第 2 章 使用配置文件自定义 MicroShift

advertiseAddress

string

指定 API 服务器公告给节点成员的 IP 地址的字符串。默认值根据服务网络的地址计算。

auditLog.maxFileAge

number

在自动删除前存储日志文件的时长。maxFileAge 参数中的默认值为 0 表示日志文件永远不会根据年龄删除。您可以配置这个值。

auditLog.maxFileSize

number

默认情况下，当 audit.log 文件达到 maxFileSize 限制时，audit.log 文件会被轮转，MicroShift 开始写入新的 audit.log 文件。您可以配置这个值。

auditLog.maxFiles

number

保存的日志文件总数。默认情况下，MicroShift 保留 10 个日志文件。创建过量文件时，会删除最旧的文件。您可以配置这个值。

auditLog.profile

默认,WriteRequestBodies,AllRequestBodies, 或 None

仅记录读取和写入请求的日志元数据 ；除了 OAuth 访问令牌请求外，不记录请求正文。如果没有指定此字段，则使用 Default 配置集。

namedCertificates

list

使用自定义证书颁发机构定义外部生成的证书和域名。

namedCertificates.certPath

path

证书的完整路径。

namedCertificates.keyPath

path

证书密钥的完整路径。

namedCertificates.names

list

可选。添加显式 DNS 名称列表。允许前导通配符。如果没有列出名称，则会从证书中提取隐式名称。

subjectAltNames

完全限定域名(FQDN)，通配符，如 3.0. domain.com、或 IP 地址。

API 服务器证书的主题备用名称。sans 表示证书保护的所有域名和 IP 地址。

tls

list

定义使用的传输协议(TLS)以及允许的密码套件。为公开的 MicroShift API 服务器和内部 control plane 端点提供安全性。

tls.cipherSuites

string

列出 API 服务器接受和服务的密码套件。默认为允许 TLS 规格在 tls.minVersion 参数中设置的密码套件。

tls.minVersion

VersionTLS12 或 VersionTLS13

指定要从 API 服务器提供服务的 TLS 的最低版本。默认值为 VersionTLS12。

debugging.logLevel

normal,Debug,Trace, 或 TraceAll

日志详细程度。默认值为 Normal。

dns.baseDomain

有效域

节点的基域。所有管理的 DNS 记录都是这个基础的子域。

etcd.memoryLimitMB

number

默认情况下，etcd 根据需要使用尽可能多的内存来处理系统上的负载。但是，在内存受限系统中，可能需要限制在给定时间可以使用 etcd 的内存量。

generic.Device.Plugin.devices

groups

列出插件要公开的设备定义。每个设备条目都包含 'name' 和一个组列表。

generic.Device.Plugin.devices.groups

count,paths, 'usbs'

列出设备组。组中的设备由通用名称下的一组设备组成。当您从那个池中请求设备时，您可以从不同的定义的路径接收设备。

generic.Device.Plugin.devices.groups.count

number

指定此组可同时挂载的次数。如果未指定，则 Count 默认为 1。有可能为 /dev/fuse 设置高计数 1000，因为没有固有的限制，但性能可能会受到影响，具体取决于设备的主机功能和性质。

generic.Device.Plugin.devices.groups.paths

string

列出主机设备文件路径。路径可以是 glob 模式。例如： /dev/ttyUSB，在这种情况下，每个匹配的设备都是可调度计数时间。该字段使用 usbs 独占。您不能在同一设备组中定义这两个参数。

generic.Device.Plugin.devices.groups.paths.limit

number

当组中的其他设备产生更多匹配项时，最多可同时指定组里可以同时使用的次数。例如，如果组中的一个路径匹配 5 个设备，另一个路径匹配 1 设备，但限制为 10，则组提供了 5 对设备。如果未指定，则限制默认为 1。

generic.Device.Plugin.devices.groups.paths.mountPath

string

主机设备应挂载到容器中的文件路径。如果未指定，mountPath 默认为 path。

generic.Device.Plugin.devices.groups.paths.path

string

主机上设备的文件路径。例如： /dev/video0,/dev/ttyUSB*。

generic.Device.Plugin.devices.groups.paths.permissions

r,w,m

提供给挂载的设备的文件系统权限。仅适用于 类型的设备 的 挂载。可以是一个或多个：

如果未指定，则默认值为 mrw。

generic.Device.Plugin.devices.groups.paths.readOnly

true, false

指定路径是否应以只读形式挂载。仅适用于挂载类型 。

generic.Device.Plugin.devices.groups.paths.type

设备，挂载

描述此路径所代表的文件系统类型，因此应如何挂载它。如果未指定，则 键入 默认为 设备。

generic.Device.Plugin.devices.groups.usbs

string

列出此设备组包含的 USB 规格：供应商和产品 ID 必须始终匹配。如果提供，串行 ID 必须与匹配，如果 ID 为空，则跳过该串行 ID。usbs 字段使用 路径 独占。

generic.Device.Plugin.devices.groups.usbs.product

string

要匹配的设备的 USB 产品 ID。例如： 0x7523。

generic.Device.Plugin.devices.groups.usbs.serial

string

要匹配的设备的序列号。USB 设备必须与所有给定属性完全匹配。

generic.Device.Plugin.devices.groups.usbs.vendor

string

要匹配的设备的 USB 供应商 ID。例如： 0x1a86。

generic.Device.Plugin.devices.name

string

代表此规格描述的设备类型的唯一字符串。例如，串行、视频 或 fuse。此名称用于 Pod 资源请求。例如： device.microshift.io/serial。

generic.Device.Plugin.domain

string

指定节点公告并存在哪些设备的域前缀。例如： device.microshift.io/serial。默认值为 device.microshift.io。

generic.Device.Plugin.status

Enabled,Disabled

指定默认的 GDP 状态。

ingress.certificateSecret

string

对包含由入口控制器提供的默认证书的 secret 的引用。当路由没有指定其自身证书时，会使用 certificateSecret。

secret 必须包含以下密钥和数据：

如果没有设置这些值，会自动生成并使用通配符证书。该证书对 ingress 控制器 域和 子域 字段有效，证书生成的 CA 会自动与节点的信任存储集成。

任何正在使用的证书都会自动集成到 MicroShift OAuth 服务器中。

ingress.clientTLS

AllowedSubjectPatterns,spec.clientTLS.ClientCA,spec.clientTLS.clientCertificatePolicy

验证客户端对节点和服务的访问。使用这些设置时启用双向 TLS 身份验证。如果您没有为 spec. clientTLS.clientCertificatePolicy 和 spec.clientTLS.ClientCA 所需的子字段设置值，则不会启用客户端 TLS。

ingress.clientTLS.AllowedSubjectPatterns

以 PCRE 语法列出

可选子字段指定与有效客户端证书上可分辨名称匹配的正则表达式列表，以过滤请求。使用此参数使入口控制器根据可分辨的名称拒绝证书。需要 Perl 兼容正则表达式(PCRE)语法。如果配置此字段，它必须包含有效的表达式，否则 MicroShift 服务会失败。至少一种模式必须与客户端证书的可分辨名称匹配；否则，入口控制器拒绝证书，并拒绝连接。

ingress.clientTLS.ClientCA

string

在 openshift-ingress 命名空间中指定配置映射所需的子字段。配置映射必须包含 CA 证书捆绑包。

ingress.clientTLS.ClientCertificatePolicy

必需，可选

必需的子字段，其使用重新加密 TLS 终止和自定义证书创建安全路由。您必须在 PEM 编码文件中有一个证书/密钥对，其中的证书对路由主机有效。ingress 控制器只检查边缘终止和重新加密 TLS 路由的客户端证书。纯文本 HTTP 或 passthrough TLS 路由的证书不会通过此设置检查。

ingress.defaultHTTPVersion

number

决定用于入口的默认 HTTP 版本。默认值为 1，即 HTTP/1.1 协议。

ingress.forwardedHeaderPolicy

附加,替换,IfNone,Never

指定入口控制器何时和如何设置 Forwarded ,X- Forwarded -For,X-Forwarded-Host,X-Forwarded-Port,X-Forwarded-Proto, 和 X-Forwarded-Proto-Version HTTP 标头。默认值为 Append。

ingress.httpCompression

object

定义 HTTP 流量压缩的策略。默认没有 HTTP 压缩。

ingress.httpCompression.mimeTypes

数组 或 null

要压缩的 MIME 类型列表。当列表为空时，ingress 控制器不会应用任何压缩。要定义一个列表，请使用 RFC 1341 中的 Content-Type 定义格式，该格式指定了消息正文中数据的类型和子类型，以及数据的原生编码。例如，Content-Type := type \"/\" subtype *[\";\" parameter]。

并非所有 MIME 类型都受益于压缩，但 HAProxy 使用资源在配置压缩时尝试压缩文件。通常说，文本格式（如 html、ccs 和 js ）可从压缩中受益。将 CPU 资源用于压缩文件类型（如图像、音频和视频）可能并不能获得有限的好处。

ingress.httpEmptyRequestsPolicy

respond 或 Ignore

默认值为 Respond。描述在收到请求前连接超时时应如何处理 HTTP 连接。这些连接通常来自负载平衡器服务的健康状况探测或 Web 浏览器的规范连接，如 预连接。

ingress.listenAddress

IP 地址、NIC 名称或多个

值默认为主机的整个网络。有效可配置的值是一个列表，可以是单个 IP 地址或 NIC 名称，也可以是多个 IP 地址和 NIC 名称。

ingress.logEmptyRequests

log 或 Ignore

默认值为 Log。指定如何记录接收空请求的连接。这些连接通常源自负载平衡器服务运行状况或 Web 浏览器的规范连接（如 预连接 ）的健康探测。日志记录典型的请求可能并不可取，但请求也可能是由网络错误或端口扫描导致的，在这种情况下，日志记录对于诊断错误和检测入侵尝试非常有用。

ingress.ports.http

80

显示的默认端口。可配置。有效值是 1-65535 范围内的单个唯一端口。ports.http 和 ports.https 字段的值不能相同。

ingress.ports.https

443

显示的默认端口。可配置。有效值是 1-65535 范围内的单个唯一端口。ports.http 和 ports.https 字段的值不能相同。

ingress.routeAdmissionPolicy

namespaceOwnership 或 wildcardPolicy

定义处理新路由声明的策略，如允许或拒绝命名空间之间的声明。默认情况下，允许路由在命名空间间声明相同主机名的不同路径。

ingress.routeAdmissionPolicy.namespaceOwnership

strict 或 InterNamespaceAllowed

描述如何处理跨命名空间的主机名声明。默认值为 InterNamespaceAllowed。指定 Strict 可防止不同命名空间中的路由声明相同的主机名。如果在自定义 MicroShift config.yaml 文件中删除了该值，则会自动设置 InterNamespaceAllowed 值。

ingress.routeAdmissionPolicy.wildcardPolicy

WildcardsAllowed 或 WildcardsDisallowed

描述如何使用通配符策略的路由由入口控制器处理。

ingress.status

Managed 或 Removed

路由器状态.默认值为 Managed。

ingress.tlsSecurityProfile

object

指定入口控制器 TLS 连接的设置。如果没有设置，则默认值基于 apiservers.config.openshift.io/cluster 资源。

ingress.tlsSecurityProfile.type

旧,Intermediate,Modern,Custom

指定 TLS 安全性的配置集类型。默认值为 Intermediate。

当使用 Old、Intermediate 和 Modern配置集类型时，有效的配置集可能会在不同发行版本间有所改变。例如，使用在版本 X.Y.Z 中部署的 Intermediate 配置集的规格，升级到版本 X.Y.Z+1 可能会导致新的配置集配置应用到 ingress 控制器，从而导致一个 rollout 操作。

ingress.tlsSecurityProfile.minTLSVersion

number

指定入口控制器的 TLS 版本。

最低 TLS 版本为 1.1，最大 TLS 版本为 1.3。

ingress.tuningOptions

对象（object）

指定用于调整入口控制器 pod 性能的选项。

ingress.tuningOptions.clientFinTimeout

带有格式 持续时间的字符串

定义连接在关闭连接前等待客户端响应服务器/后端时保持打开的时长。默认超时为 1s，即 1 秒。

ingress.tuningOptions.clientTimeout

带有格式 持续时间的字符串

定义连接在等待客户端响应时保持打开的时长。默认超时为 30s，即 30 秒。

ingress.tuningOptions.headerBufferBytes

格式为 int32 的整数 ；当启用了 HTTP/2 时，16384 是最小值。

描述为 IngressController 连接会话保留多少内存，以字节为单位。默认值为 32768，以字节为单位。

ingress.tuningOptions.headerBufferMaxRewriteBytes

整数，格式化的 int32; 4096 是最小值

描述必须使用 headerBufferBytes 为 HTTP 标头重写和附加 IngressController 连接会话保留多少内存。默认值为 8192 字节。传入的 HTTP 请求仅限于 headerBufferBytes 字节，减去 headerBufferMaxRewriteBytes 字节，这意味着 headerBufferBytes 的值必须大于 headerBufferMaxRewriteBytes 的值。

ingress.tuningOptions.healthCheckInterval: ""

string with pattern: ^(0|（(\\.[0-9])? (ns|us| swigs|ms|s|m|h))+）$

默认的 healthCheckInterval 值为 5s，即 5 秒。此参数值定义路由器配置的后端的两个连续健康检查之间等待的时间。允许的最小值为 1s，允许的最大值为 2147483647ms，即 24.85 天。

ingress.tuningOptions.maxConnections

整数，有效值为： 空,0,-1, 和 range 2000-2000000

默认值为 0。 定义每个 HAProxy 进程可以建立的最大同时连接数。增加这个值可让每个入口控制器 pod 以额外的系统资源成本处理更多连接。

ingress.tuningOptions.serverFinTimeout

格式 持续时间的字符串

定义连接在关闭连接前等待服务器或后端响应时保持打开的时长。默认超时为 1s。

ingress.tuningOptions.serverTimeout

格式 持续时间的字符串

定义连接在等待服务器或后端响应时保持打开的时长。默认超时为 30s。

ingress.tuningOptions.threadCount

形式为 int32 的整数 ；最小值为 1，最大值为 64

定义每个 HAProxy 进程创建的线程数量。默认值为 4。如果此字段为空，则使用默认值。

ingress.tuningOptions.tlsInspectDelay

格式 持续时间的字符串

定义路由器可以保存数据以查找匹配路由的时长。如果将此间隔设置得太短，则值太短可能会导致路由器恢复到边缘终止的客户端或重新加密路由的默认证书，即使可以使用更好匹配的证书。

ingress.tuningOptions.tunnelTimeout

格式 持续时间的字符串

定义隧道连接（包括 websocket）在隧道闲置时保持打开的时长。默认超时为 1h，即 1 小时。

kubelet

请参阅 MicroShift 低延迟指令

kubelet 节点代理的 passthrough 配置参数。用于低延迟配置。默认值为 null。

清单

路径列表

用于扫描 kustomization 文件的位置，用于加载清单。设置为仅扫描这些路径的路径列表。设置为空列表以禁用加载清单。列表中的条目可以是 glob 模式，以匹配多个子目录。默认值为 /usr/lib/microshift/manifests、/usr/lib/microshift/manifests.d/、/etc/microshift/manifests、/etc/microshift/manifests.d/。

network.clusterNetwork

IP 地址块

从中分配 Pod IP 地址的 IP 地址块。IPv4 是默认网络。支持双栈条目。此字段中的第一个条目在 MicroShift 启动后是不可变的。默认范围为 10.42.0.0/16。

network.cniPlugin

字符串

当为空或设置为 "ovnk" 时，将 Open Virtual Networking - Kubernetes (OVN-K)网络插件部署为默认容器网络接口(CNI)。支持的值为空，"" 或 "ovnk "。设置为 "none" 可删除 CNI，我们不建议这样做。只有 OVN-K 由 MicroShift 管理。

network.multus.status

string

控制 Multus Container Network Interface (CNI)的部署。默认状态为 Disabled。如果将值设为 Enabled，则无法删除 Multus CNI。

network.serviceNetwork

IP 地址块

Kubernetes 服务的虚拟 IP 地址块。服务的 IP 地址池.IPv4 是默认设置。支持双栈条目。此字段中的第一个条目在 MicroShift 启动后是不可变的。默认范围为 10.43.0.0/16。

network.serviceNodePortRange

range

端口范围允许用于 NodePort 类型的 Kubernetes 服务。如果没有指定范围，则使用默认范围 30000-32767。没有指定 NodePort 的服务会自动从这个范围内分配一个。这个参数可以在 MicroShift 启动后更新。

node.hostnameOverride

string

节点的名称。默认值为 hostname。如果非空，则使用此字符串来识别节点，而不是主机名。此值在 MicroShift 启动后是不可变的。

node.nodeIP

IPv4 地址

节点的 IPv4 地址。默认值是默认路由的 IP 地址。

nodeIPv6

IPv6 地址

用于双栈配置的节点的 IPv6 地址。无法在单个堆栈中为 IPv4 或 IPv6 配置。默认值为空值或 null。

storage.driver

none 或 lvms

默认值为空。空值或 null 字段默认为 LVMS 部署。

storage.optionalCsiComponents

数组

默认值为 null 或空数组。null 或空数组默认为部署 snapshot-controller。预期值为 csi-snapshot-controller 或 none。值 none 与所有其他值相互排斥。

telemetry.endpoint

https://infogw.api.openshift.com

发送遥测数据的端点。报告的指标中没有包括用户或私有数据。默认值为 https://infogw.api.openshift.com。

telemetry.status

Enabled

Telemetry 状态，可以是 Enabled 或 Disabled。默认值为 Enabled。