kube-apiserver
Огляд
Сервер API Kubernetes перевіряє та налаштовує дані для обʼєктів api, які включають Podʼи, сервіси, replicationcontrollers та інші. API Server обслуговує REST-операції та забезпечує інтерфейс до спільного стану кластера, через який взаємодіють всі інші компоненти.
kube-apiserver [flags]
Параметри
--admission-control-config-file string | |
Файл з конфігурацією контролю допуску. | |
--advertise-address string | |
IP-адреса, на якій буде публікуватися інформація про apiserver для членів кластеру. Ця адреса має бути доступною для решти учасників кластера. Якщо не вказано, буде використано --bind-address. Якщо --bind-address не вказано, буде використано стандартний інтерфейс хоста. | |
--aggregator-reject-forwarding-redirect Типово: true | |
Агрегатор відхиляє перенаправлення відповіді редиректу назад клієнту. | |
--allow-metric-labels stringToString Типово: [] | |
Зіставляє метрику-мітку зі списком дозволених значень цієї мітки. Формат ключа — <MetricName>,<LabelName>. Формат значення — < allowed_value>, <allowed_value>...наприклад, metric1,label1='v1,v2,v3', metric1,label2='v1,v2,v3' metric2,label1='v1,v2,v3'. | |
--allow-metric-labels-manifest string | |
Шлях до файлу маніфесту, який містить зіставлення allow-list. Формат файлу такий самий, як і у прапорця --allow-metric-labels. Зауважте, що прапорець --allow-metric-labels замінить файл маніфесту. | |
--allow-privileged | |
Якщо true, дозволити привілейовані контейнери. [default=false] | |
--anonymous-auth Типово: true | |
Дозволяє анонімні запити до захищеного порту сервера API. Запити, які не були відхилені іншими методами автентифікації, вважаються анонімними. Анонімні запити мають імʼя користувача system:anonymous і назву групи system:unauthenticated. | |
--api-audiences strings | |
Ідентифікатори API. Автентифікатор токенів службового облікового запису перевіряє, що токени, які використовуються з API, привʼязані принаймні до однієї з цих аудиторій. Якщо прапорець --service-account-issuer налаштовано, а цей прапорець не встановлено, стандартно у цьому полі буде вказано список з одного елемента, що містить URL-адресу емітента. | |
--audit-log-batch-buffer-size int Типово: 10000 | |
Розмір буфера для зберігання подій перед пакетною передачею та записом. Використовується тільки у пакетному режимі. | |
--audit-log-batch-max-size int Типово: 1 | |
Максимальний розмір пакету. Використовується тільки в пакетному режимі. | |
--audit-log-batch-max-wait duration | |
Час очікування перед примусовим записом пакету, який не досягнув максимального розміру. Використовується тільки в пакетному режимі. | |
--audit-log-batch-throttle-burst int | |
Максимальна кількість запитів, надісланих одночасно, якщо ThrottleQPS не використовувався раніше. Використовується тільки в пакетному режимі. | |
--audit-log-batch-throttle-enable | |
Чи ввімкнено пакетний тротлінг. Використовується тільки в пакетному режимі. | |
--audit-log-batch-throttle-qps float | |
Максимальна середня кількість партій в секунду. Використовується тільки в пакетному режимі. | |
--audit-log-compress | |
Якщо встановлено, файли логів, що ротуються, буде стиснуто за допомогою gzip. | |
--audit-log-format string Типово: "json" | |
Формат збережених аудитів. "legacy" вказує на 1-рядковий текстовий формат для кожної події. "json" вказує на структурований формат json. Відомі формати: legacy, json. | |
--audit-log-maxage int | |
Максимальна кількість днів для зберігання старих файлів логів аудиту на основі мітки часу, закодованої в їхньому імені. | |
--audit-log-maxbackup int | |
Максимальна кількість старих файлів логів аудиту, які слід зберігати. Встановлення значення 0 означатиме відсутність обмежень на кількість файлів. | |
--audit-log-maxsize int | |
Максимальний розмір у мегабайтах файлу логу аудиту до того, як буде виконано його ротацію. | |
--audit-log-mode string Типово: "blocking" | |
Стратегія надсилання подій аудиту. Блокування вказує на те, що надсилання подій має блокувати відповіді сервера. Пакетне виконання змушує бекенд буферизувати і записувати події асинхронно. Відомі такі режими: batch, blocking, blocking-strict. | |
--audit-log-path string | |
Якщо встановлено, всі запити, що надходять до apiserver, будуть записуватися до цього файлу. '-' означає стандартний вивід. | |
--audit-log-truncate-enabled | |
Чи увімкнено усікання подій та пакетів. | |
--audit-log-truncate-max-batch-size int Типово: 10485760 | |
Максимальний розмір пакету, що надсилається до відповідного бекенду. Фактичний розмір серіалізованого файлу може бути на кілька сотень байт більшим. Якщо пакет перевищує цей ліміт, він розбивається на кілька пакетів меншого розміру. | |
--audit-log-truncate-max-event-size int Типово: 102400 | |
Максимальний розмір події аудиту, що надсилається до відповідного бекенду. Якщо розмір події перевищує це число, перший запит і відповідь видаляються, а якщо це не зменшує розмір достатньо, подія відкидається. | |
--audit-log-version string Типово: "audit.k8s.io/v1" | |
Група та версія API, що використовується для серіалізації подій аудиту, записаних до логу. | |
--audit-policy-file string | |
Шлях до файлу, який визначає конфігурацію політики аудиту. | |
--audit-webhook-batch-buffer-size int Типово: 10000 | |
Розмір буфера для зберігання подій перед пакетною передачею та записом. Використовується тільки у пакетному режимі. | |
--audit-webhook-batch-max-size int Типово: 400 | |
Максимальний розмір пакету. Використовується тільки у пакетному режимі. | |
--audit-webhook-batch-max-wait duration Типово: 30s | |
Час очікування перед примусовим записом пакету, який не досягнув максимального розміру. Використовується тільки у пакетному режимі. | |
--audit-webhook-batch-throttle-burst int Типово: 15 | |
Максимальна кількість запитів, надісланих одночасно, якщо ThrottleQPS не використовувався раніше. Використовується тільки у пакетному режимі. | |
--audit-webhook-batch-throttle-enable Типово: true | |
Чи ввімкнено пакетний тротлінг. Використовується тільки у пакетному режимі. | |
--audit-webhook-batch-throttle-qps float Типово: 10 | |
Максимальна середня кількість пакетів за секунду. Використовується тільки у пакетному режимі. | |
--audit-webhook-config-file string | |
Шлях до файлу у форматі kubeconfig, який визначає конфігурацію вебхука аудиту. | |
--audit-webhook-initial-backoff duration Типово: 10s | |
Час очікування перед повторною спробою після першого невдалого запиту. | |
--audit-webhook-mode string Типово: "batch" | |
Стратегія надсилання подій аудиту. Блокування вказує на те, що надсилання подій має блокувати відповіді сервера. Режим batch змушує бекенд буферизувати і записувати події асинхронно. Відомі такі режими: batch, blocking, blocking-strict. | |
--audit-webhook-truncate-enabled | |
Чи увімкнено усікання подій та пакетів. | |
--audit-webhook-truncate-max-batch-size int Типово: 10485760 | |
Максимальний розмір пакету, що надсилається до відповідного бекенду. Фактичний розмір серіалізованого файлу може бути на кілька сотень байт більшим. Якщо пакет перевищує цей ліміт, він розбивається на кілька пакетів меншого розміру. | |
--audit-webhook-truncate-max-event-size int Типово: 102400 | |
Максимальний розмір події аудиту, що надсилається до відповідного бекенду. Якщо розмір події перевищує це число, перший запит і відповідь видаляються, а якщо це не зменшує розмір достатньо, подія відкидається. | |
--audit-webhook-version string Типово: "audit.k8s.io/v1" | |
Група та версія API, що використовується для серіалізації подій аудиту, записаних у webhook. | |
--authentication-config string | |
Файл з конфігурацією автентифікації для налаштування автентифікатора JWT Token або анонімного автентифікатора. Потрібна функціональна можливість StructuredAuthenticationConfiguration. Також потрібна функціональна можливість AnonymousAuthConfigurableEndpoints для налаштування анонімного автентифікатора у файлі конфігурації. Цей прапорець є взаємовиключним з прапорцями --oidc-*, якщо у файлі налаштовано автентифікатор JWT Token. Цей прапорець є взаємовиключним з прапорцем --anonymous-auth, якщо у файлі налаштовано анонімний автентифікатор. | |
--authentication-token-webhook-cache-ttl duration Типово: 2m0s | |
Тривалість кешування відповідей від автентифікатора токенів вебхуків. | |
--authentication-token-webhook-config-file string | |
Файл з конфігурацією вебхука для автентифікації токенів у форматі kubeconfig. Сервер API буде запитувати віддалений сервіс для визначення автентичності токенів на предʼявника. | |
--authentication-token-webhook-version string Типово: "v1beta1" | |
Версія API authentication.k8s.io TokenReview для надсилання та очікування від вебхука. | |
--authorization-config string | |
Файл з конфігурацією авторизації для налаштування ланцюжка авторизації. Вимагає наявності функціональної можливості StructuredAuthorizationConfiguration. Цей прапорець є взаємовиключним з іншими прапорцями --authorization-mode та --authorization-webhook-*. | |
--authorization-mode strings | |
Впорядкований список втулків для авторизації на захищеному порту. Стандартно має значення AlwaysAllow, якщо не вказано --authorization-config. Список втулків, розділених комами: AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node. | |
--authorization-policy-file string | |
Файл з політикою авторизації у форматі json, що використовується з --authorization-mode=ABAC, на захищеному порту. | |
--authorization-webhook-cache-authorized-ttl duration Типово: 5m0s | |
Тривалість кешування 'authorized' відповідей від авторизатора вебхука. | |
--authorization-webhook-cache-unauthorized-ttl duration Типово: 30s | |
Тривалість кешування 'unauthorized' відповідей від авторизатора вебхука. | |
--authorization-webhook-config-file string | |
Файл з конфігурацією webhook у форматі kubeconfig, що використовується з --authorization-mode=Webhook. Сервер API запитує віддалений сервіс для визначення доступу на захищеному порту сервера API. | |
--authorization-webhook-version string Типово: "v1beta1" | |
Версія API authorization.k8s.io SubjectAccessReview, яку потрібно надсилати до вебхука та очікувати від нього. | |
--bind-address string Типово: 0.0.0.0 | |
IP-адреса, на якій буде прослуховуватися порт --secure-port. Відповідний інтерфейс(и) має бути доступним для решти кластера, а також для CLI/веб-клієнтів. Якщо цей параметр не вказано або вказано невизначену адресу (0.0.0.0 або ::), будуть використані всі інтерфейси та сімейства IP-адрес. | |
--cert-dir string Типово: "/var/run/kubernetes" | |
Тека, в якій знаходяться TLS-сертифікати. Якщо вказано --tls-cert-file та --tls-private-key-file, цей прапорець буде проігноровано. | |
--client-ca-file string | |
Якщо встановлено, будь-який запит, що надає клієнтський сертифікат, підписаний одним із центрів сертифікації у клієнтському файлі, буде автентифіковано за допомогою ідентифікатора, що відповідає CommonName клієнтського сертифіката. | |
--contention-profiling | |
Дозволяє профілювання блоків, якщо профілювання увімкнено | |
--cors-allowed-origins strings | |
Список дозволених джерел для CORS, через кому. Допустимим джерелом може бути регулярний вираз для підтримки співставлення субдоменів. Якщо цей список порожній, CORS не буде ввімкнено. Будь ласка, переконайтеся, що кожен вираз співпадає з повним імʼям хоста шляхом привʼязки до початку за допомогою '^' або включення префікса '//', а також шляхом привʼязки до кінця за допомогою '$' або включення суфікса-розділювача портів ':'. Прикладами допустимих виразів є '//example.com(:|$)' і '^https://example.com(:|$)' | |
--debug-socket-path string | |
Використовуйте незахищений (без authn/authz) unix-доменний сокет для профілювання за вказаним шляхом | |
--default-not-ready-toleration-seconds int Типово: 300 | |
Вказує толерантність у секундах для notReady:NoExecute, яка стандартно додається до кожного Podʼа, який ще не має такої толерантності. | |
--default-unreachable-toleration-seconds int Типово: 300 | |
Показує tolerationSeconds толерантності для unreachable:NoExecute, яка стандартно додається до кожного Podʼа, який ще не має такої толерантності. | |
--delete-collection-workers int Типово: 1 | |
Кількість обробників, створених для виклику DeleteCollection. Вони використовуються для прискорення очищення простору імен. | |
--disable-admission-plugins strings | |
Втулки допуску, які слід вимкнути, хоча вони є у списку стандартно ввімкнутих втулків (NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, CertificateApproval, CertificateSigning, ClusterTrustBundleAttest, CertificateSubjectRestriction, DefaultIngressClass, MutatingAdmissionPolicy, MutatingAdmissionWebhook, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook, ResourceQuota). Список втулків допуску розділених комою: AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionPolicy, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook. Порядок розташування втулків у цьому прапорці не має значення. | |
--disable-http2-serving | |
Якщо значення true, HTTP2-сервіс буде вимкнено [default=false]. | |
--disabled-metrics strings | |
Цей прапорець забезпечує аварійний вихід для метрик, що поводяться не належним чином. Щоб вимкнути метрику, ви маєте вказати її повну назву. Застереження: вимкнення метрик має вищий пріоритет, ніж показ прихованих метрик. | |
--egress-selector-config-file string | |
Файл з конфігурацією селектора egress apiserver. | |
--emulated-version strings | |
У версіях різні компоненти емулюють свої можливості (API, функції, ...) інших компонентів. | |
--enable-admission-plugins strings | |
Втулки допуску, які слід увімкнути на додачу до стандартно увімкнутих (NamespaceLifecycle, LimitRanger, ServiceAccount, TaintNodesByCondition, PodSecurity, Priority, DefaultTolerationSeconds, DefaultStorageClass, StorageObjectInUseProtection, PersistentVolumeClaimResize, RuntimeClass, CertificateApproval, CertificateSigning, ClusterTrustBundleAttest, CertificateSubjectRestriction, DefaultIngressClass, MutatingAdmissionPolicy, MutatingAdmissionWebhook, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook, ResourceQuota). Розділений комами список втулків допуску: AlwaysAdmit, AlwaysDeny, AlwaysPullImages, CertificateApproval, CertificateSigning, CertificateSubjectRestriction, ClusterTrustBundleAttest, DefaultIngressClass, DefaultStorageClass, DefaultTolerationSeconds, DenyServiceExternalIPs, EventRateLimit, ExtendedResourceToleration, ImagePolicyWebhook, LimitPodHardAntiAffinityTopology, LimitRanger, MutatingAdmissionPolicy, MutatingAdmissionWebhook, NamespaceAutoProvision, NamespaceExists, NamespaceLifecycle, NodeRestriction, OwnerReferencesPermissionEnforcement, PersistentVolumeClaimResize, PodNodeSelector, PodSecurity, PodTolerationRestriction, Priority, ResourceQuota, RuntimeClass, ServiceAccount, StorageObjectInUseProtection, TaintNodesByCondition, ValidatingAdmissionPolicy, ValidatingAdmissionWebhook. Порядок розташування втулків у цьому прапорці не має значення. | |
--enable-aggregator-routing | |
Вмикає маршрутизацію запитів агрегатора на IP точок доступу, а не на IP кластера. | |
--enable-bootstrap-token-auth | |
Увімкніть, щоб дозволити використовувати секрети типу 'bootstrap.kubernetes.io/token' у просторі імен 'kube-system' для автентифікації за допомогою TLS-завантаження. | |
--enable-garbage-collector Типово: true | |
Вмикає загальний збирач сміття. МАЄ бути синхронізовано з відповідним прапорцем kube-controller-manager. | |
--enable-priority-and-fairness Типово: true | |
Якщо true, замініть обробник max-in-flight на покращений обробник, який ставить в чергу та розподіляє відправлення з пріоритетом та справедливістю | |
--encryption-provider-config string | |
Файл, що містить конфігурацію для провайдерів шифрування, які будуть використовуватися для зберігання секретів у etcd | |
--encryption-provider-config-automatic-reload | |
Визначає, чи слід автоматично перезавантажувати файл, заданий за допомогою --encryption-provider-config, у разі зміни вмісту диска. Встановлення цього параметра у значення true вимикає можливість унікальної ідентифікації окремих втулків KMS за допомогою точок доступу API сервера healthz. | |
--endpoint-reconciler-type string Типово: "lease" | |
Використовувати узгоджувач точок доступу (master-count, lease, none) master-count є застарілим і буде вилучений у наступній версії. | |
--etcd-cafile string | |
Файл центру сертифікації SSL, який використовується для захисту звʼязку etcd. | |
--etcd-certfile string | |
Файл SSL-сертифікату, який використовується для захисту звʼязку etcd. | |
--etcd-compaction-interval duration Типово: 5m0s | |
Інтервал запитів на ущільнення. Якщо 0, то запит на ущільнення від apiserver вимкнено. | |
--etcd-count-metric-poll-period duration Типово: 1m0s | |
Частота опитування etcd для кількості ресурсів за типом. 0 вимикає збір метрик. | |
--etcd-db-metric-poll-interval duration Типово: 30s | |
Інтервал запитів на опитування etcd та оновлення метрики. 0 вимикає збір метрики | |
--etcd-healthcheck-timeout duration Типово: 2s | |
Тайм-аут для перевірки стану etcd. | |
--etcd-keyfile string | |
Файл ключа SSL, який використовується для захисту комунікації etcd. | |
--etcd-prefix string Типово: "/registry" | |
Префікс для додавання до всіх шляхів до ресурсів у etcd. | |
--etcd-readycheck-timeout duration Типово: 2s | |
Тайм-аут для перевірки готовності etcd | |
--etcd-servers strings | |
Список etcd серверів для зʼєднання (scheme://ip: port), через кому. | |
--etcd-servers-overrides strings | |
Окремі перевизначення серверів etcd для кожного ресурсу, через кому. Формат перевизначення: група/ресурс#сервери, де сервери — це URL-адреси, розділені крапкою з комою. Зауважте, що це стосується лише ресурсів, скомпільованих у цей двійковий файл сервера. | |
--event-ttl duration Типово: 1h0m0s | |
Кількість часу для збереження подій. | |
--external-hostname string | |
Імʼя хоста, яке використовуватиметься під час генерації зовнішніх URL-адрес для цього master (наприклад, Swagger API Docs або OpenID Discovery). | |
--feature-gates colonSeparatedMultimapStringString | |
Розділений комами список пар component:key=value, які описують функціональні можливості для альфа/експериментальних можливостей різних компонентів. | |
--goaway-chance float | |
Щоб запобігти застряганню HTTP/2-клієнтів на одному apiserver, випадково закрийте зʼєднання (GOAWAY). Інші запити клієнта не будуть зачеплені, і клієнт відновить зʼєднання, ймовірно, потрапивши на інший apiserver після того, як знову пройде через балансувальник навантаження. Цей аргумент задає частку запитів, які будуть відправлені GOAWAY. Кластери з одним apiserver або ті, що не використовують балансувальник навантаження, НЕ повинні вмикати цей параметр. Мінімальне значення — 0 (вимкнено), максимальне — 0.02 (1/50 запитів); 0.001 (1/1000) є рекомендованим початковим значенням. | |
-h, --help | |
Довідка kube-apiserver | |
--http2-max-streams-per-connection int | |
Обмеження, яке сервер надає клієнтам на максимальну кількість потоків у зʼєднанні HTTP/2. Нуль означає використання стандартного значення golang. | |
--kubelet-certificate-authority string | |
Шлях до файлу сертифіката центру сертифікації. | |
--kubelet-client-certificate string | |
Шлях до файлу клієнтського сертифіката для TLS. | |
--kubelet-client-key string | |
Шлях до файлу клієнтського ключа для TLS. | |
--kubelet-preferred-address-types strings Типово: "Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP" | |
Список бажаних типів NodeAddressTypes для зʼєднань kubelet. | |
--kubelet-timeout duration Типово: 5s | |
Таймаут для операцій kubelet. | |
--kubernetes-service-node-port int | |
Якщо значення відмінне від нуля, майстер-сервіс Kubernetes (який створює/підтримує apiserver) матиме тип NodePort, використовуючи його як значення порту. Якщо нульове значення, майстер-сервіс Kubernetes матиме тип ClusterIP. | |
--lease-reuse-duration-seconds int Типово: 60 | |
Час у секундах, протягом якого кожна оренда використовується повторно. Менше значення допоможе уникнути повторного використання однієї і тієї ж оренди великою кількістю обʼєктів. Зауважте, що занадто мале значення може спричинити проблеми з продуктивністю на рівні сховища. | |
--livez-grace-period duration | |
Цей параметр вказує максимальний час, за який apiserver має завершити свою послідовність запуску і стати активним. З моменту запуску apiserver і до закінчення цього часу /livez вважатиме, що незавершені після запуску хуки будуть успішно завершені, а отже, повертатиме значення true. | |
--log-flush-frequency duration Типово: 5s | |
Максимальна кількість секунд між очищеннями логів | |
--log-text-info-buffer-size quantity | |
[Alpha] У текстовому форматі з розділеними потоками виводу інформаційні повідомлення можуть буферизуватися на деякий час для підвищення продуктивності. Стандартне значення, рівне нулю байт, вимикає буферизацію. Розмір можна вказати як кількість байт (512), кратну 1000 (1K), кратну 1024 (2Ki) або степінь (3M, 4G, 5Mi, 6Gi). Увімкніть функцію LoggingAlphaOptions, щоб скористатися цією можливістю. | |
--log-text-split-stream | |
[Alpha] У текстовому форматі записувати повідомлення про помилки до stderr та інформаційні повідомлення до stdout. Стандартно до stdout записується один потік. Увімкніть функцію LoggingAlphaOptions, щоб скористатися цією можливістю. | |
--logging-format string Типово: "text" | |
Задає формат логу. Дозволені формати: "text". | |
--max-connection-bytes-per-sec int | |
Якщо ненульове, обмежити кожне зʼєднання користувача до цієї кількості байт/сек. Наразі застосовується лише до довготривалих запитів. | |
--max-mutating-requests-inflight int Типово: 200 | |
Цей та --max-requests-inflight підсумовуються для визначення загального ліміту паралелізму сервера (який має бути додатнім), якщо --enable-priority-and-fairness має значення true. В іншому випадку цей прапорець обмежує максимальну кількість запитів, що змінюються у процесі виконання, або нульове значення повністю вимикає обмеження. | |
--max-requests-inflight int Типово: 400 | |
Це значення та --max-mutating-requests-inflight підсумовуються для визначення загального ліміту паралелізму сервера (який має бути додатнім), якщо --enable-priority-and-fairness має значення true. В іншому випадку цей прапорець обмежує максимальну кількість запитів, що не змінюються у процесі виконання, або нульове значення повністю вимикає ліміт. | |
--min-request-timeout int Типово: 1800 | |
Необовʼязкове поле, що вказує мінімальну кількість секунд, протягом яких обробник повинен тримати запит відкритим, перш ніж завершити його виконання. Наразі виконується лише обробником запитів watch, який обирає випадкове значення вище цього числа як таймаут зʼєднання, щоб розподілити навантаження. | |
--oidc-ca-file string | |
Якщо встановлено, сертифікат сервера OpenID буде перевірено одним з центрів сертифікації в oidc-ca-файлі, інакше буде використано кореневий центр сертифікації хоста. | |
--oidc-client-id string | |
Ідентифікатор клієнта для клієнта OpenID Connect повинен бути встановлений, якщо встановлено oidc-issuer-url. | |
--oidc-groups-claim string | |
Якщо вказано, імʼя власного запиту OpenID Connect для вказівки груп користувачів. Очікується, що значенням параметра буде рядок або масив рядків. Цей прапорець є експериментальним, будь ласка, зверніться до документації з автентифікації для отримання більш детальної інформації. | |
--oidc-groups-prefix string | |
Якщо вказано, до всіх груп буде додано цей префікс, щоб запобігти конфліктам з іншими стратегіями автентифікації. | |
--oidc-issuer-url string | |
URL-адреса емітента OpenID, приймається тільки схема HTTPS. Якщо встановлено, він буде використаний для перевірки OIDC JSON Web Token (JWT). | |
--oidc-required-claim <comma-separated 'key=value' pairs> | |
Пара key=value, яка описує необхідний реквізит в ідентифікаторі. Якщо встановлено, перевіряється, що реквізит присутній в ідентифікаторі з відповідним значенням. Повторіть цей прапорець, щоб вказати декілька реквізитів. | |
--oidc-signing-algs strings Типово: "RS256" | |
Список дозволених алгоритмів асиметричного підпису JOSE через кому. JWT з підтримуваними значеннями заголовка 'alg': RS256, RS384, RS512, ES256, ES384, ES512, PS256, PS384, PS512. Значення визначені в RFC 7518 https://tools.ietf.org/html/rfc7518#section-3.1. | |
--oidc-username-claim string Типово: "sub" | |
Запит OpenID для використання в якості імені користувача. Зауважте, що не гарантується унікальність та незмінність запитів, відмінних від стандартного ('sub'). Цей прапорець є експериментальним, будь ласка, зверніться до документації з автентифікації для отримання більш детальної інформації. | |
--oidc-username-prefix string | |
Якщо вказано, всі імена користувачів будуть доповнені цим значенням. Якщо не вказано, до імен користувачів, відмінних від "email", буде додано префікс URL-адреси емітента, щоб уникнути зіткнень. Щоб пропустити будь-яку префіксацію, вкажіть значення '-'. | |
--peer-advertise-ip string | |
Якщо встановлено і ввімкнено функцію UnknownVersionInteroperabilityProxy, цей IP буде використовуватися одноранговими kube-apiserverʼами для проксі-запитів до цього kube-apiserverʼа, коли запит не може бути оброблений одноранговим через невідповідність версій між kube-apiserʼами. Цей прапорець використовується лише у кластерах, сконфігурованих з декількома kube-apiserverʼами для забезпечення високої доступності. | |
--peer-advertise-port string | |
Якщо цей прапорець встановлено і ввімкнено функцію UnknownVersionInteroperabilityProxy, цей порт використовуватиметься одноранговими kube-apiserver'ами для проксі-запитів до цього kube-apiserver'а, коли запит не може бути оброблений одноранговим через невідповідність версій між kube-apiserver'ами. Цей прапорець використовується лише у кластерах, сконфігурованих з декількома kube-apiserver'ами для забезпечення високої доступності. | |
--peer-ca-file string | |
Якщо встановлено і ввімкнено функцію UnknownVersionInteroperabilityProxy, цей файл буде використано для перевірки сертифікатів обслуговування однорангових kube-apiserver серверів. Цей прапорець використовується лише у кластерах, сконфігурованих з декількома kube-apiserver'ами для забезпечення високої доступності. | |
--permit-address-sharing | |
Якщо це значення дорівнює true, SO_REUSEADDR буде використано при привʼязці порту. Це дозволяє паралельно привʼязуватись до підстановочних IP-адрес, таких як 0.0.0.0, і до конкретних IP-адрес, а також дозволяє уникнути очікування ядром звільнення сокетів у стані TIME_WAIT. [default=false] | |
--permit-port-sharing | |
Якщо значення true, SO_REUSEPORT буде використано при привʼязці порту, що дозволяє більш ніж одному екземпляру привʼязуватися до однієї адреси та порту. [default=false] | |
--profiling Типово: true | |
Увімкніть профілювання через веб-інтерфейс host:port/debug/pprof/ | |
--proxy-client-cert-file string | |
Клієнтський сертифікат, що використовується для підтвердження особи агрегатора або kube-apiserver, коли необхідно здійснити виклик під час запиту. Це включає проксирування запитів до користувацького API-сервера та виклики до втулків допуску webhook. Очікується, що цей сертифікат містить підпис від CA, вказаного у прапорі --requestheader-client-ca-file. Цей CA публікується в configmap 'extension-apiserver-authentication' у просторі імен kube-system. Компоненти, що отримують виклики від kube-aggregator, повинні використовувати цей CA для виконання своєї частини взаємної TLS перевірки. | |
--proxy-client-key-file string | |
Приватний ключ для клієнтського сертифіката, що використовується для підтвердження особи агрегатора або kube-apiserver, коли необхідно здійснити виклик під час запиту. Це включає проксирування запитів до користувацького API-сервера та виклики до втулків допуску webhook. | |
--request-timeout duration Типово: 1m0s | |
Необовʼязкове поле, що вказує на тривалість, протягом якої обробник повинен тримати запит відкритим, перш ніж завершити його виконання. Це стандартний таймаут для запитів, але його можна перевизначити за допомогою прапорців, таких як --min-request-timeout для певних типів запитів. | |
--requestheader-allowed-names strings | |
Список загальних імен клієнтських сертифікатів, щоб дозволити вказувати імена користувачів у заголовках, визначених параметром --requestheader-username-headers. Якщо він порожній, можна використовувати будь-який сертифікат клієнта, підтверджений центрами сертифікації у файлі --requestheader-client-ca-file. | |
--requestheader-client-ca-file string | |
Пакет кореневих сертифікатів для перевірки клієнтських сертифікатів на вхідних запитах перед тим, як довіряти імена користувачів у заголовках, визначених параметром --requestheader-username-headers. ПОПЕРЕДЖЕННЯ: зазвичай не залежить від авторизації, яку вже виконано для вхідних запитів. | |
--requestheader-extra-headers-prefix strings | |
Список префіксів заголовків запитів для перевірки. Запропоновано X-Remote-Extra-. | |
--requestheader-group-headers strings | |
Список заголовків запитів для перевірки на наявність груп. Пропонується X-Remote-Group. | |
--requestheader-uid-headers strings | |
Список заголовків запитів для перевірки на наявність UID. Пропонується X-Remote-Uid. Потребує увімкнення функції RemoteRequestHeaderUID. | |
--requestheader-username-headers strings | |
Список заголовків запитів для перевірки на наявність імен користувачів. X-Remote-User є поширеним. | |
--runtime-config <comma-separated 'key=value' pairs> | |
Набір пар key=value, які вмикають або вимикають вбудовані API. Підтримувані параметри: | |
--secure-port int Типово: 6443 | |
Порт, на якому буде обслуговуватися HTTPS з автентифікацією та авторизацією. Його не можна вимкнути за допомогою 0. | |
--service-account-extend-token-expiration Типово: true | |
Вмикає прогнозоване продовження терміну дії облікового запису під час генерації токенів, що допомагає безпечному переходу від застарілих токенів до привʼязаних токенів облікових записів. Якщо цей прапорець увімкнено, термін дії токенів, що вводяться, буде подовжено до 1 року, щоб запобігти несподіваним збоям під час переходу, ігноруючи значення параметра service-account-max-token-expiration. | |
--service-account-issuer strings | |
Ідентифікатор емітента токенів службового облікового запису. Емітент вказуватиме цей ідентифікатор у запиті "iss" на видачу випущених токенів. Це значення є рядком або URI. Якщо цей параметр не є дійсним URI згідно зі специфікацією OpenID Discovery 1.0, функція ServiceAccountIssuerDiscovery залишиться вимкненою, навіть якщо для функції gate буде встановлено значення true. Наполегливо рекомендується, щоб це значення відповідало специфікації OpenID: https://openid.net/specs/openid-connect-discovery-1_0.html. На практиці це означає, що service-account-issuer має бути URL-адресою https. Також наполегливо рекомендується, щоб ця URL-адреса могла обслуговувати документи виявлення OpenID за адресою {service-account-issuer}/.well-known/openid-configuration. Якщо цей прапорець вказано декілька разів, перший раз використовується для генерації токенів, а всі інші - для визначення прийнятних емітентів. | |
--service-account-jwks-uri string | |
Перевизначає URI для набору веб-ключів JSON у документі виявлення, що надсилається за адресою /.well-known/openid-configuration. Цей прапорець корисний, якщо документ виявлення та набір ключів надаються сторонам, що довіряють, за URL-адресою, відмінною від зовнішньої URL-адреси сервера API (автоматично визначеною або перевизначеною за допомогою external-hostname). | |
--service-account-key-file strings | |
File containing PEM-encoded x509 RSA or ECDSA private or public keys, used to verify ServiceAccount tokens. The specified file can contain multiple keys, and the flag can be specified multiple times with different files. If unspecified, --tls-private-key-file is used. Must be specified when --service-account-signing-key-file is provided | |
--service-account-lookup Типово: true | |
Якщо true, підтвердити наявність токенів ServiceAccount в etcd як частину автентифікації. | |
--service-account-max-token-expiration duration | |
Максимальний термін дії токена, створеного емітентом токенів службового облікового запису. Якщо запитується дійсний TokenRequest з тривалістю дії, що перевищує це значення, буде випущено токен з тривалістю дії, що дорівнює цьому значенню. | |
--service-account-signing-endpoint string | |
Шлях до сокета, який прослуховує зовнішній підписувач JWT. Цей прапорець є взаємовиключним з --service-account-signing-key-file та --service-account-key-file. Потребує увімкнення функціональної можливості gate (ExternalServiceAccountTokenSigner) | |
--service-account-signing-key-file string | |
Шлях до файлу, який містить поточний приватний ключ емітента токенів службового облікового запису. Цим приватним ключем емітент підписуватиме видані токени ідентифікаторів. | |
--service-cluster-ip-range string | |
Діапазон IP-адрес у нотації CIDR, з якого призначаються сервісні кластерні IP-адреси. Він не повинен перетинатися з будь-якими діапазонами IP, призначеними вузлам або Podʼами. Максимальний допустимий діапазон — два двостекових CIDR. | |
--service-node-port-range <a string in the form 'N1-N2'> Типово: 30000-32767 | |
Діапазон портів для резервування для сервісів з видимістю NodePort. Він не повинен перетинатися з ефемерним діапазоном портів на вузлах. Приклад: '30000-32767'. Включно з обох кінців діапазону. | |
--show-hidden-metrics-for-version string | |
Попередня версія, для якої ви хочете показати приховані метрики. Значення має лише попередня мінорна версія, інші значення не будуть дозволені. Формат: <major>.<minor>, наприклад: '1.16'. Мета цього формату - переконатися, що ви маєте можливість помітити, що наступний реліз приховує додаткові метрики, замість того, щоб дивуватися, коли вони будуть назавжди вилучені в наступному релізі. | |
--shutdown-delay-duration duration | |
Час затримки завершення роботи. Протягом цього часу сервер продовжує обслуговувати запити у звичайному режимі. Точки доступу /healthz і /livez повертатимуть успішне завершення, але /readyz одразу ж поверне помилку. Належне завершення роботи почнється після закінчення цієї затримки. Це може бути використано для того, щоб дозволити балансувальнику навантаження припинити надсилання трафіку на цей сервер. | |
--shutdown-send-retry-after | |
Якщо значення true, HTTP-сервер продовжуватиме прослуховування доти, доки всі недовготривалі запити у процесі виконання не будуть вичерпані, під час цього вікна всі вхідні запити будуть відхилені з кодом статусу 429 та заголовком відповіді "Retry-After", крім того, встановлюється заголовок відповіді "Connection: close" для того, щоб розірвати TCP-зʼєднання, коли воно не виконується. | |
--shutdown-watch-termination-grace-period duration | |
Цей параметр, якщо його встановлено, вказує на максимальну тривалість пільгового періоду, протягом якого apiserver буде чекати, поки активні запити watch не вичерпаються під час вікна належного вимкнення сервера. | |
--storage-backend string | |
Бекенд сховища для збереження даних. Параметри: 'etcd3' (стандартно). | |
--storage-initialization-timeout duration Типово: 1m0s | |
Максимальний час очікування ініціалізації сховища перед оголошенням готовності apiserver. Стандартно — 1m. | |
--storage-media-type string Типово: "application/vnd.kubernetes.protobuf" | |
Тип носія для зберігання обʼєктів у сховищі. Деякі ресурси або бекенди сховища можуть підтримувати лише певний тип носія і ігноруватимуть цей параметр. Підтримувані медіа-типи: [application/json, application/yaml, application/vnd.kubernetes.protobuf]. | |
--strict-transport-security-directives strings | |
Список директив для HSTS через кому. Якщо цей список порожній, то директиви HSTS не будуть додані. Приклад: 'max-age=31536000,includeSubDomains,preload' | |
--tls-cert-file string | |
Файл, що містить стандартний сертифікат x509 для HTTPS. (Сертифікат центру сертифікації, якщо такий є, додається після сертифіката сервера). Якщо HTTPS-сервіс увімкнено, а --tls-cert-file і --tls-private-key-file не вказано, для публічної адреси буде згенеровано самопідписаний сертифікат і ключ, які буде збережено в теці, вказаній в --cert-dir. | |
--tls-cipher-suites strings | |
Розділений комами список наборів шифрів для сервера. Якщо не вказано, буде використано стандартний набір шифрів Go. | |
--tls-min-version string | |
Мінімальна підтримувана версія TLS. Можливі значення: VersionTLS10, VersionTLS11, VersionTLS12, VersionTLS13 | |
--tls-private-key-file string | |
Файл, що містить стандартний приватний ключ x509, який відповідає --tls-cert-file. | |
--tls-sni-cert-key string | |
Пара шляхів до файлів сертифіката x509 і приватного ключа, до яких за бажанням додається список доменних шаблонів, які є повними доменними іменами, можливо, з префіксальними підстановчими сегментами. Доменні шаблони також дозволяють використовувати IP-адреси, але IP-адреси слід використовувати лише в тому випадку, якщо apiserver має доступ до IP-адреси, запитуваної клієнтом. Якщо шаблони домену не надано, витягуються імена сертифікатів. Збіги без підстановочних знаків мають перевагу над збігами з підстановочними знаками, а явні шаблони доменів мають перевагу над отриманими іменами. Для кількох пар ключ/сертифікат використовуйте --tls-sni-cert-key кілька разів. Приклади: "example.crt,example.key" або "foo.crt,foo.key:*.foo.com,foo.com". | |
--token-auth-file string | |
Якщо встановлено, файл, який буде використано для захисту захищеного порту сервера API за допомогою автентифікації за допомогою токенів. | |
--tracing-config-file string | |
Файл з конфігурацією трасування apiserver. | |
-v, --v int | |
число рівня деталізації логу | |
--version version[=true] | |
--version, --version=raw виводить інформацію про версію та виходить; --version=vX.Y.Z... встановлює вказану версію | |
--vmodule pattern=N,... | |
список параметрів pattern=N, розділених комами, для файлового фільтрування логу (працює лише для текстового формату логу). | |
--watch-cache Типово: true | |
Увімкніть кешування watch в apiserver | |
--watch-cache-sizes strings | |
Налаштування розміру кешу для деяких ресурсів (pods, nodes і т.д.), через кому. Формат індивідуальних налаштувань: resource[.group]#size, де resource — малі літери множини (без версії), group пропущено для ресурсів apiVersion v1 (застаріле ядро API) і включено для інших, а size — число. Цей параметр має значення лише для ресурсів, вбудованих у apiserver, а не для ресурсів, визначених CRD або зібраних із зовнішніх серверів, і використовується лише у випадку, якщо увімкнено watch-cache. Єдиним допустимим значенням розміру є нуль, що означає вимкнення кешування watch для відповідного ресурсу; усі ненульові значення є еквівалентними і означають, що кешування для цього ресурсу не вимкнено. |
Цю сторінку було стоврено автоматично.
Якщо у вас є наміри надіслати пропозиції щодо неї, додайте згадку, про те що сторінку створено автоматично в описі вашого повідомлення. Зміни мають відбутись всюди в проєкті Kubernetes.