pilot-agent
Istio Pilot 代理程式在 Sidecar 或閘道容器中執行,並啟動 Envoy。
| 標誌 | 描述 |
|---|---|
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent completion
為指定的 Shell 生成 pilot-agent 的自動完成腳本。請參閱每個子命令的說明,以了解如何使用生成的腳本。
| 標誌 | 描述 |
|---|---|
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent completion bash
為 bash shell 生成自動完成腳本。
此腳本依賴於 'bash-completion' 套件。如果尚未安裝,您可以透過作業系統的套件管理器安裝。
若要在目前的 Shell 工作階段中載入自動完成:
source <(pilot-agent completion bash)若要在每個新工作階段中載入自動完成,請執行一次:
Linux
pilot-agent completion bash > /etc/bash_completion.d/pilot-agentmacOS
pilot-agent completion bash > /usr/local/etc/bash_completion.d/pilot-agent您需要啟動一個新的 Shell,此設定才會生效。
pilot-agent completion bash
| 標誌 | 描述 |
|---|---|
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--no-descriptions | 停用自動完成說明 |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent completion fish
為 fish shell 生成自動完成腳本。
若要在目前的 Shell 工作階段中載入自動完成:
pilot-agent completion fish | source若要在每個新工作階段中載入自動完成,請執行一次:
pilot-agent completion bash > ~/.config/fish/completions/pilot-agent.fish您需要啟動一個新的 Shell,此設定才會生效。
pilot-agent completion fish [flags]
| 標誌 | 描述 |
|---|---|
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--no-descriptions | 停用自動完成說明 |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent completion powershell
為 PowerShell 生成自動完成腳本。
若要在目前的 Shell 工作階段中載入自動完成:
pilot-agent completion powershell | Out-String | Invoke-Expression若要在每個新工作階段中載入自動完成,請將上述命令的輸出新增至您的 powershell 設定檔。
pilot-agent completion powershell [flags]
| 標誌 | 描述 |
|---|---|
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--no-descriptions | 停用自動完成說明 |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent completion zsh
為 zsh shell 生成自動完成腳本。
如果您的環境中尚未啟用 shell 自動完成,您需要啟用它。您可以執行以下指令一次:
echo "autoload -U compinit; compinit" >> ~/.zshrc若要在目前的 Shell 工作階段中載入自動完成:
source <(pilot-agent completion zsh)若要在每個新工作階段中載入自動完成,請執行一次:
Linux
pilot-agent completion zsh > "${fpath[1]}/_pilot-agent"macOS
pilot-agent completion zsh > $(brew --prefix)/share/zsh/site-functions/_pilot-agent您需要啟動一個新的 Shell,此設定才會生效。
pilot-agent completion zsh [flags]
| 標誌 | 描述 |
|---|---|
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--no-descriptions | 停用自動完成說明 |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent istio-clean-iptables
負責清除 iptables 規則的腳本
pilot-agent istio-clean-iptables [flags]
| 標誌 | 縮寫 | 描述 |
|---|---|---|
--capture-all-dns | 不只是捕獲到 DNS 伺服器 IP 的 DNS 流量,而是捕獲埠 53 上的所有 DNS 流量。此設定僅在啟用重新導向 DNS 時有效。 | |
--dry-run | -n | 不呼叫任何外部相依性,如 iptables。 |
--istio-inbound-interception-mode <string> | -m | 用於將入站連線重新導向至 Envoy 的模式,可以是 "REDIRECT" 或 "TPROXY"。(預設 ``) |
--istio-inbound-tproxy-mark <string> | -t | (預設 ``) |
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 | |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) | |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) | |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) | |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) | |
--proxy-gid <string> | -g | 指定不應用重新導向的用戶 GID (與 -u 參數的預設值相同)。(預設 ``) |
--proxy-uid <string> | -u | 指定不應用重新導向的用戶 UID。通常,這是 Proxy 容器的 UID。(預設 ``) |
--redirect-dns | 啟用 istio-agent 捕獲 DNS 流量。 | |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent istio-iptables
istio-iptables 負責設定 Istio Sidecar 的埠轉送。
pilot-agent istio-iptables [flags]
| 標誌 | 縮寫 | 描述 |
|---|---|---|
--capture-all-dns | 不只是捕獲到 DNS 伺服器 IP 的 DNS 流量,而是捕獲埠 53 上的所有 DNS 流量。此設定僅在啟用重新導向 DNS 時有效。 | |
--cleanup-only | 執行強制清除,而不建立新的 iptables 鏈或規則。 | |
--cni-mode | 是否作為 CNI 外掛程式執行。 | |
--drop-invalid | 在 iptables 規則中啟用無效捨棄。 | |
--dry-run | -n | 不呼叫任何外部相依性,如 iptables。 |
--dual-stack | 啟用雙堆疊的 IPv4/IPv6 重新導向。 | |
--envoy-port <string> | -p | 指定將所有 TCP 流量重新導向到的 Envoy 埠。(預設 `15001`) |
--force-apply | 即使 iptables 變更似乎已經存在,仍然套用它們。 | |
--inbound-capture-port <string> | -z | 所有傳入 Pod/VM 的 TCP 流量應重新導向到的埠。(預設 `15006`) |
--inbound-tunnel-port <string> | -e | 指定傳入 TCP 流量的 istio 通道埠。(預設 `15008`) |
--iptables-probe-port <uint16> | 設定失敗偵測的監聽埠。(預設 `15002`) | |
--iptables-trace-logging | 使用 LOG 鏈為每個 iptables 規則插入追蹤記錄。 | |
--istio-exclude-interfaces <string> | -c | NIC 的逗號分隔清單 (選用)。不會捕獲傳入或傳出流量。(預設 ``) |
--istio-inbound-interception-mode <string> | -m | 用於將入站連線重新導向至 Envoy 的模式,可以是 "REDIRECT" 或 "TPROXY"。(預設 ``) |
--istio-inbound-ports <string> | -b | 要將流量重新導向至 Envoy 的傳入埠的逗號分隔清單 (選用)。萬用字元 "*" 可用於設定所有埠的重新導向。空清單將會停用。(預設 ``) |
--istio-inbound-tproxy-mark <string> | -t | (預設 `1337`) |
--istio-inbound-tproxy-route-table <string> | -r | (預設 `133`) |
--istio-local-exclude-ports <string> | -d | 要從重新導向至 Envoy 中排除的傳入埠的逗號分隔清單 (選用)。僅當所有傳入流量 (即 "*") 被重新導向時才會套用。(預設 ``) |
--istio-local-outbound-ports-exclude <string> | -o | 要從重新導向至 Envoy 中排除的傳出埠的逗號分隔清單。(預設 ``) |
--istio-outbound-ports <string> | -q | 明確包含要重新導向至 Envoy 的傳出埠的逗號分隔清單。(預設 ``) |
--istio-service-cidr <string> | -i | 要重新導向至 Envoy 的 CIDR 格式的 IP 範圍的逗號分隔清單 (選用)。萬用字元 "*" 可用於重新導向所有傳出流量。空清單將會停用所有傳出。(預設 ``) |
--istio-service-exclude-cidr <string> | -x | 要從重新導向中排除的 CIDR 格式的 IP 範圍的逗號分隔清單。僅當所有傳出流量 (即 "*") 被重新導向時才會套用。(預設 ``) |
--kube-virt-interfaces <string> | -k | 其傳入流量 (來自 VM) 將被視為傳出的虛擬介面的逗號分隔清單。(預設 ``) |
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 | |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) | |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) | |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) | |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) | |
--network-namespace <string> | 應套用 iptables 規則的網路命名空間。(預設 ``) | |
--probe-timeout <duration> | 失敗偵測逾時。(預設 `5s`) | |
--proxy-gid <string> | -g | 指定不應用重新導向的用戶 GID (與 -u 參數的預設值相同)。(預設 ``) |
--proxy-uid <string> | -u | 指定不應用重新導向的用戶 UID。通常,這是 Proxy 容器的 UID。(預設 ``) |
--reconcile | 如果偵測到偏差,則協調先前存在且不相容的 iptables 規則,而不是失敗。 | |
--redirect-dns | 啟用 istio-agent 捕獲 DNS 流量。 | |
--run-validation | 驗證 iptables。 | |
--skip-rule-apply | 略過 iptables 套用。 | |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent proxy
XDS 代理程式
pilot-agent proxy [flags]
| 標誌 | 描述 |
|---|---|
--concurrency <int> | 要執行的工作執行緒數目 (預設 `0`) |
--domain <string> | DNS 網域後綴。如果未提供,則使用 ${POD_NAMESPACE}.svc.cluster.local (預設 ``) |
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--meshConfig <string> | Istio 網格設定的檔案名稱。如果未指定,將使用預設網格。這可能會被 PROXY_CONFIG 環境變數或 proxy.istio.io/config 註解覆寫。(預設 `./etc/istio/config/mesh`) |
--outlierLogPath <string> | 離群值偵測的記錄路徑 (預設 ``) |
--profiling | 透過網頁介面 host:port/debug/pprof/ 啟用分析。 |
--proxyComponentLogLevel <string> | 用於啟動 Envoy Proxy 的元件記錄層級。已棄用,請改用 proxyLogLevel (預設 ``) |
--proxyLogLevel <string> | 用於啟動 Envoy Proxy 的記錄層級 (從 {trace, debug, info, warning, error, critical, off} 中選擇)。層級也可以包含一或多個範圍,例如 'info,misc:error,upstream:debug' (預設 `warning,misc:error`) |
--serviceCluster <string> | 服務叢集 (預設 `istio-proxy`) |
--stsPort <int> | 用於提供安全權杖服務 (STS) 的 HTTP 埠。如果為零,則不會提供 STS 服務。(預設 `0`) |
--templateFile <string> | Go 範本引導設定 (預設 ``) |
--tokenManagerPlugin <string> | 權杖提供者特定的外掛程式名稱。(預設 ``) |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent request
向 Envoy 管理 API 發出 HTTP 請求
pilot-agent request <method> <path> [<body>] [flags]
| 標誌 | 描述 |
|---|---|
--debug-port <int32> | 設定要向其發出本機請求的埠。預設指向 Envoy 管理 API。(預設 `15000`) |
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent version
印出組建版本資訊
pilot-agent version [flags]
| 標誌 | 縮寫 | 描述 |
|---|---|---|
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 | |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) | |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) | |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) | |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) | |
--output <string> | -o | 選項為 'yaml' 或 'json'。(預設 ``) |
--short | -s | 使用 --short=false 以產生完整版本資訊 |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
pilot-agent wait
等待直到 Envoy Proxy 準備就緒
pilot-agent wait [flags]
| 標誌 | 描述 |
|---|---|
--log_as_json | 是否將輸出格式化為 JSON 或純文字主控台友善格式 |
--log_caller <字串> | 要包含呼叫者資訊的範圍的逗號分隔清單,範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的任何一個(預設 ``) |
--log_output_level <字串> | 要輸出的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope>:<level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 ``) |
--log_stacktrace_level <字串> | 捕獲堆疊追蹤的每個範圍訊息的最低記錄層級的逗號分隔清單,格式為 <scope>:<level>,<scope:level>,... 其中範圍可以是 [ads、all、ca、cache、citadelclient、default、dns、gcecred、grpc、healthcheck、iptables、klog、mockcred、monitoring、sds、security、spiffe、validation、wasm、xdsproxy] 中的一個,而層級可以是 [debug、info、warn、error、fatal、none] 中的一個(預設 `default:none`) |
--log_target <字串陣列> | 要輸出日誌的路徑集。這可以是任何路徑,以及特殊值 stdout 和 stderr(預設 `[stdout]`) |
--periodMillis <int> | 嘗試之間等待的毫秒數 (預設 `500`) |
--requestTimeoutMillis <int> | 等待回應的毫秒數 (預設 `500`) |
--timeoutSeconds <int> | 等待 Envoy 準備就緒的最大秒數 (預設 `60`) |
--url <string> | 在請求中使用的 URL (預設 `https://#:15021/healthz/ready`) |
--vklog <層級> | 記錄層級詳細程度的數字。類似 -v 標誌。例如:--vklog=9(預設 `0`) |
環境變數
這些環境變數會影響pilot-agent 命令的行為。| 變數名稱 | 類型 | 預設值 | 描述 |
|---|---|---|---|
AMBIENT_ENABLE_STATUS | 布林值 | false | 如果啟用,環境模式的狀態訊息將會寫入資源。目前,這不會執行領導者選舉,因此與多個複本一起啟用可能不安全。 |
BYPASS_OVERLOAD_MANAGER_FOR_STATIC_LISTENERS | 布林值 | true | 如果啟用,過載管理器將不會應用於靜態監聽器 |
CA_ADDR | 字串 | | spiffe 憑證提供者的位址。預設為 discoveryAddress |
CA_PROVIDER | 字串 | Citadel | 驗證提供者的名稱 |
CA_ROOT_CA | 字串 | | 明確設定 CA 連線預期的根 CA。 |
CA_TRUSTED_NODE_ACCOUNTS | 字串 | | 如果設定,則為允許使用節點驗證進行 CSR 的服務帳戶清單。節點驗證允許身分代表其他身分建立 CSR,但前提是同一個節點上執行具有該身分的 Pod。這旨在與節點 Proxy 搭配使用。 |
CERT_SIGNER_DOMAIN | 字串 | | 憑證簽署者網域資訊 |
CLOUD_PLATFORM | 字串 | | Proxy 執行的雲端平台,如果未指定,Istio 將嘗試探索平台。有效的平台值為 aws、azure、gcp、none |
CLUSTER_ID | 字串 | Kubernetes | 定義此 Istiod 執行個體所屬的叢集和服務登錄 |
COMPLIANCE_POLICY | 字串 | | 如果設定,則會將特定於原則的限制應用於所有現有的 TLS 設定,包括網格內 mTLS 和外部 TLS。有效值為:* '' 或未設定不放置其他限制。* 'fips-140-2',它會強制執行 TLS 通訊協定的版本和一組密碼套件的子集,覆寫所有執行階段元件 (包括 Envoy、gRPC Go SDK 和 gRPC C++ SDK) 的任何使用者喜好設定或預設值。警告:在控制平面中設定合規原則是實現合規的必要條件,但並非充分條件。還有其他必要的步驟來宣告合規性,包括使用經過驗證的加密模組 (請參閱 https://envoy.dev.org.tw/docs/envoy/latest/intro/arch_overview/security/ssl#fips-140-2)。 |
CREDENTIAL_FETCHER_TYPE | 字串 | JWT | 憑證擷取器的類型。目前支援的類型包括 GoogleComputeEngine |
CREDENTIAL_IDENTITY_PROVIDER | 字串 | GoogleComputeEngine | 憑證的身分提供者。目前預設支援的身分提供者為 GoogleComputeEngine |
DISABLE_ENVOY | 布林值 | false | 停用所有 Envoy 代理程式功能。 |
DNS_FORWARD_PARALLEL | 布林值 | false | 如果設定為 true,代理程式將會向所有上游名稱伺服器發送並行 DNS 查詢 |
DNS_PROXY_ADDR | 字串 | localhost:15053 | DNS Proxy 的自訂位址。如果它以 :53 結尾且以 root 身分執行,則允許在沒有 iptable DNS 捕獲的情況下執行 |
DRY_RUN_FILE_PATH | 字串 | | 如果提供,StdoutStubDependencies 將會把來自 stdin 的輸入寫入給定的檔案。 |
ECC_CURVE | 字串 | P256 | 當 ECC_SIGNATURE_ALGORITHM 設定為 ECDSA 時要使用的橢圓曲線。 |
ECC_SIGNATURE_ALGORITHM | 字串 | | 產生私鑰時要使用的 ECC 簽名演算法類型。 |
ENABLE_100_CONTINUE_HEADERS | 布林值 | true | 如果啟用,istiod 將會按原樣代理 100-continue 標頭。 |
ENABLE_AUTO_SNI | 布林值 | true | 如果啟用,當 `DestinationRules` 未指定時,會自動設定 SNI。 |
ENABLE_CA_SERVER | 布林值 | true | 如果設定為 false,則不會在 istiod 中建立 CA 伺服器。 |
ENABLE_DEBUG_ON_HTTP | 布林值 | true | 如果設定為 false,則不會啟用除錯介面,建議用於生產環境。 |
ENABLE_DEFERRED_CLUSTER_CREATION | 布林值 | true | 如果啟用,Istio 將僅在有請求時建立叢集。在有多個非活動叢集且 > 1 個工作執行緒的情況下,這將節省記憶體和 CPU 週期。 |
ENABLE_DEFERRED_STATS_CREATION | 布林值 | true | 如果啟用,Istio 將會延遲初始化統計資訊的子集。 |
ENABLE_DELIMITED_STATS_TAG_REGEX | 布林值 | true | 如果為 true,pilot 將使用新的分隔統計標籤 regex 來產生 Envoy 統計標籤。 |
ENABLE_ENHANCED_DESTINATIONRULE_MERGE | 布林值 | true | 如果啟用,Istio 將合併 destinationrules,考慮到它們的 exportTo 欄位。如果 exportTos 不相等,它們將被保留為獨立的規則。 |
ENABLE_ENHANCED_RESOURCE_SCOPING | 布林值 | true | 如果啟用,meshConfig.discoverySelectors 將限制 pilot 可以處理的 CustomResource 設定(如 Gateway、VirtualService、DestinationRule、Ingress 等)。這也將限制 root-ca 憑證的分發。 |
ENABLE_HCM_INTERNAL_NETWORKS | 布林值 | false | 如果啟用,在網格網路中定義的端點將在 Http Connection Manager 中配置為內部位址。 |
ENABLE_INBOUND_RETRY_POLICY | 布林值 | true | 如果為 true,則為入站路由啟用重試策略,該策略會自動重試在到達服務之前被重置的請求。 |
ENABLE_INGRESS_WAYPOINT_ROUTING | 布林值 | false | 如果為 true,如果 Service 上設定了 'istio.io/ingress-use-waypoint' 標籤,則 Gateway 將會呼叫服務航點。 |
ENABLE_LEADER_ELECTION | 布林值 | true | 如果啟用(預設),則啟動領導者選舉用戶端,並在執行控制器之前獲得領導權。如果為 false,則假定只有一個 istiod 實例正在執行,並跳過領導者選舉。 |
ENABLE_LOCALITY_WEIGHTED_LB_CONFIG | 布林值 | false | 如果啟用,則始終為叢集設定 LocalityWeightedLbConfig,否則僅在 DestinationRule 為服務指定區域性負載平衡時才應用它。 |
ENABLE_MCS_AUTO_EXPORT | 布林值 | false | 如果啟用,istiod 將自動為網格中的每個服務產生 Kubernetes 多叢集服務 (MCS) ServiceExport 資源。在 MeshConfig 中定義為叢集本機的服務將被排除在外。 |
ENABLE_MCS_CLUSTER_LOCAL | 布林值 | false | 如果啟用,istiod 將會根據 Kubernetes 多叢集服務 (MCS) 規範,將主機 `<svc>.<namespace>.svc.cluster.local` 視為已定義。在此模式下,對 `cluster.local` 的請求將僅路由到與用戶端位於相同叢集內的端點。需要同時啟用 ENABLE_MCS_SERVICE_DISCOVERY 和 ENABLE_MCS_HOST。 |
ENABLE_MCS_HOST | 布林值 | false | 如果啟用,istiod 將為至少一個叢集中匯出的每個服務 (透過 ServiceExport) 設定 Kubernetes 多叢集服務 (MCS) 主機 (<svc>.<namespace>.svc.clusterset.local)。但是,用戶端必須能夠成功查找這些 DNS 主機。這表示必須啟用 Istio DNS 攔截或必須使用 MCS 控制器。需要同時啟用 ENABLE_MCS_SERVICE_DISCOVERY。 |
ENABLE_MCS_SERVICE_DISCOVERY | 布林值 | false | 如果啟用,istiod 將啟用 Kubernetes 多叢集服務 (MCS) 服務探索模式。在此模式下,叢集中的服務端點將僅在同一叢集內可探索,除非透過 ServiceExport 明確匯出。 |
ENABLE_MULTICLUSTER_HEADLESS | 布林值 | true | 如果為 true,無頭服務的 DNS 名稱表將會解析為任何叢集中的相同網路端點。 |
ENABLE_NATIVE_SIDECARS | 布林值 | false | 如果設定,則使用 Kubernetes 原生 Sidecar 容器支援。需要 SidecarContainer 功能標誌。 |
ENABLE_PROBE_KEEPALIVE_CONNECTIONS | 布林值 | false | 如果啟用,準備就緒探測將保持從 pilot-agent 到應用程式的連線保持活動。這反映了較舊 Istio 版本的行為,但不是 kubelet 的行為。 |
ENABLE_RESOLUTION_NONE_TARGET_PORT | 布林值 | true | 如果啟用,resolution=NONE ServiceEntry 將支援 targetPort。 |
ENABLE_SELECTOR_BASED_K8S_GATEWAY_POLICY | 布林值 | true | 如果停用,Gateway API 閘道將會忽略 workloadSelector 原則,僅應用透過 targetRef 選擇閘道的原則。 |
ENABLE_TLS_ON_SIDECAR_INGRESS | 布林值 | false | 如果啟用,Sidecar.ingress 上的 TLS 設定將生效。 |
ENABLE_VTPROTOBUF | 布林值 | true | 如果為 true,將使用基於最佳化 vtprotobuf 的封送處理。需要使用 -tags=vtprotobuf 的建置。 |
ENVOY_PROMETHEUS_PORT | 整數 | 15090 | Envoy prometheus 重新導向埠值 |
ENVOY_STATUS_PORT | 整數 | 15021 | Envoy 健康狀態埠值 |
ENVOY_USER | 字串 | istio-proxy | Envoy Proxy 使用者名稱 |
EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY | 布林值 | true | 如果為 true,則從預設重試策略中排除對 503 的不安全重試。 |
EXIT_ON_ZERO_ACTIVE_CONNECTIONS | 布林值 | false | 設定為 true 時,會在耗盡期間作用中連線數變為零時終止 Proxy。 |
EXTERNAL_ISTIOD | 布林值 | false | 如果設定為 true,則一個 Istiod 將控制遠端叢集,包括 CA。 |
FILE_DEBOUNCE_DURATION | 時間長度 | 100 毫秒 | 偵測到檔案更新後,延遲檔案讀取操作的持續時間 |
FILE_MOUNTED_CERTS | 布林值 | false | |
GCP_METADATA | 字串 | | 以管線分隔的 GCP 中繼資料,架構為 PROJECT_ID|PROJECT_NUMBER|CLUSTER_NAME|CLUSTER_ZONE |
GCP_QUOTA_PROJECT | 字串 | | 允許指定要在對 GCP API 的請求中使用的配額專案。 |
GRPC_KEEPALIVE_INTERVAL | 時間長度 | 30 秒 | gRPC 保持活動間隔 |
GRPC_KEEPALIVE_TIMEOUT | 時間長度 | 10 秒 | gRPC 保持活動逾時 |
GRPC_XDS_BOOTSTRAP | 字串 | etc/istio/proxy/grpc-bootstrap.json | gRPC 預期讀取引導檔案的路徑。如果設定,Agent 將產生一個。 |
HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED | 布林值 | true | |
INBOUND_INTERCEPTION_MODE | 字串 | | 用於將入站連線重新導向至 Envoy 的模式,可以是「REDIRECT」或「TPROXY」 |
INBOUND_TPROXY_MARK | 字串 | | |
INJECTION_WEBHOOK_CONFIG_NAME | 字串 | istio-sidecar-injector | 如果未使用 istioctl,則要修補的 mutatingwebhookconfiguration 的名稱。 |
INSTANCE_IP | 字串 | | |
IPTABLES_TRACE_LOGGING | 布林值 | false | 啟用後,將記錄所有 iptables 動作。這需要 NET_ADMIN 權限,並且會產生大量的記錄;因此,這僅適用於除錯。 |
ISTIOD_CUSTOM_HOST | 字串 | | istiod 簽署伺服器憑證的 istiod 自訂主機名稱。支援多個自訂主機名稱,多個值以逗號分隔。 |
ISTIOD_SAN | 字串 | | 覆寫用於驗證 Istiod 憑證的 ServerName。可以用作設定 VM 的 /etc/hosts 的替代方法 - 探索位址將會是 IP:port |
ISTIO_AGENT_ENABLE_WASM_REMOTE_LOAD_CONVERSION | 布林值 | true | 如果啟用,Istio 代理程式將攔截 ECDS 資源更新、下載 Wasm 模組,並將 Wasm 模組遠端載入替換為已下載的本機模組檔案。 |
ISTIO_BOOTSTRAP | 字串 | | |
ISTIO_BOOTSTRAP_OVERRIDE | 字串 | | |
ISTIO_CPU_LIMIT | 整數 | 0 | 目前處理程序的 CPU 限制。表示為整數值,向上取整。 |
ISTIO_DELTA_XDS | 布林值 | true | 如果啟用,pilot 將僅傳送增量設定,而不是資源請求時的世界狀態。此功能使用增量 xds api,但目前不傳送實際增量。 |
ISTIO_DUAL_STACK | 布林值 | false | 如果為 true,Istio 將啟用雙堆疊功能。 |
ISTIO_ENABLE_CONTROLLER_QUEUE_METRICS | 布林值 | false | 如果啟用,則發佈佇列深度、延遲和處理時間的度量。 |
ISTIO_ENABLE_HTTP2_PROBING | 布林值 | true | 如果啟用,HTTPS 探測將會啟用 HTTP2 探測,遵循 Kubernetes。 |
ISTIO_ENABLE_IPV4_OUTBOUND_LISTENER_FOR_IPV6_CLUSTERS | 布林值 | false | 如果為 true,pilot 將在僅限 IPv6 的叢集中為輸出流量設定額外的 IPv4 接聽程式,例如 AWS EKS 僅限 IPv6 的叢集。 |
ISTIO_ENVOY_ENABLE_CORE_DUMP | 布林值 | false | |
ISTIO_GPRC_MAXRECVMSGSIZE | 整數 | 4194304 | 設定 gRPC 串流的最大接收緩衝區大小,以位元組為單位。 |
ISTIO_GPRC_MAXSTREAMS | 整數 | 100000 | 設定並行 grpc 串流的最大數量。 |
ISTIO_KUBE_APP_PROBERS | 字串 | | |
ISTIO_KUBE_CLIENT_CONTENT_TYPE | 字串 | protobuf | 用於 Kubernetes 用戶端的內容類型。預設為 protobuf。有效選項:[protobuf, json] |
ISTIO_META_CERT_SIGNER | 字串 | | 工作負載憑證的憑證簽署者資訊 |
ISTIO_META_CLUSTER_ID | 字串 | | |
ISTIO_META_DNS_CAPTURE | 布林值 | false | 如果設定為 true,則啟用在埠 53 上擷取傳出的 DNS 封包,並重新導向至 :15053 上的 istio-agent。 |
ISTIO_META_ENABLE_DNS_SERVER | 布林值 | false | 如果設定為 true,則在 :15053 上啟動 DNS 伺服器。這不會自動擷取 DNS 流量,並且可以在我們希望閘道使用此伺服器作為解析器來解析 DNS 時使用,例如動態轉送 Proxy。 |
ISTIO_MULTIROOT_MESH | 布林值 | false | 如果啟用,網格將支援由多個 trustAnchor 簽署的 ISTIO_MUTUAL mTLS 憑證。 |
ISTIO_OUTBOUND_IPV4_LOOPBACK_CIDR | 字串 | 127.0.0.1/32 | 用於識別應用程式容器的迴路介面上輸出流量的 IPv4 CIDR 範圍 |
ISTIO_OUTBOUND_OWNER_GROUPS | 字串 | * | 以逗號分隔的群組清單,其輸出流量將重新導向至 Envoy。可以按名稱或數值 GID 指定群組。萬用字元 "*" 可用於設定重新導向來自所有群組的流量。 |
ISTIO_OUTBOUND_OWNER_GROUPS_EXCLUDE | 字串 | | 以逗號分隔的群組清單,其輸出流量將排除重新導向至 Envoy。可以按名稱或數值 GID 指定群組。僅當重新導向來自所有群組 (即 "*") 的流量至 Envoy 時才適用。 |
ISTIO_PROMETHEUS_ANNOTATIONS | 字串 | | |
ISTIO_WATCH_NAMESPACE | 字串 | | 如果設定,則將 Kubernetes 監看限制為單個命名空間。警告:只能設定單個命名空間。 |
ISTIO_WORKLOAD_ENTRY_VALIDATE_IDENTITY | 布林值 | true | 如果啟用,將驗證工作負載的身分是否符合其關聯的 WorkloadEntry 的身分,以便進行健康檢查和自動註冊。此標誌僅為了向後相容性而新增,並將在未來版本中移除 |
JWKS_RESOLVER_INSECURE_SKIP_VERIFY | 布林值 | false | 如果啟用,istiod 將會跳過驗證 JWKS 伺服器的憑證。 |
JWT_POLICY | 字串 | third-party-jwt | JWT 驗證原則。 |
KUBERNETES_SERVICE_HOST | 字串 | | Kubernetes 服務主機,在叢集內執行時自動設定 |
LABEL_CANONICAL_SERVICES_FOR_MESH_EXTERNAL_SERVICE_ENTRIES | 布林值 | false | 如果啟用,則會將位置為 mesh_external 的 ServiceEntry 資源的標準服務的中繼資料填入這些端點的叢集中繼資料。 |
LOCAL_CLUSTER_SECRET_WATCHER | 布林值 | false | 如果啟用,叢集密鑰監視器將會監視外部叢集的命名空間,而不是組態叢集。 |
MCS_API_GROUP | 字串 | multicluster.x-k8s.io | 用於 Kubernetes 多叢集服務 (MCS) API 的群組。 |
MCS_API_VERSION | 字串 | v1alpha1 | 用於 Kubernetes 多叢集服務 (MCS) API 的版本。 |
METRICS_LOCALHOST_ACCESS_ONLY | 布林值 | false | 這將停用 Pod 外部的指標端點,僅允許 localhost 存取。 |
METRIC_GRACEFUL_DELETION_INTERVAL | 時間長度 | 5m0s | 指標過期寬限期刪除間隔。如果停用 METRIC_ROTATION_INTERVAL,則無作用。 |
METRIC_ROTATION_INTERVAL | 時間長度 | 0s | 指標範圍輪換間隔,設為 0 以停用指標範圍輪換 |
MINIMUM_DRAIN_DURATION | 時間長度 | 5s | 代理程式在檢查活動連線並在活動連線數量變為零時終止代理之前等待的最短持續時間 |
MUTEX_PROFILE_FRACTION | 整數 | 1000 | 如果設為非零值,則會啟用互斥鎖分析,其速率為 1/MUTEX_PROFILE_FRACTION 事件。例如,「1000」將記錄 0.1% 的事件。設為 0 以完全停用。 |
OUTPUT_CERTS | 字串 | | 金鑰和憑證的輸出目錄。如果為空,則不會儲存金鑰和憑證。必須為使用佈建憑證的 VM 設定。 |
PEER_METADATA_DISCOVERY | 布林值 | false | 如果設為 true,則在 Envoy 中啟用對等中繼資料探索擴充功能 |
PILOT_ALLOW_SIDECAR_SERVICE_INBOUND_LISTENER_MERGE | 布林值 | false | 如果設定,則允許為服務埠和 Sidecar 輸入接聽器建立輸入接聽器 |
PILOT_ANALYSIS_INTERVAL | 時間長度 | 10 秒 | 如果啟用分析,pilot 將使用此值(以秒為單位)作為 Istio 資源的間隔來執行 istio 分析器 |
PILOT_AUTO_ALLOW_WAYPOINT_POLICY | 布林值 | false | 如果啟用,zTunnel 將收到針對每個工作負載的合成授權策略,以允許航點的身分。除非建立其他 ALLOW 策略,否則這實際上會拒絕未經過航點的流量。 |
PILOT_CERT_PROVIDER | 字串 | istiod | Pilot DNS 憑證的提供者。K8S RA 將用於 k8s.io/NAME。「istiod」值將使用 Istio 內建 CA 進行簽署。其他值將不會產生 TLS 憑證,但仍會分發 ./etc/certs/root-cert.pem。僅在未掛載自訂憑證時使用。 |
PILOT_CONVERT_SIDECAR_SCOPE_CONCURRENCY | 整數 | 1 | 用於調整 SidecarScope 轉換的並行性。當 istiod 部署在多核心 CPU 伺服器上時,增加此值有助於使用 CPU 加速組態推送,但也表示 istiod 將消耗更多 CPU 資源。 |
PILOT_DEBOUNCE_AFTER | 時間長度 | 100 毫秒 | 新增至組態/登錄事件以進行去抖動的延遲。這會將推送延遲至少此間隔。如果在此期間未偵測到變更,則會發生推送,否則我們會繼續延遲,直到情況穩定下來,最長可達 PILOT_DEBOUNCE_MAX。 |
PILOT_DEBOUNCE_MAX | 時間長度 | 10 秒 | 去抖動時等待事件的最長時間。如果事件在此時間內持續出現而沒有間斷,我們會觸發推送。 |
PILOT_DISABLE_MX_ALPN | 布林值 | false | 如果為 true,pilot 將不會將 istio-peer-exchange ALPN 放入 TLS 交握組態。 |
PILOT_DRAINING_LABEL | 字串 | istio.io/draining | 如果非空,則將傳送具有現有標籤值的端點,其狀態為 DRAINING。 |
PILOT_ENABLE_ALPHA_GATEWAY_API | 布林值 | false | 如果此設定為 true,則會啟用 Kubernetes gateway-api (github.com/kubernetes-sigs/gateway-api) 中 alpha API 的支援。除了啟用此設定之外,還需要安裝 gateway-api CRD。 |
PILOT_ENABLE_ALPN_FILTER | 布林值 | true | 如果為 true,pilot 將新增 Istio ALPN 篩選器,以正確進行通訊協定嗅探。 |
PILOT_ENABLE_AMBIENT | 布林值 | false | 如果啟用,則可以使用環境模式。各個旗標會組態細微的啟用;必須啟用此設定才能使用任何環境功能。 |
PILOT_ENABLE_AMBIENT_WAYPOINTS | 布林值 | false | 如果啟用,將會執行環境所需的控制器。這是執行環境網格所需的。 |
PILOT_ENABLE_ANALYSIS | 布林值 | false | 如果啟用,pilot 將執行 istio 分析器,並將分析錯誤寫入任何 Istio 資源的 Status 欄位 |
PILOT_ENABLE_CDS_CACHE | 布林值 | true | 如果為 true,Pilot 將快取 CDS 回應。注意:這取決於 PILOT_ENABLE_XDS_CACHE。 |
PILOT_ENABLE_CROSS_CLUSTER_WORKLOAD_ENTRY | 布林值 | true | 如果啟用,pilot 將從其他叢集讀取 WorkloadEntry,這些叢集可由該叢集中的服務選取。 |
PILOT_ENABLE_EDS_DEBOUNCE | 布林值 | true | 如果啟用,Pilot 會將 EDS 推送包含在由 PILOT_DEBOUNCE_AFTER 和 PILOT_DEBOUNCE_MAX 組態的推送去抖動中。EDS 推送可能會延遲,但推送次數會較少。預設情況下,這是啟用的 |
PILOT_ENABLE_EDS_FOR_HEADLESS_SERVICES | 布林值 | false | 如果啟用,對於 Kubernetes 中的無頭服務,pilot 將透過 EDS 傳送端點,允許 Sidecar 在無頭服務中的 Pod 之間進行負載平衡。如果應用程式透過 Sidecar 中的 HTTP Proxy 埠明確存取所有服務,則應啟用此功能。 |
PILOT_ENABLE_GATEWAY_API | 布林值 | true | 如果此設定為 true,則會啟用 Kubernetes gateway-api (github.com/kubernetes-sigs/gateway-api) 的支援。除了啟用此設定之外,還需要安裝 gateway-api CRD。 |
PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER | 布林值 | true | 如果此設定為 true,gateway-api 資源將在叢集部署、服務等中自動佈建 |
PILOT_ENABLE_GATEWAY_API_GATEWAYCLASS_CONTROLLER | 布林值 | true | 如果此設定為 true,istiod 將建立和管理其預設的 GatewayClass |
PILOT_ENABLE_GATEWAY_API_STATUS | 布林值 | true | 如果此設定為 true,gateway-api 資源將會將狀態寫入其中 |
PILOT_ENABLE_IP_AUTOALLOCATE | 布林值 | false | 如果啟用,pilot 將啟動控制器,該控制器會將 IP 位址指派給沒有使用者提供 IP 的 ServiceEntry。這與 DNS 擷取結合使用時,允許對傳送到 ServiceEntry 的流量進行 TCP 路由。 |
PILOT_ENABLE_K8S_SELECT_WORKLOAD_ENTRIES | 布林值 | true | 如果啟用,具有選取器的 Kubernetes 服務將選取具有相符標籤的工作負載項目。如果您非常確定不需要此功能,則可以安全地停用它 |
PILOT_ENABLE_METADATA_EXCHANGE | 布林值 | true | 如果為 true,pilot 將新增中繼資料交換篩選器,該篩選器將由遙測篩選器取用。 |
PILOT_ENABLE_MONGO_FILTER | 布林值 | true | EnableMongoFilter 啟用在篩選器鏈中注入 `envoy.filters.network.mongo_proxy`。 |
PILOT_ENABLE_MYSQL_FILTER | 布林值 | false | EnableMysqlFilter 啟用在篩選器鏈中注入 `envoy.filters.network.mysql_proxy`。 |
PILOT_ENABLE_NODE_UNTAINT_CONTROLLERS | 布林值 | false | 如果啟用,將執行取消汙染具有 CNI Pod 就緒的節點的控制器。如果您停用了環境初始化容器,則應啟用此設定。 |
PILOT_ENABLE_PERSISTENT_SESSION_FILTER | 布林值 | false | 如果啟用,Istiod 會為接聽器設定持續性工作階段篩選器,如果服務設定了 'PILOT_PERSISTENT_SESSION_LABEL'。 |
PILOT_ENABLE_QUIC_LISTENERS | 布林值 | false | 如果為 true,則每當閘道上有終止 TLS 的接聽器,且閘道服務公開具有相同號碼的 UDP 埠時,都將產生 QUIC 接聽器(例如 443/TCP 和 443/UDP) |
PILOT_ENABLE_RDS_CACHE | 布林值 | true | 如果為 true,Pilot 將快取 RDS 回應。注意:這取決於 PILOT_ENABLE_XDS_CACHE。 |
PILOT_ENABLE_REDIS_FILTER | 布林值 | false | EnableRedisFilter 啟用在篩選器鏈中注入 `envoy.filters.network.redis_proxy`。 |
PILOT_ENABLE_ROUTE_COLLAPSE_OPTIMIZATION | 布林值 | true | 如果為 true,作為最佳化,Pilot 會將具有相同路由的虛擬主機合併為單一虛擬主機。 |
PILOT_ENABLE_SENDING_HBONE | 布林值 | false | 如果啟用,則在傳送到目的地時允許 HBONE。 |
PILOT_ENABLE_SERVICEENTRY_SELECT_PODS | 布林值 | true | 如果啟用,具有選取器的服務項目將選取叢集中的 Pod。如果您非常確定不需要此功能,則可以安全地停用它 |
PILOT_ENABLE_SIDECAR_LISTENING_HBONE | 布林值 | false | 如果啟用,則可以為 Proxy 設定 HBONE 支援。 |
PILOT_ENABLE_TELEMETRY_LABEL | 布林值 | true | 如果為 true,pilot 將在叢集和端點資源中新增與遙測相關的中繼資料,遙測篩選器將會取用這些中繼資料。 |
PILOT_ENABLE_WORKLOAD_ENTRY_AUTOREGISTRATION | 布林值 | true | 啟用根據工作負載與 XDS 連線時相關的 WorkloadGroups 自動註冊 WorkloadEntries。 |
PILOT_ENABLE_WORKLOAD_ENTRY_HEALTHCHECKS | 布林值 | true | 啟用根據相關 WorkloadGroup 中提供的組態自動執行 WorkloadEntries 的健康情況檢查 |
PILOT_ENABLE_XDS_CACHE | 布林值 | true | 如果為 true,Pilot 將快取 XDS 回應。 |
PILOT_ENABLE_XDS_IDENTITY_CHECK | 布林值 | true | 如果啟用,pilot 將授權 XDS 用戶端,以確保它們僅以其具有權限的命名空間身分運作。 |
PILOT_ENDPOINT_TELEMETRY_LABEL | 布林值 | true | 如果為 true,pilot 將在端點資源中新增與遙測相關的中繼資料,遙測篩選器將會取用這些中繼資料。 |
PILOT_ENVOY_FILTER_STATS | 布林值 | false | 如果為 true,Pilot 將收集 Envoy 篩選器操作的指標。 |
PILOT_FILTER_GATEWAY_CLUSTER_CONFIG | 布林值 | false | 如果啟用,Pilot 將僅傳送附加至閘道的閘道虛擬服務中參考的叢集 |
PILOT_GATEWAY_API_CONTROLLER_NAME | 字串 | istio.io/gateway-controller | 閘道 API 控制器名稱。istiod 將僅協調參考具有此控制器名稱的 GatewayClass 的閘道 API 資源 |
PILOT_GATEWAY_API_DEFAULT_GATEWAYCLASS_NAME | 字串 | istio | 預設 GatewayClass 的名稱 |
PILOT_HTTP10 | 布林值 | false | 啟用在輸出 HTTP 接聽器中使用 HTTP 1.0,以支援舊版應用程式。 |
PILOT_INSECURE_MULTICLUSTER_KUBECONFIG_OPTIONS | 字串 | | 以逗號分隔的可能不安全 kubeconfig 驗證選項清單,這些選項允許用於多叢集驗證。支援值:所有驗證提供者 (`gcp`、`azure`、`exec`、`openstack`)、`clientKey`、`clientCertificate`、`tokenFile` 和 `exec`。 |
PILOT_JWT_ENABLE_REMOTE_JWKS | 字串 | false | 從 RequestAuthentication 中的 JwksUri 提取 JWK 的模式。支援值:istiod、false、hybrid、true、envoy。提取 JWK 的用戶端如下:istiod/false - Istiod;hybrid/true - Envoy,如果 JWK 伺服器是外部伺服器,則會回退到 Istiod;envoy - Envoy。 |
PILOT_JWT_PUB_KEY_REFRESH_INTERVAL | 時間長度 | 20m0s | istiod 提取 jwks 公鑰的 jwks_uri 的間隔。 |
PILOT_MAX_REQUESTS_PER_SECOND | 浮點數 | 0 | 限制每秒傳入的 XDS 請求數量。在較大的機器上,可以增加此值以同時處理更多 Proxy。如果設為 0 或未設定,則最大值將根據機器大小自動判斷 |
PILOT_MULTI_NETWORK_DISCOVER_GATEWAY_API | 布林值 | true | 如果為 true,Pilot 會探索標記為多網路閘道的 Kubernetes 閘道物件。 |
PILOT_PERSISTENT_SESSION_HEADER_LABEL | 字串 | istio.io/persistent-session-header | 如果此標籤不為空,具有此標籤的服務將使用基於標頭的持久性會話 |
PILOT_PERSISTENT_SESSION_LABEL | 字串 | istio.io/persistent-session | 如果此標籤不為空,具有此標籤的服務將使用基於 Cookie 的持久性會話 |
PILOT_PREFER_SENDING_HBONE | 布林值 | false | 如果啟用,當發送到目標時,將優先使用 HBONE。 |
PILOT_PUSH_THROTTLE | 整數 | 0 | 限制允許的並行推送數量。在較大的機器上,可以增加此值以加快推送速度。如果設定為 0 或未設定,則會根據機器大小自動決定最大值 |
PILOT_REMOTE_CLUSTER_TIMEOUT | 時間長度 | 30 秒 | 在此逾時到期後,Pilot 可以在未同步透過 remote-secrets 新增的叢集資料的情況下,進入就緒狀態。將逾時設定為 0 會停用此行為。 |
PILOT_SCOPE_GATEWAY_TO_NAMESPACE | 布林值 | false | 如果啟用,閘道工作負載只能選擇同一命名空間中的閘道資源。不同命名空間中具有相同選取器的閘道將不適用。 |
PILOT_SEND_UNHEALTHY_ENDPOINTS | 布林值 | false | 如果啟用,Pilot 將在 EDS 推送中包含不健康的端點,即使 Envoy 發送這些端點,也不會使用它們進行負載平衡。為了避免將流量發送到未就緒的端點,啟用此標記會停用 Envoy 中的恐慌閾值,即即使健康主機的百分比低於最小健康百分比(恐慌閾值),Envoy 也不會將請求負載平衡到不健康/未就緒的主機。 |
PILOT_SIDECAR_USE_REMOTE_ADDRESS | 布林值 | false | UseRemoteAddress 為 sidecar 對外監聽器設定 useRemoteAddress 為 true。 |
PILOT_SKIP_VALIDATE_TRUST_DOMAIN | 布林值 | false | 當身份驗證策略中啟用 mTLS 時,略過驗證對等方是否來自同一信任域 |
PILOT_STATUS_BURST | 整數 | 500 | 如果啟用狀態,則控制將更新狀態的 Burst 速率。請參閱 https://godoc.org/k8s.io/client-go/rest#Config Burst |
PILOT_STATUS_MAX_WORKERS | 整數 | 100 | Pilot 將用於保持組態狀態最新狀態的最大工作人員數量。較小的數字將導致較高的狀態延遲,但較大的數字可能會在高規模環境中影響 CPU。 |
PILOT_STATUS_QPS | 整數 | 100 | 如果啟用狀態,則控制將更新狀態的 QPS。請參閱 https://godoc.org/k8s.io/client-go/rest#Config QPS |
PILOT_STATUS_UPDATE_INTERVAL | 時間長度 | 500 毫秒 | 更新 XDS 發佈狀態的間隔。 |
PILOT_TRACE_SAMPLING | 浮點數 | 1 | 設定網格範圍的追蹤採樣百分比。應為 0.0 - 100.0。精確到 0.01。預設值為 1.0。 |
PILOT_UNIFIED_SIDECAR_SCOPE | 布林值 | true | 如果為 true,將使用統一的 SidecarScope 建立。這僅作為向後相容性的臨時功能標記。 |
PILOT_WORKLOAD_ENTRY_GRACE_PERIOD | 時間長度 | 10 秒 | 自動註冊的工作負載在與所有 Pilot 實例斷開連線後,可以保持斷線狀態的時間長度,之後將清除相關的 WorkloadEntry。 |
PILOT_XDS_CACHE_INDEX_CLEAR_INTERVAL | 時間長度 | 5s | xds 快取索引清除的間隔。 |
PILOT_XDS_CACHE_SIZE | 整數 | 60000 | XDS 快取的最大快取條目數。 |
PILOT_XDS_CACHE_STATS | 布林值 | false | 如果為 true,Pilot 將收集 XDS 快取效率的指標。 |
PKCS8_KEY | 布林值 | false | 是否產生 PKCS#8 私密金鑰 |
POD_NAME | 字串 | | |
POD_NAMESPACE | 字串 | | |
PREFER_DESTINATIONRULE_TLS_FOR_EXTERNAL_SERVICES | 布林值 | true | 如果為 true,外部服務將優先選擇來自 DestinationRules 的 TLS 設定,而不是中繼資料 TLS 設定。 |
PROV_CERT | 字串 | | 設定為包含為 VM 佈建的憑證的目錄 |
PROXY_CONFIG | 字串 | | 代理組態。這將由注入設定 - 閘道將使用檔案掛載。 |
PROXY_CONFIG_XDS_AGENT | 布林值 | false | 如果設定為 true,代理程式會透過 xds 通道擷取動態代理組態更新 |
PROXY_XDS_DEBUG_VIA_AGENT | 布林值 | true | 如果設定為 true,代理程式將監聽 tap 連接埠,並在那裡提供 pilot 的 XDS istio.io/debug 除錯 API。 |
PROXY_XDS_DEBUG_VIA_AGENT_PORT | 整數 | 15004 | 代理程式除錯連接埠。 |
RESOLVE_HOSTNAME_GATEWAYS | 布林值 | true | 如果為 true,將在控制平面解析服務的 LoadBalancer 位址中的主機名稱,以用於跨網路閘道。 |
REWRITE_PROBE_LEGACY_LOCALHOST_DESTINATION | 布林值 | false | 如果啟用,就緒探測將會傳送到「localhost」。否則,它們將會傳送到 Pod 的 IP,與 Kubernetes 的行為一致。 |
SECRET_GRACE_PERIOD_RATIO | 浮點數 | 0.5 | 憑證輪替的寬限期比例,預設為 0.5。 |
SECRET_GRACE_PERIOD_RATIO_JITTER | 浮點數 | 0.01 | 將寬限期比例向上或向下隨機變動此數量,以錯開憑證續約,預設為 .01(約 24 小時內 15 分鐘)。 |
SECRET_TTL | 時間長度 | 24小時0分鐘0秒 | istio 代理程式要求的憑證存留時間 |
SERVICE_ACCOUNT | 字串 | | 服務帳戶的名稱 |
SHARED_MESH_CONFIG | 字串 | | 要載入以進行共用 MeshConfig 設定的其他組態映射。標準網格組態將優先。 |
TOKEN_AUDIENCES | 字串 | istio-ca | 在發出憑證之前,要在 JWT 權杖中檢查的逗號分隔的目標群體清單。如果權杖與其中一個目標群體相符,則會接受該權杖 |
TRUSTED_GATEWAY_CIDR | 字串 | | 如果設定,來自具有此 CIDR 範圍的閘道到 Istiod 的任何連線都會被視為可信任,以使用 XFCC 等身份驗證機制。這只能在 Istiod 和身份驗證閘道運行的網路在受信任/安全網路中時使用 |
TRUST_DOMAIN | 字串 | cluster.local | spiffe 憑證的信任域 |
UNSAFE_ENABLE_ADMIN_ENDPOINTS | 布林值 | false | 如果將此設定為 true,危險的管理端點將會在除錯介面上公開。不建議用於生產環境。 |
UNSAFE_PILOT_ENABLE_DELTA_TEST | 布林值 | false | 如果啟用,將新增 Delta XDS 效率的其他執行階段測試。這些檢查非常耗費資源,因此應僅用於測試,而不是生產環境。 |
UNSAFE_PILOT_ENABLE_RUNTIME_ASSERTIONS | 布林值 | false | 如果啟用,將執行其他執行階段斷言。這些檢查既耗費資源,且在失敗時會發生恐慌。因此,這應僅用於測試。 |
USE_CACERTS_FOR_SELF_SIGNED_CA | 布林值 | false | 如果啟用,istiod 將使用名為 cacerts 的密碼,以儲存其自我簽署的 istio 產生的根憑證。 |
VALIDATION_WEBHOOK_CONFIG_NAME | 字串 | istio-istio-system | 如果此標籤不為空,當 CA 憑證變更時,控制器將會自動修補 validatingwebhookconfiguration。僅適用於 Kubernetes 環境。 |
WASM_HTTP_REQUEST_MAX_RETRIES | 整數 | 5 | 透過 http/https 提取 Wasm 模組的 HTTP/HTTPS 請求最大重試次數 |
WASM_HTTP_REQUEST_TIMEOUT | 時間長度 | 15 秒 | 每個透過 http/https 提取 Wasm 模組的 HTTP 請求的逾時 |
WASM_INSECURE_REGISTRIES | 字串 | | 允許代理程式從不安全的登錄檔或 https 伺服器提取 wasm 外掛程式,例如:「localhost:5000,docker-registry:5000」 |
WASM_MODULE_EXPIRY | 時間長度 | 24小時0分鐘0秒 | wasm 模組的快取到期時間。 |
WASM_PURGE_INTERVAL | 時間長度 | 1小時0分鐘0秒 | 檢查 wasm 模組到期時間的間隔 |
WORKLOAD_IDENTITY_SOCKET_FILE | 字串 | socket | SPIRE 工作負載身分 SDS 通訊端檔案名稱。如果設定,具有此名稱的 SDS 通訊端必須存在於 ./var/run/secrets/workload-spiffe-uds |
WORKLOAD_RSA_KEY_SIZE | 整數 | 2048 | 指定用於工作負載憑證的 RSA 金鑰大小。 |
XDS_AUTH | 布林值 | true | 如果為 true,將驗證 XDS 用戶端。 |
XDS_AUTH_PLAINTEXT | 布林值 | false | 驗證純文字請求 - 如果 Istiod 在安全/受信任的網路上執行,則會使用此選項 |
XDS_AUTH_PROVIDER | 字串 | | XDS 驗證的提供者 |
XDS_ROOT_CA | 字串 | | 明確設定 XDS 連線預期的根 CA。 |
匯出的指標
| 指標名稱 | 類型 | 描述 |
|---|---|---|
cert_expiry_seconds | 最後值 | 憑證鏈到期前的剩餘時間,以秒為單位。負值表示憑證已過期。 |
dns_requests_total | 總和 | DNS 請求總數。 |
dns_upstream_failures_total | 總和 | DNS 失敗總數。 |
dns_upstream_request_duration_seconds | 分佈 | Istio 從上游取得 DNS 回應的總時間 (以秒為單位)。 |
dns_upstream_requests_total | 總和 | 轉發到上游的 DNS 請求總數。 |
envoy_connection_terminations | 總和 | 來自 envoy 的連線錯誤總數 |
istio_build | 最後值 | Istio 元件組建資訊 |
istiod_connection_failures | 總和 | 連線到 Istiod 的失敗總數 |
istiod_connection_terminations | 總和 | 連線到 Istiod 的連線錯誤總數 |
num_failed_outgoing_requests | 總和 | 失敗的傳出請求數 (例如,到權杖交換伺服器、CA 等) |
num_file_secret_failures_total | 總和 | 檔案的密碼產生失敗次數 |
num_file_watcher_failures_total | 總和 | 檔案監看程式無法新增監看程式的次數 |
num_outgoing_requests | 總和 | 傳出請求總數 (例如,到權杖交換伺服器、CA 等) |
num_outgoing_retries | 總和 | 傳出重試請求數 (例如,到權杖交換伺服器、CA 等) |
outgoing_latency | 總和 | 傳出請求的延遲 (以毫秒為單位,例如到權杖交換伺服器、CA 等)。 |
pilot_total_xds_internal_errors | 總和 | pilot 中的內部 XDS 錯誤總數。 |
pilot_total_xds_rejects | 總和 | proxy 拒絕的來自 pilot 的 XDS 回應總數。 |
pilot_worker_queue_depth | 最後值 | 控制器佇列的深度 |
pilot_worker_queue_duration | 分佈 | 處理項目的時間 |
pilot_worker_queue_latency | 分佈 | 項目處理之前的延遲 |
pilot_xds_cds_reject | 最後值 | Pilot 拒絕的 CDS 組態。 |
pilot_xds_eds_reject | 最後值 | Pilot 拒絕的 EDS。 |
pilot_xds_expired_nonce | 總和 | 具有過期 nonce 的 XDS 請求總數。 |
pilot_xds_lds_reject | 最後值 | Pilot 拒絕的 LDS。 |
pilot_xds_rds_reject | 最後值 | Pilot 拒絕的 RDS。 |
pilot_xds_send_time | 分佈 | Pilot 發送產生的組態的總時間 (以秒為單位)。 |
pilot_xds_write_timeout | 總和 | Pilot XDS 回應寫入逾時。 |
scrape_failures_total | 總和 | 失敗的抓取總數。 |
scrapes_total | 總和 | 抓取總數。 |
startup_duration_seconds | 最後值 | 從程序開始到標記為就緒的時間。 |
wasm_cache_entries | 最後值 | Wasm 遠端擷取快取條目的數量。 |
wasm_cache_lookup_count | 總和 | Wasm 遠端擷取快取查閱的數量。 |
wasm_config_conversion_count | 總和 | Wasm 組態轉換計數和結果的數量,包括成功、沒有遠端載入、封送失敗、遠端擷取失敗、遺失遠端擷取提示。 |
wasm_config_conversion_duration | 分佈 | istio-agent 花費在轉換 Wasm 組態中遠端載入的總時間 (以毫秒為單位)。 |
wasm_remote_fetch_count | 總和 | Wasm 遠端擷取和結果的數量,包括成功、下載失敗和檢查總和不符。 |
xds_proxy_requests | 總和 | Xds 代理請求總數 |
xds_proxy_responses | 總和 | Xds 代理回應總數 |