install-cni
在節點上安裝並設定 Istio CNI 外掛程式,偵測並修復因競爭條件而損壞的 pod。
install-cni [flags]
| 旗標 | 描述 |
|---|---|
--ambient-enabled | 是否啟用 Ambient 控制器 |
--chained-cni-plugin | 是否將 CNI 外掛程式安裝為鏈結或獨立 |
--cni-agent-run-dir <string> | 節點代理程式在節點上的可寫入路徑位置(用於 Socket 等)(預設為 `/var/run/istio-cni`) |
--cni-conf-name <string> | CNI 設定檔的名稱(預設為 ``) |
--cni-network-config <string> | CNI 設定範本,以字串表示(預設為 ``) |
--cni-network-config-file <string> | CNI 設定範本,以檔案表示(預設為 ``) |
--ctrlz_address <string> | 用於 ControlZ 自省功能的監聽 IP 位址。使用 '*' 表示所有位址。(預設為 `localhost`) |
--ctrlz_port <uint16> | 用於 ControlZ 自省功能的 IP 連接埠(預設為 `9876`) |
--kube-ca-file <string> | kubeconfig 的 CA 檔案。預設值與 install-cni pod 相同(預設為 ``) |
--kubeconfig-mode <int> | kubeconfig 檔案的檔案模式(預設為 `384`) |
--log-level <string> | CNI 設定檔中記錄層級的後備值,如果未在 Helm 範本中指定(預設為 `warn`) |
--log_as_json | 是否將輸出格式化為 JSON 或以純文字主控台友善格式 |
--log_caller <string> | 以逗號分隔的清單,指定要包含呼叫者資訊的範圍,範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的任何一個 (預設為 ``) |
--log_output_level <字串> | 以逗號分隔的最小每個範圍的輸出訊息記錄層級,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 ``) |
--log_stacktrace_level <字串> | 以逗號分隔的最小每個範圍的記錄層級,在此層級會捕獲堆疊追蹤,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集合。可以是任何路徑,也可以是特殊值 stdout 和 stderr (預設為 `[stdout]`) |
--monitoring-port <整數> | 用於提供 Prometheus 指標的 HTTP 連接埠 (預設為 `15014`) |
--mounted-cni-net-dir <字串> | 容器上安裝 CNI 網路的目錄 (預設為 `/host/etc/cni/net.d`) |
--repair-broken-pod-label-key <字串> | 如果標籤 pod 為 true,則競賽修復將設定的標籤的鍵部分 (預設為 `cni.istio.io/uninitialized`) |
--repair-broken-pod-label-value <字串> | 如果標籤 pod 為 true,則競賽修復將設定的標籤的值部分 (預設為 `true`) |
--repair-delete-pods | 當偵測到因競賽條件而損壞的 pod 時,控制器將刪除 pod |
--repair-enabled | 是否啟用競賽條件修復 |
--repair-field-selectors <字串> | 將新增至 pod 清單篩選器的以 label=value 格式的欄位選取器集合 (預設為 ``) |
--repair-init-container-exit-code <整數> | 因 CNI 設定錯誤而導致當初始容器崩潰迴圈時,預期的結束代碼 (預設為 `126`) |
--repair-init-container-name <字串> | Istio 初始容器的名稱 (如果沒有為 pod 設定 CNI,將會崩潰迴圈) (預設為 `istio-validation`) |
--repair-init-container-termination-message <字串> | 因 CNI 設定錯誤而導致當初始容器崩潰迴圈時,預期的終止訊息 (預設為 ``) |
--repair-label-pods | 當偵測到因競賽條件而損壞的 pod 時,控制器將標記 pod |
--repair-label-selectors <字串> | 將新增至 pod 清單篩選器的以 label=value 格式的標籤選取器集合 (預設為 ``) |
--repair-node-name <字串> | 受管理節點的名稱 (如果未設定,將管理所有節點) (預設為 ``) |
--repair-sidecar-annotation <字串> | 指示此 pod 包含 Istio sidecar 的註釋鍵。將忽略沒有此註釋的所有 pod。將忽略註釋的值。(預設為 `sidecar.istio.io/status`) |
--skip-tls-verify | 是否在 kubeconfig 檔案中使用不安全的 TLS |
--ztunnel-uds-address <字串> | ztunnel 將連接的 UDS 伺服器位址 (預設為 `/var/run/ztunnel/ztunnel.sock`) |
install-cni completion
為指定的 shell 產生 install-cni 的自動完成腳本。請參閱每個子命令的說明,以了解如何使用產生的腳本的詳細資訊。
| 旗標 | 描述 |
|---|---|
--ctrlz_address <string> | 用於 ControlZ 自省功能的監聽 IP 位址。使用 '*' 表示所有位址。(預設為 `localhost`) |
--ctrlz_port <uint16> | 用於 ControlZ 自省功能的 IP 連接埠(預設為 `9876`) |
--log_as_json | 是否將輸出格式化為 JSON 或以純文字主控台友善格式 |
--log_caller <string> | 以逗號分隔的清單,指定要包含呼叫者資訊的範圍,範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的任何一個 (預設為 ``) |
--log_output_level <字串> | 以逗號分隔的最小每個範圍的輸出訊息記錄層級,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 ``) |
--log_stacktrace_level <字串> | 以逗號分隔的最小每個範圍的記錄層級,在此層級會捕獲堆疊追蹤,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集合。可以是任何路徑,也可以是特殊值 stdout 和 stderr (預設為 `[stdout]`) |
install-cni completion bash
為 bash shell 產生自動完成腳本。
此腳本依賴於 'bash-completion' 套件。如果尚未安裝,您可以使用作業系統的套件管理員安裝。
要在您目前的 shell 會話中載入自動完成
source <(install-cni completion bash)要為每個新會話載入自動完成,請執行一次
Linux
install-cni completion bash > /etc/bash_completion.d/install-cnimacOS
install-cni completion bash > /usr/local/etc/bash_completion.d/install-cni您需要啟動新的 shell,此設定才會生效。
install-cni completion bash
| 旗標 | 描述 |
|---|---|
--ctrlz_address <string> | 用於 ControlZ 自省功能的監聽 IP 位址。使用 '*' 表示所有位址。(預設為 `localhost`) |
--ctrlz_port <uint16> | 用於 ControlZ 自省功能的 IP 連接埠(預設為 `9876`) |
--log_as_json | 是否將輸出格式化為 JSON 或以純文字主控台友善格式 |
--log_caller <string> | 以逗號分隔的清單,指定要包含呼叫者資訊的範圍,範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的任何一個 (預設為 ``) |
--log_output_level <字串> | 以逗號分隔的最小每個範圍的輸出訊息記錄層級,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 ``) |
--log_stacktrace_level <字串> | 以逗號分隔的最小每個範圍的記錄層級,在此層級會捕獲堆疊追蹤,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集合。可以是任何路徑,也可以是特殊值 stdout 和 stderr (預設為 `[stdout]`) |
--no-descriptions | 停用自動完成描述 |
install-cni completion fish
為 fish shell 產生自動完成腳本。
要在您目前的 shell 會話中載入自動完成
install-cni completion fish | source要為每個新會話載入自動完成,請執行一次
install-cni completion bash > ~/.config/fish/completions/install-cni.fish您需要啟動新的 shell,此設定才會生效。
install-cni completion fish [flags]
| 旗標 | 描述 |
|---|---|
--ctrlz_address <string> | 用於 ControlZ 自省功能的監聽 IP 位址。使用 '*' 表示所有位址。(預設為 `localhost`) |
--ctrlz_port <uint16> | 用於 ControlZ 自省功能的 IP 連接埠(預設為 `9876`) |
--log_as_json | 是否將輸出格式化為 JSON 或以純文字主控台友善格式 |
--log_caller <string> | 以逗號分隔的清單,指定要包含呼叫者資訊的範圍,範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的任何一個 (預設為 ``) |
--log_output_level <字串> | 以逗號分隔的最小每個範圍的輸出訊息記錄層級,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 ``) |
--log_stacktrace_level <字串> | 以逗號分隔的最小每個範圍的記錄層級,在此層級會捕獲堆疊追蹤,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集合。可以是任何路徑,也可以是特殊值 stdout 和 stderr (預設為 `[stdout]`) |
--no-descriptions | 停用自動完成描述 |
install-cni completion powershell
為 PowerShell 產生自動完成腳本。
要在您目前的 shell 會話中載入自動完成
install-cni completion powershell | Out-String | Invoke-Expression要為每個新會話載入自動完成,請將上述命令的輸出新增至您的 powershell 設定檔。
install-cni completion powershell [flags]
| 旗標 | 描述 |
|---|---|
--ctrlz_address <string> | 用於 ControlZ 自省功能的監聽 IP 位址。使用 '*' 表示所有位址。(預設為 `localhost`) |
--ctrlz_port <uint16> | 用於 ControlZ 自省功能的 IP 連接埠(預設為 `9876`) |
--log_as_json | 是否將輸出格式化為 JSON 或以純文字主控台友善格式 |
--log_caller <string> | 以逗號分隔的清單,指定要包含呼叫者資訊的範圍,範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的任何一個 (預設為 ``) |
--log_output_level <字串> | 以逗號分隔的最小每個範圍的輸出訊息記錄層級,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 ``) |
--log_stacktrace_level <字串> | 以逗號分隔的最小每個範圍的記錄層級,在此層級會捕獲堆疊追蹤,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集合。可以是任何路徑,也可以是特殊值 stdout 和 stderr (預設為 `[stdout]`) |
--no-descriptions | 停用自動完成描述 |
install-cni completion zsh
為 zsh shell 產生自動完成腳本。
如果您的環境中尚未啟用 shell 自動完成,您需要啟用它。您可以執行以下命令一次
echo "autoload -U compinit; compinit" >> ~/.zshrc要在您目前的 shell 會話中載入自動完成
source <(install-cni completion zsh)要為每個新會話載入自動完成,請執行一次
Linux
install-cni completion zsh > "${fpath[1]}/_install-cni"macOS
install-cni completion zsh > $(brew --prefix)/share/zsh/site-functions/_install-cni您需要啟動新的 shell,此設定才會生效。
install-cni completion zsh [flags]
| 旗標 | 描述 |
|---|---|
--ctrlz_address <string> | 用於 ControlZ 自省功能的監聽 IP 位址。使用 '*' 表示所有位址。(預設為 `localhost`) |
--ctrlz_port <uint16> | 用於 ControlZ 自省功能的 IP 連接埠(預設為 `9876`) |
--log_as_json | 是否將輸出格式化為 JSON 或以純文字主控台友善格式 |
--log_caller <string> | 以逗號分隔的清單,指定要包含呼叫者資訊的範圍,範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的任何一個 (預設為 ``) |
--log_output_level <字串> | 以逗號分隔的最小每個範圍的輸出訊息記錄層級,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 ``) |
--log_stacktrace_level <字串> | 以逗號分隔的最小每個範圍的記錄層級,在此層級會捕獲堆疊追蹤,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集合。可以是任何路徑,也可以是特殊值 stdout 和 stderr (預設為 `[stdout]`) |
--no-descriptions | 停用自動完成描述 |
install-cni version
印出建置版本資訊
install-cni version [flags]
| 旗標 | 速記 | 描述 |
|---|---|---|
--ctrlz_address <string> | 用於 ControlZ 自省功能的監聽 IP 位址。使用 '*' 表示所有位址。(預設為 `localhost`) | |
--ctrlz_port <uint16> | 用於 ControlZ 自省功能的 IP 連接埠(預設為 `9876`) | |
--log_as_json | 是否將輸出格式化為 JSON 或以純文字主控台友善格式 | |
--log_caller <string> | 以逗號分隔的清單,指定要包含呼叫者資訊的範圍,範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的任何一個 (預設為 ``) | |
--log_output_level <字串> | 以逗號分隔的最小每個範圍的輸出訊息記錄層級,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 ``) | |
--log_stacktrace_level <字串> | 以逗號分隔的最小每個範圍的記錄層級,在此層級會捕獲堆疊追蹤,格式為 <範圍>:<層級>,<範圍>:<層級>,... 其中範圍可以是 [ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation] 中的一個,而層級可以是 [debug, info, warn, error, fatal, none] 中的一個 (預設為 `default:none`) | |
--log_target <字串陣列> | 要輸出日誌的路徑集合。可以是任何路徑,也可以是特殊值 stdout 和 stderr (預設為 `[stdout]`) | |
--output <字串> | -o | 可以是 'yaml' 或 'json' 其中之一。(預設為 ``) |
--short | -s | 使用 --short=false 來產生完整的版本資訊 |
環境變數
這些環境變數會影響 `install-cni` 命令的行為。| 變數名稱 | 類型 | 預設值 | 描述 |
|---|---|---|---|
AMBIENT_ENABLED | 布林值 | false | 是否啟用 Ambient 控制器 |
AMBIENT_ENABLE_STATUS | 布林值 | false | 如果啟用,則環境模式的狀態訊息將會寫入資源。目前,這不執行領導者選舉,因此與多個複本一起啟用可能不安全。 |
BYPASS_OVERLOAD_MANAGER_FOR_STATIC_LISTENERS | 布林值 | true | 如果啟用,過載管理器將不會應用於靜態監聽器 |
CA_TRUSTED_NODE_ACCOUNTS | 字串 | | 如果設定,則允許使用節點身份驗證進行 CSR 的服務帳戶清單。節點身份驗證允許身份代表其他身份建立 CSR,但前提是該身份在同一節點上執行 pod。這適用於節點代理。 |
CERT_SIGNER_DOMAIN | 字串 | | 憑證簽署者網域資訊 |
CHAINED_CNI_PLUGIN | 布林值 | true | 是否將 CNI 外掛程式安裝為鏈結或獨立 |
CLUSTER_ID | 字串 | Kubernetes | 定義此 Istiod 實例所屬的叢集和服務登錄 |
CNI_AGENT_RUN_DIR | 字串 | /var/run/istio-cni | 節點上節點代理可寫入路徑的位置 (用於套接字等) |
CNI_CONF_NAME | 字串 | | CNI 設定檔案的名稱 |
CNI_NETWORK_CONFIG | 字串 | | CNI 設定範本為字串 |
CNI_NETWORK_CONFIG_FILE | 字串 | | CNI 設定範本為檔案 |
COMPLIANCE_POLICY | 字串 | | 如果設定,則會對所有現有的 TLS 設定套用特定於原則的限制,包括網格內 mTLS 和外部 TLS。有效值為:* '' 或未設定不會增加額外限制。* 'fips-140-2' 強制執行 TLS 通訊協定的版本和密碼套件子集,覆蓋所有執行階段元件 (包括 Envoy、gRPC Go SDK 和 gRPC C++ SDK) 的任何使用者偏好設定或預設值。警告:在控制平面中設定合規原則是達成合規的必要但不充分的條件。宣告合規性還需要額外的步驟,包括使用驗證的加密模組 (請參考 https://envoy.dev.org.tw/docs/envoy/latest/intro/arch_overview/security/ssl#fips-140-2)。 |
DRY_RUN_FILE_PATH | 字串 | | 如果提供,StdoutStubDependencies 會將 stdin 的輸入寫入指定的檔案。 |
ENABLE_100_CONTINUE_HEADERS | 布林值 | true | 如果啟用,istiod 將按原樣代理 100-continue 標頭 |
ENABLE_AUTO_SNI | 布林值 | true | 如果啟用,當 `DestinationRules` 未指定時,會自動設定 SNI |
ENABLE_CA_SERVER | 布林值 | true | 如果設定為 false,則不會在 istiod 中建立 CA 伺服器。 |
ENABLE_DEBUG_ON_HTTP | 布林值 | true | 如果設定為 false,則不會啟用偵錯介面,建議用於生產環境 |
ENABLE_DEFERRED_CLUSTER_CREATION | 布林值 | true | 如果啟用,Istio 僅會在有請求時建立叢集。這會在有大量非使用中叢集且 > 1 個工作執行緒的情況下節省記憶體和 CPU 週期 |
ENABLE_DEFERRED_STATS_CREATION | 布林值 | true | 如果啟用,Istio 會延遲初始化統計資料的子集 |
ENABLE_DELIMITED_STATS_TAG_REGEX | 布林值 | true | 如果為 true,pilot 將使用新的分隔統計資料標籤 regex 來產生 Envoy 統計資料標籤。 |
ENABLE_ENHANCED_DESTINATIONRULE_MERGE | 布林值 | true | 如果啟用,Istio 會合併考慮其 exportTo 欄位的 destinationrules,如果 exportTo 不相等,則將它們保留為獨立規則。 |
ENABLE_ENHANCED_RESOURCE_SCOPING | 布林值 | true | 如果啟用,meshConfig.discoverySelectors 將限制 pilot 可以處理的 CustomResource 設定 (例如 Gateway、VirtualService、DestinationRule、Ingress 等)。這也會限制根 CA 憑證散佈。 |
ENABLE_HCM_INTERNAL_NETWORKS | 布林值 | false | 如果啟用,則網格網路中定義的端點將在 HTTP 連線管理員中設定為內部位址 |
ENABLE_INBOUND_RETRY_POLICY | 布林值 | true | 如果為 true,則會為在到達服務之前重設的連入路由啟用重試原則,該原則會自動重試請求。 |
ENABLE_INGRESS_WAYPOINT_ROUTING | 布林值 | false | 如果為 true,則閘道將在服務上設定 'istio.io/ingress-use-waypoint' 標籤時呼叫服務航點。 |
ENABLE_LEADER_ELECTION | 布林值 | true | 如果啟用 (預設),則會啟動領導者選舉用戶端,並在執行控制器之前取得領導權。如果為 false,則會假設只有一個 istiod 執行個體正在執行,並跳過領導者選舉。 |
ENABLE_LOCALITY_WEIGHTED_LB_CONFIG | 布林值 | false | 如果啟用,則始終為叢集設定 LocalityWeightedLbConfig,否則僅當 DestinationRule 為服務指定區域性負載平衡時才應用它 |
ENABLE_MCS_AUTO_EXPORT | 布林值 | false | 如果啟用,istiod 將為網格中的每個服務自動產生 Kubernetes 多叢集服務 (MCS) ServiceExport 資源。在 MeshConfig 中定義為叢集本機的服務將被排除。 |
ENABLE_MCS_CLUSTER_LOCAL | 布林值 | false | 如果啟用,istiod 將會把 Kubernetes 多叢集服務 (MCS) 規格定義的 `<svc>.<namespace>.svc.cluster.local` 主機視為叢集本機。在此模式下,對 `cluster.local` 的請求將僅路由到與用戶端位於同一叢集內的端點。需要同時啟用 ENABLE_MCS_SERVICE_DISCOVERY 和 ENABLE_MCS_HOST。 |
ENABLE_MCS_HOST | 布林值 | false | 如果啟用,istiod 將為至少一個叢集中匯出的每個服務 (透過 ServiceExport) 設定 Kubernetes 多叢集服務 (MCS) 主機 (<svc>.<namespace>.svc.clusterset.local)。但是,用戶端必須能夠成功查閱這些 DNS 主機。這表示必須啟用 Istio DNS 攔截或必須使用 MCS 控制器。需要也啟用 ENABLE_MCS_SERVICE_DISCOVERY。 |
ENABLE_MCS_SERVICE_DISCOVERY | 布林值 | false | 如果啟用,istiod 將啟用 Kubernetes 多叢集服務 (MCS) 服務探索模式。在此模式下,除非透過 ServiceExport 明確匯出,否則叢集中的服務端點僅在同一叢集內可探索。 |
ENABLE_MULTICLUSTER_HEADLESS | 布林值 | true | 如果為 true,則無頭服務的 DNS 名稱表將解析為任何叢集中的相同網路端點。 |
ENABLE_NATIVE_SIDECARS | 布林值 | false | 如果設定,則使用 Kubernetes 原生 Sidecar 容器支援。需要 SidecarContainer 功能旗標。 |
ENABLE_RESOLUTION_NONE_TARGET_PORT | 布林值 | true | 如果啟用,則 resolution=NONE ServiceEntry 將支援 targetPort |
ENABLE_SELECTOR_BASED_K8S_GATEWAY_POLICY | 布林值 | true | 如果停用,則閘道 API 閘道將忽略 workloadSelector 原則,只應用使用 targetRef 選取閘道的原則。 |
ENABLE_TLS_ON_SIDECAR_INGRESS | 布林值 | false | 如果啟用,Sidecar.ingress 的 TLS 設定將會生效 |
ENABLE_VTPROTOBUF | 布林值 | true | 如果為 true,將使用最佳化的 vtprotobuf 基礎封送處理。需要使用 -tags=vtprotobuf 進行建置。 |
ENVOY_USER | 字串 | istio-proxy | Envoy Proxy 使用者名稱 |
EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY | 布林值 | true | 如果為 true,則從預設重試策略中排除對 503 的不安全重試。 |
EXTERNAL_ISTIOD | 布林值 | false | 如果設為 true,則一個 Istiod 將控制遠端叢集,包括 CA。 |
GRPC_KEEPALIVE_INTERVAL | 時間長度 | 30 秒 | gRPC Keepalive 間隔 |
GRPC_KEEPALIVE_TIMEOUT | 時間長度 | 10 秒 | gRPC Keepalive 超時 |
HOST_PROBE_SNAT_IP | 字串 | 169.254.7.127 | |
HOST_PROBE_SNAT_IPV6 | 字串 | fd16:9254:7127:1337:ffff:ffff:ffff:ffff | |
INBOUND_INTERCEPTION_MODE | 字串 | | 用於將入站連線重新導向至 Envoy 的模式,可以是「REDIRECT」或「TPROXY」 |
INBOUND_TPROXY_MARK | 字串 | | |
INJECTION_WEBHOOK_CONFIG_NAME | 字串 | istio-sidecar-injector | 要修補的 mutatingwebhookconfiguration 名稱,如果未使用 istioctl。 |
IPTABLES_TRACE_LOGGING | 布林值 | false | 啟用後,將記錄所有 iptables 動作。這需要 NET_ADMIN 權限,且會產生大量雜訊記錄;因此,僅適用於除錯用途 |
ISTIOD_CUSTOM_HOST | 字串 | | Istiod 簽署伺服器憑證的 Istiod 自訂主機名稱。支援多個自訂主機名稱,多個值以逗號分隔。 |
ISTIO_AGENT_ENABLE_WASM_REMOTE_LOAD_CONVERSION | 布林值 | true | 如果啟用,Istio 代理程式將攔截 ECDS 資源更新,下載 Wasm 模組,並將 Wasm 模組遠端載入替換為已下載的本機模組檔案。 |
ISTIO_DELTA_XDS | 布林值 | true | 如果啟用,Pilot 將只傳送差異設定,而不是資源請求時的世界狀態。此功能使用差異 xds API,但目前不傳送實際差異。 |
ISTIO_DUAL_STACK | 布林值 | false | 如果為 true,Istio 將啟用雙堆疊功能。 |
ISTIO_ENABLE_CONTROLLER_QUEUE_METRICS | 布林值 | false | 如果啟用,會發佈佇列深度、延遲和處理時間的指標。 |
ISTIO_ENABLE_IPV4_OUTBOUND_LISTENER_FOR_IPV6_CLUSTERS | 布林值 | false | 如果為 true,Pilot 將在僅限 IPv6 的叢集中為輸出流量設定額外的 IPv4 接聽器,例如 AWS EKS 僅限 IPv6 的叢集。 |
ISTIO_GPRC_MAXRECVMSGSIZE | 整數 | 4194304 | 設定 gRPC 資料流的最大接收緩衝區大小 (以位元組為單位)。 |
ISTIO_GPRC_MAXSTREAMS | 整數 | 100000 | 設定並行 gRPC 資料流的最大數量。 |
ISTIO_KUBE_CLIENT_CONTENT_TYPE | 字串 | protobuf | 用於 Kubernetes 用戶端的內容類型。預設為 protobuf。有效選項:[protobuf, json] |
ISTIO_MULTIROOT_MESH | 布林值 | false | 如果啟用,網格將支援由多個 trustAnchor 簽署的 ISTIO_MUTUAL mTLS 憑證 |
ISTIO_OUTBOUND_IPV4_LOOPBACK_CIDR | 字串 | 127.0.0.1/32 | 用於識別應用程式容器的迴路介面上輸出流量的 IPv4 CIDR 範圍 |
ISTIO_OUTBOUND_OWNER_GROUPS | 字串 | * | 要將輸出流量重新導向至 Envoy 的群組的逗號分隔清單。可以依名稱或數字 GID 指定群組。萬用字元「*」可用於設定重新導向來自所有群組的流量。 |
ISTIO_OUTBOUND_OWNER_GROUPS_EXCLUDE | 字串 | | 要從重新導向至 Envoy 中排除的群組的逗號分隔清單。可以依名稱或數字 GID 指定群組。僅在重新導向來自所有群組 (即「*」) 的流量至 Envoy 時適用。 |
ISTIO_WATCH_NAMESPACE | 字串 | | 如果設定,則將 Kubernetes 監看限制為單一名稱空間。警告:只能設定單一名稱空間。 |
ISTIO_WORKLOAD_ENTRY_VALIDATE_IDENTITY | 布林值 | true | 如果啟用,將驗證工作負載的識別身分是否與其關聯的 WorkloadEntry 的識別身分相符,以進行健康情況檢查和自動註冊。此旗標僅為向後相容性而新增,將在未來的版本中移除 |
JWKS_RESOLVER_INSECURE_SKIP_VERIFY | 布林值 | false | 如果啟用,istiod 將略過驗證 JWKS 伺服器的憑證。 |
KUBECONFIG_MODE | 整數 | 384 | kubeconfig 檔案的檔案模式 |
KUBE_CA_FILE | 字串 | | kubeconfig 的 CA 檔案。預設為與 install-cni pod 相同 |
LABEL_CANONICAL_SERVICES_FOR_MESH_EXTERNAL_SERVICE_ENTRIES | 布林值 | false | 如果啟用,代表位置為 mesh_external 的 ServiceEntry 資源的標準服務的中繼資料,將在這些端點的叢集中繼資料中填入。 |
LOCAL_CLUSTER_SECRET_WATCHER | 布林值 | false | 如果啟用,叢集密碼監看程式將監看外部叢集的名稱空間,而不是組態叢集 |
LOG_LEVEL | 字串 | 警告 | 如果未在 helm 範本中指定,則 CNI 設定檔中記錄層級的備用值 |
MCS_API_GROUP | 字串 | multicluster.x-k8s.io | 用於 Kubernetes 多叢集服務 (MCS) API 的群組。 |
MCS_API_VERSION | 字串 | v1alpha1 | 用於 Kubernetes 多叢集服務 (MCS) API 的版本。 |
METRICS_LOCALHOST_ACCESS_ONLY | 布林值 | false | 這將停用 pod 外部的指標端點,僅允許本機主機存取。 |
METRIC_GRACEFUL_DELETION_INTERVAL | 時間長度 | 5 分鐘 0 秒 | 指標到期寬限刪除間隔。如果停用 METRIC_ROTATION_INTERVAL,則為無作業。 |
METRIC_ROTATION_INTERVAL | 時間長度 | 0 秒 | 指標範圍輪換間隔,設定為 0 以停用指標範圍輪換 |
MONITORING_PORT | 整數 | 15014 | 用於提供 prometheus 指標的 HTTP 連接埠 |
MOUNTED_CNI_NET_DIR | 字串 | /host/etc/cni/net.d | 安裝 CNI 網路的容器上的目錄 |
MUTEX_PROFILE_FRACTION | 整數 | 1000 | 如果設定為非零值,則會以 1/MUTEX_PROFILE_FRACTION 事件的比率啟用互斥設定檔。例如,「1000」會記錄 0.1% 的事件。設定為 0 以完全停用。 |
NODE_NAME | 字串 | | |
PILOT_ALLOW_SIDECAR_SERVICE_INBOUND_LISTENER_MERGE | 布林值 | false | 如果設定,則允許為服務連接埠和 Sidecar 輸入接聽器建立輸入接聽器 |
PILOT_ANALYSIS_INTERVAL | 時間長度 | 10 秒 | 如果啟用分析,pilot 將使用此值 (以秒為單位) 作為間隔,對 Istio 資源執行 Istio 分析器 |
PILOT_AUTO_ALLOW_WAYPOINT_POLICY | 布林值 | false | 如果啟用,zTunnel 將接收每個工作負載的合成授權原則,並允許 Waypoint 的識別身分。除非建立其他 ALLOW 原則,否則這會有效地拒絕未透過 Waypoint 的流量。 |
PILOT_CERT_PROVIDER | 字串 | istiod | Pilot DNS 憑證的提供者。K8S RA 將用於 k8s.io/NAME。「istiod」值將使用 Istio 建置 CA 進行簽署。其他值不會產生 TLS 憑證,但仍會散佈 ./etc/certs/root-cert.pem。僅在未掛載自訂憑證時使用。 |
PILOT_CONVERT_SIDECAR_SCOPE_CONCURRENCY | 整數 | 1 | 用於調整 SidecarScope 轉換的並行性。當 istiod 部署在多核心 CPU 伺服器上時,增加此值將有助於使用 CPU 加速組態推送,但也表示 istiod 將消耗更多 CPU 資源。 |
PILOT_DEBOUNCE_AFTER | 時間長度 | 100 毫秒 | 為 debouncing 新增至組態/登錄事件的延遲。這會將推送延遲至少此間隔。如果在此期間未偵測到任何變更,則會發生推送,否則我們將持續延遲,直到情況穩定為止,最多 PILOT_DEBOUNCE_MAX。 |
PILOT_DEBOUNCE_MAX | 時間長度 | 10 秒 | debouncing 時等待事件的最大時間量。如果事件持續顯示且在此時間內沒有中斷,則會觸發推送。 |
PILOT_DISABLE_MX_ALPN | 布林值 | false | 如果為 true,則 pilot 不會將 istio-peer-exchange ALPN 放入 TLS 交握組態中。 |
PILOT_DRAINING_LABEL | 字串 | istio.io/draining | 如果不是空的,則會傳送具有目前標籤值的端點,並帶有 DRAINING 狀態。 |
PILOT_ENABLE_ALPHA_GATEWAY_API | 布林值 | false | 如果設為 true,則會啟用 Kubernetes gateway-api (github.com/kubernetes-sigs/gateway-api) 中 alpha API 的支援。除了啟用此設定之外,還需要安裝 gateway-api CRD。 |
PILOT_ENABLE_ALPN_FILTER | 布林值 | true | 如果為 true,pilot 將新增 Istio ALPN 篩選器,這是正確進行協定偵測所必需的。 |
PILOT_ENABLE_AMBIENT | 布林值 | false | 如果啟用,則可以使用環境模式。個別旗標會設定精細的啟用;必須啟用此設定才能使用任何環境功能。 |
PILOT_ENABLE_AMBIENT_WAYPOINTS | 布林值 | false | 如果啟用,則會執行環境所需的控制器。這是執行環境網格的必要條件。 |
PILOT_ENABLE_ANALYSIS | 布林值 | false | 如果啟用,pilot 將執行 istio 分析器,並將分析錯誤寫入任何 Istio 資源的 Status 欄位 |
PILOT_ENABLE_CDS_CACHE | 布林值 | true | 如果為 true,Pilot 將快取 CDS 回應。注意:這取決於 PILOT_ENABLE_XDS_CACHE。 |
PILOT_ENABLE_CROSS_CLUSTER_WORKLOAD_ENTRY | 布林值 | true | 如果啟用,pilot 將從其他叢集讀取 WorkloadEntry,並可由該叢集中的服務選取。 |
PILOT_ENABLE_EDS_DEBOUNCE | 布林值 | true | 如果啟用,Pilot 將在推送 debouncing 中包含 EDS 推送,並由 PILOT_DEBOUNCE_AFTER 和 PILOT_DEBOUNCE_MAX 設定。可能會延遲 EDS 推送,但推送會比較少。依預設,此設定為啟用 |
PILOT_ENABLE_EDS_FOR_HEADLESS_SERVICES | 布林值 | false | 如果啟用,對於 Kubernetes 中的無頭服務,pilot 將透過 EDS 傳送端點,允許 Sidecar 在無頭服務中的 Pod 之間進行負載平衡。如果應用程式透過 Sidecar 中的 HTTP Proxy 連接埠明確存取所有服務,則應啟用此功能。 |
PILOT_ENABLE_GATEWAY_API | 布林值 | true | 如果設為 true,則會啟用 Kubernetes gateway-api (github.com/kubernetes-sigs/gateway-api) 的支援。除了啟用此設定之外,還需要安裝 gateway-api CRD。 |
PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER | 布林值 | true | 如果設為 true,gateway-api 資源將自動在叢集部署、服務等中佈建 |
PILOT_ENABLE_GATEWAY_API_GATEWAYCLASS_CONTROLLER | 布林值 | true | 如果設為 true,istiod 將建立並管理其預設的 GatewayClasses |
PILOT_ENABLE_GATEWAY_API_STATUS | 布林值 | true | 如果設為 true,gateway-api 資源將具有寫入其中的狀態 |
PILOT_ENABLE_IP_AUTOALLOCATE | 布林值 | false | 如果啟用,pilot 將啟動控制器,將 IP 位址指派給沒有使用者提供 IP 的 ServiceEntry。當與 DNS 擷取結合使用時,允許將傳送至 ServiceEntry 的流量進行 TCP 路由。 |
PILOT_ENABLE_K8S_SELECT_WORKLOAD_ENTRIES | 布林值 | true | 如果啟用,具有選取器的 Kubernetes 服務將選取具有相符標籤的工作負載項目。如果您非常確定不需要此功能,則可以安全地停用此功能 |
PILOT_ENABLE_METADATA_EXCHANGE | 布林值 | true | 如果為 true,pilot 將新增中繼資料交換篩選器,這些篩選器將由遙測篩選器取用。 |
PILOT_ENABLE_MONGO_FILTER | 布林值 | true | EnableMongoFilter 啟用在篩選器鏈中插入 `envoy.filters.network.mongo_proxy`。 |
PILOT_ENABLE_MYSQL_FILTER | 布林值 | false | EnableMysqlFilter 啟用在篩選器鏈中插入 `envoy.filters.network.mysql_proxy`。 |
PILOT_ENABLE_NODE_UNTAINT_CONTROLLERS | 布林值 | false | 如果啟用,則會執行使用已就緒 CNI pod 取消污染節點的控制器。如果您已停用環境初始化容器,則應啟用此設定。 |
PILOT_ENABLE_PERSISTENT_SESSION_FILTER | 布林值 | false | 如果啟用,Istiod 會為接聽器設定持續性工作階段篩選器,如果服務已設定「PILOT_PERSISTENT_SESSION_LABEL」。 |
PILOT_ENABLE_QUIC_LISTENERS | 布林值 | false | 如果為 true,則只要閘道上有終止 TLS 的接聽器,且閘道服務會公開具有相同編號的 UDP 連接埠 (例如 443/TCP 和 443/UDP),就會產生 QUIC 接聽器 |
PILOT_ENABLE_RDS_CACHE | 布林值 | true | 如果為 true,Pilot 將快取 RDS 回應。注意:這取決於 PILOT_ENABLE_XDS_CACHE。 |
PILOT_ENABLE_REDIS_FILTER | 布林值 | false | EnableRedisFilter 啟用在篩選器鏈中插入 `envoy.filters.network.redis_proxy`。 |
PILOT_ENABLE_ROUTE_COLLAPSE_OPTIMIZATION | 布林值 | true | 如果為 true,Pilot 會將具有相同路由的虛擬主機合併為單一虛擬主機,作為最佳化。 |
PILOT_ENABLE_SENDING_HBONE | 布林值 | false | 如果啟用,則在傳送至目的地時將允許 HBONE。 |
PILOT_ENABLE_SERVICEENTRY_SELECT_PODS | 布林值 | true | 如果啟用,具有選取器的服務項目將從叢集選取 pod。如果您非常確定不需要此功能,則可以安全地停用此功能 |
PILOT_ENABLE_SIDECAR_LISTENING_HBONE | 布林值 | false | 如果啟用,則可以為 Proxy 設定 HBONE 支援。 |
PILOT_ENABLE_TELEMETRY_LABEL | 布林值 | true | 如果為 true,pilot 將新增與遙測相關的中繼資料至叢集和端點資源,這些資源將由遙測篩選器取用。 |
PILOT_ENABLE_WORKLOAD_ENTRY_AUTOREGISTRATION | 布林值 | true | 啟用根據工作負載的 XDS 連線時,自動註冊與相關聯 WorkloadGroup 的 WorkloadEntries。 |
PILOT_ENABLE_WORKLOAD_ENTRY_HEALTHCHECKS | 布林值 | true | 根據相關聯 WorkloadGroup 中提供的組態,啟用 WorkloadEntries 的自動健康情況檢查 |
PILOT_ENABLE_XDS_CACHE | 布林值 | true | 如果為 true,Pilot 將快取 XDS 回應。 |
PILOT_ENABLE_XDS_IDENTITY_CHECK | 布林值 | true | 如果啟用,Pilot 將授權 XDS 用戶端,以確保它們僅作為具有權限的命名空間執行操作。 |
PILOT_ENDPOINT_TELEMETRY_LABEL | 布林值 | true | 如果為 true,Pilot 將會把遙測相關的中繼資料加入到 Endpoint 資源中,這些資料將由遙測篩選器使用。 |
PILOT_ENVOY_FILTER_STATS | 布林值 | false | 如果為 true,Pilot 將會收集 Envoy 篩選器操作的指標。 |
PILOT_FILTER_GATEWAY_CLUSTER_CONFIG | 布林值 | false | 如果啟用,Pilot 將只傳送附加到閘道的閘道虛擬服務中引用的叢集。 |
PILOT_GATEWAY_API_CONTROLLER_NAME | 字串 | istio.io/gateway-controller | Gateway API 控制器名稱。istiod 將僅協調使用此控制器名稱引用 GatewayClass 的 Gateway API 資源。 |
PILOT_GATEWAY_API_DEFAULT_GATEWAYCLASS_NAME | 字串 | istio | 預設 GatewayClass 的名稱 |
PILOT_HTTP10 | 布林值 | false | 在對外的 HTTP 接聽程式中啟用 HTTP 1.0 的使用,以支援舊版應用程式。 |
PILOT_INSECURE_MULTICLUSTER_KUBECONFIG_OPTIONS | 字串 | | 以逗號分隔的清單,列出允許多叢集驗證的潛在不安全的 kubeconfig 驗證選項。支援的值:所有驗證提供者(`gcp`、`azure`、`exec`、`openstack`)、`clientKey`、`clientCertificate`、`tokenFile` 和 `exec`。 |
PILOT_JWT_ENABLE_REMOTE_JWKS | 字串 | false | 從 RequestAuthentication 中的 JwksUri 擷取 JWKs 的模式。支援的值:istiod、false、hybrid、true、envoy。擷取 JWKs 的用戶端如下:istiod/false - Istiod;hybrid/true - Envoy,如果 JWKs 伺服器是外部的,則會回退到 Istiod;envoy - Envoy。 |
PILOT_JWT_PUB_KEY_REFRESH_INTERVAL | 時間長度 | 20m0s | istiod 擷取 jwks_uri 作為 jwks 公鑰的間隔。 |
PILOT_MAX_REQUESTS_PER_SECOND | 浮點數 | 0 | 限制每秒接收的 XDS 請求數量。在較大的機器上,可以增加此值以同時處理更多代理。如果設定為 0 或未設定,則最大值將根據機器大小自動決定。 |
PILOT_MULTI_NETWORK_DISCOVER_GATEWAY_API | 布林值 | true | 如果為 true,Pilot 將會將標記的 Kubernetes 閘道物件視為多網路閘道進行探索。 |
PILOT_PERSISTENT_SESSION_HEADER_LABEL | 字串 | istio.io/persistent-session-header | 如果非空,具有此標籤的服務將會使用基於標頭的持久性會話。 |
PILOT_PERSISTENT_SESSION_LABEL | 字串 | istio.io/persistent-session | 如果非空,具有此標籤的服務將會使用基於 Cookie 的持久性會話。 |
PILOT_PREFER_SENDING_HBONE | 布林值 | false | 如果啟用,在傳送至目的地時,將會優先使用 HBONE。 |
PILOT_PUSH_THROTTLE | 整數 | 0 | 限制允許的同時推送數量。在較大的機器上,可以增加此值以加快推送速度。如果設定為 0 或未設定,則最大值將根據機器大小自動決定。 |
PILOT_REMOTE_CLUSTER_TIMEOUT | 時間長度 | 30 秒 | 在此逾時時間過期後,Pilot 可以在不與透過遠端密碼新增的叢集同步資料的情況下進入就緒狀態。將逾時時間設定為 0 會停用此行為。 |
PILOT_SCOPE_GATEWAY_TO_NAMESPACE | 布林值 | false | 如果啟用,閘道工作負載只能選取相同命名空間中的閘道資源。不同命名空間中具有相同選取器的閘道將不適用。 |
PILOT_SEND_UNHEALTHY_ENDPOINTS | 布林值 | false | 如果啟用,Pilot 將會在 EDS 推送中包含不健康的端點,即使傳送了 Envoy 也不會使用它們進行負載平衡。為了避免將流量傳送到未就緒的端點,啟用此旗標會停用 Envoy 中的恐慌閾值,也就是說,即使健康主機的百分比低於最小健康百分比(恐慌閾值),Envoy 也不會將請求負載平衡到不健康/未就緒的主機。 |
PILOT_SIDECAR_USE_REMOTE_ADDRESS | 布林值 | false | UseRemoteAddress 將會為 sidecar 對外接聽程式設定 useRemoteAddress 為 true。 |
PILOT_SKIP_VALIDATE_TRUST_DOMAIN | 布林值 | false | 在驗證原則中啟用 mTLS 時,略過驗證對等端是否來自相同的信任網域。 |
PILOT_STATUS_BURST | 整數 | 500 | 如果啟用狀態,則控制將會更新狀態的 Burst 率。請參閱 https://godoc.org/k8s.io/client-go/rest#Config Burst |
PILOT_STATUS_MAX_WORKERS | 整數 | 100 | Pilot 將用來保持配置狀態為最新的最大工作人員數。較小的數字將會導致較高的狀態延遲,但較大的數字可能會在高規模環境中影響 CPU。 |
PILOT_STATUS_QPS | 整數 | 100 | 如果啟用狀態,則控制將會更新狀態的 QPS。請參閱 https://godoc.org/k8s.io/client-go/rest#Config QPS |
PILOT_STATUS_UPDATE_INTERVAL | 時間長度 | 500ms | 更新 XDS 分佈狀態的間隔。 |
PILOT_TRACE_SAMPLING | 浮點數 | 1 | 設定整個網格追蹤的取樣百分比。應為 0.0 - 100.0。精確度為 0.01。預設值為 1.0。 |
PILOT_UNIFIED_SIDECAR_SCOPE | 布林值 | true | 如果為 true,將會使用統一的 SidecarScope 建立。這僅作為向後相容性的臨時功能旗標。 |
PILOT_WORKLOAD_ENTRY_GRACE_PERIOD | 時間長度 | 10 秒 | 自動註冊的工作負載在與所有 Pilot 執行個體斷開連線之前可以保持斷線狀態的時間長度,之後才會清除相關的 WorkloadEntry。 |
PILOT_XDS_CACHE_INDEX_CLEAR_INTERVAL | 時間長度 | 5s | xds 快取索引清除的間隔。 |
PILOT_XDS_CACHE_SIZE | 整數 | 60000 | XDS 快取的最大快取項目數。 |
PILOT_XDS_CACHE_STATS | 布林值 | false | 如果為 true,Pilot 將會收集 XDS 快取效率的指標。 |
POD_NAME | 字串 | | |
POD_NAMESPACE | 字串 | | pod 的命名空間 |
PREFER_DESTINATIONRULE_TLS_FOR_EXTERNAL_SERVICES | 布林值 | true | 如果為 true,外部服務將優先使用來自 DestinationRule 的 TLS 設定,而不是中繼資料 TLS 設定。 |
REPAIR_BROKEN_POD_LABEL_KEY | 字串 | cni.istio.io/uninitialized | 如果標記 pod 為 true,則競賽修復程式將會設定的標籤索引鍵部分。 |
REPAIR_BROKEN_POD_LABEL_VALUE | 字串 | true | 如果標記 pod 為 true,則競賽修復程式將會設定的標籤值部分。 |
REPAIR_DELETE_PODS | 布林值 | false | 當偵測到因競賽條件而損壞的 pod 時,控制器將刪除 pod |
REPAIR_ENABLED | 布林值 | true | 是否啟用競賽條件修復 |
REPAIR_FIELD_SELECTORS | 字串 | | 一組以 label=value 格式表示的欄位選取器,將會加入到 pod 清單篩選器中 |
REPAIR_INIT_CONTAINER_EXIT_CODE | 整數 | 126 | 由於 CNI 配置錯誤而導致當機迴圈時,初始化容器的預期結束代碼 |
REPAIR_INIT_CONTAINER_NAME | 字串 | istio-validation | istio 初始化容器的名稱(如果未針對 pod 設定 CNI,則會當機迴圈) |
REPAIR_INIT_CONTAINER_TERMINATION_MESSAGE | 字串 | | 由於 CNI 配置錯誤而導致當機迴圈時,初始化容器的預期終止訊息 |
REPAIR_LABEL_PODS | 布林值 | false | 當偵測到因競賽條件而損壞的 pod 時,控制器將標記 pod |
REPAIR_LABEL_SELECTORS | 字串 | | 一組以 label=value 格式表示的標籤選取器,將會加入到 pod 清單篩選器中 |
REPAIR_NODE_NAME | 字串 | | 受管理節點的名稱(如果未設定,將會管理所有節點) |
REPAIR_SIDECAR_ANNOTATION | 字串 | sidecar.istio.io/status | 表示此 pod 包含 istio sidecar 的註解索引鍵。將會忽略所有沒有此註解的 pod。將會忽略註解的值。 |
RESOLVE_HOSTNAME_GATEWAYS | 布林值 | true | 如果為 true,將會在控制平面中解析服務的 LoadBalancer 位址中的主機名稱,以用於跨網路閘道。 |
REVISION | 字串 | | |
SHARED_MESH_CONFIG | 字串 | | 要載入以進行共用 MeshConfig 設定的其他配置對應。標準網格設定將優先。 |
SKIP_TLS_VERIFY | 布林值 | false | 是否在 kubeconfig 檔案中使用不安全的 TLS |
SYSTEM_NAMESPACE | 字串 | istio-system | istio 系統命名空間 |
TRUSTED_GATEWAY_CIDR | 字串 | | 如果設定,來自具有此 CIDR 範圍的閘道到 Istiod 的任何連線都會被視為可信任,以使用諸如 XFCC 的驗證機制。這僅能在 Istiod 和驗證閘道運行的網路位於可信任/安全網路時使用 |
UNSAFE_ENABLE_ADMIN_ENDPOINTS | 布林值 | false | 如果設定為 true,則危險的管理端點將會在偵錯介面上公開。不建議用於生產環境。 |
UNSAFE_PILOT_ENABLE_DELTA_TEST | 布林值 | false | 如果啟用,將會加入 Delta XDS 效率的其他執行階段測試。這些檢查非常耗費資源,因此應僅用於測試,而不適用於生產環境。 |
UNSAFE_PILOT_ENABLE_RUNTIME_ASSERTIONS | 布林值 | false | 如果啟用,將會執行其他執行階段判斷提示。這些檢查既耗費資源,也會在失敗時引發恐慌。因此,應僅用於測試。 |
USE_CACERTS_FOR_SELF_SIGNED_CA | 布林值 | false | 如果啟用,istiod 將會使用名為 cacerts 的密碼來儲存其自行簽署的 istio 產生之根憑證。 |
VALIDATION_WEBHOOK_CONFIG_NAME | 字串 | istio-istio-system | 如果非空,當 CA 憑證變更時,控制器將會自動修補 validatingwebhookconfiguration。僅適用於 Kubernetes 環境。 |
XDS_AUTH | 布林值 | true | 如果為 true,將會驗證 XDS 用戶端。 |
ZTUNNEL_UDS_ADDRESS | 字串 | /var/run/ztunnel/ztunnel.sock | ztunnel 將連線到的 UDS 伺服器位址 |
匯出的指標
| 指標名稱 | 類型 | 描述 |
|---|---|---|
controller_sync_errors_total | 總和 | 同步控制器的 errorMetric 總數。 |
endpoint_no_pod | 最後值 | 沒有相關聯 pod 的端點。 |
istio_build | 最後值 | Istio 元件組建資訊 |
istio_cni_install_ready | 最後值 | CNI 外掛程式安裝是否就緒 |
istio_cni_installs_total | 總和 | Istio CNI 安裝程式安裝的 CNI 外掛程式總數 |
istio_cni_repair_pods_repaired_total | 總和 | 修復控制器修復的 pod 總數 |
nodeagent_reconcile_events_total | 總和 | 節點代理協調事件的總數。 |
pilot_conflict_inbound_listener | 最後值 | 衝突的對內接聽程式數。 |
pilot_conflict_outbound_listener_tcp_over_current_tcp | 最後值 | 與目前的 tcp 接聽程式發生衝突的 tcp 接聽程式數。 |
pilot_destrule_subsets | 最後值 | 相同主機在目標規則中的重複子集 |
pilot_dns_cluster_without_endpoints | 最後值 | 由於 STRICT_DNS 類型叢集中的端點欄位未設定,或對應的子集無法選取任何端點而導致沒有端點的 DNS 叢集 |
pilot_duplicate_envoy_clusters | 最後值 | 由於具有相同主機名稱的服務項目而導致的重複 Envoy 叢集 |
pilot_eds_no_instances | 最後值 | 沒有執行個體的叢集數。 |
pilot_endpoint_not_ready | 最後值 | 在未就緒狀態下找到的端點。 |
pilot_jwks_resolver_network_fetch_fail_total | 總和 | pilot jwks 解析器網路擷取失敗的總次數 |
pilot_jwks_resolver_network_fetch_success_total | 總和 | pilot jwks 解析器成功網路擷取的總次數 |
pilot_no_ip | 最後值 | 在端點表中找不到的 Pod,可能無效。 |
pilot_total_rejected_configs | 總和 | Pilot 必須拒絕或忽略的配置總數。 |
pilot_total_xds_internal_errors | 總和 | pilot 中的 XDS 內部錯誤總數。 |
pilot_total_xds_rejects | 總和 | 代理拒絕來自 pilot 的 XDS 回應總數。 |
pilot_virt_services | 最後值 | Pilot 已知的虛擬服務總數。 |
pilot_vservice_dup_domain | 最後值 | 具有重複網域的虛擬服務。 |
pilot_xds_cds_reject | 最後值 | Pilot 拒絕的 CDS 配置。 |
pilot_xds_eds_reject | 最後值 | Pilot 拒絕的 EDS。 |
pilot_xds_expired_nonce | 總和 | 具有過期 nonce 的 XDS 請求總數。 |
pilot_xds_lds_reject | 最後值 | Pilot 拒絕的 LDS。 |
pilot_xds_rds_reject | 最後值 | Pilot 拒絕的 RDS。 |
pilot_xds_send_time | 分佈 | Pilot 傳送產生的配置所花費的總時間(以秒為單位)。 |
pilot_xds_write_timeout | 總和 | Pilot XDS 回應寫入逾時。 |
provider_lookup_cluster_failures | 總和 | 叢集查閱失敗的次數 |
xds_cache_dependent_config_size | 最後值 | 相依配置的目前大小 |
xds_cache_evictions | 總和 | xds 快取逐出總數。 |
xds_cache_reads | 總和 | xds 快取 xdsCacheReads 的總數。 |
xds_cache_size | 最後值 | xds 快取的目前大小 |
ztunnel_connected | 最後值 | 與 ztunnel 的連線數 |