為了k8s和別的程序不起沖突,默認(rèn)端口的范圍是 30000-32767 ,這里面我們可以手動修改api-server的配置,缺點是可能占用其它程序的端口或者與其他程序的端口產(chǎn)生沖突。
1、方法:修改APISERVER
1)在 /etc/kube.NETes/manifests 目錄下找到 api server 的配置。
2)添加–service-node-port-range=80-32767” 這個配置,設(shè)定允許的端口,如下圖
3)vim /etc/kubernetes/manifests/kube-apiserver.yaml
apiVersion: v1
kind: Pod
metadata:
annotations:
kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint: 192.168.10.6:6443
creationTimestamp: null
labels:
component: kube-apiserver
tier: control-plane
name: kube-apiserver
namespace: kube-system
spec:
containers:
- command:
- kube-apiserver
- --advertise-address=192.168.10.6
- --allow-privileged=true
- --authorization-mode=Node,RBAC
- --client-ca-file=/etc/kubernetes/pki/ca.crt
- --enable-admission-plugins=NodeRestriction
- --enable-bootstrap-token-auth=true
- --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt
- --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt
- --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key
- --etcd-servers=https://127.0.0.1:2379
- --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt
- --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key
- --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname
- --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt
- --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key
- --requestheader-allowed-names=front-proxy-client
- --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt
- --requestheader-extra-headers-prefix=X-Remote-Extra-
- --requestheader-group-headers=X-Remote-Group
- --requestheader-username-headers=X-Remote-User
- --secure-port=6443
- --service-account-issuer=https://kubernetes.default.svc.cluster.local
- --service-account-key-file=/etc/kubernetes/pki/sa.pub
- --service-account-signing-key-file=/etc/kubernetes/pki/sa.key
- --service-cluster-ip-range=10.96.0.0/12
- --tls-cert-file=/etc/kubernetes/pki/apiserver.crt
- --tls-private-key-file=/etc/kubernetes/pki/apiserver.key
- --service-node-port-range=80-32767
image: registry.aliyuncs.com/google_containers/kube-apiserver:v1.22.5
imagePullPolicy: IfNotPresent
livenessProbe:
failureThreshold: 8
httpGet:
host: 192.168.10.6
path: /livez
port: 6443
scheme: HTTPS
initialDelaySeconds: 10
periodSeconds: 10
timeoutSeconds: 15
name: kube-apiserver
readinessProbe:
failureThreshold: 3
httpGet:
host: 192.168.10.6
path: /readyz
port: 6443
scheme: HTTPS
periodSeconds: 1
timeoutSeconds: 15
resources:
requests:
cpu: 250m
startupProbe:
failureThreshold: 24
httpGet:
host: 192.168.10.6
path: /livez
port: 6443
scheme: HTTPS
initialDelaySeconds: 10
periodSeconds: 10
timeoutSeconds: 15
volumeMounts:
- mountPath: /etc/ssl/certs
name: ca-certs
readOnly: true
- mountPath: /etc/pki
name: etc-pki
readOnly: true
- mountPath: /etc/kubernetes/pki
name: k8s-certs
readOnly: true
hostNetwork: true
priorityClassName: system-node-critical
securityContext:
seccompProfile:
type: RuntimeDefault
volumes:
- hostPath:
path: /etc/ssl/certs
type: DirectoryOrCreate
name: ca-certs
- hostPath:
path: /etc/pki
type: DirectoryOrCreate
name: etc-pki
- hostPath:
path: /etc/kubernetes/pki
type: DirectoryOrCreate
name: k8s-certs
status: {}
如果沒有發(fā)現(xiàn) service-node-port-range 配置,可以手動加一個,然后填寫端口范圍,在這里,將端口的范圍擴(kuò)大到80 開始。
注意:三個master節(jié)點都要修改。
2、kube-apiserver參數(shù)說明
-v, --v int
日志級別詳細(xì)程度的數(shù)字。
--logtostderr 默認(rèn)值:true
在標(biāo)準(zhǔn)錯誤而不是文件中輸出日志記錄。
--bind-address string 默認(rèn)值:"0.0.0.0"
用來監(jiān)聽 --secure-port 端口的 IP 地址。集群的其余部分以及 CLI/web 客戶端必須可以訪問所關(guān)聯(lián)的接口。如果為空白或未指定地址(0.0.0.0 或 ::),則將使用所有接口。
--secure-port int 默認(rèn)值:6443
帶身份驗證和鑒權(quán)機(jī)制的 HTTPS 服務(wù)端口。不能用 0 關(guān)閉。
--advertise-address string
向集群成員通知 apiserver 消息的 IP 地址。這個地址必須能夠被集群中其他成員訪問。如果 IP 地址為空,將會使用 --bind-address, 如果未指定 --bind-address,將會使用主機(jī)的默認(rèn)接口地址。
--service-cluster-ip-range string
CIDR 表示的 IP 范圍用來為服務(wù)分配集群 IP。此地址不得與指定給節(jié)點或 Pod 的任何 IP 范圍重疊。
--service-node-port-range <形式為 'N1-N2' 的字符串> 默認(rèn)值:30000-32767
保留給具有 NodePort 可見性的服務(wù)的端口范圍。例如:"30000-32767"。范圍的兩端都包括在內(nèi)。
--etcd-servers strings
要連接的 etcd 服務(wù)器列表(scheme://ip:port),以逗號分隔。
--etcd-cafile string
用于保護(hù) etcd 通信的 SSL 證書頒發(fā)機(jī)構(gòu)文件。
--etcd-certfile string
用于保護(hù) etcd 通信的 SSL 證書文件。
--etcd-keyfile string
用于保護(hù) etcd 通信的 SSL 密鑰文件。
--client-ca-file string
如果已設(shè)置,則使用與客戶端證書的 CommonName 對應(yīng)的標(biāo)識對任何出示由 client-ca 文件中的授權(quán)機(jī)構(gòu)之一簽名的客戶端證書的請求進(jìn)行身份驗證。
--tls-cert-file string
包含用于 HTTPS 的默認(rèn) x509 證書的文件。(CA 證書(如果有)在服務(wù)器證書之后并置)。如果啟用了 HTTPS 服務(wù),并且未提供 --tls-cert-file 和 --tls-private-key-file, 為公共地址生成一個自簽名證書和密鑰,并將其保存到 --cert-dir 指定的目錄中。
--tls-private-key-file string
包含匹配 --tls-cert-file 的 x509 證書私鑰的文件。
--kubelet-client-certificate string
TLS 的客戶端證書文件的路徑。
--kubelet-client-key string
TLS 客戶端密鑰文件的路徑。
--service-account-key-file strings
包含 PEM 編碼的 x509 RSA 或 ECDSA 私鑰或公鑰的文件,用于驗證 ServiceAccount 令牌。指定的文件可以包含多個鍵,并且可以使用不同的文件多次指定標(biāo)志。如果未指定,則使用 --tls-private-key-file。提供
--service-account-signing-key 時必須指定。
--service-account-signing-key-file string
包含服務(wù)帳戶令牌頒發(fā)者當(dāng)前私鑰的文件的路徑。頒發(fā)者將使用此私鑰簽署所頒發(fā)的 ID 令牌。
--service-account-issuer strings
服務(wù)帳號令牌頒發(fā)者的標(biāo)識符。頒發(fā)者將在已辦法令牌的 "iss" 聲明中檢查此標(biāo)識符。此值為字符串或 URI。如果根據(jù) OpenID Discovery 1.0 規(guī)范檢查此選項不是有效的 URI,則即使特性門控設(shè)置為 true,
ServiceAccountIssuerDiscovery 功能也將保持禁用狀態(tài)。強(qiáng)烈建議該值符合 OpenID 規(guī)范:https://openid.net/specs/openid-connect-discovery-1_0.html。實踐中,這意味著 service-account-issuer 取值必須是 HTTPS URL。還強(qiáng)烈建議此 URL 能夠在 {service-account-issuer}/.well-known/openid-configuration 處提供 OpenID 發(fā)現(xiàn)文檔。當(dāng)此值被多次指定時,第一次的值用于生成令牌,所有的值用于確定接受哪些發(fā)行人。
--kubelet-preferred-address-types strings 默認(rèn)值:Hostname,InternalDNS,InternalIP,ExternalDNS,ExternalIP
用于 kubelet 連接的首選 NodeAddressTypes 列表。
--enable-admission-plugins stringSlice
除了默認(rèn)啟用的插件(NamespaceLifecycle、LimitRanger、ServiceAccount、TaintNodesByCondition、PodSecurity、Priority、DefaultTolerationSeconds、DefaultStorageClass、
StorageObjectInUseProtection、PersistentVolumeClaimResize、RuntimeClass、CertificateApproval、CertificateSigning、CertificateSubjectRestriction、DefaultIngressClass、MutatingAdmissionWebhook、ValidatingAdmissionWebhook、ResourceQuota)之外要啟用的插件。
取值為逗號分隔的準(zhǔn)入插件列表:
AlwaysAdmit、AlwaysDeny、AlwaysPullImages、CertificateApproval、CertificateSigning、
CertificateSubjectRestriction、DefaultIngressClass、DefaultStorageClass、DefaultTolerationSeconds、DenyServiceExternalIPs、EventRateLimit、ExtendedResourceToleration、ImagePolicyWebhook、LimitPodHardAntiAffinityTopology、LimitRanger、MutatingAdmissionWebhook、NamespaceAutoProvision、NamespaceExists、NamespaceLifecycle、NodeRestriction、OwnerReferencesPermissionEnforcement、PersistentVolumeClaimResize、PersistentVolumeLabel、PodNodeSelector、PodSecurity、PodSecurityPolicy、PodTolerationRestriction、Priority、ResourceQuota、RuntimeClass、SecurityContextDeny、ServiceAccount、StorageObjectInUseProtection、TaintNodesByCondition、ValidatingAdmissionWebhook。
該標(biāo)志中插件的順序無關(guān)緊要。
--authorization-mode stringSlice 默認(rèn)值:"AlwaysAllow"
在安全端口上進(jìn)行鑒權(quán)的插件的順序列表。逗號分隔的列表:AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC、Node。
--enable-bootstrap-token-auth
啟用以允許將 "kube-system" 名字空間中類型為 "
bootstrap.kubernetes.io/token" 的 Secret 用于 TLS 引導(dǎo)身份驗證。
--requestheader-client-ca-file string
在信任請求頭中以
--requestheader-username-headers 指示的用戶名之前, 用于驗證接入請求中客戶端證書的根證書包。警告:一般不要假定傳入請求已被授權(quán)。
--proxy-client-cert-file string
當(dāng)必須調(diào)用外部程序以處理請求時,用于證明聚合器或者 kube-apiserver 的身份的客戶端證書。包括代理轉(zhuǎn)發(fā)到用戶 api-server 的請求和調(diào)用 Webhook 準(zhǔn)入控制插件的請求。Kubernetes 期望此證書包含來自于
--requestheader-client-ca-file 標(biāo)志中所給 CA 的簽名。該 CA 在 kube-system 命名空間的 "extension-apiserver-authentication" ConfigMap 中公開。從 kube-aggregator 收到調(diào)用的組件應(yīng)該使用該 CA 進(jìn)行各自的雙向 TLS 驗證。
--proxy-client-key-file string
當(dāng)必須調(diào)用外部程序來處理請求時,用來證明聚合器或者 kube-apiserver 的身份的客戶端私鑰。這包括代理轉(zhuǎn)發(fā)給用戶 api-server 的請求和調(diào)用 Webhook 準(zhǔn)入控制插件的請求。
--requestheader-allowed-names strings
此值為客戶端證書通用名稱(Common Name)的列表;表中所列的表項可以用來提供用戶名, 方式是使用
--requestheader-username-headers 所指定的頭部。如果為空,能夠通過 --requestheader-client-ca-file 中機(jī)構(gòu) 認(rèn)證的客戶端證書都是被允許的。
--requestheader-group-headers strings
用于查驗用戶組的請求頭部列表。建議使用 X-Remote-Group。
--requestheader-extra-headers-prefix strings
用于查驗請求頭部的前綴列表。建議使用 X-Remote-Extra-。
--requestheader-username-headers strings
用于查驗用戶名的請求頭頭列表。建議使用 X-Remote-User。
--token-auth-file string
如果設(shè)置該值,這個文件將被用于通過令牌認(rèn)證來保護(hù) API 服務(wù)的安全端口。
官方文檔參考:
https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/
