kube-apiserver启动命令参数解释

最新推荐文章于 2024-01-09 10:28:45 发布
最新推荐文章于 2024-01-09 10:28:45 发布
阅读量3.9k 收藏 3
点赞数
文章标签: java linux kubernetes https 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33921750/article/details/123343722
版权
本文详细解析了kube-apiserver的启动参数,包括日志级别、监听地址、安全端口、服务集群IP范围、etcd服务器配置、认证授权模式等关键参数,帮助理解Kubernetes API服务器的运行机制。
摘要由CSDN通过智能技术生成

在apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。

584f86c9718f710a4d2c5ac7d2d56f56.png

我的kube-apiserver启动命令参数:

cat > /usr/lib/systemd/system/kube-apiserver.service << EOF




[Unit]
Description=Kubernetes API Server
Documentation=https://github.com/kubernetes/kubernetes
After=network.target




[Service]
ExecStart=/usr/local/bin/kube-apiserver \
      --v=2  \
      --logtostderr=true  \
      --allow-privileged=true  \
      --bind-address=0.0.0.0  \
      --secure-port=6443  \
      --insecure-port=0  \
      --advertise-address=192.168.1.30 \
      --service-cluster-ip-range=10.96.0.0/12  \
      --service-node-port-range=30000-32767  \
      --etcd-servers=https://192.168.1.30:2379,https://192.168.1.31:2379,https://192.168.1.32:2379 \
      --etcd-cafile=/etc/etcd/ssl/etcd-ca.pem  \
      --etcd-certfile=/etc/etcd/ssl/etcd.pem  \
      --etcd-keyfile=/etc/etcd/ssl/etcd-key.pem  \
      --client-ca-file=/etc/kubernetes/pki/ca.pem  \
      --tls-cert-file=/etc/kubernetes/pki/apiserver.pem  \
      --tls-private-key-file=/etc/kubernetes/pki/apiserver-key.pem  \
      --kubelet-client-certificate=/etc/kubernetes/pki/apiserver.pem  \
      --kubelet-client-key=/etc/kubernetes/pki/apiserver-key.pem  \
      --service-account-key-file=/etc/kubernetes/pki/sa.pub  \
      --service-account-signing-key-file=/etc/kubernetes/pki/sa.key  \
      --service-account-issuer=https://kubernetes.default.svc.cluster.local \
      --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname  \
      --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,ResourceQuota  \
      --authorization-mode=Node,RBAC  \
      --enable-bootstrap-token-auth=true  \
      --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.pem  \
      --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.pem  \
      --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client-key.pem  \
      --requestheader-allowed-names=aggregator  \
      --requestheader-group-headers=X-Remote-Group  \
      --requestheader-extra-headers-prefix=X-Remote-Extra-  \
      --requestheader-username-headers=X-Remote-User
      # --token-auth-file=/etc/kubernetes/token.csv




Restart=on-failure
RestartSec=10s
LimitNOFILE=65535




[Install]
WantedBy=multi-user.target




EOF

解释

-v, --v int
日志级别详细程度的数字。


--logtostderr     默认值:true
在标准错误而不是文件中输出日志记录。
--bind-address string     默认值:"0.0.0.0"
用来监听 --secure-port 端口的 IP 地址。集群的其余部分以及 CLI/web 客户端必须可以访问所关联的接口。如果为空白或未指定地址(0.0.0.0 或 ::),则将使用所有接口。


--secure-port int     默认值:6443
带身份验证和鉴权机制的 HTTPS 服务端口。不能用 0 关闭。


--advertise-address string
向集群成员通知 apiserver 消息的 IP 地址。这个地址必须能够被集群中其他成员访问。如果 IP 地址为空,将会使用 --bind-address, 如果未指定 --bind-address,将会使用主机的默认接口地址。


--service-cluster-ip-range string
CIDR 表示的 IP 范围用来为服务分配集群 IP。此地址不得与指定给节点或 Pod 的任何 IP 范围重叠。


--service-node-port-range <形式为 'N1-N2' 的字符串>     默认值:30000-32767
保留给具有 NodePort 可见性的服务的端口范围。例如:"30000-32767"。范围的两端都包括在内。


--etcd-servers strings
要连接的 etcd 服务器列表(scheme://ip:port),以逗号分隔。


--etcd-cafile string
用于保护 etcd 通信的 SSL 证书颁发机构文件。


--etcd-certfile string
用于保护 etcd 通信的 SSL 证书文件。


--etcd-keyfile string
用于保护 etcd 通信的 SSL 密钥文件。


--client-ca-file string
如果已设置,则使用与客户端证书的 CommonName 对应的标识对任何出示由 client-ca 文件中的授权机构之一签名的客户端证书的请求进行身份验证。


--tls-cert-file string
包含用于 HTTPS 的默认 x509 证书的文件。(CA 证书(如果有)在服务器证书之后并置)。如果启用了 HTTPS 服务,并且未提供 --tls-cert-file 和 --tls-private-key-file, 为公共地址生成一个自签名证书和密钥,并将其保存到 --cert-dir 指定的目录中。


--tls-private-key-file string
包含匹配 --tls-cert-file 的 x509 证书私钥的文件。


--kubelet-client-certificate string
TLS 的客户端证书文件的路径。


--kubelet-client-key string
TLS 客户端密钥文件的路径。


--service-account-key-file strings
包含 PEM 编码的 x509 RSA 或 ECDSA 私钥或公钥的文件,用于验证 ServiceAccount 令牌。指定的文件可以包含多个键,并且可以使用不同的文件多次指定标志。如果未指定,则使用 --tls-private-key-file。提供 --service-account-signing-key 时必须指定。


--service-account-signing-key-file string
包含服务帐户令牌颁发者当前私钥的文件的路径。颁发者将使用此私钥签署所颁发的 ID 令牌。


--service-account-issuer strings
服务帐号令牌颁发者的标识符。颁发者将在已办法令牌的 "iss" 声明中检查此标识符。此值为字符串或 URI。如果根据 OpenID Discovery 1.0 规范检查此选项不是有效的 URI,则即使特性门控设置为 true, ServiceAccountIssuerDiscovery 功能也将保持禁用状态。强烈建议该值符合 OpenID 规范:https://openid.net/specs/openid-connect-discovery-1_0.html。实践中,这意味着 service-account-issuer 取值必须是 HTTPS URL。还强烈建议此 URL 能够在 {service-account-issuer}/.well-known/openid-configuration 处提供 OpenID 发现文档。当此值被多次指定时,第一次的值用于生成令牌,所有的值用于确定接受哪些发行人。


--kubelet-preferred-address-types strings     默认值:Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP
用于 kubelet 连接的首选 NodeAddressTypes 列表。


--enable-admission-plugins stringSlice
除了默认启用的插件(NamespaceLifecycle、LimitRanger、ServiceAccount、TaintNodesByCondition、PodSecurity、Priority、DefaultTolerationSeconds、DefaultStorageClass、StorageObjectInUseProtection、PersistentVolumeClaimResize、RuntimeClass、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、MutatingAdmissionWebhook、ValidatingAdmissionWebhook、ResourceQuota)之外要启用的插件
取值为逗号分隔的准入插件列表:AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyServiceExternalIPs、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision、NamespaceExists、NamespaceLifecycle、NodeRestriction、OwnerReferencesPermissionEnforcement、PersistentVolumeClaimResize、PersistentVolumeLabel、PodNodeSelector、PodSecurity、PodSecurityPolicy、PodTolerationRestriction、Priority、ResourceQuota、RuntimeClass、SecurityContextDeny、ServiceAccount、StorageObjectInUseProtection、TaintNodesByCondition、ValidatingAdmissionWebhook
该标志中插件的顺序无关紧要。


--authorization-mode stringSlice     默认值:"AlwaysAllow"
在安全端口上进行鉴权的插件的顺序列表。逗号分隔的列表:AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC、Node。


--enable-bootstrap-token-auth
启用以允许将 "kube-system" 名字空间中类型为 "bootstrap.kubernetes.io/token" 的 Secret 用于 TLS 引导身份验证。


--requestheader-client-ca-file string
在信任请求头中以 --requestheader-username-headers 指示的用户名之前, 用于验证接入请求中客户端证书的根证书包。警告:一般不要假定传入请求已被授权。


--proxy-client-cert-file string
当必须调用外部程序以处理请求时,用于证明聚合器或者 kube-apiserver 的身份的客户端证书。包括代理转发到用户 api-server 的请求和调用 Webhook 准入控制插件的请求。Kubernetes 期望此证书包含来自于 --requestheader-client-ca-file 标志中所给 CA 的签名。该 CA 在 kube-system 命名空间的 "extension-apiserver-authentication" ConfigMap 中公开。从 kube-aggregator 收到调用的组件应该使用该 CA 进行各自的双向 TLS 验证。


--proxy-client-key-file string
当必须调用外部程序来处理请求时,用来证明聚合器或者 kube-apiserver 的身份的客户端私钥。这包括代理转发给用户 api-server 的请求和调用 Webhook 准入控制插件的请求。


--requestheader-allowed-names strings
此值为客户端证书通用名称(Common Name)的列表;表中所列的表项可以用来提供用户名, 方式是使用 --requestheader-username-headers 所指定的头部。如果为空,能够通过 --requestheader-client-ca-file 中机构 认证的客户端证书都是被允许的。


--requestheader-group-headers strings
用于查验用户组的请求头部列表。建议使用 X-Remote-Group。


--requestheader-extra-headers-prefix strings
用于查验请求头部的前缀列表。建议使用 X-Remote-Extra-。


--requestheader-username-headers strings
用于查验用户名的请求头头列表。建议使用 X-Remote-User。


--token-auth-file string
如果设置该值,这个文件将被用于通过令牌认证来保护 API 服务的安全端口。


官方文档:
https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kube-apiserver/

4780ac40aa2f4b73040ab58de95a48f5.png

https://www.oiox.cn/

https://www.chenby.cn/

https://cby-chen.github.io/

https://weibo.com/u/5982474121

https://blog.csdn.net/qq_33921750

https://my.oschina.net/u/3981543

https://www.zhihu.com/people/chen-bu-yun-2

https://segmentfault.com/u/hppyvyv6/articles

https://juejin.cn/user/3315782802482007

https://space.bilibili.com/352476552/article

https://cloud.tencent.com/developer/column/93230

https://www.jianshu.com/u/0f894314ae2c

https://www.toutiao.com/c/user/token/MS4wLjABAAAAeqOrhjsoRZSj7iBJbjLJyMwYT5D0mLOgCoo4pEmpr4A/

CSDN、GitHub、知乎、开源中国、思否、掘金、简书、腾讯云、哔哩哔哩、今日头条、新浪微博、个人博客、全网可搜《小陈运维》

小陈运维
关注
深入解析 kube-apiserver:从基础到实战应用
颜淡慕潇
10-08 7541
Kubernetes 是现代容器编排的核心工具,而 `kube-apiserver` 则是 Kubernetes 集群的关键组件之一。它是所有 Kubernetes API 请求的入口,负责处理集群的状态和配置。本文将详细介绍 `kube-apiserver` 的基础知识、架构、配置、性能优化以及实战应用。
kube-apiserver 安装路由汇总
fengcai_ke的博客
09-20 590
kube-apiserver路由汇总
kube-apiserver启动参数配置项解释
qq_40502714的博客
11-02 747
kube-api server参数解释
kubernetes/k8s概念】kube-apiserver启动参数
zhonglinzhang
05-30 1万+
kubernetes 1.12.1版本 DESC The Kubernetes API server validates and configures data for the api objects which include pods, services, replicationcontrollers, and others. The API Server services REST o...
kube-apiserver 启动流程
Lemon熊的博客
01-09 1258
kube-apiserver组件启动后的第一件事情是将Kubernetes所支持的资源注册到Scheme资源注册表中,这样后面启动的逻辑才能够从Scheme资源注册表中拿到资源信息并启动和运行APIExtensionsServerKubeAPIServer、AggregatorServer这3种服务。函数中为资源注册对应的Handlers方法(即资源存储对象Resource Storage) ,完成资源与资源Handlers方法的绑定并为go-restful WebService添加该路由。
[k8s]k8s api-server启动systemd参数分析
weixin_30773135的博客
11-21 1095
默认2个参数就可以启动(必需) kube-apiserver \ --service-cluster-ip-range=10.254.0.0/16 \ --etcd-servers=http://192.168.14.132:2379 默认http是127.0.0.1:8080 https://0.0.0.0:6443 设置insecure-bind-address(默认127.0...
保姆级Ubuntu20/22安装Kubernetes与踩坑
qq_40851623的博客
11-30 2201
Kubernetes:1.25.10 (1.24+已经弃用了docker,初始化时会有超时异常)
最新的k8s生产环境部署(k8s1.25+containerd+ubuntu20.04)
u012735308的博客
09-26 6043
最新的k8s生产环境部署,使用k8s1.25、containerd、Ubuntu20.04
【k8s源码分析-Apiserver-2】kube-apiserver 结构概览以及主体部分源码分析
叮当猫的喵i
12-25 1385
假 设 所 有 的 认 证 器 都 被 启 用 , 当 客 户 端 发 送 请 求 到 kubeapiserver服务,该请求会进入Authentication Handler函数(处理认 证相关的Handler函数),在Authentication Handler函数中,会遍历已启用的认证器列表, 尝试执行每个认证器, 当有一个认证器返回 true时,则认证成功,否则继续尝试下一个认证器。当客户端发起一个请求,经过认证阶段时,只要有一个认证器通过,则认证成功。在客户端请求通过认证之后, 会来到授权阶段。
部署Kubernetes kube-apiserver启动失败
热门推荐
山东梅长苏
05-11 3万+
systemctl restart kube-apiserver启动失败 [root@centos-master yum.repos.d]# systemctl status kube-apiserver.service ● kube-apiserver.service - Kubernetes API Server Loaded: loaded (/usr/lib/systemd/syst...
linux中离线安装k8s的master, 包括kube-apiserverkube-controller-manager, kube-scheduler
muzizongheng的专栏
04-03 1774
1.首先建立3个centos7.6的虚拟机。比如用流行的VirtualBox 2.从k8s的github上下载最新版本的安装包。https://github.com/kubernetes/kubernetes/releases 3.通过winscp把windows上的下载的安装包copy到centos虚拟机上 4.更改各虚拟机的hostname, 比如一个为k8s-master:hostna...
centos7修改主机名_CentOS7安装Kubernetes1.18.1并使用flannel;
weixin_39970668的博客
11-24 297
一、概述手工搭建 Kubernetes 集群是一件很繁琐的事情,为了简化这些操作,就产生了很多安装配置工具,如 Kubeadm ,Kubespray,RKE 等组件,我最终选择了官方的 Kubeadm 主要是不同的 Kubernetes 版本都有一些差异,Kubeadm 更新与支持的会好一些。Kubeadm 是 Kubernetes 官方提供的快速安装和初始化 Kubernetes ...
kubernetes系列】Kubernetes之ServiceAccount
margu_168的博客
07-12 1991
默认的service account 仅仅只能获取当前Pod自身的相关属性,无法观察到其他名称空间Pod的相关属性信息。如果想要扩展Pod,假设有一个Pod需要用于管理其他Pod或者是其他资源对象(例如dashboard),是无法通过自身的名称空间的default service account进行获取其他Pod的相关属性信息的,此时就需要进行手动创建一个serviceaccount,并在创建Pod时进行定义使用。
kubeadm创建kubernetes集群
weixin_45842494的博客
06-26 624
kubeadm创建集群 我们使用“公有云-青云”提供的服务器作为今天的演示操作。准备三台机器,一个主控节点,两个工作节点。 前提条件 Kubernetes集群的安装需要依赖于容器化的运行环境,所以我们首先要在每一个节点上安装docker。方法参考我之前的文章。 Docker安装,环境配置说明,阿里云镜像加速配置 1、基础环境 所有机器执行以下操作。 各个机器设置自己的域名 hostnamectl set-hostname xxxx 禁用SELinux sudo seten
纯手工搭建k8s集群
y19910825的博客
06-14 563
https://www.kubernetes.org.cn/3786.html 初衷 自从kubernetes(k8s)出现以来,安装复杂、部署困难就一直被业内吐槽,同时也把很多初学者挡在门外。虽然官方也有专门用来入门的单机部署方案:Minikube,和用来搭建集群的Kubeadm,但国内绿色的网络环境让官方的方案变得异常复杂。所以社区也涌现出很多专门用于部署k8s的项目,像使用ansible脚本方式的kubeasz,在github上已经有500多star;还有各种k8s相关的网站也有很多专门针对
K8s 学习笔记(二)——pod控制器
weixin_39802680的博客
12-04 1617
文章目录pod 控制器ReplicaSet(RS)Deploymentdeployment 扩缩容deployment 镜像更新deployment版本回退金丝雀发布Horizontal Pod Autoscaler (HPA)DaemonSet(DS):JobCronjob(CJ)StatefulSet pod 控制器 在K8s 中,按照pod 的创建方式,可以将其分为两类: 自主式pod : K8s 直接创建出来的pod,这种pod 删除了也就没有了,也不会重建。 控制器创建的pod : 通过控
kubernetes二进制部署k8s-master集群controller-manager服务unhealthy问题
li123128的博客
12-29 7337
  一.问题现象      我们使用二进制部署k8s的高可用集群时,在部署多master时,kube-controller-manager服务提示Unhealthy      [root@ceph-01 system]# kubectl get cs      NAME                 STATUS      MESSAGE                             ...
k8s学习(九) 使用metrics-server 进行hpa扩容
文若书生的专栏
08-30 1982
Horizontal Pod Autoscaling(Pod水平自动伸缩),简称HPA。HAP通过监控分析RC或者Deployment控制的所有Pod的负载变化情况来确定是否需要调整Pod的副本数量,这是HPA最基本的原理。 当你创建了HPA后,HPA会从metrics-server或者用户自定义的监控获取每一个一个Pod利用率或原始值的平均值,然后和HPA中定义的指标进行对比,同时计算出需要伸...
安装kube-apiserver
最新发布
10-18
安装Kubernetes(K8s)的`kube-apiserver`通常涉及以下几个步骤,假设您正在部署在一个Linux系统上: 1. **获取依赖**: 首先,确保您的系统已经安装了`Docker`和`etcd`,因为`kube-apiserver`是基于这些服务运行的。此外,您需要访问Kubernetes的GitHub仓库或从官方镜像仓库下载最新的`kubectl`。 2. **配置环境变量**: 确保创建并设置好必要的环境变量,如`KUBECONFIG`,它指示API服务器应该在哪里查找配置信息。 3. **构建或下载镜像**: 如果你想要自建,可以使用`go build`命令Kubernetes源码目录下构建API服务器。如果直接使用,可以在Docker Hub上找到官方镜像`gcr.io/kubernetes/kube-apiserver:v1.x.y`,通过`docker pull`拉取。 4. **启动`etcd`**: `kube-apiserver`需要一个etcd实例作为存储后端,你可以通过运行`etcd`二进制文件启动本地的etcd。 5. **运行`kube-apiserver`**: 使用以下命令替换相应的参数(比如`--cert-dir`, `--client-ca-file`, 和`--service-account-key-file`等),并指定`etcd`的地址来启动它: ```shell kubectl apply -f https://raw.githubusercontent.com/coreos/etcd/master/Documentation/examples/v3_4/client-v3.4.yaml kubectl create secret generic service-account-token --from-literal=token=$(kubectl -n kube-system get secrets $(kubectl get sa default -o jsonpath='{.secrets[0].name}') | cut -d ":" -f2) export ETCDCTL_API=3 etcdctl put /registry.k8s.io/apiservices/default/serviceaccount token "$(kubectl get serviceaccount-token service-account-token -o jsonpath='{.data.token}' | base64)" kubectl run kube-apiserver --image=gcr.io/kubernetes/kube-apiserver:v1.x.y \ --port=6443 \ --service-account-key-file=/var/run/secrets/kubernetes.io/serviceaccount/key.pem \ --service-account-name=default \ --service-cluster-ip-range=10.0.0.0/16 \ --admission-control=... (其他所需的控制插件) \ --etcd-servers=http://localhost:2379 ``` 6. **验证安装**: 使用`kubectl get nodes`检查集群是否正常初始化,并通过`kubectl cluster-info`确认API服务器是否可用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值