默认2个参数就可以启动(必需)

kube-apiserver \

    --service-cluster-ip-range=10.254.0.0/16 \

    --etcd-servers=http://192.168.14.132:2379

默认http是127.0.0.1:8080 https://0.0.0.0:6443

设置insecure-bind-address(默认127.0.0.1)

kube-apiserver \

    --service-cluster-ip-range=10.254.0.0/16 \

    --etcd-servers=http://192.168.14.132:2379 \

    --insecure-bind-address=0.0.0.0

设置访问api的日志

kube-apiserver \

    --service-cluster-ip-range=10.254.0.0/16 \

    --etcd-servers=http://192.168.14.132:2379 \

    --audit-log-path=/root/apiserver.log

开启记录juneral日志(修改非安全ip)

kube-apiserver \

    --service-cluster-ip-range=10.254.0.0/16 \

    --etcd-servers=http://127.0.0.1:2379 \

    --insecure-bind-address=0.0.0.0 \

    --logtostderr=false \                     #log to standard error instead of files (default true) 默认是true

    --v=2

--v=0的时候日志很少,--v2日志较多

将juneral日志记录到文件

kube-apiserver \

  --service-cluster-ip-range=10.254.0.0/16 \

  --etcd-servers=http://192.168.14.132:2379 \

  --insecure-bind-address=0.0.0.0 \

  --logtostderr=false \

  --log-dir=/root/logs \

  --v=2

  --audit-log-path=/root/apiserver.log

这里如果--v2时候,感觉audit日志也被juneral日志包含了.

audit和logtostderr分别都不设置,则啥都不记录.

设置swagger(默认关闭)

kube-apiserver \

  --service-cluster-ip-range=10.254.0.0/16 \

  --etcd-servers=http://192.168.14.132:2379 \

  --insecure-bind-address=0.0.0.0 \

  --enable-swagger-ui=true \

  --audit-log-path=/root/apiserver.log

http://192.168.14.132:8080/swagger-ui/

稍微完善点的写法

kube-apiserver \

  --service-cluster-ip-range=10.254.0.0/16 \

  --etcd-servers=http://192.168.14.132:2379 \

  --enable-swagger-ui=true \

  --audit-log-path=/var/log/kubernetes/apiserver.log \

  --audit-log-maxsize=100 \

  --audit-log-maxbackup=3 \

  --audit-log-maxage=30 \

  --event-ttl=1h \

  --logtostderr=true \

  --v=2


kube-apiserver \

  --service-cluster-ip-range=10.254.0.0/16 \

  --etcd-servers=http://192.168.14.132:2379 \

  --enable-swagger-ui=true \

  --audit-log-path=/var/log/kubernetes/apiserver.log \

  --audit-log-maxsize=100 \

  --audit-log-maxbackup=3 \

  --audit-log-maxage=30 \

  --event-ttl=1h \

  --logtostderr=false \

  --log-dir=/root/logs \

  --v=2

kube-apiserver参数解析

参考: https://kubernetes.io/docs/reference/generated/kube-apiserver/

https://kubernetes.io/docs/tasks/debug-application-cluster/audit/

cat  > kube-apiserver.service <<EOF

...

[Service]

ExecStart=/usr/local/bin/kube-apiserver \\

#++++++++++++++++++++++++++++++++++++++++++

#必需区

#++++++++++++++++++++++++++++++++++++++++++

    --service-cluster-ip-range=10.254.0.0/16 \\

    --etcd-servers=http://192.168.14.132:2379

#++++++++++++++++++++++++++++++++++++++++++

# 监听ip区---http https 监听的ip+port

#++++++++++++++++++++++++++++++++++++++++++

  --apiserver-count=3 \\(default 1)

  --advertise-address=192.168.14.132 \\ #告诉别人在我是谁[ members of the cluster][默认 --bind-address]

  --insecure-bind-address=192.168.14.132 \\ #非安全端口监听的ip(default 127.0.0.1)

  --insecure-port=8080 \\ # 非安全端口监听的端口(默认8080)

  --bind-address=0.0.0.0 \\ # 安全端口监听的ip(default 0.0.0.0)

  --secure-port=6443 \\     # 安全端口(默认6443)

  --service-node-port-range=30000-65535 \\(default 30000-32767)

  --runtime-config=rbac.authorization.k8s.io/v1alpha1 \\ # 打开或关闭针对某个api版本支持

#++++++++++++++++++++++++++++++++++++++++++

# 授权区----授权模式 准入插件 是否允许容器特权

#++++++++++++++++++++++++++++++++++++++++++

    --authorization-mode=RBAC \\ # 授权模式(default "AlwaysAllow")

    --admission-control=ServiceAccount,DefaultStorageClass,ResourceQuota(基于pod和容器的配额),LimitRanger(基于ns的配额),NamespaceLifecycle(随着ns被删其包含的资源也被删除) \\ 值得注意的是他还有 AlwaysPullImages这个控制参数

    --allow-privileged=true \\   # docker run --privileged [default=false]

    --enable-swagger-ui=true \\

    #Enable to allow secrets of type 'bootstrap.kubernetes.io/token' in the 'kube-system' namespace to be used for TLS bootstrapping authentication.

    --experimental-bootstrap-token-auth \\

    #(If set, the file that will be used to secure the secure port of the API server via token authentication.)

    --token-auth-file=/etc/kubernetes/token.csv \\ 

#++++++++++++++++++++++++++++++++++++++++++

# 证书区

#++++++++++++++++++++++++++++++++++++++++++

    --client-ca-file=/etc/kubernetes/ssl/ca.crt \\

    --service-account-key-file=/etc/kubernetes/ssl/ca.key \\

    --tls-cert-file=/etc/kubernetes/ssl/server.crt \\

    --tls-private-key-file=/etc/kubernetes/ssl/server.key \\

    --etcd-cafile=/etc/kubernetes/ssl/ca.pem \\

    --etcd-certfile=/etc/kubernetes/ssl/kubernetes.pem \\

    --etcd-keyfile=/etc/kubernetes/ssl/kubernetes-key.pem \\

    --etcd-servers=https://192.168.14.132:2379,https://192.168.14.133:2379,https://192.168.14.134:2379  \\

#++++++++++++++++++++++++++++++++++++++++++

# 日志区

#++++++++++++++++++++++++++++++++++++++++++

    --audit-log-path=/var/log/kubernetes/apiserver.log \\ #审计日志路径

    --audit-log-maxsize=100 \\#日志文件最大大小(单位MB),超过后自动做轮转(默认为100MB)

    --audit-log-maxbackup=3 \\#旧日志文件最多保留个数

    --audit-log-maxage=30 \\  #旧日志最长保留天数

    --event-ttl=1h \\

    --logtostderr=false \\ #不输出到

    ----log-dir=/root/logs \\ 输出到文件夹

    --v=2 #级别0比级别2输出的日志少

[k8s]k8s api-server启动systemd参数分析的更多相关文章

  1. k8s之API Server认证

    集群安全性 在生产环境中,必须保障集群用户的角色以及权限问题,不能给所有用户都赋予管理员权限. 1.集群的安全性必须考虑如下几个目标 (1)保证容器与其所在宿主机的隔离 (2)限制容器给基础设置或其他 ...

  2. Android系统进程间通信(IPC)机制Binder中的Server启动过程源代码分析

    文章转载至CSDN社区罗升阳的安卓之旅,原文地址:http://blog.csdn.net/luoshengyang/article/details/6629298 在前面一篇文章浅谈Android系 ...

  3. kubernetes API Server 权限管理实践

    API Server权限控制方式介绍 API Server权限控制分为三种:Authentication(身份认证).Authorization(授权).AdmissionControl(准入控制). ...

  4. k8s 组件介绍-API Server

    API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心. kub ...

  5. K8S Api Server认证

    目录 认证类型 基于CA证书的双向认证 apiserver端配置 生成客户端私钥和证书 master核心组件与apiserver的认证方式 HTTP Token认证 HTTP Basic认证 kube ...

  6. k8s api server ha 连接配置问题

    常见的lb 负载有硬件的f5 big-ip  ,同时对于互联网公司大家常用的是nginx  haproxy 了解k8s 集群高可用的都知道 api server  是无状态的(etcd 解决了),但是 ...

  7. k8s中的api server的ca证书,可以和front proxy ca证书一样么?

    答案是: 绝对不可以! 因为请求先验证的是 --requestheader-client-ca-file CA 然后才是--client-ca-file. . 那获取的用户名就会通不过了. 所以会影响 ...

  8. k8s使用自定义证书将客户端认证接入到API Server

    自定义证书使用kubectl认证接入API Serverkubeconfig是API Server的客户端连入API Server时使用的认证格式的客户端配置文件.使用kubectl config v ...

  9. 图解Android - Zygote, System Server 启动分析

    Init 是所有Linux程序的起点,而Zygote于Android,正如它的英文意思,是所有java程序的'孵化池'(玩过星际虫族的兄弟都晓得的).用ps 输出可以看到 >adb shell ...

随机推荐

  1. 网页中输出漂亮格式的Php数组神器

    写网页的时候经常需要在页面中打印数组,但格式特别难看,看看一个html神器吧<pre>标签,能非常标准的显示数组格式 使用的时候只需要这样打印你的数组就OK了,太好用了,神器! 只需要两句 ...

  2. 万里长征第二步——django个人博客(第一步 ——创建主页)

    运行命令行工具,输入:pip install virtualenv  --安装virtualenv库. virtualenv blog_project_venv ——使用virtualenv创建一个虚 ...

  3. springmvc怎么重定向,从一个controller跳到另一个controller

    第一种情况,不带参数跳转: 方法一:使用ModelAndView return new ModelAndView("redirect:/toList");  这样可以重定向到toL ...

  4. Oracle两个时间段是否重合、冲突

    经常会碰到比较两个时间段是否冲突的情况. 思路1 最开始比较2个时间是否的思路是,时间段的重叠.  但是比较时间段重叠的情况,就有几种情况, 1. 时间前段冲突.   时间A:  2015-10-01 ...

  5. Hadoop端口一览表

    Hadoop端口一览表 @(Hadoop) 端口名 用途 50070 Hadoop Namenode UI端口 50075 Hadoop Datanode UI端口 50090 Hadoop Seco ...

  6. ios开发杂项(基础性介绍等)

    IOS Xcode开发中的文件后缀名区别m,mm,cpp,h .h :头文件.头文件包含类,类型,函数和常数的声明. .m :源代码文件.这是典型的源代码文件扩展名,可以包含Objective-C和C ...

  7. 算法笔记_158:算法提高 逆序排列(Java)

    目录 1 问题描述 2 解决方案 1 问题描述 问题描述 编写一个程序,读入一组整数(不超过20个),并把它们保存在一个整型数组中.当用户输入0时,表示输入结束.然后程序将把这个数组中的值按逆序重新存 ...

  8. SQL-ORDER BY 多字段排序(升序、降序)

    ORDER BY _column1, _column2; /* _column1升序,_column2升序 */   ORDER BY _column1, _column2 DESC; /* _col ...

  9. 第【一】部分Netzob项目工具的安装配置

    第[一]部分Netzob项目工具的安装配置 声明: 1)本报告由博客园bitpeach撰写,版权所有,免费转载,请注明出处,并请勿作商业用途. 2)若本文档内有侵权文字或图片等内容,请联系作者bitp ...

  10. IBATIS+ORACLE(一)

      迁移时间:2017年6月1日15:55:17 Author:Marydon (四)IBATIS + ORACLE 第一部分:基础篇 1.4.1.1 分页SQL <!-- 开头 --> ...