого кожна оренда використовується повторно. Менше значення допоможе уникнути повторного використання однієї і тієї ж оренди великою кількістю обʼєктів. Зауважте, що занадто мале значення може спричинити проблеми з продуктивністю на рівні сховища.

Цей параметр вказує максимальний час, за який apiserver має завершити свою послідовність запуску і стати активним. З моменту запуску apiserver і до закінчення цього часу /livez вважатиме, що незавершені після запуску хуки будуть успішно завершені, а отже, повертатиме значення true.

Максимальна кількість секунд між очищеннями логів

[Alpha] У текстовому форматі з розділеними потоками виводу інформаційні повідомлення можуть буферизуватися на деякий час для підвищення продуктивності. Стандартне значення, рівне нулю байт, вимикає буферизацію. Розмір можна вказати як кількість байт (512), кратну 1000 (1K), кратну 1024 (2Ki) або степінь (3M, 4G, 5Mi, 6Gi). Увімкніть функцію LoggingAlphaOptions, щоб скористатися цією можливістю.

[Alpha] У текстовому форматі записувати повідомлення про помилки до stderr та інформаційні повідомлення до stdout. Стандартно до stdout записується один потік. Увімкніть функцію LoggingAlphaOptions, щоб скористатися цією можливістю.

Задає формат логу. Дозволені формати: "text".

Якщо ненульове, обмежити кожне зʼєднання користувача до цієї кількості байт/сек. Наразі застосовується лише до довготривалих запитів.

Цей та --max-requests-inflight підсумовуються для визначення загального ліміту паралелізму сервера (який має бути додатнім), якщо --enable-priority-and-fairness має значення true. В іншому випадку цей прапорець обмежує максимальну кількість запитів, що змінюються у процесі виконання, або нульове значення повністю вимикає обмеження.

Це значення та --max-mutating-requests-inflight підсумовуються для визначення загального ліміту паралелізму сервера (який має бути додатнім), якщо --enable-priority-and-fairness має значення true. В іншому випадку цей прапорець обмежує максимальну кількість запитів, що не змінюються у процесі виконання, або нульове значення повністю вимикає ліміт.

Необовʼязкове поле, що вказує мінімальну кількість секунд, протягом яких обробник повинен тримати запит відкритим, перш ніж завершити його виконання. Наразі виконується лише обробником запитів watch, який обирає випадкове значення вище цього числа як таймаут зʼєднання, щоб розподілити навантаження.

Якщо встановлено, сертифікат сервера OpenID буде перевірено одним з центрів сертифікації в oidc-ca-файлі, інакше буде використано кореневий центр сертифікації хоста.

Ідентифікатор клієнта для клієнта OpenID Connect повинен бути встановлений, якщо встановлено oidc-issuer-url.

Якщо вказано, імʼя власного запиту OpenID Connect для вказівки груп користувачів. Очікується, що значенням параметра буде рядок або масив рядків. Цей прапорець є експериментальним, будь ласка, зверніться до документації з автентифікації для отримання більш детальної інформації.

Якщо вказано, до всіх груп буде додано цей префікс, щоб запобігти конфліктам з іншими стратегіями автентифікації.

URL-адреса емітента OpenID, приймається тільки схема HTTPS. Якщо встановлено, він буде використаний для перевірки OIDC JSON Web Token (JWT).

Пара key=value, яка описує необхідний реквізит в ідентифікаторі. Якщо встановлено, перевіряється, що реквізит присутній в ідентифікаторі з відповідним значенням. Повторіть цей прапорець, щоб вказати декілька реквізитів.

Список дозволених алгоритмів асиметричного підпису JOSE через кому. JWT з підтримуваними значеннями заголовка 'alg': RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512. Значення визначені в RFC 7518 https://tools.ietf.org/html/rfc7518#section-3.1.

Запит OpenID для використання в якості імені користувача. Зауважте, що не гарантується унікальність та незмінність запитів, відмінних від стандартного ('sub'). Цей прапорець є експериментальним, будь ласка, зверніться до документації з автентифікації для отримання більш детальної інформації.

Якщо вказано, всі імена користувачів будуть доповнені цим значенням. Якщо не вказано, до імен користувачів, відмінних від "email", буде додано префікс URL-адреси емітента, щоб уникнути зіткнень. Щоб пропустити будь-яку префіксацію, вкажіть значення '-'.

Якщо встановлено і ввімкнено функцію UnknownVersionInteroperabilityProxy, цей IP буде використовуватися одноранговими kube-apiserverʼами для проксі-запитів до цього kube-apiserverʼа, коли запит не може бути оброблений одноранговим через невідповідність версій між kube-apiserʼами. Цей прапорець використовується лише у кластерах, сконфігурованих з декількома kube-apiserverʼами для забезпечення високої доступності.

Якщо цей прапорець встановлено і ввімкнено функцію UnknownVersionInteroperabilityProxy, цей порт використовуватиметься одноранговими kube-apiserver'ами для проксі-запитів до цього kube-apiserver'а, коли запит не може бути оброблений одноранговим через невідповідність версій між kube-apiserver'ами. Цей прапорець використовується лише у кластерах, сконфігурованих з декількома kube-apiserver'ами для забезпечення високої доступності.

Якщо встановлено і ввімкнено функцію UnknownVersionInteroperabilityProxy, цей файл буде використано для перевірки сертифікатів обслуговування однорангових kube-apiserver серверів. Цей прапорець використовується лише у кластерах, сконфігурованих з декількома kube-apiserver'ами для забезпечення високої доступності.

Якщо це значення дорівнює true, SO_REUSEADDR буде використано при привʼязці порту. Це дозволяє паралельно привʼязуватись до підстановочних IP-адрес, таких як 0.0.0.0, і до конкретних IP-адрес, а також дозволяє уникнути очікування ядром звільнення сокетів у стані TIME_WAIT. [default=false]

Якщо значення true, SO_REUSEPORT буде використано при привʼязці порту, що дозволяє більш ніж одному екземпляру привʼязуватися до однієї адреси та порту. [default=false]

Увімкніть профілювання через веб-інтерфейс host:port/debug/pprof/

Клієнтський сертифікат, що використовується для підтвердження особи агрегатора або kube-apiserver, коли необхідно здійснити виклик під час запиту. Це включає проксирування запитів до користувацького API-сервера та виклики до втулків допуску webhook. Очікується, що цей сертифікат містить підпис від CA, вказаного у прапорі --requestheader-client-ca-file. Цей CA публікується в configmap 'extension-apiserver-authentication' у просторі імен kube-system. Компоненти, що отримують виклики від kube-aggregator, повинні використовувати цей CA для виконання своєї частини взаємної TLS перевірки.

Приватний ключ для клієнтського сертифіката, що використовується для підтвердження особи агрегатора або kube-apiserver, коли необхідно здійснити виклик під час запиту. Це включає проксирування запитів до користувацького API-сервера та виклики до втулків допуску webhook.

Необовʼязкове поле, що вказує на тривалість, протягом якої обробник повинен тримати запит відкритим, перш ніж завершити його виконання. Це стандартний таймаут для запитів, але його можна перевизначити за допомогою прапорців, таких як --min-request-timeout для певних типів запитів.

Список загальних імен клієнтських сертифікатів, щоб дозволити вказувати імена користувачів у заголовках, визначених параметром --requestheader-username-headers. Якщо він порожній, можна використовувати будь-який сертифікат клієнта, підтверджений центрами сертифікації у файлі --requestheader-client-ca-file.

Пакет кореневих сертифікатів для перевірки клієнтських сертифікатів на вхідних запитах перед тим, як довіряти імена користувачів у заголовках, визначених параметром --requestheader-username-headers. ПОПЕРЕДЖЕННЯ: зазвичай не залежить від авторизації, яку вже виконано для вхідних запитів.

Список префіксів заголовків запитів для перевірки. Запропоновано X-Remote-Extra-.

Список заголовків запитів для перевірки на наявність груп. Пропонується X-Remote-Group.

Список заголовків запитів для перевірки на наявність імен користувачів. X-Remote-User є поширеним.

Набір пар key=value, які вмикають або вимикають вбудовані API. Підтримувані параметри:
v1=true|false для основної групи API
<group>/<version>=true|false для певної групи API та версії (наприклад, apps/v1=true)
api/all=true|false контролює всі версії API
api/ga=true|false контролює всі версії API у формі v[0-9]+
api/beta=true| false контролює всі версії API форми v[0-9]+beta[0-9]+
api/alpha=true|false контролює всі версії API форми v[0-9]+alpha[0 -9]+
api/legacy застаріло та буде видалено в наступній версії

Порт, на якому буде обслуговуватися HTTPS з автентифікацією та авторизацією. Його не можна вимкнути за допомогою 0.

Вмикає прогнозоване продовження терміну дії облікового запису під час генерації токенів, що допомагає безпечному переходу від застарілих токенів до привʼязаних токенів облікових записів. Якщо цей прапорець увімкнено, термін дії токенів, що вводяться, буде подовжено до 1 року, щоб запобігти несподіваним збоям під час переходу, ігноруючи значення параметра service-account-max-token-expiration.

Ідентифікатор емітента токенів службового облікового запису. Емітент вказуватиме цей ідентифікатор у запиті "iss" на видачу випущених токенів. Це значення є рядком або URI. Якщо цей параметр не є дійсним URI згідно зі специфікацією OpenID Discovery 1.0, функція ServiceAccountIssuerDiscovery залишиться вимкненою, навіть якщо для функції gate буде встановлено значення true. Наполегливо рекомендується, щоб це значення відповідало специфікації OpenID: https://openid.net/specs/openid-connect-discovery-1_0.html. На практиці це означає, що service-account-issuer має бути URL-адресою https. Також наполегливо рекомендується, щоб ця URL-адреса могла обслуговувати документи виявлення OpenID за адресою {service-account-issuer}/.well-known/openid-configuration. Якщо цей прапорець вказано декілька разів, перший раз використовується для генерації токенів, а всі інші - для визначення прийнятних емітентів.

Перевизначає URI для набору веб-ключів JSON у документі виявлення, що надсилається за адресою /.well-known/openid-configuration. Цей прапорець корисний, якщо документ виявлення та набір ключів надаються сторонам, що довіряють, за URL-адресою, відмінною від зовнішньої URL-адреси сервера API (автоматично визначеною або перевизначеною за допомогою external-hostname).

File containing PEM-encoded x509 RSA or ECDSA private or public keys, used to verify ServiceAccount tokens. The specified file can contain multiple keys, and the flag can be specified multiple times with different files. If unspecified, --tls-private-key-file is used. Must be specified when --service-account-signing-key-file is provided

Якщо true, підтвердити наявність токенів ServiceAccount в etcd як частину автентифікації.

Максимальний термін дії токена, створеного емітентом токенів службового облікового запису. Якщо запитується дійсний TokenRequest з тривалістю дії, що перевищує це значення, буде випущено токен з тривалістю дії, що дорівнює цьому значенню.

Шлях до файлу, який містить поточний приватний ключ емітента токенів службового облікового запису. Цим приватним ключем емітент підписуватиме видані токени ідентифікаторів.

Діапазон IP-адрес у нотації CIDR, з якого призначаються сервісні кластерні IP-адреси. Він не повинен перетинатися з будь-якими діапазонами IP, призначеними вузлам або Podʼами. Максимальний допустимий діапазон — два двостекових CIDR.

Діапазон портів для резервування для сервісів з видимістю NodePort. Він не повинен перетинатися з ефемерним діапазоном портів на вузлах. Приклад: '30000-32767'. Включно з обох кінців діапазону.

Попередня версія, для якої ви хочете показати приховані метрики. Значення має лише попередня мінорна версія, інші значення не будуть дозволені. Формат: <major>.<minor>, наприклад: '1.16'. Мета цього формату - переконатися, що ви маєте можливість помітити, що наступний реліз приховує додаткові метрики, замість того, щоб дивуватися, коли вони будуть назавжди вилучені в наступному релізі.

Час затримки завершення роботи. Протягом цього часу сервер продовжує обслуговувати запити у звичайному режимі. Точки доступу /healthz і /livez повертатимуть успішне завершення, але /readyz одразу ж поверне помилку. Належне завершення роботи почнється після закінчення цієї затримки. Це може бути використано для того, щоб дозволити балансувальнику навантаження припинити надсилання трафіку на цей сервер.

Якщо значення true, HTTP-сервер продовжуватиме прослуховування доти, доки всі недовготривалі запити у процесі виконання не будуть вичерпані, під час цього вікна всі вхідні запити будуть відхилені з кодом статусу 429 та заголовком відповіді "Retry-After", крім того, встановлюється заголовок відповіді "Connection: close" для того, щоб розірвати TCP-зʼєднання, коли воно не виконується.

Цей параметр, якщо його встановлено, вказує на максимальну тривалість пільгового періоду, протягом якого apiserver буде чекати, поки активні запити watch не вичерпаються під час вікна належного вимкнення сервера.

Бекенд сховища для збереження даних. Параметри: 'etcd3' (стандартно).

Максимальний час очікування ініціалізації сховища перед оголошенням готовності apiserver. Стандартно — 1m.

Тип носія для зберігання обʼєктів у сховищі. Деякі ресурси або бекенди сховища можуть підтримувати лише певний тип носія і ігноруватимуть цей параметр. Підтримувані медіа-типи: [application/json, application/yaml, application/vnd.kubernetes.protobuf].

Список директив для HSTS через кому. Якщо цей список порожній, то директиви HSTS не будуть додані. Приклад: 'max-age=31536000,includeSubDomains,preload'

Файл, що містить стандартний сертифікат x509 для HTTPS. (Сертифікат центру сертифікації, якщо такий є, додається після сертифіката сервера). Якщо HTTPS-сервіс увімкнено, а --tls-cert-file і --tls-private-key-file не вказано, для публічної адреси буде згенеровано самопідписаний сертифікат і ключ, які буде збережено в теці, вказаній в --cert-dir.

Розділений комами список наборів шифрів для сервера. Якщо не вказано, буде використано стандартний набір шифрів Go.
Значення, яким надається перевага: TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256.
Небезпечні значення: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_RC4_128_SHA.

Мінімальна підтримувана версія TLS. Можливі значення: VersionTLS10, VersionTLS11, VersionTLS12, VersionTLS13

Файл, що містить стандартний приватний ключ x509, який відповідає --tls-cert-file.

Пара шляхів до файлів сертифіката x509 і приватного ключа, до яких за бажанням додається список доменних шаблонів, які є повними доменними іменами, можливо, з префіксальними підстановчими сегментами. Доменні шаблони також дозволяють використовувати IP-адреси, але IP-адреси слід використовувати лише в тому випадку, якщо apiserver має доступ до IP-адреси, запитуваної клієнтом. Якщо шаблони домену не надано, витягуються імена сертифікатів. Збіги без підстановочних знаків мають перевагу над збігами з підстановочними знаками, а явні шаблони доменів мають перевагу над отриманими іменами. Для кількох пар ключ/сертифікат використовуйте --tls-sni-cert-key кілька разів. Приклади: "example.crt,example.key" або "foo.crt,foo.key:*.foo.com,foo.com".

Якщо встановлено, файл, який буде використано для захисту захищеного порту сервера API за допомогою автентифікації за допомогою токенів.

Файл з конфігурацією трасування apiserver.

число рівня деталізації логу

--version, --version=raw виводить інформацію про версію та виходить; --version=vX.Y.Z... встановлює вказану версію

список параметрів pattern=N, розділених комами, для файлового фільтрування логу (працює лише для текстового формату логу).

Увімкніть кешування watch в apiserver

Налаштування розміру кешу для деяких ресурсів (pods, nodes і т.д.), через кому. Формат індивідуальних налаштувань: resource[.group]#size, де resource — малі літери множини (без версії), group пропущено для ресурсів apiVersion v1 (застаріле ядро API) і включено для інших, а size — число. Цей параметр має значення лише для ресурсів, вбудованих у apiserver, а не для ресурсів, визначених CRD або зібраних із зовнішніх серверів, і використовується лише у випадку, якщо увімкнено watch-cache. Єдиним допустимим значенням розміру є нуль, що означає вимкнення кешування watch для відповідного ресурсу; усі ненульові значення є еквівалентними і означають, що кешування для цього ресурсу не вимкнено.