From 7f0557afd6a3fb495beb615c5eb6aa92c79d0179 Mon Sep 17 00:00:00 2001 From: Qiming Teng Date: Sat, 1 May 2021 22:07:01 +0800 Subject: [PATCH] [zh] Resync reference for kube-apiserver --- .../kube-apiserver.md | 1004 +++++++---------- 1 file changed, 425 insertions(+), 579 deletions(-) diff --git a/content/zh/docs/reference/command-line-tools-reference/kube-apiserver.md b/content/zh/docs/reference/command-line-tools-reference/kube-apiserver.md index 24c8fe683e..ac4d11b631 100644 --- a/content/zh/docs/reference/command-line-tools-reference/kube-apiserver.md +++ b/content/zh/docs/reference/command-line-tools-reference/kube-apiserver.md @@ -2,10 +2,23 @@ title: kube-apiserver content_type: tool-reference weight: 30 +auto_generated: true --- + + ## {{% heading "synopsis" %}} + -如果为 true,则将文件目录添加到日志消息的标题中 +

如果为 true,则将文件目录添加到日志消息的标题中

@@ -50,12 +63,12 @@ If true, adds the file directory to the header of the log messages -包含准入控制配置的文件。 +

包含准入控制配置的文件。

---advertise-address ip +--advertise-address string @@ -65,13 +78,29 @@ This address must be reachable by the rest of the cluster. If blank, the --bind-address will be used. If --bind-address is unspecified, the host's default interface will be used. --> +

向集群成员通知 apiserver 消息的 IP 地址。 这个地址必须能够被集群中其他成员访问。 如果 IP 地址为空,将会使用 --bind-address, 如果未指定 --bind-address,将会使用主机的默认接口地址。 +

+ +--allow-metric-labels stringToString     默认值:[] + + +

+ +允许使用的指标标签到指标值的映射列表。键的格式为 <MetricName>,<LabelName>. +值得格式为 <allowed_value>,<allowed_value>...。 例如:metric1,label1='v1,v2,v3', metric1,label2='v1,v2,v3' metric2,label1='v1,v2,v3'。 +

+ + + --allow-privileged @@ -97,12 +126,7 @@ log to standard error as well as files - - ---anonymous-auth     默认值:true - +--anonymous-auth     默认值:true @@ -112,15 +136,15 @@ Requests that are not rejected by another authentication method are treated as anonymous requests. Anonymous requests have a username of system:anonymous, and a group name of system:unauthenticated. --> -启用到 API server 的安全端口的匿名请求。 +启用到 API 服务器的安全端口的匿名请求。 未被其他认证方法拒绝的请求被当做匿名请求。 -匿名请求的用户名为 system:anonymous, -用户组名为 system:unauthenticated。 +匿名请求的用户名为 system:anonymous, +用户组名为 system:unauthenticated。 ---api-audiences stringSlice +--api-audiences strings @@ -133,18 +157,13 @@ containing the issuer URL. --> API 的标识符。 服务帐户令牌验证者将验证针对 API 使用的令牌是否已绑定到这些受众中的至少一个。 -如果配置了 --service-account-issuer 标志,但未配置此标志, -则此字段默认为包含发行者 URL 的单个元素列表。 +如果配置了 --service-account-issuer 标志,但未配置此标志, +则此字段默认为包含发布者 URL 的单个元素列表。 - - ---apiserver-count int     默认值:1 - +--apiserver-count int     默认值:1 @@ -152,18 +171,13 @@ API 的标识符。 The number of apiservers running in the cluster, must be a positive number. (In use when --endpoint-reconciler-type=master-count is enabled.) --> -集群中运行的 apiserver 数量,必须为正数。 +集群中运行的 API 服务器数量,必须为正数。 (在启用 --endpoint-reconciler-type=master-count 时使用。) - - ---audit-log-batch-buffer-size int     默认值:10000 - +--audit-log-batch-buffer-size int     默认值:10000 @@ -176,18 +190,13 @@ The size of the buffer to store events before batching and writing. Only used in - - ---audit-log-batch-max-size int     默认值:1 - +--audit-log-batch-max-size int     默认值:1 -批处理的最大大小。 仅在批处理模式下使用。 +每个批次的最大大小。仅在批处理模式下使用。 @@ -200,7 +209,7 @@ The maximum size of a batch. Only used in batch mode. The amount of time to wait before force writing the batch that hadn't reached the max size. Only used in batch mode. --> -强制写入尚未达到最大大小的批处理之前要等待的时间。 +强制写入尚未达到最大大小的批次之前要等待的时间。 仅在批处理模式下使用。 @@ -214,7 +223,7 @@ Only used in batch mode. Maximum number of requests sent at the same moment if ThrottleQPS was not utilized before. Only used in batch mode. --> -如果之前未使用 ThrottleQPS,则同时发送的最大请求数。 +如果之前未使用 ThrottleQPS,则为同时发送的最大请求数。 仅在批处理模式下使用。 @@ -227,21 +236,19 @@ Only used in batch mode. -是否启用了批量限制。 -仅在批处理模式下使用。 +是否启用了批量限制。仅在批处理模式下使用。 ---audit-log-batch-throttle-qps float32 +--audit-log-batch-throttle-qps float -每秒的最大平均批处理数。 -仅在批处理模式下使用。 +每秒的最大平均批次数。仅在批处理模式下使用。 @@ -253,18 +260,13 @@ Maximum average number of batches per second. Only used in batch mode. -若设置了此标志,则轮换的日志文件会使用 gzip 压缩。 +若设置了此标志,则被轮换的日志文件会使用 gzip 压缩。 - - ---audit-log-format string     默认值:"json" - +--audit-log-format string     默认值:"json" @@ -298,7 +300,7 @@ The maximum number of days to retain old audit log files based on the timestamp -保留的旧审计日志文件的最大数量。 +要保留的旧的审计日志文件个数上限。 @@ -315,12 +317,7 @@ The maximum size in megabytes of the audit log file before it gets rotated. - - ---audit-log-mode string     默认值:"blocking" - +--audit-log-mode string     默认值:"blocking" @@ -329,9 +326,9 @@ Strategy for sending audit events. Blocking indicates sending events should bloc Batch causes the backend to buffer and write events asynchronously. Known modes are batch,blocking,blocking-strict. --> -发送审计事件的策略。 +用来发送审计事件的策略。 阻塞(blocking)表示发送事件应阻止服务器响应。 -批处理导致后端异步缓冲和写入事件。 +批处理(batch)会导致后端异步缓冲和写入事件。 已知的模式是批处理(batch),阻塞(blocking),严格阻塞(blocking-strict)。 @@ -345,7 +342,7 @@ Known modes are batch,blocking,blocking-strict. If set, all requests coming to the apiserver will be logged to this file. '-' means standard out. --> -如果设置,则所有到达 apiserver 的请求都将记录到该文件中。 +如果设置,则所有到达 API 服务器的请求都将记录到该文件中。 "-" 表示标准输出。 @@ -363,12 +360,7 @@ Whether event and batch truncating is enabled. - - ---audit-log-truncate-max-batch-size int     默认值:10485760 - +--audit-log-truncate-max-batch-size int     默认值:10485760 @@ -377,19 +369,14 @@ Maximum size of the batch sent to the underlying backend. Actual serialized size several hundreds of bytes greater. If a batch exceeds this limit, it is split into several batches of smaller size. --> -发送到下层后端的批次的最大数据量。 +发送到下层后端的每批次的最大数据量。 实际的序列化大小可能会增加数百个字节。 如果一个批次超出此限制,则将其分成几个较小的批次。 - - ---audit-log-truncate-max-event-size int     默认值:102400 - +--audit-log-truncate-max-event-size int     默认值:102400 @@ -398,26 +385,21 @@ Maximum size of the audit event sent to the underlying backend. If the size of a is greater than this number, first request and response are removed, and if this doesn't reduce the size enough, event is discarded. --> -发送到下层后端的批次的最大数据量。 -如果事件的大小大于此数字,则将删除第一个请求和响应, -并且没有减小足够大的程度,则将丢弃事件。 +发送到下层后端的每批次的最大数据量。 +如果事件的大小大于此数字,则将删除第一个请求和响应; +如果这样做没有减小足够大的程度,则将丢弃事件。 - - ---audit-log-version string     默认值:"audit.k8s.io/v1" - +--audit-log-version string     默认值:"audit.k8s.io/v1" -用于序列化写入日志的审计事件的 API 组和版本。 +用于对写入日志的审计事件执行序列化的 API 组和版本。 @@ -434,12 +416,7 @@ Path to the file that defines the audit policy configuration. - - ---audit-webhook-batch-buffer-size int     默认值:10000 - +--audit-webhook-batch-buffer-size int     默认值:10000 @@ -452,12 +429,7 @@ The size of the buffer to store events before batching and writing. Only used in - - ---audit-webhook-batch-max-size int     默认值:400 - +--audit-webhook-batch-max-size int     默认值:400 @@ -470,12 +442,7 @@ The maximum size of a batch. Only used in batch mode. - - ---audit-webhook-batch-max-wait duration     默认值:30s - +--audit-webhook-batch-max-wait duration     默认值:30s @@ -489,12 +456,7 @@ Only used in batch mode. - - ---audit-webhook-batch-throttle-burst int     默认值:15 - +--audit-webhook-batch-throttle-burst int     默认值:15 @@ -502,44 +464,32 @@ Only used in batch mode. Maximum number of requests sent at the same moment if ThrottleQPS was not utilized before. Only used in batch mode. --> -如果之前未使用 ThrottleQPS,则同时发送的最大请求数。 +如果之前未使用 ThrottleQPS,同时发送的最大请求数。 仅在批处理模式下使用。 - - ---audit-webhook-batch-throttle-enable     默认值:true - +--audit-webhook-batch-throttle-enable     默认值:true -是否启用了批量限制。 -仅在批处理模式下使用。 +是否启用了批量限制。仅在批处理模式下使用。 - - ---audit-webhook-batch-throttle-qps float32     默认值:10 - +--audit-webhook-batch-throttle-qps float32     默认值:10 -每秒的最大平均批次数。 -仅在批处理模式下使用。 +每秒的最大平均批次数。仅在批处理模式下使用。 @@ -555,12 +505,7 @@ Path to a kubeconfig formatted file that defines the audit webhook configuration - - ---audit-webhook-initial-backoff duration     默认值:10s - +--audit-webhook-initial-backoff duration     默认值:10s @@ -572,12 +517,7 @@ The amount of time to wait before retrying the first failed request. - - ---audit-webhook-mode string     默认值:"batch" - +--audit-webhook-mode string     默认值:"batch" @@ -587,7 +527,7 @@ Batch causes the backend to buffer and write events asynchronously. Known modes --> 发送审计事件的策略。 阻止(Blocking)表示发送事件应阻止服务器响应。 -批处理导致后端异步缓冲和写入事件。 +批处理(Batch)导致后端异步缓冲和写入事件。 已知的模式是批处理(batch),阻塞(blocking),严格阻塞(blocking-strict)。 @@ -605,12 +545,7 @@ Whether event and batch truncating is enabled. - - ---audit-webhook-truncate-max-batch-size int     默认值:10485760 - +--audit-webhook-truncate-max-batch-size int     默认值:10485760 @@ -626,12 +561,7 @@ several batches of smaller size. - - ---audit-webhook-truncate-max-event-size int     默认值:102400 - +--audit-webhook-truncate-max-event-size int     默认值:102400 @@ -641,17 +571,13 @@ is greater than this number, first request and response are removed, and if this reduce the size enough, event is discarded. --> 发送到下层后端的批次的最大数据量。 -如果事件的大小大于此数字,则将删除第一个请求和响应, -并且如果事件和事件的大小没有足够减小,则将丢弃事件。 +如果事件的大小大于此数字,则将删除第一个请求和响应; +如果事件和事件的大小没有减小到一定幅度,则将丢弃事件。 - - ---audit-webhook-version string     默认值:"audit.k8s.io/v1" +--audit-webhook-version string     默认值:"audit.k8s.io/v1" @@ -664,19 +590,14 @@ API group and version used for serializing audit events written to webhook. - - ---authentication-token-webhook-cache-ttl duration     默认值:2m0s - +--authentication-token-webhook-cache-ttl duration     2m0s -来自 Webhook 令牌身份验证器的缓存响应的持续时间。 +对来自 Webhook 令牌身份验证器的响应的缓存时间。 @@ -689,17 +610,13 @@ The duration to cache responses from the webhook token authenticator. File with webhook configuration for token authentication in kubeconfig format. The API server will query the remote service to determine authentication for bearer tokens. --> -包含 Webhook 配置的文件,用于以 kubeconfig 格式进行令牌认证。 +包含 Webhook 配置的 kubeconfig 格式文件,用于进行令牌认证。 API 服务器将查询远程服务,以对持有者令牌进行身份验证。 - - ---authentication-token-webhook-version string     默认值:"v1beta1" +--authentication-token-webhook-version string     默认值:"v1beta1" @@ -712,12 +629,7 @@ The API version of the authentication.k8s.io TokenReview to send to and expect f - - ---authorization-mode stringSlice     默认值:[AlwaysAllow] - +--authorization-mode stringSlice     默认值:"AlwaysAllow" @@ -726,7 +638,7 @@ Ordered list of plug-ins to do authorization on secure port. Comma-delimited lis AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node. --> 在安全端口上进行鉴权的插件的顺序列表。 -逗号分隔的列表:AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node。 +逗号分隔的列表:AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC、Node。 @@ -739,42 +651,32 @@ AlwaysAllow,AlwaysDeny,ABAC,Webhook,RBAC,Node. File with authorization policy in json line by line format, used with --authorization-mode=ABAC, on the secure port. --> -包含安全策略的文件,其内容为分行 JSON 格式, +包含鉴权策略的文件,其内容为分行 JSON 格式, 在安全端口上与 --authorization-mode=ABAC 一起使用。 - - ---authorization-webhook-cache-authorized-ttl duration     默认值:5m0s - +--authorization-webhook-cache-authorized-ttl duration     默认值:5m0s -缓存来自 Webhook 鉴权组件的 “授权(authorized)” 响应的持续时间。 +对来自 Webhook 鉴权组件的 “授权(authorized)” 响应的缓存时间。 - - ---authorization-webhook-cache-unauthorized-ttl duration     默认值:30s - +--authorization-webhook-cache-unauthorized-ttl duration     默认值:30s -缓存来自 Webhook 鉴权模块的 “未授权(unauthorized)” 响应的持续时间。 +对来自 Webhook 鉴权模块的 “未授权(unauthorized)” 响应的缓存时间。 @@ -794,13 +696,7 @@ API 服务器将查询远程服务,以对 API 服务器的安全端口的访 - - ---authorization-webhook-version string     默认值:"v1beta1" - - +--authorization-webhook-version string     默认值:"v1beta1" ---bind-address ip     默认值:0.0.0.0 - +--bind-address string     默认值:"0.0.0.0" @@ -837,19 +728,14 @@ The IP address on which to listen for the --secure-port port. The associated int must be reachable by the rest of the cluster, and by CLI/web clients. If blank or an unspecified address (0.0.0.0 or ::), all interfaces will be used. --> -监听 --secure-port 端口的 IP 地址。 -集群的其余部分以及 CLI/web 客户端必须可以访问关联的接口。 -如果为空白或未指定地址(0.0.0.0 或 ::),则将使用所有接口。 +用来监听 --secure-port 端口的 IP 地址。 +集群的其余部分以及 CLI/web 客户端必须可以访问所关联的接口。 +如果为空白或未指定地址(0.0.0.0::),则将使用所有接口。 - - ---cert-dir string     默认值:"/var/run/kubernetes" - +--cert-dir string     默认值:"/var/run/kubernetes" @@ -858,7 +744,8 @@ The directory where the TLS certs are located. If --tls-cert-file and --tls-private-key-file are provided, this flag will be ignored. --> TLS 证书所在的目录。 -如果提供了 --tls-cert-file 和 --tls-private-key-file,则将忽略此标志。 +如果提供了 --tls-cert-file--tls-private-key-file +标志值,则将忽略此标志。 @@ -885,8 +772,7 @@ client-ca 文件中的授权机构之一签名的客户端证书的请求进行 -云厂商配置文件的路径。 -空字符串表示无配置文件。 +云厂商配置文件的路径。空字符串表示无配置文件。 @@ -898,25 +784,19 @@ The path to the cloud provider configuration file. Empty string for no configura -云服务提供商。 -空字符串表示没有云厂商。 +云服务提供商。空字符串表示没有云厂商。 - - ---cloud-provider-gce-l7lb-src-cidrs cidrs     默认值:130.211.0.0/22,35.191.0.0/16 - +--cloud-provider-gce-l7lb-src-cidrs cidrs     默认值:"130.211.0.0/22,35.191.0.0/16" -在 GCE 防火墙中打开 CIDR,以进行 L7 LB 流量代理和运行状况检查 +在 GCE 防火墙中打开 CIDR,以进行第 7 层负载均衡流量代理和健康状况检查。 @@ -928,12 +808,12 @@ CIDRs opened in GCE firewall for L7 LB traffic proxy & health checks -如果启用了性能分析,则启用锁争用性能分析 +如果启用了性能分析,则启用锁争用性能分析。 ---cors-allowed-origins stringSlice +--cors-allowed-origins strings @@ -949,30 +829,20 @@ CORS 允许的来源清单,以逗号分隔。 - - ---default-not-ready-toleration-seconds int     默认值:300 - +--default-not-ready-toleration-seconds int     默认值:300 -标明 notReady:NoExecute 的 tolerationSeconds, -默认情况下将其添加到尚未具有此容忍度的每个 pod 中。 +对污点 NotReady:NoExecute 的容忍时长(以秒计)。 +默认情况下这一容忍度会被添加到尚未具有此容忍度的每个 pod 中。 - - ---default-unreachable-toleration-seconds int     默认值:300 - +--default-unreachable-toleration-seconds int     默认值:300 @@ -980,18 +850,13 @@ Indicates the tolerationSeconds of the toleration for notReady:NoExecute that is Indicates the tolerationSeconds of the toleration for unreachable:NoExecute that is added by default to every pod that does not already have such a toleration. --> -标明 unreachable:NoExecute 的 tolerationSeconds, -默认情况下将其添加到尚未具有此容忍度的每个 pod 中。 +对污点 Unreachable:NoExecute 的容忍时长(以秒计) +默认情况下这一容忍度会被添加到尚未具有此容忍度的每个 pod 中。 - - ---default-watch-cache-size int     默认值:100 - +--default-watch-cache-size int     默认值:100 @@ -1005,38 +870,48 @@ that do not have a default watch size set. - - ---delete-collection-workers int     默认值:1 - +--delete-collection-workers int     默认值: 1 -为 DeleteCollection 调用而产生的工作程序数。 +为 DeleteCollection 调用而产生的工作线程数。 这些用于加速名字空间清理。 ---disable-admission-plugins stringSlice +--disable-admission-plugins strings 尽管位于默认启用的插件列表中(NamespaceLifecycle、LimitRanger、ServiceAccount、TaintNodesByCondition、Priority、DefaultTolerationSeconds、DefaultStorageClass、StorageObjectInUseProtection、PersistentVolumeClaimResize、RuntimeClass、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、MutatingAdmissionWebhook、ValidatingAdmissionWebhook、ResourceQuota)仍须被禁用的插件。 -
取值为逗号分隔的准入插件列表:AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyEscalatingExec、DenyExecOnPrivileged、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision、NamespaceExists、NamespaceLifecycle、NodeRestriction、OwnerReferencesPermissionEnforcement、PersistentVolumeClaimResize、PersistentVolumeLabel、PodNodeSelector、PodSecurityPolicy、PodTolerationRestriction、Priority、ResourceQuota、RuntimeClass、SecurityContextDeny、ServiceAccount、StorageObjectInUseProtection、TaintNodesByCondition、ValidatingAdmissionWebhook。 +
取值为逗号分隔的准入插件列表:AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyServiceExternalIPs、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision、NamespaceExists、NamespaceLifecycle、NodeRestriction、OwnerReferencesPermissionEnforcement、PersistentVolumeClaimResize、PersistentVolumeLabel、PodNodeSelector、PodSecurityPolicy、PodTolerationRestriction、Priority、ResourceQuota、RuntimeClass、SecurityContextDeny、ServiceAccount、StorageObjectInUseProtection、TaintNodesByCondition、ValidatingAdmissionWebhook。
该标志中插件的顺序无关紧要。 + +--disabled-metrics strings + + + + +此标志为行为不正确的度量指标提供一种处理方案。 +你必须提供完全限定的指标名称才能将其禁止。 +声明:禁用度量值的行为优先于显示已隐藏的度量值。 + + + + --egress-selector-config-file string @@ -1045,7 +920,7 @@ admission plugins that should be disabled although they are in the default enabl -带有 apiserver 出站选择器配置的文件。 +带有 API 服务器出站选择器配置的文件。 @@ -1055,10 +930,14 @@ File with apiserver egress selector configuration. 除了默认启用的插件(NamespaceLifecycle、LimitRanger、ServiceAccount、TaintNodesByCondition、Priority、DefaultTolerationSeconds、DefaultStorageClass、StorageObjectInUseProtection、PersistentVolumeClaimResize、RuntimeClass、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、MutatingAdmissionWebhook、ValidatingAdmissionWebhook、ResourceQuota)之外要启用的插件 -
取值为逗号分隔的准入插件列表:AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyEscalatingExec、DenyExecOnPrivileged、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision、NamespaceExists、NamespaceLifecycle、NodeRestriction、OwnerReferencesPermissionEnforcement、PersistentVolumeClaimResize、PersistentVolumeLabel、PodNodeSelector、PodSecurityPolicy、PodTolerationRestriction、Priority、ResourceQuota、RuntimeClass、SecurityContextDeny、ServiceAccount、StorageObjectInUseProtection、TaintNodesByCondition、ValidatingAdmissionWebhook +
取值为逗号分隔的准入插件列表:AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyServiceExternalIPs、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision、NamespaceExists、NamespaceLifecycle、NodeRestriction、OwnerReferencesPermissionEnforcement、PersistentVolumeClaimResize、PersistentVolumeLabel、PodNodeSelector、PodSecurityPolicy、PodTolerationRestriction、Priority、ResourceQuota、RuntimeClass、SecurityContextDeny、ServiceAccount、StorageObjectInUseProtection、TaintNodesByCondition、ValidatingAdmissionWebhook
该标志中插件的顺序无关紧要。 @@ -1090,29 +969,19 @@ namespace to be used for TLS bootstrapping authentication. - - ---enable-garbage-collector     默认值:true +--enable-garbage-collector     默认值:true -启用通用垃圾收集器。 -必须与 kube-controller-manager 的相应标志同步。 +启用通用垃圾收集器。必须与 kube-controller-manager 的相应标志同步。 - - ---enable-priority-and-fairness     默认值:true - +--enable-priority-and-fairness     默认值:true @@ -1121,7 +990,7 @@ If true and the APIPriorityAndFairness feature gate is enabled, replace the max-in-flight handler with an enhanced one that queues and dispatches with priority and fairness --> -如果为 true 且启用了 APIPriorityAndFairness 特性门控, +如果为 true 且启用了 APIPriorityAndFairness 特性门控, 请使用增强的处理程序替换 max-in-flight 处理程序, 以便根据优先级和公平性完成排队和调度。 @@ -1140,19 +1009,14 @@ The file containing configuration for encryption providers to be used for storin - - ---endpoint-reconciler-type string     默认值:"lease" - +--endpoint-reconciler-type string     默认值:"lease" -使用端点协调器(master-count, lease, none) +使用端点协调器(master-countleasenone)。 @@ -1181,12 +1045,7 @@ SSL certification file used to secure etcd communication. - - ---etcd-compaction-interval duration     默认值:5m0s - +--etcd-compaction-interval duration     默认值:5m0s @@ -1194,43 +1053,32 @@ SSL certification file used to secure etcd communication. The interval of compaction requests. If 0, the compaction request from apiserver is disabled. --> 压缩请求的间隔。 -如果为0,则禁用来自 apiserver 的压缩请求。 +如果为0,则禁用来自 API 服务器的压缩请求。 - - ---etcd-count-metric-poll-period duration     默认值:1m0s - +--etcd-count-metric-poll-period duration     默认值:1m0s -针对每种类型的资源数量轮询 etcd 的频率。 -0 禁用度量值收集。 +针对每种类型的资源数量轮询 etcd 的频率。 +0 值表示禁用度量值收集。 - - ---etcd-db-metric-poll-interval duration     默认值:30s - +--etcd-db-metric-poll-interval duration     默认值:30s -轮询 etcd 和更新度量值的请求间隔。 -0 禁用度量值收集 +轮询 etcd 和更新度量值的请求间隔。0 值表示禁用度量值收集。 @@ -1259,12 +1107,7 @@ SSL key file used to secure etcd communication.< - - ---etcd-prefix string     默认值:"/registry" - +--etcd-prefix string     默认值:"/registry" @@ -1276,19 +1119,19 @@ The prefix to prepend to all resource paths in etcd. ---etcd-servers stringSlice +--etcd-servers strings -要连接的 etcd 服务器列表(scheme://ip:port),以逗号分隔。 +要连接的 etcd 服务器列表(scheme://ip:port),以逗号分隔。 ---etcd-servers-overrides stringSlice +--etcd-servers-overrides strings @@ -1298,17 +1141,13 @@ The individual override format: group/resource#servers, where servers are URLs, semicolon separated. --> etcd 服务器针对每个资源的重载设置,以逗号分隔。 -单个替代格式:组/资源#服务器(group/resource#servers),其中服务器是 URL,以分号分隔。 +单个替代格式:组/资源#服务器(group/resource#servers), +其中服务器是 URL,以分号分隔。 - - ---event-ttl duration     默认值:1h0m0s - +--event-ttl duration     默认值:1h0m0s @@ -1345,7 +1184,7 @@ The hostname to use when generating externalized URLs for this master ---feature-gates mapStringBool +--feature-gates <逗号分隔的 'key=True|False' 键值对> @@ -1357,41 +1196,35 @@ APIResponseCompression=true|false (BETA - default=true)
APIServerIdentity=true|false (ALPHA - default=false)
AllAlpha=true|false (ALPHA - default=false)
AllBeta=true|false (BETA - default=false)
-AllowInsecureBackendProxy=true|false (BETA - default=true)
AnyVolumeDataSource=true|false (ALPHA - default=false)
AppArmor=true|false (BETA - default=true)
BalanceAttachedNodeVolumes=true|false (ALPHA - default=false)
-BoundServiceAccountTokenVolume=true|false (ALPHA - default=false)
+BoundServiceAccountTokenVolume=true|false (BETA - default=true)
CPUManager=true|false (BETA - default=true)
-CRIContainerLogRotation=true|false (BETA - default=true)
CSIInlineVolume=true|false (BETA - default=true)
CSIMigration=true|false (BETA - default=true)
CSIMigrationAWS=true|false (BETA - default=false)
-CSIMigrationAWSComplete=true|false (ALPHA - default=false)
CSIMigrationAzureDisk=true|false (BETA - default=false)
-CSIMigrationAzureDiskComplete=true|false (ALPHA - default=false)
-CSIMigrationAzureFile=true|false (ALPHA - default=false)
-CSIMigrationAzureFileComplete=true|false (ALPHA - default=false)
+CSIMigrationAzureFile=true|false (BETA - default=false)
CSIMigrationGCE=true|false (BETA - default=false)
-CSIMigrationGCEComplete=true|false (ALPHA - default=false)
-CSIMigrationOpenStack=true|false (BETA - default=false)
-CSIMigrationOpenStackComplete=true|false (ALPHA - default=false)
+CSIMigrationOpenStack=true|false (BETA - default=true)
CSIMigrationvSphere=true|false (BETA - default=false)
CSIMigrationvSphereComplete=true|false (BETA - default=false)
-CSIServiceAccountToken=true|false (ALPHA - default=false)
-CSIStorageCapacity=true|false (ALPHA - default=false)
+CSIServiceAccountToken=true|false (BETA - default=true)
+CSIStorageCapacity=true|false (BETA - default=true)
CSIVolumeFSGroupPolicy=true|false (BETA - default=true)
+CSIVolumeHealth=true|false (ALPHA - default=false)
ConfigurableFSGroupPolicy=true|false (BETA - default=true)
-CronJobControllerV2=true|false (ALPHA - default=false)
+ControllerManagerLeaderMigration=true|false (ALPHA - default=false)
+CronJobControllerV2=true|false (BETA - default=true)
CustomCPUCFSQuotaPeriod=true|false (ALPHA - default=false)
+DaemonSetUpdateSurge=true|false (ALPHA - default=false)
DefaultPodTopologySpread=true|false (BETA - default=true)
DevicePlugins=true|false (BETA - default=true)
DisableAcceleratorUsageMetrics=true|false (BETA - default=true)
-DownwardAPIHugePages=true|false (ALPHA - default=false)
+DownwardAPIHugePages=true|false (BETA - default=false)
DynamicKubeletConfig=true|false (BETA - default=true)
-EfficientWatchResumption=true|false (ALPHA - default=false)
-EndpointSlice=true|false (BETA - default=true)
-EndpointSliceNodeName=true|false (ALPHA - default=false)
+EfficientWatchResumption=true|false (BETA - default=true)
EndpointSliceProxying=true|false (BETA - default=true)
EndpointSliceTerminatingCondition=true|false (ALPHA - default=false)
EphemeralContainers=true|false (ALPHA - default=false)
@@ -1399,138 +1232,158 @@ ExpandCSIVolumes=true|false (BETA - default=true)
ExpandInUsePersistentVolumes=true|false (BETA - default=true)
ExpandPersistentVolumes=true|false (BETA - default=true)
ExperimentalHostUserNamespaceDefaulting=true|false (BETA - default=false)
-GenericEphemeralVolume=true|false (ALPHA - default=false)
-GracefulNodeShutdown=true|false (ALPHA - default=false)
+GenericEphemeralVolume=true|false (BETA - default=true)
+GracefulNodeShutdown=true|false (BETA - default=true)
HPAContainerMetrics=true|false (ALPHA - default=false)
HPAScaleToZero=true|false (ALPHA - default=false)
HugePageStorageMediumSize=true|false (BETA - default=true)
-IPv6DualStack=true|false (ALPHA - default=false)
-ImmutableEphemeralVolumes=true|false (BETA - default=true)
+IPv6DualStack=true|false (BETA - default=true)
+InTreePluginAWSUnregister=true|false (ALPHA - default=false)
+InTreePluginAzureDiskUnregister=true|false (ALPHA - default=false)
+InTreePluginAzureFileUnregister=true|false (ALPHA - default=false)
+InTreePluginGCEUnregister=true|false (ALPHA - default=false)
+InTreePluginOpenStackUnregister=true|false (ALPHA - default=false)
+InTreePluginvSphereUnregister=true|false (ALPHA - default=false)
+IndexedJob=true|false (ALPHA - default=false)
+IngressClassNamespacedParams=true|false (ALPHA - default=false)
KubeletCredentialProviders=true|false (ALPHA - default=false)
KubeletPodResources=true|false (BETA - default=true)
-LegacyNodeRoleBehavior=true|false (BETA - default=true)
+KubeletPodResourcesGetAllocatable=true|false (ALPHA - default=false)
LocalStorageCapacityIsolation=true|false (BETA - default=true)
LocalStorageCapacityIsolationFSQuotaMonitoring=true|false (ALPHA - default=false)
+LogarithmicScaleDown=true|false (ALPHA - default=false)
+MemoryManager=true|false (ALPHA - default=false)
MixedProtocolLBService=true|false (ALPHA - default=false)
-NodeDisruptionExclusion=true|false (BETA - default=true)
+NamespaceDefaultLabelName=true|false (BETA - default=true)
+NetworkPolicyEndPort=true|false (ALPHA - default=false)
NonPreemptingPriority=true|false (BETA - default=true)
-PodDisruptionBudget=true|false (BETA - default=true)
+PodAffinityNamespaceSelector=true|false (ALPHA - default=false)
+PodDeletionCost=true|false (ALPHA - default=false)
PodOverhead=true|false (BETA - default=true)
+PreferNominatedNode=true|false (ALPHA - default=false)
+ProbeTerminationGracePeriod=true|false (ALPHA - default=false)
ProcMountType=true|false (ALPHA - default=false)
QOSReserved=true|false (ALPHA - default=false)
RemainingItemCount=true|false (BETA - default=true)
RemoveSelfLink=true|false (BETA - default=true)
-RootCAConfigMap=true|false (BETA - default=true)
RotateKubeletServerCertificate=true|false (BETA - default=true)
-RunAsGroup=true|false (BETA - default=true)
ServerSideApply=true|false (BETA - default=true)
-ServiceAccountIssuerDiscovery=true|false (BETA - default=true)
+ServiceInternalTrafficPolicy=true|false (ALPHA - default=false)
ServiceLBNodePortControl=true|false (ALPHA - default=false)
-ServiceNodeExclusion=true|false (BETA - default=true)
+ServiceLoadBalancerClass=true|false (ALPHA - default=false)
ServiceTopology=true|false (ALPHA - default=false)
SetHostnameAsFQDN=true|false (BETA - default=true)
SizeMemoryBackedVolumes=true|false (ALPHA - default=false)
StorageVersionAPI=true|false (ALPHA - default=false)
StorageVersionHash=true|false (BETA - default=true)
-Sysctls=true|false (BETA - default=true)
-TTLAfterFinished=true|false (ALPHA - default=false)
+SuspendJob=true|false (ALPHA - default=false)
+TTLAfterFinished=true|false (BETA - default=true)
+TopologyAwareHints=true|false (ALPHA - default=false)
TopologyManager=true|false (BETA - default=true)
ValidateProxyRedirects=true|false (BETA - default=true)
+VolumeCapacityPriority=true|false (ALPHA - default=false)
WarningHeaders=true|false (BETA - default=true)
WinDSR=true|false (ALPHA - default=false)
WinOverlay=true|false (BETA - default=true)
-WindowsEndpointSliceProxying=true|false (ALPHA - default=false) +WindowsEndpointSliceProxying=true|false (BETA - default=true) --> -一组 key=value 对,用来描述测试性/试验性功能的特性门控。可选项有: -
APIListChunking=true|false (BETA - 默认值=true) -
APIPriorityAndFairness=true|false (BETA - 默认值=true) -
APIResponseCompression=true|false (BETA - 默认值=true) -
APIServerIdentity=true|false (ALPHA - 默认值=false) -
AllAlpha=true|false (ALPHA - 默认值=false) -
AllBeta=true|false (BETA - 默认值=false) -
AllowInsecureBackendProxy=true|false (BETA - 默认值=true) -
AnyVolumeDataSource=true|false (ALPHA - 默认值=false) -
AppArmor=true|false (BETA - 默认值=true) -
BalanceAttachedNodeVolumes=true|false (ALPHA - 默认值=false) -
BoundServiceAccountTokenVolume=true|false (ALPHA - 默认值=false) -
CPUManager=true|false (BETA - 默认值=true) -
CRIContainerLogRotation=true|false (BETA - 默认值=true) -
CSIInlineVolume=true|false (BETA - 默认值=true) -
CSIMigration=true|false (BETA - 默认值=true) -
CSIMigrationAWS=true|false (BETA - 默认值=false) -
CSIMigrationAWSComplete=true|false (ALPHA - 默认值=false) -
CSIMigrationAzureDisk=true|false (BETA - 默认值=false) -
CSIMigrationAzureDiskComplete=true|false (ALPHA - 默认值=false) -
CSIMigrationAzureFile=true|false (ALPHA - 默认值=false) -
CSIMigrationAzureFileComplete=true|false (ALPHA - 默认值=false) -
CSIMigrationGCE=true|false (BETA - 默认值=false) -
CSIMigrationGCEComplete=true|false (ALPHA - 默认值=false) -
CSIMigrationOpenStack=true|false (BETA - 默认值=false) -
CSIMigrationOpenStackComplete=true|false (ALPHA - 默认值=false) -
CSIMigrationvSphere=true|false (BETA - 默认值=false) -
CSIMigrationvSphereComplete=true|false (BETA - 默认值=false) -
CSIServiceAccountToken=true|false (ALPHA - 默认值=false) -
CSIStorageCapacity=true|false (ALPHA - 默认值=false) -
CSIVolumeFSGroupPolicy=true|false (BETA - 默认值=true) -
ConfigurableFSGroupPolicy=true|false (BETA - 默认值=true) -
CronJobControllerV2=true|false (ALPHA - 默认值=false) -
CustomCPUCFSQuotaPeriod=true|false (ALPHA - 默认值=false) -
DefaultPodTopologySpread=true|false (BETA - 默认值=true) -
DevicePlugins=true|false (BETA - 默认值=true) -
DisableAcceleratorUsageMetrics=true|false (BETA - 默认值=true) -
DownwardAPIHugePages=true|false (ALPHA - default=false) -
DynamicKubeletConfig=true|false (BETA - 默认值=true) -
EfficientWatchResumption=true|false (ALPHA - 默认值=false) -
EndpointSlice=true|false (BETA - 默认值=true) -
EndpointSliceNodeName=true|false (ALPHA - 默认值=false) -
EndpointSliceProxying=true|false (BETA - 默认值=true) -
EndpointSliceTerminatingCondition=true|false (ALPHA - 默认值=false) -
EphemeralContainers=true|false (ALPHA - 默认值=false) -
ExpandCSIVolumes=true|false (BETA - 默认值=true) -
ExpandInUsePersistentVolumes=true|false (BETA - 默认值=true) -
ExpandPersistentVolumes=true|false (BETA - 默认值=true) -
ExperimentalHostUserNamespaceDefaulting=true|false (BETA - 默认值=false) -
GenericEphemeralVolume=true|false (ALPHA - 默认值=false) -
GracefulNodeShutdown=true|false (ALPHA - 默认值=false) -
HPAContainerMetrics=true|false (ALPHA - default=false) -
HPAScaleToZero=true|false (ALPHA - 默认值=false) -
HugePageStorageMediumSize=true|false (BETA - 默认值=true) -
IPv6DualStack=true|false (ALPHA - 默认值=false) -
ImmutableEphemeralVolumes=true|false (BETA - 默认值=true) -
KubeletCredentialProviders=true|false (ALPHA - 默认值=false) -
KubeletPodResources=true|false (BETA - 默认值=true) -
LegacyNodeRoleBehavior=true|false (BETA - 默认值=true) -
LocalStorageCapacityIsolation=true|false (BETA - 默认值=true) -
LocalStorageCapacityIsolationFSQuotaMonitoring=true|false (ALPHA - 默认值=false) -
MixedProtocolLBService=true|false (ALPHA - 默认值=false) -
NodeDisruptionExclusion=true|false (BETA - 默认值=true) -
NonPreemptingPriority=true|false (BETA - 默认值=true) -
PodDisruptionBudget=true|false (BETA - 默认值=true) -
PodOverhead=true|false (BETA - 默认值=true) -
ProcMountType=true|false (ALPHA - 默认值=false) -
QOSReserved=true|false (ALPHA - 默认值=false) -
RemainingItemCount=true|false (BETA - 默认值=true) -
RemoveSelfLink=true|false (BETA - 默认值=true) -
RootCAConfigMap=true|false (BETA - 默认值=true) -
RotateKubeletServerCertificate=true|false (BETA - 默认值=true) -
RunAsGroup=true|false (BETA - 默认值=true) -
ServerSideApply=true|false (BETA - 默认值=true) -
ServiceAccountIssuerDiscovery=true|false (BETA - 默认值=true) -
ServiceLBNodePortControl=true|false (ALPHA - 默认值=false) -
ServiceNodeExclusion=true|false (BETA - 默认值=true) -
ServiceTopology=true|false (ALPHA - 默认值=false) -
SetHostnameAsFQDN=true|false (BETA - 默认值=true) -
SizeMemoryBackedVolumes=true|false (ALPHA - 默认值=false) -
StorageVersionAPI=true|false (ALPHA - 默认值=false) -
StorageVersionHash=true|false (BETA - 默认值=true) -
Sysctls=true|false (BETA - 默认值=true) -
TTLAfterFinished=true|false (ALPHA - 默认值=false) -
TopologyManager=true|false (BETA - 默认值=true) -
ValidateProxyRedirects=true|false (BETA - 默认值=true) -
WarningHeaders=true|false (BETA - 默认值=true) -
WinDSR=true|false (ALPHA - 默认值=false) -
WinOverlay=true|false (BETA - 默认值=true) -
WindowsEndpointSliceProxying=true|false (ALPHA - 默认值=false) +

一组 key=value 对,用来描述测试性/试验性功能的特性门控。可选项有: +APIListChunking=true|false (BETA - 默认值=true)
+APIPriorityAndFairness=true|false (BETA - 默认值=true)
+APIResponseCompression=true|false (BETA - 默认值=true)
+APIServerIdentity=true|false (ALPHA - 默认值=false)
+AllAlpha=true|false (ALPHA - 默认值=false)
+AllBeta=true|false (BETA - 默认值=false)
+AnyVolumeDataSource=true|false (ALPHA - 默认值=false)
+AppArmor=true|false (BETA - 默认值=true)
+BalanceAttachedNodeVolumes=true|false (ALPHA - 默认值=false)
+BoundServiceAccountTokenVolume=true|false (BETA - 默认值=true)
+CPUManager=true|false (BETA - 默认值=true)
+CSIInlineVolume=true|false (BETA - 默认值=true)
+CSIMigration=true|false (BETA - 默认值=true)
+CSIMigrationAWS=true|false (BETA - 默认值=false)
+CSIMigrationAzureDisk=true|false (BETA - 默认值=false)
+CSIMigrationAzureFile=true|false (BETA - 默认值=false)
+CSIMigrationGCE=true|false (BETA - 默认值=false)
+CSIMigrationOpenStack=true|false (BETA - 默认值=true)
+CSIMigrationvSphere=true|false (BETA - 默认值=false)
+CSIMigrationvSphereComplete=true|false (BETA - 默认值=false)
+CSIServiceAccountToken=true|false (BETA - 默认值=true)
+CSIStorageCapacity=true|false (BETA - 默认值=true)
+CSIVolumeFSGroupPolicy=true|false (BETA - 默认值=true)
+CSIVolumeHealth=true|false (ALPHA - 默认值=false)
+ConfigurableFSGroupPolicy=true|false (BETA - 默认值=true)
+ControllerManagerLeaderMigration=true|false (ALPHA - 默认值=false)
+CronJobControllerV2=true|false (BETA - 默认值=true)
+CustomCPUCFSQuotaPeriod=true|false (ALPHA - 默认值=false)
+DaemonSetUpdateSurge=true|false (ALPHA - 默认值=false)
+DefaultPodTopologySpread=true|false (BETA - 默认值=true)
+DevicePlugins=true|false (BETA - 默认值=true)
+DisableAcceleratorUsageMetrics=true|false (BETA - 默认值=true)
+DownwardAPIHugePages=true|false (BETA - 默认值=false)
+DynamicKubeletConfig=true|false (BETA - 默认值=true)
+EfficientWatchResumption=true|false (BETA - 默认值=true)
+EndpointSliceProxying=true|false (BETA - 默认值=true)
+EndpointSliceTerminatingCondition=true|false (ALPHA - 默认值=false)
+EphemeralContainers=true|false (ALPHA - 默认值=false)
+ExpandCSIVolumes=true|false (BETA - 默认值=true)
+ExpandInUsePersistentVolumes=true|false (BETA - 默认值=true)
+ExpandPersistentVolumes=true|false (BETA - 默认值=true)
+ExperimentalHostUserNamespace默认值ing=true|false (BETA - 默认值=false)
+GenericEphemeralVolume=true|false (BETA - 默认值=true)
+GracefulNodeShutdown=true|false (BETA - 默认值=true)
+HPAContainerMetrics=true|false (ALPHA - 默认值=false)
+HPAScaleToZero=true|false (ALPHA - 默认值=false)
+HugePageStorageMediumSize=true|false (BETA - 默认值=true)
+IPv6DualStack=true|false (BETA - 默认值=true)
+InTreePluginAWSUnregister=true|false (ALPHA - 默认值=false)
+InTreePluginAzureDiskUnregister=true|false (ALPHA - 默认值=false)
+InTreePluginAzureFileUnregister=true|false (ALPHA - 默认值=false)
+InTreePluginGCEUnregister=true|false (ALPHA - 默认值=false)
+InTreePluginOpenStackUnregister=true|false (ALPHA - 默认值=false)
+InTreePluginvSphereUnregister=true|false (ALPHA - 默认值=false)
+IndexedJob=true|false (ALPHA - 默认值=false)
+IngressClassNamespacedParams=true|false (ALPHA - 默认值=false)
+KubeletCredentialProviders=true|false (ALPHA - 默认值=false)
+KubeletPodResources=true|false (BETA - 默认值=true)
+KubeletPodResourcesGetAllocatable=true|false (ALPHA - 默认值=false)
+LocalStorageCapacityIsolation=true|false (BETA - 默认值=true)
+LocalStorageCapacityIsolationFSQuotaMonitoring=true|false (ALPHA - 默认值=false)
+LogarithmicScaleDown=true|false (ALPHA - 默认值=false)
+MemoryManager=true|false (ALPHA - 默认值=false)
+MixedProtocolLBService=true|false (ALPHA - 默认值=false)
+NamespaceDefaultLabelName=true|false (BETA - 默认值=true)
+NetworkPolicyEndPort=true|false (ALPHA - 默认值=false)
+NonPreemptingPriority=true|false (BETA - 默认值=true)
+PodAffinityNamespaceSelector=true|false (ALPHA - 默认值=false)
+PodDeletionCost=true|false (ALPHA - 默认值=false)
+PodOverhead=true|false (BETA - 默认值=true)
+PreferNominatedNode=true|false (ALPHA - 默认值=false)
+ProbeTerminationGracePeriod=true|false (ALPHA - 默认值=false)
+ProcMountType=true|false (ALPHA - 默认值=false)
+QOSReserved=true|false (ALPHA - 默认值=false)
+RemainingItemCount=true|false (BETA - 默认值=true)
+RemoveSelfLink=true|false (BETA - 默认值=true)
+RotateKubeletServerCertificate=true|false (BETA - 默认值=true)
+ServerSideApply=true|false (BETA - 默认值=true)
+ServiceInternalTrafficPolicy=true|false (ALPHA - 默认值=false)
+ServiceLBNodePortControl=true|false (ALPHA - 默认值=false)
+ServiceLoadBalancerClass=true|false (ALPHA - 默认值=false)
+ServiceTopology=true|false (ALPHA - 默认值=false)
+SetHostnameAsFQDN=true|false (BETA - 默认值=true)
+SizeMemoryBackedVolumes=true|false (ALPHA - 默认值=false)
+StorageVersionAPI=true|false (ALPHA - 默认值=false)
+StorageVersionHash=true|false (BETA - 默认值=true)
+SuspendJob=true|false (ALPHA - 默认值=false)
+TTLAfterFinished=true|false (BETA - 默认值=true)
+TopologyAwareHints=true|false (ALPHA - 默认值=false)
+TopologyManager=true|false (BETA - 默认值=true)
+ValidateProxyRedirects=true|false (BETA - 默认值=true)
+VolumeCapacityPriority=true|false (ALPHA - 默认值=false)
+WarningHeaders=true|false (BETA - 默认值=true)
+WinDSR=true|false (ALPHA - 默认值=false)
+WinOverlay=true|false (BETA - 默认值=true)
+WindowsEndpointSliceProxying=true|false (BETA - 默认值=true)

@@ -1549,11 +1402,11 @@ will be sent a GOAWAY. Clusters with single apiservers, or which don't use a load balancer, should NOT enable this. Min is 0 (off), Max is .02 (1/50 requests); .001 (1/1000) is a recommended starting point. --> -为防止 HTTP/2 客户端卡在单个 apiserver 上,可启用随机关闭连接(GOAWAY)。 +为防止 HTTP/2 客户端卡在单个 API 服务器上,可启用随机关闭连接(GOAWAY)。 客户端的其他运行中请求将不会受到影响,并且客户端将重新连接, -可能会在再次通过负载平衡器后登陆到其他 apiserver 上。 +可能会在再次通过负载平衡器后登陆到其他 API 服务器上。 此参数设置将发送 GOAWAY 的请求的比例。 -具有单个 apiserver 或不使用负载平衡器的群集不应启用此功能。 +具有单个 API 服务器或不使用负载平衡器的群集不应启用此功能。 最小值为0(关闭),最大值为 .02(1/50 请求); 建议使用 .001(1/1000)。 @@ -1580,7 +1433,7 @@ The limit that the server gives to clients for the maximum number of streams in an HTTP/2 connection. Zero means to use golang's default. --> 服务器为客户端提供的 HTTP/2 连接中最大流数的限制。 -零表示使用 golang 的默认值。 +零表示使用 GoLang 的默认值。 @@ -1647,12 +1500,7 @@ TLS 客户端密钥文件的路径。 - - ---kubelet-preferred-address-types stringSlice     默认值:[Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP] - +--kubelet-preferred-address-types strings     默认值:Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP @@ -1664,12 +1512,7 @@ List of the preferred NodeAddressTypes to use for kubelet connections. - - ---kubelet-timeout duration     默认值:5s - +--kubelet-timeout duration     默认值:5s @@ -1690,11 +1533,26 @@ If non-zero, the Kubernetes master service (which apiserver creates/maintains) will be of type NodePort, using this as the value of the port. If zero, the Kubernetes master service will be of type ClusterIP. --> -如果非零,那么 Kubernetes 主服务(由 apiserver 创建/维护)将是 NodePort 类型,使用它作为端口的值。 +如果非零,那么 Kubernetes 主服务(由 apiserver 创建/维护)将是 NodePort 类型, +使用它作为端口的值。 如果为零,则 Kubernetes 主服务将为 ClusterIP 类型。 + +--lease-reuse-duration-seconds int     默认值:60 + + + + +每个租约被重用的时长。 +如果此值比较低,可以避免大量对象重用此租约。 +注意,如果此值过小,可能导致存储层出现性能问题。 + + + --livez-grace-period duration @@ -1706,25 +1564,21 @@ to complete its startup sequence and become live. From apiserver's start time to when this amount of time has elapsed, /livez will assume that unfinished post-start hooks will complete successfully and therefore return true. --> -此选项代表 apiserver 完成启动序列并生效所需的最长时间。 -从 apiserver 的启动时间到这段时间为止, -/livez 将假定未完成的启动后钩子将成功完成,因此返回 true。 +此选项代表 API 服务器完成启动序列并生效所需的最长时间。 +从 API 服务器的启动时间到这段时间为止, +/livez 将假定未完成的启动后钩子将成功完成,因此返回 true。 - - - +--log-backtrace-at traceLocation     默认值::0 -当日志机制执行到'文件 :N'时,生成堆栈跟踪 +当日志机制执行到'文件 :N'时,生成堆栈跟踪。 @@ -1736,7 +1590,7 @@ when logging hits line file:N, emit a stack trace -如果为非空,则在此目录中写入日志文件 +如果为非空,则在此目录中写入日志文件。 @@ -1748,7 +1602,7 @@ If non-empty, write log files in this directory -如果为非空,使用此日志文件 +如果为非空,使用此值作为日志文件。 @@ -1787,35 +1641,25 @@ Maximum number of seconds between log flushes Sets the log format. Permitted formats: "json", "text".
Non-default formats don't honor these flags: --add_dir_header, --alsologtostderr, --log_backtrace_at, --log_dir, --log_file, --log_file_max_size, --logtostderr, --one_output, --skip_headers, --skip_log_headers, --stderrthreshold, --vmodule, --log-flush-frequency.
Non-default choices are currently alpha and subject to change without warning. --> 设置日志格式。允许的格式:"json","json"。
-非默认格式不支持以下标志:--add_dir_header--alsologtostderr--log_backtrace_at--log_dir--log_file--log_file_max_size--logtostderr--one_output-skip_headers-skip_log_headers--stderrthreshold-vmodule--log-flush-frequency
+非默认格式不支持以下标志:--add-dir-header--alsologtostderr--log-backtrace-at--log-dir--log-file--log-file-max-size--logtostderr--one-output-skip-headers-skip-log-headers--stderrthreshold-vmodule--log-flush-frequency
当前非默认选择为 alpha,会随时更改而不会发出警告。 -c - ---logtostderr     默认值:true - +--logtostderr     默认值:true -在标准错误而不是文件中输出日志记录 +在标准错误而不是文件中输出日志记录。 - - ---master-service-namespace string     默认值:"default" - +--master-service-namespace string     默认值:"default" @@ -1840,12 +1684,7 @@ If non-zero, throttle each user connection to this number of bytes/sec. Currentl - - ---max-mutating-requests-inflight int     默认值:200 - +--max-mutating-requests-inflight int     默认值:200 @@ -1860,12 +1699,7 @@ When the server exceeds this, it rejects requests. Zero for no limit. - - ---max-requests-inflight int     默认值:400 - +--max-requests-inflight int     默认值:400 @@ -1880,12 +1714,7 @@ When the server exceeds this, it rejects requests. Zero for no limit. - - ---min-request-timeout int     默认值:1800 - +--min-request-timeout int     默认值:1800 @@ -1896,7 +1725,8 @@ watch request handler, which picks a randomized value above this number as the connection timeout, to spread out load. --> 可选字段,表示处理程序在请求超时前,必须保持其处于打开状态的最小秒数。 -当前只对监听(Watch)请求的处理程序有效,它基于这个值选择一个随机数作为连接超时值,以达到分散负载的目的。 +当前只对监听(Watch)请求的处理程序有效,它基于这个值选择一个随机数作为连接超时值, +以达到分散负载的目的。 @@ -1951,7 +1781,7 @@ This flag is experimental, please see the authentication documentation for furth If provided, all groups will be prefixed with this value to prevent conflicts with other authentication strategies. --> -如果提供,则所有组都将以该值作为前缀,以防止与其他身份认证策略冲突。 +如果提供了此值,则所有组都将以该值作为前缀,以防止与其他身份认证策略冲突。 @@ -1970,7 +1800,7 @@ OpenID 颁发者 URL,只接受 HTTPS 方案。 ---oidc-required-claim mapStringString +--oidc-required-claim <逗号分隔的 'key=value' 键值对列表> @@ -1986,12 +1816,7 @@ Repeat this flag to specify multiple claims. - - ---oidc-signing-algs stringSlice     默认值:[RS256] - +--oidc-signing-algs strings     默认值:RS256 @@ -2007,12 +1832,7 @@ Values are defined by RFC 7518 https://tools.ietf.org/html/rfc7518#section-3.1. - - ---oidc-username-claim string     默认值:"sub" - +--oidc-username-claim string     默认值:"sub" @@ -2057,7 +1877,20 @@ If true, only write logs to their native severity level (vs also writing to each ---permit-port-sharing +--permit-address-sharing     默认值:false + + +

+ +若此标志为 true,则使用 SO_REUSEADDR 来绑定端口。 +这样设置可以同时绑定到用通配符表示的类似 0.0.0.0 这种 IP 地址, +以及特定的 IP 地址。也可以避免等待内核释放 TIME_WAIT 状态的套接字。 +

+ + + +--permit-port-sharing     默认值:false @@ -2065,8 +1898,8 @@ If true, only write logs to their native severity level (vs also writing to each If true, SO_REUSEPORT will be used when binding the port, which allows more than one instance to bind on the same address and port. [default=false] --> -如果为 true,则在绑定端口时将使用 SO_REUSEPORT, -这样多个实例可以绑定到同一地址和端口上。[默认值 = false] +如果为 true,则在绑定端口时将使用 SO_REUSEPORT, +这样多个实例可以绑定到同一地址和端口上。 @@ -2078,7 +1911,7 @@ which allows more than one instance to bind on the same address and port. [defau -通过 Web 界面启用性能分析 host:port/debug/pprof/ +通过 Web 接口 host:port/debug/pprof/ 启用性能分析。 @@ -2139,7 +1972,7 @@ for specific types of requests. ---requestheader-allowed-names stringSlice +--requestheader-allowed-names strings @@ -2150,8 +1983,9 @@ any client certificate validated by the authorities in --requestheader-client-ca-file is allowed. --> 此值为客户端证书通用名称(Common Name)的列表;表中所列的表项可以用来提供用户名, -方式是使用 --requestheader-username-headers 所指定的头部。 -如果为空,能够通过 --requestheader-client-ca-file 中机构认证的客户端证书都是被允许的。 +方式是使用 --requestheader-username-headers 所指定的头部。 +如果为空,能够通过 --requestheader-client-ca-file 中机构 +认证的客户端证书都是被允许的。 @@ -2173,43 +2007,43 @@ depend on authorization being already done for incoming requests. ---requestheader-extra-headers-prefix stringSlice +--requestheader-extra-headers-prefix strings -用于查验请求头部的前缀列表。建议使用 X-Remote-Extra-。 +用于查验请求头部的前缀列表。建议使用 X-Remote-Extra-。 ---requestheader-group-headers stringSlice +--requestheader-group-headers strings -用于查验用户组的请求头部列表。建议使用 X-Remote-Group。 +用于查验用户组的请求头部列表。建议使用 X-Remote-Group。 ---requestheader-username-headers stringSlice +--requestheader-username-headers strings -用于查验用户名的请求头头列表。建议使用 X-Remote-User。 +用于查验用户名的请求头头列表。建议使用 X-Remote-User。 ---runtime-config mapStringString +--runtime-config <逗号分隔的 'key=value' 对列表> @@ -2235,12 +2069,7 @@ A set of key=value pairs that enable or disable built-in APIs. Supported options - - ---secure-port int     默认值:6443 - +--secure-port int     默认值:6443 @@ -2311,7 +2140,7 @@ docand key set are served to relying parties from a URL other than the API server's external (as auto-detected or overridden with external-hostname). Only valid if the ServiceAccountIssuerDiscovery feature gate is enabled. --> -覆盖 /.well-known/openid-configuration 提供的发现文档中 JSON Web 密钥集的 URI。 +覆盖 /.well-known/openid-configuration 提供的发现文档中 JSON Web 密钥集的 URI。 如果发现文档和密钥集是通过 API 服务器外部 (而非自动检测到或被外部主机名覆盖)之外的 URL 提供给依赖方的,则此标志很有用。 仅在启用 ServiceAccountIssuerDiscovery 特性门控的情况下有效。 @@ -2319,7 +2148,7 @@ Only valid if the ServiceAccountIssuerDiscovery feature gate is enabled. ---service-account-key-file stringArray +--service-account-key-file strings @@ -2332,18 +2161,13 @@ Must be specified when --service-account-signing-key is provided --> 包含 PEM 编码的 x509 RSA 或 ECDSA 私钥或公钥的文件,用于验证 ServiceAccount 令牌。 指定的文件可以包含多个键,并且可以使用不同的文件多次指定标志。 -如果未指定,则使用 --tls-private-key-file。 -提供 --service-account-signing-key 时必须指定。 +如果未指定,则使用 --tls-private-key-file。 +提供 --service-account-signing-key 时必须指定。 - - ---service-account-lookup     默认值:true - +--service-account-lookup     默认值:true @@ -2399,7 +2223,7 @@ CIDR 表示的 IP 范围用来为服务分配集群 IP。 ---service-node-port-range portRange     默认值:30000-32767 +--service-node-port-range <形式为 'N1-N2' 的字符串>     默认值:30000-32767 @@ -2458,7 +2282,7 @@ This can be used to allow load balancer to stop sending traffic to this server. -如果为 true,日志消息中避免标题前缀 +如果为 true,日志消息中避免标题前缀。 @@ -2470,12 +2294,12 @@ If true, avoid header prefixes in the log messages -如果为 true,则在打开日志文件时避免标题 +如果为 true,则在打开日志文件时避免标题。 ---stderrthreshold severity     默认值:2 +--stderrthreshold int     默认值:2 @@ -2512,6 +2336,21 @@ Some resources or storage backends may only support a specific media type and wi + +--strict-transport-security-directives strings + + +

+ +为 HSTS 所设置的指令列表,用逗号分隔。 +如果此列表为空,则不会添加 HSTS 指令。 +例如: 'max-age=31536000,includeSubDomains,preload' +

+ + + --tls-cert-file string @@ -2525,23 +2364,30 @@ a self-signed certificate and key are generated for the public address and saved to the directory specified by --cert-dir. --> 包含用于 HTTPS 的默认 x509 证书的文件。(CA 证书(如果有)在服务器证书之后并置)。 -如果启用了 HTTPS 服务,并且未提供 --tls-cert-file 和 --tls-private-key-file, -为公共地址生成一个自签名证书和密钥,并将其保存到 --cert-dir 指定的目录中。 +如果启用了 HTTPS 服务,并且未提供 --tls-cert-file 和 +--tls-private-key-file, +为公共地址生成一个自签名证书和密钥,并将其保存到 --cert-dir 指定的目录中。 ---tls-cipher-suites stringSlice +--tls-cipher-suites strings 服务器的密码套件的列表,以逗号分隔。如果省略,将使用默认的 Go 密码套件。 -
首选值:TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、TLS_RSA_WTLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_ECDSA_WITH_RC4_128_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_RSA_WITH_RC4_128_SHA、TLS_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_RC4_128_SHA。 +
首选值: +TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、 TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384. +不安全的值有: +TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_ECDSA_WITH_RC4_128_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_RSA_WITH_RC4_128_SHA、TLS_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_RC4_128_SHA。 @@ -2565,17 +2411,12 @@ Minimum TLS version supported. Possible values: VersionTLS10, VersionTLS11, Vers -包含匹配 --tls-cert-file 的 x509 证书私钥的文件。 +包含匹配 --tls-cert-file 的 x509 证书私钥的文件。 - - ---tls-sni-cert-key namedCertKey     默认值:[] - +--tls-sni-cert-key string     默认值: [] @@ -2595,8 +2436,8 @@ pairs, use the --tls-sni-cert-key multiple times. Examples: 域模式也允许使用 IP 地址,但仅当 apiserver 对客户端请求的IP地址具有可见性时,才应使用 IP。 如果未提供域模式,则提取证书的名称。 非通配符匹配优先于通配符匹配,显式域模式优先于提取出的名称。 -对于多个密钥/证书对,请多次使用 --tls-sni-cert-key。 -示例:"example.crt,example.key" 或 "foo.crt,foo.key:*.foo.com,foo.com"。 +对于多个密钥/证书对,请多次使用 --tls-sni-cert-key。 +示例:"example.crt,example.key" 或 "foo.crt,foo.key:\*.foo.com,foo.com"。 @@ -2613,14 +2454,14 @@ If set, the file that will be used to secure the secure port of the API server v --v, --v Level +-v, --v int -日志级别详细程度的数字 +日志级别详细程度的数字。 @@ -2637,14 +2478,14 @@ Print version information and quit ---vmodule moduleSpec +--vmodule <用逗号分隔的多个 'pattern=N' 配置字符串> -以逗号分隔的 pattern=N 设置列表,用于文件过滤的日志记录 +以逗号分隔的 pattern=N 设置列表,用于文件过滤的日志记录。 @@ -2656,12 +2497,12 @@ comma-separated list of pattern=N settings for file-filtered logging -在 apiserver 中启用监视缓存 +在 API 服务器中启用监视缓存。 ---watch-cache-sizes stringSlice +--watch-cache-sizes strings @@ -2674,15 +2515,20 @@ watch-cache is enabled. Some resources (replicationcontrollers, endpoints, nodes pods, services, apiservices.apiregistration.k8s.io) have system defaults set by heuristics, others default to default-watch-cache-size --> -某些资源(pods、nodes 等)的监视缓存大小设置,以逗号分隔。 -每个资源对应的设置格式:resource[.group]#size,其中 resource 为小写复数(无版本), -对于 apiVersion v1(旧版核心 API)的资源要省略 group, -对其它资源要给出 group,size 为一个数字。 -启用 watch-cache 时,此功能生效。 -某些资源(replicationcontrollers、endpoints、nodes、pods、services、apiservices.apiregistration.k8s.io) -具有通过启发式设置的系统默认值,其他资源默认为 default-watch-cache-size +某些资源(Pods、Nodes 等)的监视缓存大小设置,以逗号分隔。 +每个资源对应的设置格式:resource[.group]#size,其中 +resource 为小写复数(无版本), +对于 apiVersion v1(旧版核心 API)的资源要省略 group, +对其它资源要给出 groupsize 为一个数字。 +启用 watch-cache 时,此功能生效。 +某些资源(replicationcontrollersendpoints、 +nodespodsservices、 +apiservices.apiregistration.k8s.io) +具有通过启发式设置的系统默认值,其他资源默认为 +default-watch-cache-size。 +