[k8s]k8s api-server启动systemd参数分析

最新推荐文章于 2024-05-20 11:28:37 发布
最新推荐文章于 2024-05-20 11:28:37 发布
阅读量1k 收藏 1
点赞数
文章标签: 操作系统 运维
原文链接:http://www.cnblogs.com/iiiiher/p/7874795.html
版权

默认2个参数就可以启动(必需)

kube-apiserver \
    --service-cluster-ip-range=10.254.0.0/16 \
    --etcd-servers=http://192.168.14.132:2379

默认http是127.0.0.1:8080 https://0.0.0.0:6443

设置insecure-bind-address(默认127.0.0.1)

kube-apiserver \
    --service-cluster-ip-range=10.254.0.0/16 \
    --etcd-servers=http://192.168.14.132:2379 \
    --insecure-bind-address=0.0.0.0

设置访问api的日志

kube-apiserver \
    --service-cluster-ip-range=10.254.0.0/16 \
    --etcd-servers=http://192.168.14.132:2379 \
    --audit-log-path=/root/apiserver.log

开启记录juneral日志(修改非安全ip)

kube-apiserver \
    --service-cluster-ip-range=10.254.0.0/16 \
    --etcd-servers=http://127.0.0.1:2379 \
    --insecure-bind-address=0.0.0.0 \
    --logtostderr=false \                     #log to standard error instead of files (default true) 默认是true
    --v=2
--v=0的时候日志很少,--v2日志较多

将juneral日志记录到文件

kube-apiserver \
  --service-cluster-ip-range=10.254.0.0/16 \
  --etcd-servers=http://192.168.14.132:2379 \
  --insecure-bind-address=0.0.0.0 \
  --logtostderr=false \
  --log-dir=/root/logs \
  --v=2
  --audit-log-path=/root/apiserver.log

这里如果--v2时候,感觉audit日志也被juneral日志包含了.
audit和logtostderr分别都不设置,则啥都不记录.

设置swagger(默认关闭)

kube-apiserver \
  --service-cluster-ip-range=10.254.0.0/16 \
  --etcd-servers=http://192.168.14.132:2379 \
  --insecure-bind-address=0.0.0.0 \
  --enable-swagger-ui=true \
  --audit-log-path=/root/apiserver.log

http://192.168.14.132:8080/swagger-ui/

稍微完善点的写法

kube-apiserver \
  --service-cluster-ip-range=10.254.0.0/16 \
  --etcd-servers=http://192.168.14.132:2379 \
  --enable-swagger-ui=true \
  --audit-log-path=/var/log/kubernetes/apiserver.log \
  --audit-log-maxsize=100 \
  --audit-log-maxbackup=3 \
  --audit-log-maxage=30 \
  --event-ttl=1h \ 
  --logtostderr=true \
  --v=2
kube-apiserver \
  --service-cluster-ip-range=10.254.0.0/16 \
  --etcd-servers=http://192.168.14.132:2379 \
  --enable-swagger-ui=true \
  --audit-log-path=/var/log/kubernetes/apiserver.log \
  --audit-log-maxsize=100 \
  --audit-log-maxbackup=3 \
  --audit-log-maxage=30 \
  --event-ttl=1h \ 
  --logtostderr=false \
  --log-dir=/root/logs \
  --v=2

kube-apiserver参数解析

参考: https://kubernetes.io/docs/reference/generated/kube-apiserver/
https://kubernetes.io/docs/tasks/debug-application-cluster/audit/

cat  > kube-apiserver.service <<EOF
...
[Service]
ExecStart=/usr/local/bin/kube-apiserver \\
#++++++++++++++++++++++++++++++++++++++++++
#必需区
#++++++++++++++++++++++++++++++++++++++++++
    --service-cluster-ip-range=10.254.0.0/16 \\
    --etcd-servers=http://192.168.14.132:2379


#++++++++++++++++++++++++++++++++++++++++++
# 监听ip区---http https 监听的ip+port
#++++++++++++++++++++++++++++++++++++++++++
  --apiserver-count=3 \\(default 1)
  --advertise-address=192.168.14.132 \\ #告诉别人在我是谁[ members of the cluster][默认 --bind-address]

  --insecure-bind-address=192.168.14.132 \\ #非安全端口监听的ip(default 127.0.0.1)
  --insecure-port=8080 \\ # 非安全端口监听的端口(默认8080)
  --bind-address=0.0.0.0 \\ # 安全端口监听的ip(default 0.0.0.0)
  --secure-port=6443 \\     # 安全端口(默认6443)


  --service-node-port-range=30000-65535 \\(default 30000-32767)
  --runtime-config=rbac.authorization.k8s.io/v1alpha1 \\ # 打开或关闭针对某个api版本支持
#++++++++++++++++++++++++++++++++++++++++++
# 授权区----授权模式 准入插件 是否允许容器特权 
#++++++++++++++++++++++++++++++++++++++++++
    --authorization-mode=RBAC \\ # 授权模式(default "AlwaysAllow")
    --admission-control=ServiceAccount,DefaultStorageClass,ResourceQuota(基于pod和容器的配额),LimitRanger(基于ns的配额),NamespaceLifecycle(随着ns被删其包含的资源也被删除) \\ 值得注意的是他还有 AlwaysPullImages这个控制参数


    --allow-privileged=true \\   # docker run --privileged [default=false]
    --enable-swagger-ui=true \\
  
    #Enable to allow secrets of type 'bootstrap.kubernetes.io/token' in the 'kube-system' namespace to be used for TLS bootstrapping authentication.
    --experimental-bootstrap-token-auth \\
    #(If set, the file that will be used to secure the secure port of the API server via token authentication.)
    --token-auth-file=/etc/kubernetes/token.csv \\ 


#++++++++++++++++++++++++++++++++++++++++++
# 证书区
#++++++++++++++++++++++++++++++++++++++++++
    --client-ca-file=/etc/kubernetes/ssl/ca.crt \\
    --service-account-key-file=/etc/kubernetes/ssl/ca.key \\
    --tls-cert-file=/etc/kubernetes/ssl/server.crt \\
    --tls-private-key-file=/etc/kubernetes/ssl/server.key \\

    --etcd-cafile=/etc/kubernetes/ssl/ca.pem \\
    --etcd-certfile=/etc/kubernetes/ssl/kubernetes.pem \\
    --etcd-keyfile=/etc/kubernetes/ssl/kubernetes-key.pem \\
    --etcd-servers=https://192.168.14.132:2379,https://192.168.14.133:2379,https://192.168.14.134:2379  \\


#++++++++++++++++++++++++++++++++++++++++++
# 日志区
#++++++++++++++++++++++++++++++++++++++++++
    --audit-log-path=/var/log/kubernetes/apiserver.log \\ #审计日志路径
    --audit-log-maxsize=100 \\#日志文件最大大小(单位MB),超过后自动做轮转(默认为100MB)
    --audit-log-maxbackup=3 \\#旧日志文件最多保留个数
    --audit-log-maxage=30 \\  #旧日志最长保留天数
    --event-ttl=1h \\ 
    --logtostderr=false \\ #不输出到
    ----log-dir=/root/logs \\ 输出到文件夹
    --v=2 #级别0比级别2输出的日志少

转载于:https://www.cnblogs.com/iiiiher/p/7874795.html

weixin_30773135
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mariadb-10.11.2-linux-systemd-x86-64.tar.gz
02-18
MariaDB数据库管理系统是MySQL的一个分支
kubernetes/k8s概念】kube-apiserver启动参数
热门推荐
zhonglinzhang
05-30 1万+
kubernetes 1.12.1版本 DESC The Kubernetes API server validates and configures data for the api objects which include pods, services, replicationcontrollers, and others. The API Server services REST o...
[k8s]api controller schedular service的启动脚本参数
毛台
05-10 689
[root@node131 bin]# cat kube-apiserver.service [Unit] Description=Kubernetes API Server Documentation=https://github.com/GoogleCloudPlatform/kubernetes After=network.target [Service] ExecStart=/root
kube-apiserver命令行参数详解
屈帅波的技术博客
07-19 2552
来自《kubernetes源码剖析》 1.Generic flags 通用参数 --advertise-address ip 用于设置相机群众其他组件发布api-server的ip地址,该地址必须能够被集群中的其他组件访问。如果该参数为空则使用--bind-address。如果未指定--bind-address则使用主机的默认端口 --cloud-provider-gcc-lb-src-cidrs cidrs 用于设置在Gce防火墙中打开c.
kube-apiserver启动命令参数解释
小云的博客
03-07 3719
apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
mariadb-10.10.3-linux-systemd-x86-64.tar.gz
02-08
MariaDB数据库管理系统是MySQL的一个分支
MariaDB(mariadb-10.6.8-linux-systemd-x86_64.tar.gz)
06-07
MariaDB(mariadb-10.6.8-linux-systemd-x86_64.tar.gz)适用于Linux x86_64系统 MariaDB数据库管理系统是MySQL的一个分支,主要由开源社区在维护,采用GPL授权许可 MariaDB的目的是完全兼容MySQL,包括API和命令行...
K8s集群搭建ansible部署脚本
04-21
我个人给公司开发的使用ansible部署k8s的脚本,支持vagrant调用ansbile,和直接ansible执行两种方式。k8s二进制组件使用最新的1.23.5 部署以下模块内容包括: preinstall 安装前准备,主机环境初始化,二进制文件...
ansible-role-systemd-resolved:ansible systemd-resolved 角色
05-30
ansible systemd-resolved 角色 systemd-resolved角色旨在与Debian发行版一起使用。 Ansible Galaxy用户可以使用以下命令添加 systemd-resolved 角色: ansible-galaxy install damex.systemd_resolved 您可以在...
使用grafana beyla作为ebpf无侵入式trace收集工具
神棍之路
05-17 866
Beyla 使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改。它使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改.
鸿蒙内核源码分析 (内核启动篇) | 从汇编到 main ()
maniuT的博客
05-14 843
这应该是系列篇最难写的一篇,全是汇编代码,需大量的底层知识,涉及协处理器,内核镜像重定位,创建内核映射表,初始化模式栈,热启动,到最后熟悉的。
尝试使用官方jailhouse-images仓库运行jailhouse
ScilogyHunter的博客
05-15 1011
通过jailhouse 的官方 demo 演示仓库,可以直接编译出带有部署有jailhouse程序的Linux镜像,有多个目标平台的Linux镜像可选,也有在qemu下的镜像。参考文档:https://bbs.csdn.net/topics/615164494。
嵌入式Linux:编译和使用Protobuf库
不脱发的程序猿
05-14 917
Protobuf提供了Protobuf工具,用于将.proto文件转换为C源代码和头文件,而Protobuf-c生成了编译所需的动态库。
操作系统 实验13 批处理操作接口3:引用与命令替换
m0_63093530的博客
05-14 155
结果:第一个和第三个命令是错的,第二个和第四个命令是对的。echo "这是命令替换形式1...$date1"echo "$sv ++++加上另一些字符!2、输出字符串“China's panda”命令:echo China\'s panda。6、将命令date执行结果赋予变量date1。7、将命令date执行结果赋予变量date2。1、输出字符串“$Dollar”命令:echo \$Dollar。命令:date2=$(date)命令:date1=`date`
linux中查找某个文件或文件夹
DN金猿的博客
05-18 254
locate命令将会在整个系统中搜索文件和文件夹,并通过正则表达式匹配以"/folder_name"结尾的路径。这将会在指定的路径(/path/to/search)中递归地列出所有文件和文件夹,并使用grep命令匹配以"/folder_name"结尾的行。该命令将会在指定的路径(/path/to/search)中查找名称为"folder_name"的文件夹。此方法与第2种方法类似,但使用了find命令来递归搜索文件夹,并使用grep命令来匹配以"/folder_name"结尾的行。
不要在中断使用互斥锁,
嵌入式Linux
05-20 194
这句话的下半句还有——不要在进程上下文使用自旋锁我最近测试遇到的问题,本来是想买中需要使用定时器,在Linux内核中使用定时器,那就离不开定时器中断,注意后面多了一个中断,那 要是在定时器中断中使用互斥锁,就面临了我标题中提到的问题。异常的时候打印下面这样的日志引起这样问题的原因这个崩溃可能是由于在中断上下文中使用了互斥锁导致的。在中断上下文中,不能使用会导致睡眠的同步原语,如互斥锁。在上面遇到的...
从融媒到智媒,小程序框架可助力传媒企业在AI实践下的服务变现
speedoooo的博客
05-15 619
融媒体时代,小程序框架已经成为传媒企业不可或缺的工具。它不仅能够帮助企业快速构建移动应用,还能助力企业在AI实践下实现服务变现。通过小程序框架,传媒企业可以将传统媒体内容转化为可交互、可分享的数字化内容,并提供更加个性化的用户体验。同时,小程序框架还可以帮助企业打通数据壁垒,实现用户数据的深度挖掘和分析,从而为用户提供更加精准的营销服务。
国产化信息技术基础设施构建方案
最新发布
雨笋情缘的专栏
05-20 240
随着信息技术国产化的趋势日益增强,为保障信息安全与自主可控,本方案旨在通过全面调研与科学评估,实现操作系统及基础软件的国产替代。本方案将聚焦于国产操作系统的调研与选择,以及数据库、中间件等基础软件的国产化替代方案,确保技术体系的高效稳定运行与持续发展。本方案旨在通过系统性的调研与评估,实现信息技术基础设施的国产化升级,提升系统的安全性与自主可控能力。未来,随着国产软硬件生态的不断成熟,将进一步优化技术栈,促进技术创新与产业升级,为企业的可持续发展奠定坚实的基础。兼容性:对常用应用软件、硬件设备的支持情况。
wsl opensuse patterns-wsl-systemd
09-06
对于在WSL(Windows Subsystem for Linux)上安装和配置openSUSE时,你要提到的是patterns-wsl-systemd。这是一个用于在WSL上启用systemd的软件包模式。 在openSUSE中,你可以使用zypper命令来安装该模式。首先,请...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值