kube-controller-manager 是控制平面的组件, 负责运行控制器进程。
从逻辑上讲, 每个控制器都是一个单独的进程, 但是为了降低复杂性,它们都被编译到同一个可执行文件,并在同一个进程中运行。
控制器有许多不同类型。以下是一些例子:
- Node 控制器:负责在节点出现故障时进行通知和响应
- Job 控制器:监测代表一次性任务的 Job 对象,然后创建 Pod 来运行这些任务直至完成
- EndpointSlice 控制器:填充 EndpointSlice 对象(以提供 Service 和 Pod 之间的链接)。
- ServiceAccount 控制器:为新的命名空间创建默认的 ServiceAccount。
以上并不是一个详尽的列表。
简介
Kubernetes 控制器管理器是一个守护进程,内嵌随 Kubernetes 一起发布的核心控制回路。 在机器人和自动化的应用中,控制回路是一个永不休止的循环,用于调节系统状态。 在 Kubernetes 中,每个控制器是一个控制回路,通过 API 服务器监视集群的共享状态, 并尝试进行更改以将当前状态转为期望状态。 目前,Kubernetes 自带的控制器例子包括副本控制器、节点控制器、命名空间控制器和服务账号控制器等。
kube-controller-manager [flags]
选项
| --allocate-node-cidrs | |
基于云驱动来为 Pod 分配和设置子网掩码。需要 --cluster-cidr。 |
|
| --allow-metric-labels stringToString 默认值:[] | |
| 从度量值标签到准许值列表的映射。键名的格式为<MetricName>,<LabelName>。 准许值的格式为<allowed_value>,<allowed_value>...。 例如, |
|
| --allow-metric-labels-manifest string | |
| 包含允许列表映射的清单文件的路径。此文件的格式与 |
|
| --attach-detach-reconcile-sync-period duration 默认值:1m0s | |
| 协调器(reconciler)在相邻两次对存储卷进行挂载和解除挂载操作之间的等待时间。 此时长必须长于 1 秒钟。此值设置为大于默认值时,可能导致存储卷无法与 Pod 匹配。 | |
| --authentication-kubeconfig string | |
| 此标志值为一个 kubeconfig 文件的路径名。该文件中包含与某 Kubernetes “核心” 服务器相关的信息,并支持足够的权限以创建 tokenreviews.authentication.k8s.io。 此选项是可选的。如果设置为空值,则所有令牌请求都会被认作匿名请求, Kubernetes 也不再在集群中查找客户端的 CA 证书信息。 | |
| --authentication-skip-lookup | |
| 此值为 false 时,通过 authentication-kubeconfig 参数所指定的文件会被用来检索集群中缺失的身份认证配置信息。 | |
| --authentication-token-webhook-cache-ttl duration 默认值:10s | |
| 对 Webhook 令牌认证设施返回结果的缓存时长。 | |
| --authentication-tolerate-lookup-failure | |
| 此值为 true 时,即使无法从集群中检索到缺失的身份认证配置信息也无大碍。 需要注意的是,这样设置可能导致所有请求都被视作匿名请求。 | |
| --authorization-always-allow-paths strings 默认值:"/healthz,/readyz,/livez" | |
| 鉴权过程中会忽略的一个 HTTP 路径列表。 换言之,控制器管理器会对列表中路径的访问进行授权,并且无须征得 Kubernetes “核心” 服务器同意。 | |
| --authorization-kubeconfig string | |
| 包含 Kubernetes “核心” 服务器信息的 kubeconfig 文件路径, 所包含信息具有创建 subjectaccessreviews.authorization.k8s.io 的足够权限。 此参数是可选的。如果配置为空字符串,未被鉴权模块所忽略的请求都会被禁止。 | |
| --authorization-webhook-cache-authorized-ttl duration 默认值:10s | |
| 对 Webhook 形式鉴权组件所返回的“已授权(Authorized)”响应的缓存时长。 | |
| --authorization-webhook-cache-unauthorized-ttl duration 默认值:10s | |
| 对 Webhook 形式鉴权组件所返回的“未授权(Unauthorized)”响应的缓存时长。 | |
| --bind-address string 默认值:0.0.0.0 | |
针对 --secure-port 端口上请求执行监听操作的 IP 地址。 所对应的网络接口必须从集群中其它位置可访问(含命令行及 Web 客户端)。 如果此值为空或者设定为非特定地址(0.0.0.0 或 ::), 意味着所有网络接口和 IP 地址簇都在监听范围。 |
|
| --cert-dir string | |
TLS 证书所在的目录。如果提供了 --tls-cert-file 和 --tls-private-key-file,此标志会被忽略。 |
|
| --cidr-allocator-type string 默认值:"RangeAllocator" | |
| 要使用的 CIDR 分配器类型。 | |
| --client-ca-file string | |
如果设置了此标志,对于所有能够提供客户端证书的请求,若该证书由 --client-ca-file 中所给机构之一签署, 则该请求会被成功认证为客户端证书中 CommonName 所标识的实体。 |
|
| --cloud-config string | |
| 云驱动程序配置文件的路径。空字符串表示没有配置文件。 | |
| --cloud-provider string | |
| 云服务的提供者。空字符串表示没有对应的提供者(驱动)。 | |
| --cluster-cidr string | |
集群中 Pod 的 CIDR 范围。仅当 --allocate-node-cidrs=true 时此选项才会被使用; 如果为 false,此选项将被忽略。 |
|
| --cluster-name string 默认值:"kubernetes" | |
| 集群实例的前缀。 | |
| --cluster-signing-cert-file string | |
包含 PEM 编码格式的 X509 CA 证书的文件名。该证书用来发放集群范围的证书。 如果设置了此标志,则不能指定更具体的 --cluster-signing-* 标志。 |
|
| --cluster-signing-duration duration 默认值:8760h0m0s | |
所签名证书的有效期限。每个 CSR 可以通过设置 spec.expirationSeconds 来请求更短的证书。 |
|
| --cluster-signing-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名。该私钥用来对集群范围证书签名。 若指定了此选项,则不可再设置 --cluster-signing-* 参数。 |
|
| --cluster-signing-kube-apiserver-client-cert-file string | |
包含 PEM 编码的 X509 CA 证书的文件名, 该证书用于为 kubernetes.io/kube-apiserver-client 签署者颁发证书。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 |
|
| --cluster-signing-kube-apiserver-client-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名, 该私钥用于为 kubernetes.io/kube-apiserver-client 签署者签名证书。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 |
|
| --cluster-signing-kubelet-client-cert-file string | |
包含 PEM 编码的 X509 CA 证书的文件名, 该证书用于为 kubernetes.io/kube-apiserver-client-kubelet 签署者颁发证书。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 |
|
| --cluster-signing-kubelet-client-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名, 该私钥用于为 kubernetes.io/kube-apiserver-client-kubelet 签署者签名证书。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 |
|
| --cluster-signing-kubelet-serving-cert-file string | |
| 包含 PEM 编码的 X509 CA 证书的文件名, 该证书用于为 kubernetes.io/kubelet-serving 签署者颁发证书。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 | |
| --cluster-signing-kubelet-serving-key-file string | |
包含 PEM 编码的 RSA或ECDSA 私钥的文件名, 该私钥用于对 kubernetes.io/kubelet-serving 签署者的证书进行签名。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 |
|
| --cluster-signing-legacy-unknown-cert-file string | |
包含 PEM 编码的 X509 CA 证书的文件名, 用于为 kubernetes.io/legacy-unknown 签署者颁发证书。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 |
|
| --cluster-signing-legacy-unknown-key-file string | |
包含 PEM 编码的 RSA 或 ECDSA 私钥的文件名, 用于为 kubernetes.io/legacy-unknown 签署者签名证书。 如果指定,则不得设置 --cluster-signing-{cert,key}-file。 |
|
| --concurrent-cron-job-syncs int32 默认值:5 | |
| 可以并发同步的 CronJob 对象个数。数值越大意味着对 CronJob 的响应越及时, 同时也意味着更大的 CPU(和网络带宽)压力。 |
|
| --concurrent-daemonset-syncs int32 默认值:2 | |
| 可以并发同步的 DaemonSet 对象个数。数值越大意味着对 DaemonSet 的响应越及时, 同时也意味着更大的 CPU(和网络带宽)压力。 | <
|
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
