kube-controller-manager
简介
Kubernetes 控制器管理器是一个守护进程,内嵌随 Kubernetes 一起发布的核心控制回路。 在机器人和自动化的应用中,控制回路是一个永不休止的循环,用于调节系统状态。 在 Kubernetes 中,每个控制器是一个控制回路,通过 API 服务器监视集群的共享状态, 并尝试进行更改以将当前状态转为期望状态。 目前,Kubernetes 自带的控制器例子包括副本控制器、节点控制器、命名空间控制器和服务账号控制器等。
kube-controller-manager [flags]
选项
--allocate-node-cidrs | |
基于云驱动来为 Pod 分配和设置子网掩码。 | |
--allow-metric-labels stringToString 默认值:[] | |
从度量值标签到准许值列表的映射。键名的格式为<MetricName>,<LabelName>。
准许值的格式为<allowed_value>,<allowed_value>...。
例如, |
|
--attach-detach-reconcile-sync-period duration 默认值:1m0s | |
协调器(reconciler)在相邻两次对存储卷进行挂载和解除挂载操作之间的等待时间。 此时长必须长于 1 秒钟。此值设置为大于默认值时,可能导致存储卷无法与 Pod 匹配。 | |
--authentication-kubeconfig string | |
此标志值为一个 kubeconfig 文件的路径名。该文件中包含与某 Kubernetes “核心” 服务器相关的信息,并支持足够的权限以创建 tokenreviews.authentication.k8s.io。 此选项是可选的。如果设置为空值,则所有令牌请求都会被认作匿名请求, Kubernetes 也不再在集群中查找客户端的 CA 证书信息。 | |
--authentication-skip-lookup | |
此值为 false 时,通过 authentication-kubeconfig 参数所指定的文件会被用来检索集群中缺失的身份认证配置信息。 | |
--authentication-token-webhook-cache-ttl duration 默认值:10s | |
对 Webhook 令牌认证设施返回结果的缓存时长。 | |
--authentication-tolerate-lookup-failure | |
此值为 true 时,即使无法从集群中检索到缺失的身份认证配置信息也无大碍。 需要注意的是,这样设置可能导致所有请求都被视作匿名请求。 | |
--authorization-always-allow-paths strings 默认值:"/healthz,/readyz,/livez" | |
鉴权过程中会忽略的一个 HTTP 路径列表。 换言之,控制器管理器会对列表中路径的访问进行授权,并且无须征得 Kubernetes “核心” 服务器同意。 | |
--authorization-kubeconfig string | |
包含 Kubernetes “核心” 服务器信息的 kubeconfig 文件路径, 所包含信息具有创建 subjectaccessreviews.authorization.k8s.io 的足够权限。 此参数是可选的。如果配置为空字符串,未被鉴权模块所忽略的请求都会被禁止。 | |
--authorization-webhook-cache-authorized-ttl duration 默认值:10s | |
对 Webhook 形式鉴权组件所返回的“已授权(Authorized)”响应的缓存时长。 | |
--authorization-webhook-cache-unauthorized-ttl duration 默认值:10s | |
对 Webhook 形式鉴权组件所返回的“未授权(Unauthorized)”响应的缓存时长。 | |
--azure-container-registry-config string | |
指向包含 Azure 容器仓库配置信息的文件的路径名。 | |
--bind-address string 默认值:0.0.0.0 | |
针对 --secure-port 端口上请求执行监听操作的 IP 地址。
所对应的网络接口必须从集群中其它位置可访问(含命令行及 Web 客户端)。
如果此值为空或者设定为非特定地址(0.0.0.0 或 :: ),
意味着所有网络接口和 IP 地址簇都在监听范围。
|
|
--cert-dir string | |
TLS 证书所在的目录。如果提供了 --tls-cert-file 和
--tls-private-key-file ,此标志会被忽略。
|
|
--cidr-allocator-type string 默认值:"RangeAllocator" | |
要使用的 CIDR 分配器类型。 | |
--client-ca-file string | |
如果设置了此标志,对于所有能够提供客户端证书的请求,若该证书由
--client-ca-file 中所给机构之一签署,
则该请求会被成功认证为客户端证书中 CommonName 所标识的实体。
|
|
--cloud-config string | |
云驱动程序配置文件的路径。空字符串表示没有配置文件。 | |
--cloud-provider string | |
云服务的提供者。空字符串表示没有对应的提供者(驱动)。 | |
--cluster-cidr string | |
集群中 Pod 的 CIDR 范围。要求 --allocate-node-cidrs 标志为 true。
|
|
--cluster-name string 默认值:"kubernetes" | |
集群实例的前缀。 | |
--cluster-signing-cert-file string | |
包含 PEM 编码格式的 X509 CA 证书的文件名。该证书用来发放集群范围的证书。
如果设置了此标志,则不能指定更具体的 --cluster-signing-* 标志。
|
|
--cluster-signing-duration duration 默认值:8760h0m0s | |
所签名证书的有效期限。每个 CSR 可以通过设置 spec.expirationSeconds 来请求更短的证书。
|
|
--cluster-signing-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名。该私钥用来对集群范围证书签名。
若指定了此选项,则不可再设置 --cluster-signing-* 参数。
|
|
--cluster-signing-kube-apiserver-client-cert-file string | |
包含 PEM 编码的 X509 CA 证书的文件名,
该证书用于为 kubernetes.io/kube-apiserver-client 签署者颁发证书。
如果指定,则不得设置 --cluster-signing-{cert,key}-file 。
|
|
--cluster-signing-kube-apiserver-client-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名,
该私钥用于为 kubernetes.io/kube-apiserver-client 签署者签名证书。
如果指定,则不得设置 --cluster-signing-{cert,key}-file 。
|
|
--cluster-signing-kubelet-client-cert-file string | |
包含 PEM 编码的 X509 CA 证书的文件名,
该证书用于为 kubernetes.io/kube-apiserver-client-kubelet 签署者颁发证书。
如果指定,则不得设置 --cluster-signing-{cert,key}-file 。
|
|
--cluster-signing-kubelet-client-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名,
该私钥用于为 kubernetes.io/kube-apiserver-client-kubelet 签署者签名证书。
如果指定,则不得设置 --cluster-signing-{cert,key}-file 。
|
|
--cluster-signing-kubelet-serving-cert-file string | |
包含 PEM 编码的 X509 CA 证书的文件名, 该证书用于为 kubernetes.io/kubelet-serving 签署者颁发证书。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 | |
--cluster-signing-kubelet-serving-key-file string | |
包含 PEM 编码的 RSA或ECDSA 私钥的文件名,
该私钥用于对 kubernetes.io/kubelet-serving 签署者的证书进行签名。
如果指定,则不得设置 --cluster-signing-{cert,key}-file 。
|
|
--cluster-signing-legacy-unknown-cert-file string | |
包含 PEM 编码的 X509 CA 证书的文件名,
用于为 kubernetes.io/legacy-unknown 签署者颁发证书。
如果指定,则不得设置 --cluster-signing-{cert,key}-file 。
|
|
--cluster-signing-legacy-unknown-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名,
用于为 kubernetes.io/legacy-unknown 签署者签名证书。
如果指定,则不得设置 --cluster-signing-{cert,key}-file 。
|
|
--concurrent-cron-job-syncs int32 默认值:5 | |
可以并发同步的 CronJob 对象个数。数值越大意味着对 CronJob 的响应越及时, 同时也意味着更大的 CPU(和网络带宽)压力。 |
|
--concurrent-deployment-syncs int32 默认值:5 | |
可以并发同步的 Deployment 对象个数。数值越大意味着对 Deployment 的响应越及时, 同时也意味着更大的 CPU(和网络带宽)压力。 | |
--concurrent-endpoint-syncs int32 默认值:5 | |
可以并发执行的 Endpoints 同步操作个数。数值越大意味着更快的 Endpoints 更新操作, 同时也意味着更大的 CPU (和网络)压力。 | |
--concurrent-ephemeralvolume-syncs int32 默认值:5 | |
可以并发执行的 EphemeralVolume 同步操作个数。数值越大意味着更快的 EphemeralVolume 更新操作, 同时也意味着更大的 CPU (和网络)压力。 | |
--concurrent-gc-syncs int32 默认值:20 | |
可以并发同步的垃圾收集工作线程个数。 | |
--concurrent-horizontal-pod-autoscaler-syncs int32 默认值:5 | |
允许并发执行的、对水平 Pod 自动扩缩器对象进行同步的数量。 更大的数字 = 响应更快的水平 Pod 自动缩放器对象处理,但需要更高的 CPU(和网络)负载。 |
|
--concurrent-job-syncs int32 默认值:5 | |
可以并发同步的 Job 对象个数。较大的数值意味着更快的 Job 终结操作, 不过也意味着更多的 CPU (和网络)占用。 |
|
--concurrent-namespace-syncs int32 默认值:10 | |
可以并发同步的 Namespace 对象个数。较大的数值意味着更快的名字空间终结操作, 不过也意味着更多的 CPU (和网络)占用。 | |
--concurrent-rc-syncs int32 默认值:5 | |
可以并发同步的副本控制器对象个数。较大的数值意味着更快的副本管理操作, 不过也意味着更多的 CPU (和网络)占用。 |
|
--concurrent-replicaset-syncs int32 默认值:5 | |
可以并发同步的 ReplicaSet 个数。数值越大意味着副本管理的响应速度越快, 同时也意味着更多的 CPU (和网络)占用。 | |
--concurrent-resource-quota-syncs int32 默认值:5 | |
可以并发同步的 ResourceQuota 对象个数。数值越大,配额管理的响应速度越快, 不过对 CPU (和网络)的占用也越高。 | |
--concurrent-service-endpoint-syncs int32 默认值:5 | |
可以并发执行的服务端点同步操作个数。数值越大,端点片段(Endpoint Slice) 的更新速度越快,不过对 CPU (和网络)的占用也越高。默认值为 5。 | |
--concurrent-service-syncs int32 默认值:1 | |
可以并发同步的 Service 对象个数。数值越大,服务管理的响应速度越快, 不过对 CPU (和网络)的占用也越高。 | |
--concurrent-serviceaccount-token-syncs int32 默认值:5 | |
可以并发同步的服务账号令牌对象个数。数值越大,令牌生成的速度越快, 不过对 CPU (和网络)的占用也越高。 | |
--concurrent-statefulset-syncs int32 默认值:5 | |
可以并发同步的 StatefulSet 对象个数。数值越大,StatefulSet 管理的响应速度越快, 不过对 CPU (和网络)的占用也越高。 | |
--concurrent-ttl-after-finished-syncs int32 默认值:5 | |
可以并发同步的 ttl-after-finished-controller 线程个数。 | |
--concurrent-validating-admission-policy-status-syncs int32 默认值:5 | |
可以并发同步的 ValidatingAdmissionPolicyStatusController 线程个数。 |
|
--configure-cloud-routes 默认值:true | |
决定是否由 --allocate-node-cidrs 所分配的 CIDR 要通过云驱动程序来配置。
|
|
--contention-profiling | |
在启用了性能分析(profiling)时,也启用锁竞争情况分析。 | |
--controller-start-interval duration | |
在两次启动控制器管理器之间的时间间隔。 | |
--controllers strings 默认值:* |
|
要启用的控制器列表。* 表示启用所有默认启用的控制器;
foo 启用名为 foo 的控制器;
-foo 表示禁用名为 foo 的控制器。控制器的全集:bootstrap-signer-controller、certificatesigningrequest-approving-controller、 certificatesigningrequest-cleaner-controller、certificatesigningrequest-signing-controller、 cloud-node-lifecycle-controller、clusterrole-aggregation-controller、cronjob-controller、daemonset-controller、 deployment-controller、disruption-controller、endpoints-controller、endpointslice-controller、 endpointslice-mirroring-controller、ephemeral-volume-controller、garbage-collector-controller、 horizontal-pod-autoscaler-controller、job-controller、namespace-controller、node-ipam-controller、 node-lifecycle-controller、node-route-controller、persistentvolume-attach-detach-controller、 persistentvolume-binder-controller、persistentvolume-expander-controller、persistentvolume-protection-controller、 persistentvolumeclaim-protection-controller、pod-garbage-collector-controller、replicaset-controller、 replicationcontroller-controller、resourcequota-controller、root-ca-certificate-publisher-controller、 service-lb-controller、serviceaccount-controller、serviceaccount-token-controller、statefulset-controller、 token-cleaner-controller、ttl-after-finished-controller、ttl-controller 默认禁用的控制器有:bootstrap-signer-controller、token-cleaner-controller。 |
|
--disable-attach-detach-reconcile-sync | |
禁用卷挂接/解挂调节器的同步。禁用此同步可能导致卷存储与 Pod 之间出现错位。 请小心使用。 | |
--disabled-metrics strings | |
此标志提供对行为异常的度量值的防控措施。你必须提供度量值的完全限定名称才能将其禁用。 声明:禁用度量值的操作比显示隐藏度量值的操作优先级高。 |
|
--enable-dynamic-provisioning 默认值:true | |
在环境允许的情况下启用动态卷制备。 | |
--enable-garbage-collector 默认值:true | |
启用通用垃圾收集器。必须与 kube-apiserver 中对应的标志一致。 | |
--enable-hostpath-provisioner | |
在没有云驱动程序的情况下,启用 HostPath 持久卷的制备。 此参数便于对卷供应功能进行开发和测试。HostPath 卷的制备并非受支持的功能特性, 在多节点的集群中也无法工作,因此除了开发和测试环境中不应使用 HostPath 卷的制备。 | |
--enable-leader-migration | |
此标志决定是否启用控制器领导者迁移。 |
|
--endpoint-updates-batch-period duration | |
端点(Endpoint)批量更新周期时长。对 Pod 变更的处理会被延迟, 以便将其与即将到来的更新操作合并,从而减少端点更新操作次数。 较大的数值意味着端点更新的迟滞时间会增长,也意味着所生成的端点版本个数会变少。 | |
--endpointslice-updates-batch-period duration | |
端点片段(Endpoint Slice)批量更新周期时长。对 Pod 变更的处理会被延迟, 以便将其与即将到来的更新操作合并,从而减少端点更新操作次数。 较大的数值意味着端点更新的迟滞时间会增长,也意味着所生成的端点版本个数会变少。 | |
--external-cloud-volume-plugin string | |
当云驱动程序设置为 external 时要使用的插件名称。此字符串可以为空。 只能在云驱动程序为 external 时设置。 目前用来保证 node-ipam-controller、persistentvolume-binder-controller、persistentvolume-expander-controller 和 attach-detach-controller 能够在三种云驱动上正常工作。 | |
--feature-gates <逗号分隔的 'key=True|False' 对列表> | |
一组 key=value 对,用来描述测试性/试验性功能的特性门控。可选项有: |
|
--flex-volume-plugin-dir string 默认值:"/usr/libexec/kubernetes/kubelet-plugins/volume/exec/" | |
FlexVolume 插件要搜索第三方卷插件的目录路径全名。 | |
-h, --help | |
kube-controller-manager 的帮助信息。 | |
--horizontal-pod-autoscaler-cpu-initialization-period duration 默认值:5m0s | |
Pod 启动之后可以忽略 CPU 采样值的时长。 | |
--horizontal-pod-autoscaler-downscale-stabilization duration 默认值:5m0s | |
自动扩缩程序的回溯时长。 自动扩缩程序不会基于在给定的时长内所建议的规模对负载执行缩容操作。 | |
--horizontal-pod-autoscaler-initial-readiness-delay duration 默认值:30s | |
Pod 启动之后,在此值所给定的时长内,就绪状态的变化都不会作为初始的就绪状态。 | |
--horizontal-pod-autoscaler-sync-period duration 默认值:15s | |
水平 Pod 扩缩器对 Pod 数目执行同步操作的周期。 | |
--horizontal-pod-autoscaler-tolerance float 默认值:0.1 | |
此值为目标值与实际值的比值与 1.0 的差值。只有超过此标志所设的阈值时, HPA 才会考虑执行缩放操作。 | |
--http2-max-streams-per-connection int | |
服务器为客户端所设置的 HTTP/2 连接中流式连接个数上限。 此值为 0 表示采用 Go 语言库所设置的默认值。 | |
--kube-api-burst int32 默认值:30 | |
与 Kubernetes API 服务器通信时突发峰值请求个数上限。 | |
--kube-api-content-type string 默认值:"application/vnd.kubernetes.protobuf" | |
向 API 服务器发送请求时使用的内容类型(Content-Type)。 | |
--kube-api-qps float 默认值:20 | |
与 API 服务器通信时每秒请求数(QPS)限制。 | |
--kubeconfig string | |
指向 kubeconfig 文件的路径。该文件中包含主控节点位置以及鉴权凭据信息。 | |
--large-cluster-size-threshold int32 默认值:50 | |
node-lifecycle-controller 在执行 Pod 驱逐操作逻辑时,
基于此标志所设置的节点个数阈值来判断所在集群是否为大规模集群。
当集群规模小于等于此规模时,
--secondary-node-eviction-rate 会被隐式重设为 0。
|
|
--leader-elect 默认值:true | |
在执行主循环之前,启动领导选举(Leader Election)客户端,并尝试获得领导者身份。 在运行多副本组件时启用此标志有助于提高可用性。 | |
--leader-elect-lease-duration duration 默认值:15s | |
对于未获得领导者身份的节点, 在探测到领导者身份需要更迭时需要等待此标志所设置的时长, 才能尝试去获得曾经是领导者但尚未续约的席位。本质上, 这个时长也是现有领导者节点在被其他候选节点替代之前可以停止的最长时长。 只有集群启用了领导者选举机制时,此标志才起作用。 | |
--leader-elect-renew-deadline duration 默认值:10s | |
当前执行领导者角色的节点在被停止履行领导职责之前可多次尝试续约领导者身份; 此标志给出相邻两次尝试之间的间歇时长。 此值必须小于租期时长(Lease Duration)。 仅在集群启用了领导者选举时有效。 | |
--leader-elect-resource-lock string 默认值:"leases" | |
在领导者选举期间用于锁定的资源对象的类型。 支持的选项为
leases 、endpointsleases 和 configmapsleases 。
|
|
--leader-elect-resource-name string 默认值:"kube-controller-manager" | |
在领导者选举期间,用来执行锁操作的资源对象名称。 | |
--leader-elect-resource-namespace string 默认值:"kube-system" | |
在领导者选举期间,用来执行锁操作的资源对象的名字空间。 | |
--leader-elect-retry-period duration 默认值:2s | |
尝试获得领导者身份时,客户端在相邻两次尝试之间要等待的时长。 此标志仅在启用了领导者选举的集群中起作用。 | |
--leader-migration-config string | |
控制器领导者迁移所用的配置文件路径。
此值为空意味着使用控制器管理器的默认配置。
配置文件应该是 |
|
--legacy-service-account-token-clean-up-period duration 默认值:8760h0m0s | |
从最近一次使用某个旧的服务账号令牌计起,到该令牌在可以删除之前的时长。 |
|
--log-flush-frequency duration 默认值:5s | |
将内存中日志数据清除到日志文件中时,相邻两次清除操作之间最大间隔秒数。 | |
--logging-format string 默认值:"text" | |
设置日志格式。允许的格式:"text"。 |
|
--master string | |
Kubernetes API 服务器的地址。此值会覆盖 kubeconfig 文件中所给的地址。 | |
--max-endpoints-per-slice int32 默认值:100 | |
每个 EndpointSlice 中可以添加的端点个数上限。每个片段中端点个数越多, 得到的片段个数越少,但是片段的规模会变得更大。默认值为 100。 | |
--min-resync-period duration 默认值:12h0m0s | |
自省程序的重新同步时隔下限。实际时隔长度会在 min-resync-period 和
2 * min-resync-period 之间。
|
|
--mirroring-concurrent-service-endpoint-syncs int32 默认值:5 | |
endpointslice-mirroring-controller 将同时执行的服务端点同步操作数。 较大的数量 = 更快的端点切片更新,但 CPU(和网络)负载更多。 默认为 5。 | |
--mirroring-endpointslice-updates-batch-period duration | |
EndpointSlice 的长度会更新 endpointslice-mirroring-controller 的批处理周期。 EndpointSlice 更改的处理将延迟此持续时间, 以使它们与潜在的即将进行的更新结合在一起,并减少 EndpointSlice 更新的总数。 较大的数量 = 较高的端点编程延迟,但是生成的端点修订版本数量较少 | |
--mirroring-max-endpoints-per-subset int32 默认值:1000 | |
endpointslice-mirroring-controller 可添加到某 EndpointSlice 的端点个数上限。 每个分片的端点越多,端点分片越少,但资源越大。默认为 100。 | |
--namespace-sync-period duration 默认值:5m0s | |
对名字空间对象进行同步的周期。 | |
--node-cidr-mask-size int32 | |
集群中节点 CIDR 的掩码长度。对 IPv4 而言默认为 24;对 IPv6 而言默认为 64。 | |
--node-cidr-mask-size-ipv4 int32 | |
在双堆栈(同时支持 IPv4 和 IPv6)的集群中,节点 IPV4 CIDR 掩码长度。默认为 24。 | |
--node-cidr-mask-size-ipv6 int32 | |
在双堆栈(同时支持 IPv4 和 IPv6)的集群中,节点 IPv6 CIDR 掩码长度。默认为 64。 | |
--node-eviction-rate float 默认值:0.1 | |
当某区域健康时,在节点故障的情况下每秒删除 Pods 的节点数。
请参阅 --unhealthy-zone-threshold
以了解“健康”的判定标准。
这里的区域(zone)在集群并不跨多个区域时指的是整个集群。
|
|
--node-monitor-grace-period duration 默认值:40s | |
在将一个 Node 标记为不健康之前允许其无响应的时长上限。 必须比 kubelet 的 nodeStatusUpdateFrequency 大 N 倍; 这里 N 指的是 kubelet 发送节点状态的重试次数。 | |
--node-monitor-period duration 默认值:5s | |
cloud-node-lifecycle-controller 对节点状态进行同步的周期。 | |
--node-startup-grace-period duration 默认值:1m0s | |
在节点启动期间,节点可以处于无响应状态; 但超出此标志所设置的时长仍然无响应则该节点被标记为不健康。 | |
--permit-address-sharing | |
如果此标志为 true,则在绑定端口时使用 |
|
--permit-port-sharing | |
如果为 true,则在绑定端口时将使用 SO_REUSEPORT ,
这允许多个实例在同一地址和端口上进行绑定。[默认值=false]。
|
|
--profiling 默认值:true | |
通过位于 host:port/debug/pprof/ 的 Web 接口启用性能分析。
|
|
--pv-recycler-increment-timeout-nfs int32 默认值:30 | |
NFS 清洗 Pod 在清洗用过的卷时,根据此标志所设置的秒数, 为每清洗 1 GiB 数据增加对应超时时长,作为 activeDeadlineSeconds。 | |
--pv-recycler-minimum-timeout-hostpath int32 默认值:60 | |
对于 HostPath 回收器 Pod,设置其 activeDeadlineSeconds 参数下限。 此参数仅用于开发和测试目的,不适合在多节点集群中使用。 | |
--pv-recycler-minimum-timeout-nfs int32 默认值:300 | |
NFS 回收器 Pod 要使用的 activeDeadlineSeconds 参数下限。 | |
--pv-recycler-pod-template-filepath-hostpath string | |
对 HostPath 持久卷进行回收利用时,用作模板的 Pod 定义文件所在路径。 此标志仅用于开发和测试目的,不适合多节点集群中使用。 | |
--pv-recycler-pod-template-filepath-nfs string | |
对 NFS 卷执行回收利用时,用作模板的 Pod 定义文件所在路径。 | |
--pv-recycler-timeout-increment-hostpath int32 默认值:30 | |
HostPath 清洗器 Pod 在清洗对应类型持久卷时,为每 GiB 数据增加此标志所设置的秒数, 作为其 activeDeadlineSeconds 参数。此标志仅用于开发和测试环境,不适合多节点集群环境。 | |
--pvclaimbinder-sync-period duration 默认值:15s | |
持久卷(PV)和持久卷申领(PVC)对象的同步周期。 | |
--requestheader-allowed-names strings | |
标志值是客户端证书中的 Common Names 列表。其中所列的名称可以通过
--requestheader-username-headers 所设置的 HTTP 头部来提供用户名。
如果此标志值为空表,则被 --requestheader-client-ca-file
中机构所验证过的所有客户端证书都是允许的。
|
|
--requestheader-client-ca-file string | |
根证书包文件名。在信任通过 --requestheader-username-headers
所指定的任何用户名之前,要使用这里的证书来检查请求中的客户证书。
警告:一般不要依赖对请求所作的鉴权结果。
|
|
--requestheader-extra-headers-prefix strings 默认值:"x-remote-extra-" |
|
要插入的请求头部前缀。建议使用 X-Remote-Exra- 。
|
|
--requestheader-group-headers strings 默认值:"x-remote-group" |
|
用来检查用户组名的请求头部名称列表。建议使用 X-Remote-Group 。
|
|
--requestheader-username-headers strings 默认值:"x-remote-user" |
|
用来检查用户名的请求头部名称列表。建议使用 X-Remote-User 。
|
|
--resource-quota-sync-period duration 默认值:5m0s | |
对系统中配额用量信息进行同步的周期。 | |
--root-ca-file string | |
如果此标志非空,则在服务账号的令牌 Secret 中会包含此根证书机构。 所指定标志值必须是一个合法的 PEM 编码的 CA 证书包。 | |
--route-reconciliation-period duration 默认值:10s | |
对云驱动为节点所创建的路由信息进行调解的周期。 | |
--secondary-node-eviction-rate float32 默认值:0.01 | |
当一个区域不健康造成节点失效时,每秒钟从此标志所给的节点上删除 Pod 的节点个数。
参见 --unhealthy-zone-threshold 以了解“健康与否”的判定标准。
在只有一个区域的集群中,区域指的是整个集群。如果集群规模小于
--large-cluster-size-threshold 所设置的节点个数时,
此值被隐式地重设为 0。
|
|
--secure-port int 默认值:10257 | |
在此端口上提供 HTTPS 身份认证和鉴权操作。若此标志值为 0,则不提供 HTTPS 服务。 | |
--service-account-private-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥数据的文件名,这些私钥用来对服务账号令牌签名。 | |
--service-cluster-ip-range string | |
集群中 Service 对象的 CIDR 范围。要求 --allocate-node-cidrs 标志为 true。
|
|
--show-hidden-metrics-for-version string | |
你希望展示隐藏度量值的上一个版本。只有上一个次版本号有意义,其他值都是不允许的。 字符串格式为 "<major>.<minor>"。例如:"1.16"。 此格式的目的是确保你能够有机会注意到下一个版本隐藏了一些额外的度量值, 而不是在更新版本中某些度量值被彻底删除时措手不及。 | |
--terminated-pod-gc-threshold int32 默认值:12500 | |
在已终止 Pod 垃圾收集器删除已终止 Pod 之前,可以保留的已终止 Pod 的个数上限。 若此值小于等于 0,则相当于禁止垃圾回收已终止的 Pod。 | |
--tls-cert-file string | |
包含 HTTPS 所用的默认 X509 证书的文件。如果有 CA 证书,会被串接在服务器证书之后。
若启用了 HTTPS 服务且 --tls-cert-file 和 --tls-private-key-file
标志未设置,
则为节点的公开地址生成自签名的证书和密钥,并保存到 --cert-dir
所给的目录中。
|
|
--tls-cipher-suites strings | |
供服务器使用的加密包的逗号分隔列表。若忽略此标志,则使用 Go 语言默认的加密包。 可选值包括:TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、TLS_RSA_WITH_AES_256_CBC_SHA、TLS_RSA_WITH_AES_256_GCM_SHA384。 不安全的值: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_ECDSA_WITH_RC4_128_SHA、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_RSA_WITH_RC4_128_SHA、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_RC4_128_SHA。 |
|
--tls-min-version string | |
可支持的最低 TLS 版本。可选值包括: “VersionTLS10”、“VersionTLS11”、“VersionTLS12”、“VersionTLS13”。 | |
--tls-private-key-file string | |
包含与 --tls-cert-file 对应的默认 X509 私钥的文件。
|
|
--tls-sni-cert-key string | |
X509 证书和私钥文件路径的耦对。作为可选项,可以添加域名模式的列表,
其中每个域名模式都是可以带通配片段前缀的全限定域名(FQDN)。
域名模式也可以使用 IP 地址字符串,
不过只有 API 服务器在所给 IP 地址上对客户端可见时才可以使用 IP 地址。
在未提供域名模式时,从证书中提取域名。
如果有非通配方式的匹配,则优先于通配方式的匹配;显式的域名模式优先于提取的域名。
当存在多个密钥/证书耦对时,可以多次使用 --tls-sni-cert-key 标志。
例如:example.crt,example.key 或 foo.crt,foo.key:\*.foo.com,foo.com 。
|
|
--unhealthy-zone-threshold float32 默认值:0.55 | |
仅当给定区域中处于非就绪状态的节点(最少 3 个)的占比高于此值时, 才将该区域视为不健康。 | |
--use-service-account-credentials | |
当此标志为 true 时,为每个控制器单独使用服务账号凭据。 | |
-v, --v int | |
日志级别详细程度取值。 | |
--version version[=true] | |
--version, --version=raw 打印版本信息之后退出; --version=vX.Y.Z... 设置报告的版本。 | |
--vmodule pattern=N,... | |
由逗号分隔的列表,每一项都是 pattern=N 格式,用来执行根据文件过滤的日志行为(仅适用于 text 日志格式)。 |