默认2个参数就可以启动(必需)

kube-apiserver \

    --service-cluster-ip-range=10.254.0.0/16 \

    --etcd-servers=http://192.168.14.132:2379

默认http是127.0.0.1:8080 https://0.0.0.0:6443

设置insecure-bind-address(默认127.0.0.1)

kube-apiserver \

    --service-cluster-ip-range=10.254.0.0/16 \

    --etcd-servers=http://192.168.14.132:2379 \

    --insecure-bind-address=0.0.0.0

设置访问api的日志

kube-apiserver \

    --service-cluster-ip-range=10.254.0.0/16 \

    --etcd-servers=http://192.168.14.132:2379 \

    --audit-log-path=/root/apiserver.log

开启记录juneral日志(修改非安全ip)

kube-apiserver \

    --service-cluster-ip-range=10.254.0.0/16 \

    --etcd-servers=http://127.0.0.1:2379 \

    --insecure-bind-address=0.0.0.0 \

    --logtostderr=false \                     #log to standard error instead of files (default true) 默认是true

    --v=2

--v=0的时候日志很少,--v2日志较多

将juneral日志记录到文件

kube-apiserver \

  --service-cluster-ip-range=10.254.0.0/16 \

  --etcd-servers=http://192.168.14.132:2379 \

  --insecure-bind-address=0.0.0.0 \

  --logtostderr=false \

  --log-dir=/root/logs \

  --v=2

  --audit-log-path=/root/apiserver.log

这里如果--v2时候,感觉audit日志也被juneral日志包含了.

audit和logtostderr分别都不设置,则啥都不记录.

设置swagger(默认关闭)

kube-apiserver \

  --service-cluster-ip-range=10.254.0.0/16 \

  --etcd-servers=http://192.168.14.132:2379 \

  --insecure-bind-address=0.0.0.0 \

  --enable-swagger-ui=true \

  --audit-log-path=/root/apiserver.log

http://192.168.14.132:8080/swagger-ui/

稍微完善点的写法

kube-apiserver \

  --service-cluster-ip-range=10.254.0.0/16 \

  --etcd-servers=http://192.168.14.132:2379 \

  --enable-swagger-ui=true \

  --audit-log-path=/var/log/kubernetes/apiserver.log \

  --audit-log-maxsize=100 \

  --audit-log-maxbackup=3 \

  --audit-log-maxage=30 \

  --event-ttl=1h \

  --logtostderr=true \

  --v=2


kube-apiserver \

  --service-cluster-ip-range=10.254.0.0/16 \

  --etcd-servers=http://192.168.14.132:2379 \

  --enable-swagger-ui=true \

  --audit-log-path=/var/log/kubernetes/apiserver.log \

  --audit-log-maxsize=100 \

  --audit-log-maxbackup=3 \

  --audit-log-maxage=30 \

  --event-ttl=1h \

  --logtostderr=false \

  --log-dir=/root/logs \

  --v=2

kube-apiserver参数解析

参考: https://kubernetes.io/docs/reference/generated/kube-apiserver/

https://kubernetes.io/docs/tasks/debug-application-cluster/audit/

cat  > kube-apiserver.service <<EOF

...

[Service]

ExecStart=/usr/local/bin/kube-apiserver \\

#++++++++++++++++++++++++++++++++++++++++++

#必需区

#++++++++++++++++++++++++++++++++++++++++++

    --service-cluster-ip-range=10.254.0.0/16 \\

    --etcd-servers=http://192.168.14.132:2379

#++++++++++++++++++++++++++++++++++++++++++

# 监听ip区---http https 监听的ip+port

#++++++++++++++++++++++++++++++++++++++++++

  --apiserver-count=3 \\(default 1)

  --advertise-address=192.168.14.132 \\ #告诉别人在我是谁[ members of the cluster][默认 --bind-address]

  --insecure-bind-address=192.168.14.132 \\ #非安全端口监听的ip(default 127.0.0.1)

  --insecure-port=8080 \\ # 非安全端口监听的端口(默认8080)

  --bind-address=0.0.0.0 \\ # 安全端口监听的ip(default 0.0.0.0)

  --secure-port=6443 \\     # 安全端口(默认6443)

  --service-node-port-range=30000-65535 \\(default 30000-32767)

  --runtime-config=rbac.authorization.k8s.io/v1alpha1 \\ # 打开或关闭针对某个api版本支持

#++++++++++++++++++++++++++++++++++++++++++

# 授权区----授权模式 准入插件 是否允许容器特权

#++++++++++++++++++++++++++++++++++++++++++

    --authorization-mode=RBAC \\ # 授权模式(default "AlwaysAllow")

    --admission-control=ServiceAccount,DefaultStorageClass,ResourceQuota(基于pod和容器的配额),LimitRanger(基于ns的配额),NamespaceLifecycle(随着ns被删其包含的资源也被删除) \\ 值得注意的是他还有 AlwaysPullImages这个控制参数

    --allow-privileged=true \\   # docker run --privileged [default=false]

    --enable-swagger-ui=true \\

    #Enable to allow secrets of type 'bootstrap.kubernetes.io/token' in the 'kube-system' namespace to be used for TLS bootstrapping authentication.

    --experimental-bootstrap-token-auth \\

    #(If set, the file that will be used to secure the secure port of the API server via token authentication.)

    --token-auth-file=/etc/kubernetes/token.csv \\ 

#++++++++++++++++++++++++++++++++++++++++++

# 证书区

#++++++++++++++++++++++++++++++++++++++++++

    --client-ca-file=/etc/kubernetes/ssl/ca.crt \\

    --service-account-key-file=/etc/kubernetes/ssl/ca.key \\

    --tls-cert-file=/etc/kubernetes/ssl/server.crt \\

    --tls-private-key-file=/etc/kubernetes/ssl/server.key \\

    --etcd-cafile=/etc/kubernetes/ssl/ca.pem \\

    --etcd-certfile=/etc/kubernetes/ssl/kubernetes.pem \\

    --etcd-keyfile=/etc/kubernetes/ssl/kubernetes-key.pem \\

    --etcd-servers=https://192.168.14.132:2379,https://192.168.14.133:2379,https://192.168.14.134:2379  \\

#++++++++++++++++++++++++++++++++++++++++++

# 日志区

#++++++++++++++++++++++++++++++++++++++++++

    --audit-log-path=/var/log/kubernetes/apiserver.log \\ #审计日志路径

    --audit-log-maxsize=100 \\#日志文件最大大小(单位MB),超过后自动做轮转(默认为100MB)

    --audit-log-maxbackup=3 \\#旧日志文件最多保留个数

    --audit-log-maxage=30 \\  #旧日志最长保留天数

    --event-ttl=1h \\

    --logtostderr=false \\ #不输出到

    ----log-dir=/root/logs \\ 输出到文件夹

    --v=2 #级别0比级别2输出的日志少

[k8s]k8s api-server启动systemd参数分析的更多相关文章

  1. k8s之API Server认证

    集群安全性 在生产环境中,必须保障集群用户的角色以及权限问题,不能给所有用户都赋予管理员权限. 1.集群的安全性必须考虑如下几个目标 (1)保证容器与其所在宿主机的隔离 (2)限制容器给基础设置或其他 ...

  2. Android系统进程间通信(IPC)机制Binder中的Server启动过程源代码分析

    文章转载至CSDN社区罗升阳的安卓之旅,原文地址:http://blog.csdn.net/luoshengyang/article/details/6629298 在前面一篇文章浅谈Android系 ...

  3. kubernetes API Server 权限管理实践

    API Server权限控制方式介绍 API Server权限控制分为三种:Authentication(身份认证).Authorization(授权).AdmissionControl(准入控制). ...

  4. k8s 组件介绍-API Server

    API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心. kub ...

  5. K8S Api Server认证

    目录 认证类型 基于CA证书的双向认证 apiserver端配置 生成客户端私钥和证书 master核心组件与apiserver的认证方式 HTTP Token认证 HTTP Basic认证 kube ...

  6. k8s api server ha 连接配置问题

    常见的lb 负载有硬件的f5 big-ip  ,同时对于互联网公司大家常用的是nginx  haproxy 了解k8s 集群高可用的都知道 api server  是无状态的(etcd 解决了),但是 ...

  7. k8s中的api server的ca证书,可以和front proxy ca证书一样么?

    答案是: 绝对不可以! 因为请求先验证的是 --requestheader-client-ca-file CA 然后才是--client-ca-file. . 那获取的用户名就会通不过了. 所以会影响 ...

  8. k8s使用自定义证书将客户端认证接入到API Server

    自定义证书使用kubectl认证接入API Serverkubeconfig是API Server的客户端连入API Server时使用的认证格式的客户端配置文件.使用kubectl config v ...

  9. 图解Android - Zygote, System Server 启动分析

    Init 是所有Linux程序的起点,而Zygote于Android,正如它的英文意思,是所有java程序的'孵化池'(玩过星际虫族的兄弟都晓得的).用ps 输出可以看到 >adb shell ...

随机推荐

  1. ajax跨域的解决方案

    前言 公司要做一个活动页面,在其过程中发现所有的接口,ajax请求跨域.这里对跨域做个简单介绍以及提供几种解决办法. 由于浏览器实现的同源策略的限制,XmlHttpRequest只允许请求当前源(域名 ...

  2. 基于指定文本的百度地图poi城市检索的使用(思路最重要)

    (转载请注明出处哦)具体的百度地图权限和apikey配置以及基础地图的配置不叙述,百度地图定位可以看这个链接的http://blog.csdn.net/heweigzf/article/details ...

  3. [ Android Memory] MAT查看图片资源

    参考: http://stackoverflow.com/questions/12709603/mat-eclipse-memory-analyzer-how-to-view-bitmaps-from ...

  4. PHP常用库函数介绍+常见疑难问题解答

    来源:http://www.cnblogs.com/lanxuezaipiao/archive/2013/05/19/3086858.html 虽然PHP在整体功能上不如Java强大,但相比PHP而言 ...

  5. wampserver 下载链接没反应的解决办法

    可能有很多小伙伴和我一样使用wampserver时,下载链接点击就是没有反应,当时我以为是因为网络原因,链接没有加载出来,或者是链接的请求不能得到响应,结果百度了一下才发现被“习惯”坑了一把,wamp ...

  6. 【Linux】Ubuntu vi 上下左右变ABCD及 apt-get install报错问题解决方法

    新装的ubuntu12.04,本人绝对新手,在使用VI编辑器编辑文本时觉得实在是难用,因此找了几个解决方法如下: 1. 安装vim full版本 由于Ubuntu预安装的是tiny版本,就会导致我们在 ...

  7. shell遍历文件夹并执行命令

    背景: 有一个源码包里面包含很多子目录和makefile,打包后的压缩包太大,需要将make生成的所有二进制文件删除然后再打包. 需求: 因此,要求在制定目录的所有递归子目录中执行make clean ...

  8. ubuntu 的runlevel设定

    修改ubuntu的启动级别 runlevel ----------------------------------------------------------------------------- ...

  9. JAVA基础(10)——IO、NIO

    转载:http://blog.csdn.net/weitry/article/details/52964948 JAVA基础系列规划: JAVA基础(1)——基本概念 JAVA基础(2)——数据类型 ...

  10. 流媒体播放mime类型添加

    .m3u8 application/x-mpegURL.ts video/MP2T