Kubernetes核心服务配置讲解

Kubernetes核心服务配置讲解目录概况2公共参数的配置kube-apiserver启动参数kube-controller-manager启动参数kube-scheduler启动参数概况3在前面几节中对Kubemetes各服务启动进程的关键配置参数进行了简要说明，实际上Kubemetes的每个服务都提供了许多可配置的参数。这些参数涉及安全性、性能优化及功能扩展（Plugin)等方方面面。全面理解和掌握这些参数的含义和配置，无论对于Kubemetes的生产部署还是日常运维都有很好的帮助。概况4每个服务的可用参数都可以通过运行--help命令进行查看，Kubernetes的主要服务包括kube-apiserver、kube-controller-manager、kube-scheduler、kubelet、kube-proxy等。另外，也可以通过在命令的配置文件（例如/etc/kiibernetes/kubelet等）中添加参数名=参数取值”的语句来完成对某个参数的配置。公共参数的配置5公共配置参数适用于所有服务，参数可用于kube-apiserver、kube-controller-manager、kube-scheduler、kubelet、kube-proxy。公共参数的配置6参数名和取值示例说明-log-backtrace-at=:0记录日志每到“file:行号"时打印一次stacktrace--log-dir=曰志文件路径-log-flush-frequency=5s设置flush日志文件的时间间隔-logtostderr=true设罝为tme则表示将日志输出到stderr，不输出到日志文件—alsologtostderr=false设置为true则表示将日忐输出到文件的同时输出到stderr—stderrthreshold=2将该threshold级别之上的日志输出到stderr—v=0glog日志级别-vmodulc=glog基于模块的详细日志级別-version=[false]设为true则将打印版本倍息然后退出kube-apiserver启动参数7（1）-admission-control="AlwaysAdmit"

对发送给APIServer的任何请求进行准入控制，配置为一个“准入控制器”的列表，多个准入控制器时以逗号分隔。多个准入控制器将按顺序对发送给APIServer的请求进行拦截和过滤，若某个准入控制器不允许该请求通过，则APIServer拒绝此调用请求。kube-apiserver启动参数8（1）-admission-control="AlwaysAdmit"可配置的准入控制器如下。AlwaysAdmit：允许所有请求•AlwaysPullImages：在启动容器之前总是去下载镜像，相当于在毎个容器的配S项imagcPullPolicy=Always*kube-apiserver启动参数9（1）-admission-control="AlwaysAdmit"AlwaysDeny：禁止所有请求，一般用于测试DenyExccOnPrivileged：它会拦截所有想在privilegedcontainer上执行命令的请求。kube-apiserver启动参数10ServiceAccount:这个plug-in将serviceAccounts实现了自动化，如果你想要使用ServiceAccount对象，那么强烈推荐你使用它。SecurityContextDeny：这个插件将使用了SecurityContext的Pod中定义的选项全部失效。SecurityContext在container中定义了操作系统级别的安全设定(uid、gid>capabilities、SELinux等）kube-apiserver启动参数11ResourceQuota：用于配额管理0的，作用于Namespace上，它会观察所有的请求，确保在namespace上的配额不会超标。推荐在admissioncontrol参数列表中这个插件最后一个LimitRangcr：用于配额管理，作用于Pod与Container，确保Pod与Container上的配额不会超标上的配额不会超标。controller-manager启动参数12参数名和取值示例说明--allocate-node-cidrs=false设置为为true表示使用云服务商为Pod分配的CIDRs,仅用于公有云--cloud-config=,"，云服务商的配置文件路径，仅用于公有云--cluster-cidr=<nil>集群中Pod的可用CIDR范围--concurrent-deployment-syncs=5设置允许的并发同步deployment对象的数量，值越大