kube-apiserver启动命令参数说明

apiserver启动时，有很多参数配置启动命令。有时候不是很清楚这些参数是什么意思。我的kube-apiserver启动命令参数：cat>/usr/lib/systemd/system/kube-apiserver.service<默认值：30000-32767为具有NodePort可见性的服务保留的端口范围。例如：“30000-32767”。范围的两端都包括在内。--etcd-serversstrings要连接的etcd服务器列表(scheme://ip:port)，以逗号分隔。--etcd-cafilestring用于保护etcd通信的SSL证书颁发机构文件。--etcd-certfilestring用于保护etcd通信的SSL证书文件。--etcd-keyfilestring用于保护etcd通信的SSL密钥文件。--client-ca-filestring如果设置，则使用与客户端证书的CommonName对应的身份来验证任何请求，以提供由client-ca文件中的一个授权机构签名的客户端证书。--tls-cert-filestring包含HTTPS默认x509证书的文件。（CA证书（如果有）连接在服务器证书之后）。如果启用了HTTPS服务，并且没有提供--tls-cert-file和--tls-private-key-file，为公网地址生成自签名证书和密钥，保存到--cert-dir目录中指定。--tls-private-key-filestring包含用于x509证书匹配的私钥的文件--tls-cert-file。--kubelet-client-certificatestringTLS客户端证书文件的路径。--kubelet-client-keystringTLS客户端密钥文件的路径。--service-account-key-filestrings包含PEM编码的x509RSA或ECDSA私钥或公钥的文件，用于验证ServiceAccount令牌。指定的文件可以包含多个键，并且可以用不同的文件多次指定标志。如果未指定，则使用--tls-private-key-file。必须在提供--service-account-signing-key时指定。--service-account-signing-key-filestring包含服务帐户令牌颁发者当前私钥的文件的路径。发行人将使用此私钥签署已发行的ID代币。--service-account-issuerstrings服务帐户令牌颁发者的标识符。发行者将在已发行令牌的“iss”声明中检查此标识符。该值是一个字符串或URI。如果根据OpenIDDiscovery1.0规范检查此选项不是有效的URI，则即使属性门设置为true，ServiceAccountIssuerDiscovery功能也将保持禁用状态。强烈建议此值符合OpenID规范：https://openid.net/specs/openid-connect-discovery-1_0.html。实际上，这意味着service-account-issuer值必须是HTTPSURL。还强烈建议此URL在{service-account-issuer}/.well-known/openid-configuration提供OpenID发现文档。当多次指定此值时，第一个值用于生成令牌，所有值用于确定接受哪些发行者。--kubelet-preferred-address-typesstrings默认值：Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP用于kubelet连接的首选NodeAddressTypes列表。--enable-admission-pluginsstringSlice除了默认启用的插件（NamespaceLifecycle、LimitRanger、ServiceAccount、TaintNodesByCondition、PodSecurity、Priority、DefaultTolerationSeconds、DefaultStorageClass、StorageObjectInUseProtection、PersistentVolumeClaimResize、RuntimeClass、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、MutatingAdmissionWebhook、ValidatingAdmissionWebhook、ResourceQuota）之外要启用的插件取值为逗号分隔的准入插件列表：AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyServiceExternalIPs、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision,NamespaceExists,NamespaceLifecycle,NodeRestriction,OwnerReferencesPermissionEnforcement,PersistentVolumeClaimResize,PersistentVolumeLabel,PodNodeSelector,PodSecurity,PodSecurityPolicy,PodTolerationRestriction,Priority,ResourceQuota,RuntimeClass,SecurityContextDeny,ServiceAccount,StorageObjectInUseProtection,TaintNodesByCondition,ValidatingAdmissionWebhook此标志中插件的顺序无关紧要--authorization-modestringSlice默认值：“AlwaysAllow”在安全端口列表上进行身份验证的插件顺序.逗号分隔列表：AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC、Node。--enable-bootstrap-token-auth启用以允许“kube-system”命名空间中类型为“bootstrap.kubernetes.io/token”的秘密用于TLS引导程序身份验证。--requestheader-client-ca-filestring根证书包，用于在信任请求标头中的--requestheader-username-headers指示的用户名之前验证传入请求中的客户端证书。警告：通常不要假定传入请求已获得授权。--proxy-client-cert-filestring当必须调用外部程序来处理请求时，用于证明聚合器或kube-apiserver身份的客户端证书。包括代理转发给用户api-server的请求和对webhook准入控制插件的调用。Kubernetes期望此证书包含来自--requestheader-client-ca-file标志中给出的CA的签名。这个CA暴露在kube-system命名空间的“extension-apiserver-authentication”ConfigMap中。从kube-aggregator接收调用的组件应该使用这个CA来进行相互的TLS验证。--proxy-client-key-filestring当必须调用外部程序来处理请求时，用于证明聚合器或kube-apiserver身份的客户端私钥。这包括由代理转发给用户api-server的请求以及对webhook准入控制插件的调用。--requestheader-allowed-namesstrings该值是客户端证书通用名称（CommonName）的列表；表中列出的条目可用于通过使用--requestheader-username-headers指定的头来提供用户名。如果为空，则允许通过--requestheader-client-ca-file中的权限认证的客户端证书。--requestheader-group-headersstrings用于检查用户组的请求标头列表。推荐使用X-Remote-Group。--requestheader-extra-headers-prefixstrings用于检查请求头的前缀列表。推荐使用X-Remote-Extra-。--requestheader-username-headersstrings用于检查用户名的请求标头列表。建议使用X-Remote-User。--token-auth-filestring如果设置，此文件将用于通过令牌身份验证保护API服务的安全端口。官方文档：https://kubernetes.io/zh/docs/reference/command-line-tools-reference/kube-apiserver/https://www.oiox.cn/https://www.chenby.cn/https://cby-chen.github.io/https://weibo.com/u/5982474121https://blog.csdn.net/qq\_33921750https://my.oschina.net/u/3981543https://www.zhihu.com/people/...https://segmentfault.com/u/hp...https://juejin.cn/user/331578...https://space.bilibili.com/35。..https://cloud.tencent.com/dev...https://www.jianshu.com/u/0f8...https://www.toutiao.com/c/use...CSDN、GitHub、知乎、开源中国、师傅、掘金、简书、腾讯云、哔哩哔哩、今日头条、新浪微博、个人博客、全网可搜索《小陈运维》