[k8s]k8s api-server启动systemd参数分析

最新推荐文章于 2023-12-25 11:09:15 发布
最新推荐文章于 2023-12-25 11:09:15 发布
阅读量1k 收藏 1
点赞数
文章标签: 操作系统 运维
原文链接:http://www.cnblogs.com/iiiiher/p/7874795.html
版权

默认2个参数就可以启动(必需)

kube-apiserver \
    --service-cluster-ip-range=10.254.0.0/16 \
    --etcd-servers=http://192.168.14.132:2379

默认http是127.0.0.1:8080 https://0.0.0.0:6443

设置insecure-bind-address(默认127.0.0.1)

kube-apiserver \
    --service-cluster-ip-range=10.254.0.0/16 \
    --etcd-servers=http://192.168.14.132:2379 \
    --insecure-bind-address=0.0.0.0

设置访问api的日志

kube-apiserver \
    --service-cluster-ip-range=10.254.0.0/16 \
    --etcd-servers=http://192.168.14.132:2379 \
    --audit-log-path=/root/apiserver.log

开启记录juneral日志(修改非安全ip)

kube-apiserver \
    --service-cluster-ip-range=10.254.0.0/16 \
    --etcd-servers=http://127.0.0.1:2379 \
    --insecure-bind-address=0.0.0.0 \
    --logtostderr=false \                     #log to standard error instead of files (default true) 默认是true
    --v=2
--v=0的时候日志很少,--v2日志较多

将juneral日志记录到文件

kube-apiserver \
  --service-cluster-ip-range=10.254.0.0/16 \
  --etcd-servers=http://192.168.14.132:2379 \
  --insecure-bind-address=0.0.0.0 \
  --logtostderr=false \
  --log-dir=/root/logs \
  --v=2
  --audit-log-path=/root/apiserver.log

这里如果--v2时候,感觉audit日志也被juneral日志包含了.
audit和logtostderr分别都不设置,则啥都不记录.

设置swagger(默认关闭)

kube-apiserver \
  --service-cluster-ip-range=10.254.0.0/16 \
  --etcd-servers=http://192.168.14.132:2379 \
  --insecure-bind-address=0.0.0.0 \
  --enable-swagger-ui=true \
  --audit-log-path=/root/apiserver.log

http://192.168.14.132:8080/swagger-ui/

稍微完善点的写法

kube-apiserver \
  --service-cluster-ip-range=10.254.0.0/16 \
  --etcd-servers=http://192.168.14.132:2379 \
  --enable-swagger-ui=true \
  --audit-log-path=/var/log/kubernetes/apiserver.log \
  --audit-log-maxsize=100 \
  --audit-log-maxbackup=3 \
  --audit-log-maxage=30 \
  --event-ttl=1h \ 
  --logtostderr=true \
  --v=2
kube-apiserver \
  --service-cluster-ip-range=10.254.0.0/16 \
  --etcd-servers=http://192.168.14.132:2379 \
  --enable-swagger-ui=true \
  --audit-log-path=/var/log/kubernetes/apiserver.log \
  --audit-log-maxsize=100 \
  --audit-log-maxbackup=3 \
  --audit-log-maxage=30 \
  --event-ttl=1h \ 
  --logtostderr=false \
  --log-dir=/root/logs \
  --v=2

kube-apiserver参数解析

参考: https://kubernetes.io/docs/reference/generated/kube-apiserver/
https://kubernetes.io/docs/tasks/debug-application-cluster/audit/

cat  > kube-apiserver.service <<EOF
...
[Service]
ExecStart=/usr/local/bin/kube-apiserver \\
#++++++++++++++++++++++++++++++++++++++++++
#必需区
#++++++++++++++++++++++++++++++++++++++++++
    --service-cluster-ip-range=10.254.0.0/16 \\
    --etcd-servers=http://192.168.14.132:2379


#++++++++++++++++++++++++++++++++++++++++++
# 监听ip区---http https 监听的ip+port
#++++++++++++++++++++++++++++++++++++++++++
  --apiserver-count=3 \\(default 1)
  --advertise-address=192.168.14.132 \\ #告诉别人在我是谁[ members of the cluster][默认 --bind-address]

  --insecure-bind-address=192.168.14.132 \\ #非安全端口监听的ip(default 127.0.0.1)
  --insecure-port=8080 \\ # 非安全端口监听的端口(默认8080)
  --bind-address=0.0.0.0 \\ # 安全端口监听的ip(default 0.0.0.0)
  --secure-port=6443 \\     # 安全端口(默认6443)


  --service-node-port-range=30000-65535 \\(default 30000-32767)
  --runtime-config=rbac.authorization.k8s.io/v1alpha1 \\ # 打开或关闭针对某个api版本支持
#++++++++++++++++++++++++++++++++++++++++++
# 授权区----授权模式 准入插件 是否允许容器特权 
#++++++++++++++++++++++++++++++++++++++++++
    --authorization-mode=RBAC \\ # 授权模式(default "AlwaysAllow")
    --admission-control=ServiceAccount,DefaultStorageClass,ResourceQuota(基于pod和容器的配额),LimitRanger(基于ns的配额),NamespaceLifecycle(随着ns被删其包含的资源也被删除) \\ 值得注意的是他还有 AlwaysPullImages这个控制参数


    --allow-privileged=true \\   # docker run --privileged [default=false]
    --enable-swagger-ui=true \\
  
    #Enable to allow secrets of type 'bootstrap.kubernetes.io/token' in the 'kube-system' namespace to be used for TLS bootstrapping authentication.
    --experimental-bootstrap-token-auth \\
    #(If set, the file that will be used to secure the secure port of the API server via token authentication.)
    --token-auth-file=/etc/kubernetes/token.csv \\ 


#++++++++++++++++++++++++++++++++++++++++++
# 证书区
#++++++++++++++++++++++++++++++++++++++++++
    --client-ca-file=/etc/kubernetes/ssl/ca.crt \\
    --service-account-key-file=/etc/kubernetes/ssl/ca.key \\
    --tls-cert-file=/etc/kubernetes/ssl/server.crt \\
    --tls-private-key-file=/etc/kubernetes/ssl/server.key \\

    --etcd-cafile=/etc/kubernetes/ssl/ca.pem \\
    --etcd-certfile=/etc/kubernetes/ssl/kubernetes.pem \\
    --etcd-keyfile=/etc/kubernetes/ssl/kubernetes-key.pem \\
    --etcd-servers=https://192.168.14.132:2379,https://192.168.14.133:2379,https://192.168.14.134:2379  \\


#++++++++++++++++++++++++++++++++++++++++++
# 日志区
#++++++++++++++++++++++++++++++++++++++++++
    --audit-log-path=/var/log/kubernetes/apiserver.log \\ #审计日志路径
    --audit-log-maxsize=100 \\#日志文件最大大小(单位MB),超过后自动做轮转(默认为100MB)
    --audit-log-maxbackup=3 \\#旧日志文件最多保留个数
    --audit-log-maxage=30 \\  #旧日志最长保留天数
    --event-ttl=1h \\ 
    --logtostderr=false \\ #不输出到
    ----log-dir=/root/logs \\ 输出到文件夹
    --v=2 #级别0比级别2输出的日志少

转载于:https://www.cnblogs.com/iiiiher/p/7874795.html

weixin_30773135
关注
在linux中离线安装k8s的master, 包括kube-apiserver, kube-controller-manager, kube-scheduler
muzizongheng的专栏
04-03 1774
1.首先建立3个centos7.6的虚拟机。比如用流行的VirtualBox 2.从k8s的github上下载最新版本的安装包。https://github.com/kubernetes/kubernetes/releases 3.通过winscp把windows上的下载的安装包copy到centos虚拟机上 4.更改各虚拟机的hostname, 比如一个为k8s-master:hostna...
【实战加详解】二进制部署k8s高可用集群系列教程六 -部署 kube-apiserver
JohnYang's CSDN Home
10-12 559
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
【kubernetes/k8s概念】kube-apiserver启动参数
热门推荐
zhonglinzhang
05-30 1万+
kubernetes 1.12.1版本 DESC The Kubernetes API server validates and configures data for the api objects which include pods, services, replicationcontrollers, and others. The API Server services REST o...
[k8s]api controller schedular service的启动脚本参数
毛台
05-10 705
[root@node131 bin]# cat kube-apiserver.service [Unit] Description=Kubernetes API Server Documentation=https://github.com/GoogleCloudPlatform/kubernetes After=network.target [Service] ExecStart=/root
kube-apiserver命令行参数详解
屈帅波的技术博客
07-19 2684
来自《kubernetes源码剖析》 1.Generic flags 通用参数 --advertise-address ip 用于设置相机群众其他组件发布api-server的ip地址,该地址必须能够被集群中的其他组件访问。如果该参数为空则使用--bind-address。如果未指定--bind-address则使用主机的默认端口 --cloud-provider-gcc-lb-src-cidrs cidrs 用于设置在Gce防火墙中打开c.
kube-apiserver启动命令参数解释
小云的博客
03-07 3923
apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
k8s开启swagger-ui 开启api界面 curl k8s api (含django-k8s-api项目seal地址)
yuezhilangniao的博客
09-08 1406
现在的版本默认只开启了6443安全端口,需要证书验证才能访问api,实现起来稍微有点麻烦,这里提供一个简单的方法。 先来看看官方说明: Complete API details are documented using Swagger v1.2 and OpenAPI. The Kubernetes apiserver (aka “master”) exposes an API that can be used to retrieve the Swagger v1.2 Kubernetes API spec
kube-apiserver进程无法启动了,k8s 1.7.12
weixin_34051201的博客
03-23 1771
[root@k8s_m3:~]# journalctl -fu kube-apiserver-- Logs begin at Fri 2018-03-23 05:28:27 CST. --Mar 23 11:21:45 k8s_m3 kube-apiserver[30278]: I0323 11:21:45.125856 30278 master.go:335] Enab...
部署k8s的kube-apiserver组件启动组件服务报Failed to start Kubernetes API Server.
weixin_41831919的博客
08-15 1万+
报错现象如下: [root@localhost kubernetes]# systemctl status kube-apiserver ● kube-apiserver.service - Kubernetes API Server Loaded: loaded (/usr/lib/systemd/system/kube-apiserver.service; enabled; vendor preset: disabled) Active: failed (Result: start-li
K8S-Demo集群实践06:部署kube-apiserver到master节点(3个无状态实例)
jasonhe2018的博客
01-19 924
K8S-Demo集群实践:部署kube-apiserver到master节点(3个无状态实例)一、下载并分发二进制文件到3个master节点二、创建加密配置文件三、创建并分发审计策略1、创建审计策略文件 audit-policy.yaml2、分发审计策略文件到3个master节点四、部署kube-apiserver服务1、创建kube-apiserver systemd unit模板文件2、分发kube-apiserver systemd unit文件到3个master节点3、启动kube-apiserve
Kubernetes集群的安全配置
大树叶 技术专栏
11-25 4329
使用kubernetes/cluster/kube-up.sh脚本在装有Ubuntu操作系统的bare metal上搭建的Kubernetes集群并不安全,甚至可以说是“完全不设防的”,这是因为Kubernetes集群的核心组件:kube-apiserver启用了insecure-port。insecure-port背后的api server默认完全信任访问该端口的流量,内部无任何安全机制
Kubernate之安装(实战)
天涯芳草
05-16 802
Kubernate安装的时候,需要先安装主节点,然后安装从节点,主节点中,需要注意配置文件的配置,而且ETCD最好做单独服务,让etcd先启动后,然后再启动kubernate的master和node子节点,Master节点 有apiServer ,Scheduler,Controller-manager,Node节点有:kubelet和proxy和flanned,flanned是用来管理docker容器网络的,而且需要结合etcd来使用。 kubernate容器的调度模...
kubernetes二进宫系列——k8s整体架构与核心组件详解-2
一别两宽丶各生欢喜
02-23 1361
目录 六、kubernetes核心组件之apiserver详解 七、kubernetes核心组件之scheduler详解 八、kubernetes核心组件之controller manager详解 九、kubernetes核心组件之kubelet详解 放在文章首位: 该文章为学习时发现的宝藏集合,为了避免失联仅以留存形式在此。建议去原文阅读:https://blog.csdn.net/qq_42987484/category_9539473.html。 个人认为内容以理解为主,不求...
K8s攻击案例:组件未授权访问导致集群入侵
最新发布
12-25 8550
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
K8S 组件参数及常见问题处理
Kubernetes云计算的专栏
06-17 1390
1. 问题说明 针对K8S 1.13 后的版本,提供 K8S 通用的优化要点。常见的使用经验、问题处理分享。 针对 K8S 组件,一些典型参数以及常见的一些问题和处理方法。 2. 问题处理 先看一下Kubernetes主要架构组件图: 2.1 etcd Kubernetes 中的大部分概念如 Pod、ReplicaSet、Deployment、Service、Node 等都可以被 看作一种资源对象,几乎所有资源对象都可以通过 Kubernetes 提供的 kube...
云原生|kubernetes|2022年底cks真题解析(1-10)
zsk_john的技术分享专用博客
01-15 4530
解析: 这一题是两个任务,第一个任务是dockerfile的安全排查,dockerfile里是镜像版本不正确,需要修改为ubuntu:16.04还一个是USER指定的是root,修改为nobody就可以了,十分简单的两个地方。 第二个任务是/cks/docker/deployment.yaml文件的安全排查,一个是pod的安全上下文权限问题,一个是标签问题
k8s-身份认证与权限
Mclaughling的博客
10-28 4806
k8s-身份认证与权限 K8s中的用户 k8s中的有两类型的用户:被k8s集群管理的服务账号 ( Service Account Pod 对象)和常规用户 (User Account 现实中的“人”)。 **User Account(用户账号):**一般是指由独立于Kubernetes之外的其他服务管理的用户账号,例如由管理员分发的密钥、Keystone一类的用户存储(账号库)、甚至是包含有用户名和密码列表的文件等。Kubernetes中不存在表示此类用户账号的对象, 因此不能被直接添加进 Kubernet
k8s.io/code-generator操作
Yu的博客
03-19 2881
教程办法 源码位置:${GOPATH}/src/k8s-crd k8s.io/code-generator位置:${GOPATH}/src/k8s.io 按照code-generator的提示操作的,报错了 [root@node-01 code-generator]# ./generate-groups.sh all k8s-crd/pkg/client \ > k8s-cr...
K8S二进制部署:配置kubelet与kube-proxy
"本文档主要介绍如何在Kubernetes(K8S)环境中,通过二进制方式安装node节点上的关键组件——kubelet和kube-proxy。这个过程涉及到节点的配置,包括TLS bootstrapping、服务配置文件的创建以及对系统角色和组的授权。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值