config和cluster.spec中keys怎么配置
config和cluster.spec中keys怎么配置
本篇内容介绍了“config和cluster.spec中keys怎么配置”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!
kops中config和cluster.spec中keys 的描述
这里的描述并不完整,但旨在记录那些不太容易解释的key。 我们的godoc参考提供了更详细的API值列表。 在YAML文件中有描述集群的两个顶级API值:ClusterSpec定义为kind:YAML,InstanceGroup定义为kind:YAML。
spec
api
该对象配置我们如何公开API:
dns将允许直接访问master实例,并将DNS配置为直接指向master节点。loadBalancer将在主节点前配置负载平衡器(ELB),并将DNS配置为指向ELB。
DNS example:
spec:api:dns:{}
当配置LoadBalancer时,可以选择使用公共ELB或内网(仅限VPC)ELB。 type 字段应该是Public 或 Internal。
另外,可以通过设置additionalSecurityGroups将预先创建的其他安全组添加到负载均衡器。
spec:api:loadBalancer:type:PublicadditionalSecurityGroups:-sg-xxxxxxxx-sg-xxxxxxxx
此外,可以通过设置idleTimeoutSeconds来增加负载平衡器的空闲超时(idle timeout)。 默认的空闲超时时间为5分钟,AWS最多允许3600秒(60分钟)。 有关更多信息,请参阅配置空闲超时。
spec:api:loadBalancer:type:PublicidleTimeoutSeconds:300
etcdClusters v3 & tls
虽然kops目前默认不是etcd3,但可以打开v3和TLS身份验证以便在群集成员之间进行通信。 这些选项可以通过集群配置文件启用(只在manifests中,没有命令行选项)。 警告:目前没有从v2迁移到v3的升级途径,因此不要尝试在v2运行群集上启用此功能,因为它必须在创建群集时完成。 下面的示例代码片段假设一个由三个主服务器组成的HA群集。
etcdClusters:-etcdMembers:-instanceGroup:master0-az0name:a-1-instanceGroup:master1-az0name:a-2-instanceGroup:master0-az1name:b-1enableEtcdTLS:truename:mainversion:3.0.17-etcdMembers:-instanceGroup:master0-az0name:a-1-instanceGroup:master1-az0name:a-2-instanceGroup:master0-az1name:b-1enableEtcdTLS:truename:eventsversion:3.0.17
kubernetesApiAccess
该数组配置能够访问kubernetes API的CIDR。 在AWS上,这表现为ELB或主安全组上的入站安全组规则。
例如,使用此键可将群集访问限制为办公室IP地址范围。
spec:kubernetesApiAccess:-12.34.56.78/32
cluster.spec Subnet Keys
id
要在现有VPC中共享的子网ID。
egress
现有VPC中您想用作处网的“出口”的资源标识符(ID)。
此功能最初设想为允许重新使用NAT网关。用法如下。 虽然NAT网关是面向“公共”资源的,但在集群规范中,必须在专用私有子网部分中指定它们。 考虑这一点的一种方法是你指定“egress”,这是从这个私有子网的默认路由。
spec:subnets:-cidr:10.20.64.0/21name:us-east-1aegress:nat-987654321type:Privatezone:us-east-1a-cidr:10.20.32.0/21name:utility-us-east-1aid:subnet-12345type:Utilityzone:us-east-1a
publicIP
您想要添加到NAT网关的现有EIP的IP。
spec:subnets:-cidr:10.20.64.0/21name:us-east-1apublicIP:203.93.148.142type:Privatezone:us-east-1a
kubeAPIServer
该部分包含kube-apiserver的配置。
用于Open ID Connect令牌的oidc标志
spec:kubeAPIServer:oidcIssuerURL:https://your-oidc-provider.svc.cluster.localoidcClientID:kubernetesoidcUsernameClaim:suboidcUsernamePrefix:"oidc:"oidcGroupsClaim:user_rolesoidcGroupsPrefix:"oidc:"oidcCAFile:/etc/kubernetes/ssl/kc-ca.pem
audit logging
spec:kubeAPIServer:auditLogPath:/var/log/kube-apiserver-audit.logauditLogMaxAge:10auditLogMaxBackups:1auditLogMaxSize:100auditPolicyFile:/srv/kubernetes/audit.yaml
注意:auditPolicyFile是必需的。 如果该标志被省略,则不记录事件。
可以使用fileAssets功能在master节点上推送高级审核策略文件。
示例策略文件可以在这里找到
Max Requests Inflight
The maximum number of non-mutating requests in flight at a given time. 当服务器超过这个时,它拒绝请求。 零为无限制。 (默认400)
spec:kubeAPIServer:maxRequestsInflight:1000
runtimeConfig
这里的键和值被翻译成kube-apiserver中--runtime-config的值,用逗号分隔。
使用它来启用alpha功能,例如:
spec:kubeAPIServer:runtimeConfig:batch/v2alpha1:"true"apps/v1alpha1:"true"
将产生参数 --runtime-config=batch/v2alpha1=true,apps/v1alpha1=true 。 请注意,kube-apiserver接受true作为开关状标志的值。
serviceNodePortRange
该值作为kube-apiserver的--service-node-port-range 参数。
spec:kubeAPIServer:serviceNodePortRange:30000-33000
externalDns
这部分配置选项是为外部DNS提供的。当前的外部DNS提供商是kops dns-controller,它可以为Kubernetes资源设置DNS记录。 dns-controller计划逐步淘汰并替换为external-dns。
spec:externalDns:watchIngress:true
默认的kops行为是false。watchIngress:true使用默认的dns-controller行为来监视入口控制器的变化。 在某些情况下,设置此选项有中断服务更新的风险。
kubelet
该部分包含kubelet的配置。
注意:如果相应的配置值可以为空,则可以在spec中将字段设置为空,这样可以将空字符串作为配置值传递给kubelet。
spec:kubelet:resolvConf:""
将会建立标志--resolv-conf= 。
启用自定义metrics支持
要按照[自定义metrics doc 我们在kubernetes 中使用自定义指标,我们必须在所有kubelets上将标志--enable-custom-metrics设置为true。 可以在我们的cluster.yml中的kubelet规范中指定它。
spec:kubelet:enableCustomMetrics:true
kubeScheduler
该部分包含kube-scheduler的配置。
spec:kubeScheduler:usePolicyConfigMap:true
将使kube-scheduler使用命名空间kube-system中configmap的“scheduler-policy”调度程序策略。
请注意,从Kubernetes 1.8.0 kube-scheduler不会自动从configmap重新加载其配置。 需要进入master 实例并手动重启Docker容器。
kubeControllerManager
该部分包含controller-manager的配置。
spec:kubeControllerManager:horizontalPodAutoscalerSyncPeriod:15shorizontalPodAutoscalerDownscaleDelay:5m0shorizontalPodAutoscalerUpscaleDelay:3m0s
Feature Gates
spec:kubelet:featureGates:Accelerators:"true"AllowExtTrafficLocalEndpoints:"false"
将会生成flag --feature-gates=Accelerators=true,AllowExtTrafficLocalEndpoints=false
注:Feature gate ExperimentalCriticalPodAnnotation默认启用,因为一些关键组件如kube-proxy 依赖它。
计算资源保留
spec:kubelet:kubeReserved:cpu:"100m"memory:"100Mi"storage:"1Gi"kubeReservedCgroup:"/kube-reserved"systemReserved:cpu:"100m"memory:"100Mi"storage:"1Gi"systemReservedCgroup:"/system-reserved"enforceNodeAllocatable:"pods,system-reserved,kube-reserved"
将会生成标志: --kube-reserved=cpu=100m,memory=100Mi,storage=1Gi --kube-reserved-cgroup=/kube-reserved --system-reserved=cpu=100mi,memory=100Mi,storage=1Gi --system-reserved-cgroup=/system-reserved --enforce-node-allocatable=pods,system-reserved,kube-reserved。
networkID
在AWS上,这是创建群集的VPC的ID。如果需要从头开始创建群集,可以不在创建时指定此字段; kops将为你创建一个VPC。
spec:networkID:vpc-abcdefg1
hooks
钩子(hooks)允许在群集中的每个节点安装Kubernetes之前执行一些操作。 例如,可以安装Nvidia驱动程序以使用GPU。 这个钩子可以是Docker镜像或manifest(systemd单元)的形式。 hooks可以放在集群spec中,这意味着它们将会全局部署,或者可以将它们放入instanceGroup spec中。 注意:当instanceGroup与集群spec上的服务名相同时,instanceGroup优先并忽略群集spec中的定义;即,如果群集中具有单元文件“myunit.service”,并且instanceGroup中有单元文件“myunit.service”,则应用instanceGroup中的文件。
spec:#manysectionsremovedhooks:-before:-some_service.servicerequires:-docker.serviceexecContainer:image:kopeio/nvidia-bootstrap:1.6#theseareaddedas-etothedockerenvironmentenvironment:AWS_REGION:eu-west-1SOME_VAR:SOME_VALUE#orarawsystemdunithooks:-name:iptable-restore.serviceroles:-Node-Masterbefore:-kubelet.servicemanifest:|[Service]EnvironmentFile=/etc/environment#dosomestuff#ordisableasystemdunithooks:-name:update-engine.servicedisabled:true#oryoucouldwrapthisintoafullunithooks:-name:disable-update-engine.servicebefore:-update-engine.servicemanifest:|Type=oneshotExecStart=/usr/bin/systemctlstopupdate-engine.service
安装Ceph
spec:#manysectionsremovedhooks:-execContainer:command:-sh--c-chroot/rootfsapt-getupdate&&chroot/rootfsapt-getinstall-yceph-commonimage:busybox
fileAssets
FileAssets是一个alpha功能,允许你将内联文件内容放入群集和instanceGroup 配置中。 它被设计为alpha,你可以通过kubernetes daemonsets做替代。
spec:fileAssets:-name:iptable-restore#Noteifnotpathisspecificiedthedefaultpathit/srv/kubernetes/assets/<name>path:/var/lib/iptables/rules-saveroles:[Master,Node,Bastion]#alistofrolestoapplytheassetto,zerodefaultstoallcontent:|somefilecontent
cloudConfig
disableSecurityGroupIngress
如果您将aws用作cloudProvider,则可以禁用ELB安全组对Kubernetes Nodes安全组的授权。 换句话说,它不会添加安全组规则。 这可以是有用的,可以避免AWS限制:每个安全组50个规则。
spec:cloudConfig:disableSecurityGroupIngress:true
elbSecurityGroup
警告:这仅适用于1.7.0以上的Kubernetes版本。
为避免为每个elb创建一个安全组,可以指定安全组id,该id将分配给LoadBalancer。 它必须是安全组ID,而不是名称。 api.loadBalancer.additionalSecurityGroups 必须为空,因为Kubernetes将为服务文件中指定的每个端口添加规则。 这可以避免AWS限制:每个区域500个安全组,每个安全组50个规则。
spec:cloudConfig:elbSecurityGroup:sg-123445678
docker
可以覆盖集群中所有masters 和nodes 的Docker守护进程选项。查看API文档以获取完整的选项列表。
registryMirrors
如果你有一堆Docker实例(physicsal或vm)正在运行,每当他们中的一个pull主机上不存在的image 时,它将从DockerHub上拉取它。通过缓存这些images,可以将流量保留在本地网络中,避免出口带宽使用。此设置不仅有利于集群配置,而且还有利于images 拉取。
@see Cache-Mirror Dockerhub For Speed @see Configure the Docker daemon.
spec:docker:registryMirrors:-https://registry.example.com
storage
可以指定Docker存储驱动程序以覆盖默认值。 确保你选择的驱动程序受操作系统和docker版本的支持。
docker:storage:devicemapperstorageOpts:-"dm.thinpooldev=/dev/mapper/thin-pool"-"dm.use_deferred_deletion=true"-"dm.use_deferred_removal=true"
sshKeyName
在某些情况下,可能需要使用现有的AWS SSH密钥,而不是允许kops创建新密钥。 AWS中提供密钥的名称是--ssh-public-key的替代方案。
spec:sshKeyName:myexistingkey
target
在某些使用情况下,你可能希望使用额外选项来增加目标输出。目标支持最少的选项,你可以做到这一点。 目前只有terraform的目标支持这一点,但如果其他用例出现,kops最终可能会支持更多。
spec:target:terraform:providerExtraConfig:alias:foo
“config和cluster.spec中keys怎么配置”的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注恰卡编程网网站,小编将为大家输出更多高质量的实用文章!
