install-cni
ノードにIstio CNIプラグインをインストールして構成し、競合状態によって破損したポッドを検出して修復します。
install-cni [flags]
| フラグ | 説明 |
|---|---|
--ambient-enabled | アンビエントコントローラーが有効かどうか |
--chained-cni-plugin | CNIプラグインをチェーンとしてインストールするか、スタンドアロンとしてインストールするか |
--cni-agent-run-dir <string> | ノード上のノードエージェントの書き込み可能パス(ソケットなど用)(デフォルト `/var/run/istio-cni`) |
--cni-conf-name <string> | CNI設定ファイルの名前(デフォルト ``) |
--cni-network-config <string> | 文字列としてのCNI設定テンプレート(デフォルト ``) |
--cni-network-config-file <string> | ファイルとしてのCNI設定テンプレート(デフォルト ``) |
--ctrlz_address <string> | ControlZイントロスペクション機能でリスンするIPアドレス。「*」はすべてのアドレスを示します。(デフォルト `localhost`) |
--ctrlz_port <uint16> | ControlZイントロスペクション機能で使用するIPポート(デフォルト `9876`) |
--kube-ca-file <string> | kubeconfigのCAファイル。install-cniポッドと同じデフォルト値を使用します。(デフォルト ``) |
--kubeconfig-mode <int> | kubeconfigファイルのファイルモード(デフォルト `384`) |
--log-level <string> | Helmテンプレートで指定されていない場合のCNI設定ファイルのログレベルのフォールバック値(デフォルト `warn`) |
--log_as_json | 出力をJSON形式でフォーマットするか、プレーンなコンソールフレンドリーな形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのカンマ区切りリスト。スコープは[ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation]のいずれかです。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャするスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_target <stringArray> | ログを出力するパスの集合です。任意のパス、および特別な値である stdout と stderr を指定できます (デフォルト `[stdout]`) |
--monitoring-port <int> | Prometheus メトリクスを提供する HTTP ポートです (デフォルト `15014`) |
--mounted-cni-net-dir <string> | コンテナ内の CNI ネットワークがインストールされるディレクトリです (デフォルト `/host/etc/cni/net.d`) |
--repair-broken-pod-label-key <string> | レーコンディション修復時に label pods が true の場合に設定されるラベルのキー部分です (デフォルト `cni.istio.io/uninitialized`) |
--repair-broken-pod-label-value <string> | レーコンディション修復時に label pods が true の場合に設定されるラベルの値部分です (デフォルト `true`) |
--repair-delete-pods | コントローラは、競合状態によって破損したポッドを検出した場合に、そのポッドを削除します。 |
--repair-enabled | 競合状態の修復を有効にするかどうかを指定します。 |
--repair-field-selectors <string> | pod リストフィルターに追加される、label=value 形式のフィールドセレクターの集合です (デフォルト ``) |
--repair-init-container-exit-code <int> | CNI の誤設定が原因でクラッシュループが発生した場合の、init コンテナの期待される終了コードです (デフォルト `126`) |
--repair-init-container-name <string> | Istio init コンテナの名前です (ポッドに対して CNI が設定されていない場合にクラッシュループが発生します) (デフォルト `istio-validation`) |
--repair-init-container-termination-message <string> | CNI の誤設定が原因でクラッシュループが発生した場合の、init コンテナの期待される終了メッセージです (デフォルト ``) |
--repair-label-pods | コントローラは、競合状態によって破損したポッドを検出した場合に、そのポッドにラベルを付けます。 |
--repair-label-selectors <string> | pod リストフィルターに追加される、label=value 形式のラベルセレクターの集合です (デフォルト ``) |
--repair-node-name <string> | 管理対象ノードの名前です (設定されていない場合はすべてのノードを管理します) (デフォルト ``) |
--repair-sidecar-annotation <string> | このポッドに Istio sidecar が含まれていることを示すアノテーションキーです。このアノテーションがないすべてのポッドは無視されます。アノテーションの値は無視されます。(デフォルト `sidecar.istio.io/status`) |
--skip-tls-verify | kubeconfig ファイルで安全でない TLS を使用するかどうかを指定します。 |
--ztunnel-uds-address <string> | ztunnel が接続する UDS サーバーアドレスです (デフォルト `/var/run/ztunnel/ztunnel.sock`) |
install-cni completion
指定されたシェル用の install-cni の自動補完スクリプトを生成します。生成されたスクリプトの使用方法の詳細については、各サブコマンドのヘルプを参照してください。
| フラグ | 説明 |
|---|---|
--ctrlz_address <string> | ControlZイントロスペクション機能でリスンするIPアドレス。「*」はすべてのアドレスを示します。(デフォルト `localhost`) |
--ctrlz_port <uint16> | ControlZイントロスペクション機能で使用するIPポート(デフォルト `9876`) |
--log_as_json | 出力をJSON形式でフォーマットするか、プレーンなコンソールフレンドリーな形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのカンマ区切りリスト。スコープは[ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation]のいずれかです。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャするスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_target <stringArray> | ログを出力するパスの集合です。任意のパス、および特別な値である stdout と stderr を指定できます (デフォルト `[stdout]`) |
install-cni completion bash
bash シェル用の自動補完スクリプトを生成します。
このスクリプトは 'bash-completion' パッケージに依存しています。まだインストールされていない場合は、OS のパッケージマネージャーを使用してインストールできます。
現在のシェルセッションで補完をロードするには
source <(install-cni completion bash)新しいセッションごとに補完をロードするには、一度実行します。
Linux
install-cni completion bash > /etc/bash_completion.d/install-cnimacOS
install-cni completion bash > /usr/local/etc/bash_completion.d/install-cniこの設定を有効にするには、新しいシェルを起動する必要があります。
install-cni completion bash
| フラグ | 説明 |
|---|---|
--ctrlz_address <string> | ControlZイントロスペクション機能でリスンするIPアドレス。「*」はすべてのアドレスを示します。(デフォルト `localhost`) |
--ctrlz_port <uint16> | ControlZイントロスペクション機能で使用するIPポート(デフォルト `9876`) |
--log_as_json | 出力をJSON形式でフォーマットするか、プレーンなコンソールフレンドリーな形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのカンマ区切りリスト。スコープは[ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation]のいずれかです。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャするスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_target <stringArray> | ログを出力するパスの集合です。任意のパス、および特別な値である stdout と stderr を指定できます (デフォルト `[stdout]`) |
--no-descriptions | 補完の説明を無効にします。 |
install-cni completion fish
fish シェル用の自動補完スクリプトを生成します。
現在のシェルセッションで補完をロードするには
install-cni completion fish | source新しいセッションごとに補完をロードするには、一度実行します。
install-cni completion bash > ~/.config/fish/completions/install-cni.fishこの設定を有効にするには、新しいシェルを起動する必要があります。
install-cni completion fish [flags]
| フラグ | 説明 |
|---|---|
--ctrlz_address <string> | ControlZイントロスペクション機能でリスンするIPアドレス。「*」はすべてのアドレスを示します。(デフォルト `localhost`) |
--ctrlz_port <uint16> | ControlZイントロスペクション機能で使用するIPポート(デフォルト `9876`) |
--log_as_json | 出力をJSON形式でフォーマットするか、プレーンなコンソールフレンドリーな形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのカンマ区切りリスト。スコープは[ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation]のいずれかです。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャするスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_target <stringArray> | ログを出力するパスの集合です。任意のパス、および特別な値である stdout と stderr を指定できます (デフォルト `[stdout]`) |
--no-descriptions | 補完の説明を無効にします。 |
install-cni completion powershell
PowerShell 用の自動補完スクリプトを生成します。
現在のシェルセッションで補完をロードするには
install-cni completion powershell | Out-String | Invoke-Expression新しいセッションごとに補完をロードするには、上記の出力コマンドの出力を powershell プロファイルに追加します。
install-cni completion powershell [flags]
| フラグ | 説明 |
|---|---|
--ctrlz_address <string> | ControlZイントロスペクション機能でリスンするIPアドレス。「*」はすべてのアドレスを示します。(デフォルト `localhost`) |
--ctrlz_port <uint16> | ControlZイントロスペクション機能で使用するIPポート(デフォルト `9876`) |
--log_as_json | 出力をJSON形式でフォーマットするか、プレーンなコンソールフレンドリーな形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのカンマ区切りリスト。スコープは[ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation]のいずれかです。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャするスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_target <stringArray> | ログを出力するパスの集合です。任意のパス、および特別な値である stdout と stderr を指定できます (デフォルト `[stdout]`) |
--no-descriptions | 補完の説明を無効にします。 |
install-cni completion zsh
zsh シェル用の自動補完スクリプトを生成します。
シェル補完が環境でまだ有効になっていない場合は、有効にする必要があります。次のコマンドを一度実行できます。
echo "autoload -U compinit; compinit" >> ~/.zshrc現在のシェルセッションで補完をロードするには
source <(install-cni completion zsh)新しいセッションごとに補完をロードするには、一度実行します。
Linux
install-cni completion zsh > "${fpath[1]}/_install-cni"macOS
install-cni completion zsh > $(brew --prefix)/share/zsh/site-functions/_install-cniこの設定を有効にするには、新しいシェルを起動する必要があります。
install-cni completion zsh [flags]
| フラグ | 説明 |
|---|---|
--ctrlz_address <string> | ControlZイントロスペクション機能でリスンするIPアドレス。「*」はすべてのアドレスを示します。(デフォルト `localhost`) |
--ctrlz_port <uint16> | ControlZイントロスペクション機能で使用するIPポート(デフォルト `9876`) |
--log_as_json | 出力をJSON形式でフォーマットするか、プレーンなコンソールフレンドリーな形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのカンマ区切りリスト。スコープは[ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation]のいずれかです。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャするスコープごとの最小ログレベルをコンマ区切りで指定します。 |
--log_target <stringArray> | ログを出力するパスの集合です。任意のパス、および特別な値である stdout と stderr を指定できます (デフォルト `[stdout]`) |
--no-descriptions | 補完の説明を無効にします。 |
install-cni version
ビルドバージョン情報を表示します。
install-cni version [flags]
| フラグ | 省略形 | 説明 |
|---|---|---|
--ctrlz_address <string> | ControlZイントロスペクション機能でリスンするIPアドレス。「*」はすべてのアドレスを示します。(デフォルト `localhost`) | |
--ctrlz_port <uint16> | ControlZイントロスペクション機能で使用するIPポート(デフォルト `9876`) | |
--log_as_json | 出力をJSON形式でフォーマットするか、プレーンなコンソールフレンドリーな形式でフォーマットするか | |
--log_caller <string> | 呼び出し元情報を含めるスコープのカンマ区切りリスト。スコープは[ads, all, cni-agent, cni-plugin, controllers, default, grpc, iptables, klog, model, monitoring, spiffe, trustBundle, validation]のいずれかです。(デフォルト ``) | |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。 | |
--log_stacktrace_level <string> | スタックトレースをキャプチャするスコープごとの最小ログレベルをコンマ区切りで指定します。 | |
--log_target <stringArray> | ログを出力するパスの集合です。任意のパス、および特別な値である stdout と stderr を指定できます (デフォルト `[stdout]`) | |
--output <string> | -o | 'yaml' または 'json' のいずれかです (デフォルト ``) |
--short | -s | 完全なバージョン情報を生成するには、--short=false を使用します。 |
環境変数
これらの環境変数は、`install-cni` コマンドの動作に影響します。| 変数名 | 型 | デフォルト値 | 説明 |
|---|---|---|---|
AMBIENT_ENABLED | ブール値 | false | アンビエントコントローラーが有効かどうか |
AMBIENT_ENABLE_STATUS | ブール値 | false | 有効にすると、アンビエントモードのステータスメッセージがリソースに書き込まれます。現在、これはリーダー選出を実行しないため、複数のレプリカで有効にするのは安全ではない可能性があります。 |
BYPASS_OVERLOAD_MANAGER_FOR_STATIC_LISTENERS | ブール値 | true | 有効にすると、オーバーロードマネージャーは静的リスナーに適用されません。 |
CA_TRUSTED_NODE_ACCOUNTS | 文字列 | | 設定されている場合、CSR にノード認証を使用することを許可されているサービスアカウントのリストです。ノード認証により、同一性が他の同一性を代理して CSR を作成できますが、その同一性を持つポッドが同じノードで実行されている場合のみです。これは、ノードプロキシで使用することを目的としています。 |
CERT_SIGNER_DOMAIN | 文字列 | | 証明書署名者ドメイン情報 |
CHAINED_CNI_PLUGIN | ブール値 | true | CNIプラグインをチェーンとしてインストールするか、スタンドアロンとしてインストールするか |
CLUSTER_ID | 文字列 | Kubernetes | この Istiod インスタンスが属するクラスタとサービスレジストリを定義します。 |
CNI_AGENT_RUN_DIR | 文字列 | /var/run/istio-cni | ノード上のノードエージェントの書き込み可能なパスの場所 (ソケットなど用) |
CNI_CONF_NAME | 文字列 | | CNI 設定ファイルの名前 |
CNI_NETWORK_CONFIG | 文字列 | | 文字列としての CNI 設定テンプレート |
CNI_NETWORK_CONFIG_FILE | 文字列 | | ファイルとしての CNI 設定テンプレート |
COMPLIANCE_POLICY | 文字列 | | 設定されている場合、メッシュ内 mTLS や外部 TLS を含む、すべての既存の TLS 設定にポリシー固有の制限を適用します。有効な値は次のとおりです。* '' または未設定では、追加の制限は行われません。* 'fips-140-2' は、Envoy、gRPC Go SDK、gRPC C++ SDK などのすべてのランタイムコンポーネントのユーザー設定やデフォルトを上書きする、TLS プロトコルのバージョンと暗号スイートのサブセットを適用します。警告: コントロールプレーンでコンプライアンスポリシーを設定することは、コンプライアンスを達成するための必要な要件ですが、十分な要件ではありません。コンプライアンスを主張するには、さらに必要な手順があり、検証済みの暗号モジュールを使用する必要があります (https://www.envoyproxy.io/docs/envoy/latest/intro/arch_overview/security/ssl#fips-140-2 を参照してください)。 |
DRY_RUN_FILE_PATH | 文字列 | | 指定されている場合、StdoutStubDependencies は標準入力からの入力を指定されたファイルに書き込みます。 |
ENABLE_100_CONTINUE_HEADERS | ブール値 | true | 有効にすると、istiod は 100-continue ヘッダーをそのままプロキシします。 |
ENABLE_AUTO_SNI | ブール値 | true | 有効にすると、`DestinationRules` が同じものを指定していない場合に自動的に SNI を設定します。 |
ENABLE_CA_SERVER | ブール値 | true | これを false に設定すると、istiod で CA サーバーは作成されません。 |
ENABLE_DEBUG_ON_HTTP | ブール値 | true | これを false に設定すると、デバッグインターフェースは無効になります。本番環境では推奨されます。 |
ENABLE_DEFERRED_CLUSTER_CREATION | ブール値 | true | 有効にすると、Istio はリクエストがある場合にのみクラスタを作成します。非アクティブなクラスタが多く、ワーカスレッドが 1 つより多い場合に、メモリと CPU サイクルを節約できます。 |
ENABLE_DEFERRED_STATS_CREATION | ブール値 | true | 有効にすると、Istio は統計の一部を遅延初期化します。 |
ENABLE_DELIMITED_STATS_TAG_REGEX | ブール値 | true | true の場合、Pilot は新しい区切り文字付き統計タグ正規表現を使用して Envoy 統計タグを生成します。 |
ENABLE_ENHANCED_DESTINATIONRULE_MERGE | ブール値 | true | 有効にすると、Istio は exportTo フィールドを考慮して destinationrules をマージします。exportTos が等しくない場合、独立したルールとして維持されます。 |
ENABLE_ENHANCED_RESOURCE_SCOPING | ブール値 | true | 有効にすると、meshConfig.discoverySelectors は、Pilot が処理できる CustomResource 設定 (Gateway、VirtualService、DestinationRule、Ingress など) を制限します。これにより、ルート CA 証明書の配布も制限されます。 |
ENABLE_HCM_INTERNAL_NETWORKS | ブール値 | false | 有効にすると、メッシュネットワークで定義されたエンドポイントは、HTTP 接続マネージャーで内部アドレスとして設定されます。 |
ENABLE_INBOUND_RETRY_POLICY | ブール値 | true | true の場合、インバウンドルートの再試行ポリシーを有効にします。これにより、サービスに到達する前にリセットされたリクエストが自動的に再試行されます。 |
ENABLE_INGRESS_WAYPOINT_ROUTING | ブール値 | false | true の場合、サービスに 'istio.io/ingress-use-waypoint' ラベルが設定されている場合、Gateway はサービスウェイポイントを呼び出します。 |
ENABLE_LEADER_ELECTION | ブール値 | true | 有効にすると (デフォルト)、リーダー選出手クライアントが開始され、コントローラーを実行する前にリーダーシップを獲得します。false の場合、istiod のインスタンスが 1 つのみ実行されていると想定し、リーダー選出をスキップします。 |
ENABLE_LOCALITY_WEIGHTED_LB_CONFIG | ブール値 | false | 有効にすると、常にクラスタに対して LocalityWeightedLbConfig を設定します。そうでない場合、サービスの DestinationRule で locality lb が指定されている場合にのみ適用されます。 |
ENABLE_MCS_AUTO_EXPORT | ブール値 | false | 有効にすると、istiod はメッシュ内のすべてのサービスに対して Kubernetes マルチクラスタサービス (MCS) ServiceExport リソースを自動的に生成します。MeshConfig でクラスタローカルとして定義されているサービスは除外されます。 |
ENABLE_MCS_CLUSTER_LOCAL | ブール値 | false | 有効にすると、istiod は Kubernetes マルチクラスタサービス (MCS) 仕様で定義されているホスト ` |
ENABLE_MCS_HOST | ブール値 | false | 有効にすると、istiod は少なくとも 1 つのクラスタで (ServiceExport を介して) エクスポートされた各サービスに対して Kubernetes マルチクラスタサービス (MCS) ホスト ( |
ENABLE_MCS_SERVICE_DISCOVERY | ブール値 | false | 有効にすると、istiod は Kubernetes マルチクラスタサービス (MCS) サービス検出モードを有効にします。このモードでは、クラスタ内のサービスエンドポイントは、ServiceExport で明示的にエクスポートされていない限り、同じクラスタ内でのみ検出可能です。 |
ENABLE_MULTICLUSTER_HEADLESS | ブール値 | true | true の場合、ヘッドレスサービスの DNS 名テーブルは、任意のクラスタ内の同じネットワークのエンドポイントに解決されます。 |
ENABLE_NATIVE_SIDECARS | ブール値 | false | 設定されている場合、Kubernetes ネイティブの Sidecar コンテナサポートを使用します。SidecarContainer 機能フラグが必要です。 |
ENABLE_RESOLUTION_NONE_TARGET_PORT | ブール値 | true | 有効にすると、targetPort は resolution=NONE ServiceEntry でサポートされます。 |
ENABLE_SELECTOR_BASED_K8S_GATEWAY_POLICY | ブール値 | true | 無効にすると、Gateway API ゲートウェイは workloadSelector ポリシーを無視し、targetRef を使用してゲートウェイを選択するポリシーのみを適用します。 |
ENABLE_TLS_ON_SIDECAR_INGRESS | ブール値 | false | 有効にすると、Sidecar.ingress の TLS 設定が有効になります。 |
ENABLE_VTPROTOBUF | ブール値 | true | true の場合、最適化された vtprotobuf ベースのマーシャリングを使用します。-tags=vtprotobuf を使用したビルドが必要です。 |
ENVOY_USER | 文字列 | istio-proxy | Envoy プロキシのユーザー名 |
EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY | ブール値 | true | true の場合、デフォルトの再試行ポリシーから 503 の安全でない再試行を除外します。 |
EXTERNAL_ISTIOD | ブール値 | false | これを true に設定すると、1 つの Istiod が CA を含むリモートクラスタを制御します。 |
GRPC_KEEPALIVE_INTERVAL | 時間 | 30s | gRPC キープアライブ間隔 |
GRPC_KEEPALIVE_TIMEOUT | 時間 | 10s | gRPC キープアライブタイムアウト |
HOST_PROBE_SNAT_IP | 文字列 | 169.254.7.127 | |
HOST_PROBE_SNAT_IPV6 | 文字列 | fd16:9254:7127:1337:ffff:ffff:ffff:ffff | |
INBOUND_INTERCEPTION_MODE | 文字列 | | Envoy にインバウンド接続をリダイレクトするために使用されるモード。 "REDIRECT" または "TPROXY" のいずれか。 |
INBOUND_TPROXY_MARK | 文字列 | | |
INJECTION_WEBHOOK_CONFIG_NAME | 文字列 | istio-sidecar-injector | istioctl を使用しない場合にパッチする mutatingwebhookconfiguration の名前。 |
IPTABLES_TRACE_LOGGING | ブール値 | false | 有効にすると、すべての iptables アクションがログに記録されます。これには NET_ADMIN 権限が必要であり、ノイズの多いログになります。そのため、これはデバッグの目的でのみ使用することを意図しています。 |
ISTIOD_CUSTOM_HOST | 文字列 | | istiod がサーバー証明書に署名する istiod のカスタムホスト名。複数のカスタムホスト名がサポートされており、複数の値はコンマで区切られます。 |
ISTIO_AGENT_ENABLE_WASM_REMOTE_LOAD_CONVERSION | ブール値 | true | 有効な場合、IstioエージェントはECDSリソースの更新をインターセプトし、Wasmモジュールをダウンロードして、Wasmモジュールのリモートロードをダウンロードしたローカルモジュールファイルに置き換えます。 |
ISTIO_DELTA_XDS | ブール値 | true | 有効な場合、Pilotはリソース要求に対して、世界の状態全体ではなく、デルタ設定のみを送信します。この機能はデルタXDS APIを使用しますが、現在は実際のデルタを送信しません。 |
ISTIO_DUAL_STACK | ブール値 | false | trueの場合、Istioはデュアルスタック機能を有効にします。 |
ISTIO_ENABLE_CONTROLLER_QUEUE_METRICS | ブール値 | false | 有効な場合、キューの深度、レイテンシ、処理時間に関するメトリクスを公開します。 |
ISTIO_ENABLE_IPV4_OUTBOUND_LISTENER_FOR_IPV6_CLUSTERS | ブール値 | false | trueの場合、PilotはIPv6のみのクラスタ(例:AWS EKS IPv6のみのクラスタ)におけるアウトバウンドトラフィックに対して、追加のIPv4リスナーを構成します。 |
ISTIO_GPRC_MAXRECVMSGSIZE | 整数 | 4194304 | gRPCストリームの最大受信バッファサイズをバイト単位で設定します。 |
ISTIO_GPRC_MAXSTREAMS | 整数 | 100000 | 同時gRPCストリームの最大数を設定します。 |
ISTIO_KUBE_CLIENT_CONTENT_TYPE | 文字列 | protobuf | Kubernetesクライアントに使用するコンテンツタイプ。デフォルトはprotobufです。有効なオプション:[protobuf、json] |
ISTIO_MULTIROOT_MESH | ブール値 | false | 有効な場合、メッシュはISTIO_MUTUAL mTLSに対して、複数の信頼アンカーによって署名された証明書をサポートします。 |
ISTIO_OUTBOUND_IPV4_LOOPBACK_CIDR | 文字列 | 127.0.0.1/32 | ループバックインターフェース上のアウトバウンドトラフィック(アプリケーションコンテナ向け)を識別するために使用されるIPv4 CIDR範囲。 |
ISTIO_OUTBOUND_OWNER_GROUPS | 文字列 | * | 発信トラフィックをEnvoyにリダイレクトするグループのカンマ区切りのリスト。グループは名前または数値GIDのいずれかで指定できます。ワイルドカード文字「*」を使用して、すべてのグループからのトラフィックのリダイレクトを構成できます。 |
ISTIO_OUTBOUND_OWNER_GROUPS_EXCLUDE | 文字列 | | 発信トラフィックをEnvoyへのリダイレクトから除外するグループのカンマ区切りのリスト。グループは名前または数値GIDのいずれかで指定できます。すべてのグループ(つまり「*」)からのトラフィックがEnvoyにリダイレクトされている場合にのみ適用されます。 |
ISTIO_WATCH_NAMESPACE | 文字列 | | 設定されている場合、Kubernetesの監視を単一のネームスペースに制限します。警告:単一のネームスペースのみを設定できます。 |
ISTIO_WORKLOAD_ENTRY_VALIDATE_IDENTITY | ブール値 | true | 有効な場合、ワークロードのIDが、ヘルスチェックと自動登録のために関連付けられているWorkloadEntryのIDと一致するかどうかを検証します。このフラグは下位互換性のために追加されたものであり、今後のリリースでは削除されます。 |
JWKS_RESOLVER_INSECURE_SKIP_VERIFY | ブール値 | false | 有効な場合、istiodはJWKSサーバーの証明書の検証をスキップします。 |
KUBECONFIG_MODE | 整数 | 384 | kubeconfigファイルのファイルモード。 |
KUBE_CA_FILE | 文字列 | | kubeconfigのCAファイル。install-cni podと同じデフォルト値を使用します。 |
LABEL_CANONICAL_SERVICES_FOR_MESH_EXTERNAL_SERVICE_ENTRIES | ブール値 | false | 有効な場合、locationがmesh_externalであるServiceEntryリソースの標準的なサービスを表すメタデータが、それらのエンドポイントのクラスタメタデータに設定されます。 |
LOCAL_CLUSTER_SECRET_WATCHER | ブール値 | false | 有効な場合、クラスタシークレットウォッチャーは、設定クラスタではなく、外部クラスタのネームスペースを監視します。 |
LOG_LEVEL | 文字列 | warn | Helmテンプレートで指定されていない場合の、CNI設定ファイルのログレベルのフォールバック値。 |
MCS_API_GROUP | 文字列 | multicluster.x-k8s.io | Kubernetesマルチクラスタサービス(MCS)APIに使用するグループ。 |
MCS_API_VERSION | 文字列 | v1alpha1 | Kubernetesマルチクラスタサービス(MCS)APIに使用するバージョン。 |
METRICS_LOCALHOST_ACCESS_ONLY | ブール値 | false | これにより、ポッドの外からのメトリクスエンドポイントが無効になり、localhostからのアクセスのみが許可されます。 |
METRIC_GRACEFUL_DELETION_INTERVAL | 時間 | 5m0s | メトリクスの有効期限の猶予期間。METRIC_ROTATION_INTERVALが無効になっている場合は、何もしません。 |
METRIC_ROTATION_INTERVAL | 時間 | 0s | メトリクスのスコープローテーション間隔。0に設定すると、メトリクスのスコープローテーションが無効になります。 |
MONITORING_PORT | 整数 | 15014 | Prometheusメトリクスを提供するHTTPポート。 |
MOUNTED_CNI_NET_DIR | 文字列 | /host/etc/cni/net.d | CNIネットワークがインストールされているコンテナ上のディレクトリ。 |
MUTEX_PROFILE_FRACTION | 整数 | 1000 | 0以外の値に設定されている場合、ミューテックスプロファイリングを1/MUTEX_PROFILE_FRACTIONイベントのレートで有効にします。たとえば、「1000」はイベントの0.1%を記録します。0に設定すると完全に無効になります。 |
NODE_NAME | 文字列 | | |
PILOT_ALLOW_SIDECAR_SERVICE_INBOUND_LISTENER_MERGE | ブール値 | false | 設定されている場合、サービスポートとサイドカーイングレスリスナーのインバウンドリスナーの作成を許可します。 |
PILOT_ANALYSIS_INTERVAL | 時間 | 10s | 分析が有効な場合、Pilotはこの値を秒単位のインターバルとして使用してIstioアナライザーを実行します。Istioリソース。 |
PILOT_AUTO_ALLOW_WAYPOINT_POLICY | ブール値 | false | 有効な場合、zTunnelは各ワークロードに対して、WaypointのIDを許可する合成認証ポリシーを受け取ります。他の許可ポリシーが作成されない限り、これは事実上、Waypointを通過しないトラフィックを拒否します。 |
PILOT_CERT_PROVIDER | 文字列 | istiod | Pilot DNS証明書の提供元。K8S RAはk8s.io/NAMEに使用されます。「istiod」値はIstio組み込みのCAを使用して署名します。他の値はTLS証明書を生成しませんが、./etc/certs/root-cert.pemを配布します。カスタム証明書がマウントされていない場合にのみ使用されます。 |
PILOT_CONVERT_SIDECAR_SCOPE_CONCURRENCY | 整数 | 1 | SidecarScope変換の同時実行数を調整するために使用します。istiodがマルチコアCPUサーバーに展開されている場合、この値を増やすとCPUを使用して設定プッシュを高速化できますが、istiodはより多くのCPUリソースを消費するようになります。 |
PILOT_DEBOUNCE_AFTER | 時間 | 100ms | デバウンスのために設定/レジストリエベントに追加される遅延。これにより、プッシュが少なくともこの間隔だけ遅延します。この期間内に変更が検出されない場合、プッシュが行われます。そうでない場合、最大PILOT_DEBOUNCE_MAXまで遅延し続けます。 |
PILOT_DEBOUNCE_MAX | 時間 | 10s | デバウンス中にイベントを待機する最大時間。この時間の間、イベントが中断なく発生し続けると、プッシュがトリガーされます。 |
PILOT_DISABLE_MX_ALPN | ブール値 | false | trueの場合、Pilotはistio-peer-exchange ALPNをTLSハンドシェイク設定に含めません。 |
PILOT_DRAINING_LABEL | 文字列 | istio.io/draining | 空でない場合、ラベル値が存在するエンドポイントはDRAININGステータスで送信されます。 |
PILOT_ENABLE_ALPHA_GATEWAY_API | ブール値 | false | これをtrueに設定すると、Kubernetes gateway-api(github.com/kubernetes-sigs/gateway-api)のアルファAPIのサポートが有効になります。これに加えて、gateway-api CRDをインストールする必要があります。 |
PILOT_ENABLE_ALPN_FILTER | ブール値 | true | trueの場合、Pilotはプロトコルスニッフィングに適切なIstio ALPNフィルターを追加します。 |
PILOT_ENABLE_AMBIENT | ブール値 | false | 有効な場合、アンビエントモードを使用できます。個々のフラグは、詳細な有効化を構成します。アンビエント機能を使用するには、これを有効にする必要があります。 |
PILOT_ENABLE_AMBIENT_WAYPOINTS | ブール値 | false | 有効な場合、アンビエントに必要なコントローラーが実行されます。アンビエントメッシュを実行するために必要です。 |
PILOT_ENABLE_ANALYSIS | ブール値 | false | 有効な場合、PilotはIstioアナライザーを実行し、分析エラーを任意のIstioリソースのStatusフィールドに書き込みます。 |
PILOT_ENABLE_CDS_CACHE | ブール値 | true | trueの場合、PilotはCDS応答をキャッシュします。注:これはPILOT_ENABLE_XDS_CACHEに依存します。 |
PILOT_ENABLE_CROSS_CLUSTER_WORKLOAD_ENTRY | ブール値 | true | 有効な場合、Pilotは他のクラスタからWorkloadEntryを読み込み、そのクラスタ内のサービスによって選択できます。 |
PILOT_ENABLE_EDS_DEBOUNCE | ブール値 | true | 有効な場合、Pilotはプッシュデバウンス(PILOT_DEBOUNCE_AFTERとPILOT_DEBOUNCE_MAXで構成)にEDSプッシュを含めます。EDSプッシュは遅れる可能性がありますが、プッシュの回数は少なくなります。デフォルトでは有効になっています。 |
PILOT_ENABLE_EDS_FOR_HEADLESS_SERVICES | ブール値 | false | 有効な場合、Kubernetesのヘッドレスサービスでは、PilotはEDS経由でエンドポイントを送信するため、サイドカーはヘッドレスサービス内のポッド間でロードバランシングできます。アプリケーションがサイドカー内のHTTPプロキシポートを介してすべてのサービスに明示的にアクセスする場合、この機能を有効にする必要があります。 |
PILOT_ENABLE_GATEWAY_API | ブール値 | true | これをtrueに設定すると、Kubernetes gateway-api(github.com/kubernetes-sigs/gateway-api)のサポートが有効になります。これに加えて、gateway-api CRDをインストールする必要があります。 |
PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER | ブール値 | true | これをtrueに設定すると、gateway-apiリソースはクラスタ内のデプロイメント、サービスなどが自動的にプロビジョニングされます。 |
PILOT_ENABLE_GATEWAY_API_GATEWAYCLASS_CONTROLLER | ブール値 | true | これをtrueに設定すると、istiodはデフォルトのGatewayClassを作成および管理します。 |
PILOT_ENABLE_GATEWAY_API_STATUS | ブール値 | true | これをtrueに設定すると、gateway-apiリソースにステータスが書き込まれます。 |
PILOT_ENABLE_IP_AUTOALLOCATE | ブール値 | false | 有効な場合、Pilotはユーザーが提供したIPを持たないServiceEntryにIPアドレスを割り当てるコントローラーを起動します。これは、DNSキャプチャと組み合わせることで、ServiceEntryに送信されたトラフィックのTCPルーティングを可能にします。 |
PILOT_ENABLE_K8S_SELECT_WORKLOAD_ENTRIES | ブール値 | true | 有効な場合、セレクターを持つKubernetesサービスは、一致するラベルを持つワークロードエントリを選択します。この機能が確実に必要ない場合は、無効にしても安全です。 |
PILOT_ENABLE_METADATA_EXCHANGE | ブール値 | true | trueの場合、Pilotはメタデータ交換フィルターを追加し、テレメトリフィルターによって消費されます。 |
PILOT_ENABLE_MONGO_FILTER | ブール値 | true | EnableMongoFilterは、フィルターチェーンに`envoy.filters.network.mongo_proxy`の挿入を有効にします。 |
PILOT_ENABLE_MYSQL_FILTER | ブール値 | false | EnableMysqlFilterは、フィルターチェーンに`envoy.filters.network.mysql_proxy`の挿入を有効にします。 |
PILOT_ENABLE_NODE_UNTAINT_CONTROLLERS | ブール値 | false | 有効な場合、cniポッドの準備が整ったノードのアンテインティングを実行するコントローラーが実行されます。アンビエントinitコンテナを無効にした場合、これを有効にする必要があります。 |
PILOT_ENABLE_PERSISTENT_SESSION_FILTER | ブール値 | false | 有効な場合、Istiodは、サービスに「PILOT_PERSISTENT_SESSION_LABEL」が設定されている場合、リスナーに対して永続セッションフィルターを設定します。 |
PILOT_ENABLE_QUIC_LISTENERS | ブール値 | false | trueの場合、ゲートウェイでTLSを終了するリスナーがある場合は常に、ゲートウェイサービスが同じ番号のUDPポート(たとえば443/TCPと443/UDP)を公開している場合、QUICリスナーが生成されます。 |
PILOT_ENABLE_RDS_CACHE | ブール値 | true | trueの場合、PilotはRDS応答をキャッシュします。注:これはPILOT_ENABLE_XDS_CACHEに依存します。 |
PILOT_ENABLE_REDIS_FILTER | ブール値 | false | EnableRedisFilterは、フィルターチェーンに`envoy.filters.network.redis_proxy`の挿入を有効にします。 |
PILOT_ENABLE_ROUTE_COLLAPSE_OPTIMIZATION | ブール値 | true | trueの場合、Pilotは最適化として、同じルートを持つ仮想ホストを単一の仮想ホストにマージします。 |
PILOT_ENABLE_SENDING_HBONE | ブール値 | false | 有効な場合、宛先に送信する際にHBONEが許可されます。 |
PILOT_ENABLE_SERVICEENTRY_SELECT_PODS | ブール値 | true | 有効な場合、セレクターを持つサービスエントリは、クラスタからポッドを選択します。この機能が確実に必要ない場合は、無効にしても安全です。 |
PILOT_ENABLE_SIDECAR_LISTENING_HBONE | ブール値 | false | 有効な場合、プロキシに対してHBONEサポートを構成できます。 |
PILOT_ENABLE_TELEMETRY_LABEL | ブール値 | true | trueの場合、Pilotはクラスタとエンドポイントリソースにテレメトリ関連のメタデータを追加し、テレメトリフィルターによって消費されます。 |
PILOT_ENABLE_WORKLOAD_ENTRY_AUTOREGISTRATION | ブール値 | true | ワークロードによるXDS接続時に、関連付けられたWorkloadGroupに基づいてWorkloadEntryの自動登録を有効にします。 |
PILOT_ENABLE_WORKLOAD_ENTRY_HEALTHCHECKS | ブール値 | true | 関連付けられたWorkloadGroupで提供される設定に基づいて、WorkloadEntryの自動ヘルスチェックを有効にします。 |
PILOT_ENABLE_XDS_CACHE | ブール値 | true | trueの場合、PilotはXDS応答をキャッシュします。 |
PILOT_ENABLE_XDS_IDENTITY_CHECK | ブール値 | true | 有効な場合、PilotはXDSクライアントを承認して、許可されたネームスペースでのみ動作していることを確認します。 |
PILOT_ENDPOINT_TELEMETRY_LABEL | ブール値 | true | trueの場合、PilotはEndpointリソースにテレメトリ関連のメタデータを追加し、テレメトリフィルターによって消費されます。 |
PILOT_ENVOY_FILTER_STATS | ブール値 | false | trueの場合、PilotはEnvoyフィルター操作のメトリクスを収集します。 |
PILOT_FILTER_GATEWAY_CLUSTER_CONFIG | ブール値 | false | 有効な場合、Pilotはゲートウェイに接続されているゲートウェイ仮想サービスで参照されているクラスタのみを送信します。 |
PILOT_GATEWAY_API_CONTROLLER_NAME | 文字列 | istio.io/gateway-controller | Gateway APIコントローラー名。istiodはこのコントローラー名を持つGatewayClassを参照するGateway APIリソースのみを調整します。 |
PILOT_GATEWAY_API_DEFAULT_GATEWAYCLASS_NAME | 文字列 | istio | デフォルトのGatewayClassの名前。 |
PILOT_HTTP10 | ブール値 | false | レガシーアプリケーションをサポートするために、アウトバウンドHTTPリスナーでHTTP 1.0の使用を有効にします。 |
PILOT_INSECURE_MULTICLUSTER_KUBECONFIG_OPTIONS | 文字列 | | マルチクラスタ認証で許可される、安全ではない可能性のあるkubeconfig認証オプションのカンマ区切りのリスト。サポートされる値:すべてのauthProvider(`gcp`、`azure`、`exec`、`openstack`)、`clientKey`、`clientCertificate`、`tokenFile`、および`exec`。 |
PILOT_JWT_ENABLE_REMOTE_JWKS | 文字列 | false | RequestAuthenticationにおけるJwksUriからのJWK取得方法。サポートされる値:istiod、false、hybrid、true、envoy。JWKを取得するクライアントは以下の通りです。istiod/false - Istiod; hybrid/true - Envoy、JWKサーバーが外部の場合Istiodにフォールバック; envoy - Envoy。 |
PILOT_JWT_PUB_KEY_REFRESH_INTERVAL | 時間 | 20分0秒 | istiodがjwks公開鍵のjwks_uriを取得する間隔。 |
PILOT_MAX_REQUESTS_PER_SECOND | 浮動小数点数 | 0 | 1秒あたりの着信XDSリクエスト数を制限します。より大型のマシンでは、より多くのプロキシを同時に処理するためにこれを増やすことができます。0に設定するか、設定されていない場合、最大値はマシンのサイズに基づいて自動的に決定されます。 |
PILOT_MULTI_NETWORK_DISCOVER_GATEWAY_API | ブール値 | true | trueの場合、Pilotはラベル付けされたKubernetes Gatewayオブジェクトをマルチネットワークゲートウェイとして検出します。 |
PILOT_PERSISTENT_SESSION_HEADER_LABEL | 文字列 | istio.io/persistent-session-header | 空でない場合、このラベルが付いたサービスはヘッダーベースの永続セッションを使用します。 |
PILOT_PERSISTENT_SESSION_LABEL | 文字列 | istio.io/persistent-session | 空でない場合、このラベルが付いたサービスはCookieベースの永続セッションを使用します。 |
PILOT_PREFER_SENDING_HBONE | ブール値 | false | 有効な場合、宛先への送信時にHBONEが優先されます。 |
PILOT_PUSH_THROTTLE | 整数 | 0 | 許可される同時プッシュの数を制限します。より大型のマシンでは、より高速なプッシュのためにこれを増やすことができます。0に設定するか、設定されていない場合、最大値はマシンのサイズに基づいて自動的に決定されます。 |
PILOT_REMOTE_CLUSTER_TIMEOUT | 時間 | 30s | このタイムアウトが期限切れになると、リモートシークレットを介して追加されたクラスタからのデータの同期なしに、Pilotの準備が完了する可能性があります。タイムアウトを0に設定すると、この動作は無効になります。 |
PILOT_SCOPE_GATEWAY_TO_NAMESPACE | ブール値 | false | 有効な場合、ゲートウェイワークロードは同じ名前空間内のゲートウェイリソースのみを選択できます。異なる名前空間にある同じセレクターを持つゲートウェイは適用されません。 |
PILOT_SEND_UNHEALTHY_ENDPOINTS | ブール値 | false | 有効な場合、PilotはEDSプッシュに非稼働エンドポイントを含みます。送信されても、Envoyはそれらをロードバランシングに使用しません。準備完了でないエンドポイントへのトラフィックの送信を避けるために、このフラグを有効にすると、Envoyのpanic thresholdが無効になります。つまり、正常なホストの割合が最小のヘルスパーセンテージ(panic threshold)を下回った場合でも、Envoyは非稼働/準備完了でないホストへのリクエストをロードバランシングしません。 |
PILOT_SIDECAR_USE_REMOTE_ADDRESS | ブール値 | false | UseRemoteAddressは、サイドカーのアウトバウンドリスナーに対してuseRemoteAddressをtrueに設定します。 |
PILOT_SKIP_VALIDATE_TRUST_DOMAIN | ブール値 | false | 認証ポリシーでmTLSが有効になっている場合、ピアが同じ信頼ドメインからのものであることを検証しません。 |
PILOT_STATUS_BURST | 整数 | 500 | ステータスが有効な場合、ステータスの更新時のバーストレートを制御します。https://godoc.org/k8s.io/client-go/rest#Config Burst を参照してください。 |
PILOT_STATUS_MAX_WORKERS | 整数 | 100 | Pilotが設定ステータスの最新の状態を維持するために使用するワーカーの最大数。数が少ないほどステータスのレイテンシが高くなりますが、数が多すぎると大規模な環境でのCPUに影響を与える可能性があります。 |
PILOT_STATUS_QPS | 整数 | 100 | ステータスが有効な場合、ステータスの更新時のQPSを制御します。https://godoc.org/k8s.io/client-go/rest#Config QPS を参照してください。 |
PILOT_STATUS_UPDATE_INTERVAL | 時間 | 500ミリ秒 | XDS配布ステータスを更新する間隔。 |
PILOT_TRACE_SAMPLING | 浮動小数点数 | 1 | メッシュ全体のトレースサンプリング率を設定します。0.0~100.0にする必要があります。精度は0.01です。デフォルトは1.0です。 |
PILOT_UNIFIED_SIDECAR_SCOPE | ブール値 | true | trueの場合、統合されたSidecarScopeの作成が使用されます。これは下位互換性のための暫定的な機能フラグとしてのみ意図されています。 |
PILOT_WORKLOAD_ENTRY_GRACE_PERIOD | 時間 | 10s | 自動登録されたワークロードがすべてのPilotインスタンスから切断された後、関連するWorkloadEntryがクリーンアップされるまでの時間。 |
PILOT_XDS_CACHE_INDEX_CLEAR_INTERVAL | 時間 | 5秒 | xdsキャッシュインデックスのクリア間隔。 |
PILOT_XDS_CACHE_SIZE | 整数 | 60000 | XDSキャッシュのキャッシュエントリの最大数。 |
PILOT_XDS_CACHE_STATS | ブール値 | false | trueの場合、PilotはXDSキャッシュの効率に関するメトリクスを収集します。 |
POD_NAME | 文字列 | | |
POD_NAMESPACE | 文字列 | | Podの名前空間 |
PREFER_DESTINATIONRULE_TLS_FOR_EXTERNAL_SERVICES | ブール値 | true | trueの場合、外部サービスはメタデータTLS設定よりもDestinationRulesのTLS設定を優先します。 |
REPAIR_BROKEN_POD_LABEL_KEY | 文字列 | cni.istio.io/uninitialized | label podsがtrueの場合、競合修復によって設定されるラベルのキー部分。 |
REPAIR_BROKEN_POD_LABEL_VALUE | 文字列 | true | label podsがtrueの場合、競合修復によって設定されるラベルの値部分。 |
REPAIR_DELETE_PODS | ブール値 | false | コントローラは、競合状態によって破損したポッドを検出した場合に、そのポッドを削除します。 |
REPAIR_ENABLED | ブール値 | true | 競合状態の修復を有効にするかどうかを指定します。 |
REPAIR_FIELD_SELECTORS | 文字列 | | Podリストフィルタに追加されるlabel=value形式のフィールドセレクタのセット。 |
REPAIR_INIT_CONTAINER_EXIT_CODE | 整数 | 126 | CNIの誤設定のためにクラッシュループしている場合のinitコンテナの予想終了コード。 |
REPAIR_INIT_CONTAINER_NAME | 文字列 | istio-validation | Istio initコンテナの名前(CNIがPodに設定されていない場合、クラッシュループします)。 |
REPAIR_INIT_CONTAINER_TERMINATION_MESSAGE | 文字列 | | CNIの誤設定のためにクラッシュループしている場合のinitコンテナの予想終了メッセージ。 |
REPAIR_LABEL_PODS | ブール値 | false | コントローラは、競合状態によって破損したポッドを検出した場合に、そのポッドにラベルを付けます。 |
REPAIR_LABEL_SELECTORS | 文字列 | | Podリストフィルタに追加されるlabel=value形式のラベルセレクタのセット。 |
REPAIR_NODE_NAME | 文字列 | | 管理対象ノードの名前(設定されていない場合はすべてのノードを管理します)。 |
REPAIR_SIDECAR_ANNOTATION | 文字列 | sidecar.istio.io/status | このPodにIstioサイドカーが含まれていることを示すアノテーションキー。このアノテーションのないすべてのPodは無視されます。アノテーションの値は無視されます。 |
RESOLVE_HOSTNAME_GATEWAYS | ブール値 | true | trueの場合、サービスのLoadBalancerアドレス内のホスト名は、コントロールプレーンで解決され、クロスネットワークゲートウェイで使用されます。 |
REVISION | 文字列 | | |
SHARED_MESH_CONFIG | 文字列 | | 共有MeshConfig設定の読み込みに追加のconfig map。標準のメッシュ設定が優先されます。 |
SKIP_TLS_VERIFY | ブール値 | false | kubeconfig ファイルで安全でない TLS を使用するかどうかを指定します。 |
SYSTEM_NAMESPACE | 文字列 | istio-system | Istioシステム名前空間 |
TRUSTED_GATEWAY_CIDR | 文字列 | | 設定されている場合、このCIDR範囲を持つゲートウェイからIstiodへの接続は、XFCCなどの認証メカニズムを使用するために信頼済みとして扱われます。これは、Istiodと認証ゲートウェイが実行されているネットワークが信頼できる/安全なネットワーク内にある場合にのみ使用できます。 |
UNSAFE_ENABLE_ADMIN_ENDPOINTS | ブール値 | false | trueに設定されている場合、危険な管理エンドポイントはデバッグインターフェースで公開されます。本番環境では推奨されません。 |
UNSAFE_PILOT_ENABLE_DELTA_TEST | ブール値 | false | 有効な場合、Delta XDS効率に関する追加のランタイムテストが追加されます。これらのチェックは非常にコストがかかるため、本番環境ではなくテストのみに使用してください。 |
UNSAFE_PILOT_ENABLE_RUNTIME_ASSERTIONS | ブール値 | false | 有効な場合、追加のランタイムアサートが実行されます。これらのチェックはコストが高く、失敗時にパニックするため、テストのみに使用してください。 |
USE_CACERTS_FOR_SELF_SIGNED_CA | ブール値 | false | 有効な場合、istiodは自己署名されたIstio生成ルート証明書を格納するために、cacertsという名前のシークレットを使用します。 |
VALIDATION_WEBHOOK_CONFIG_NAME | 文字列 | istio-istio-system | 空でない場合、コントローラはCA証明書が変更されたときに自動的にValidatingWebhookConfigurationをパッチします。Kubernetes環境でのみ機能します。 |
XDS_AUTH | ブール値 | true | trueの場合、XDSクライアントを認証します。 |
ZTUNNEL_UDS_ADDRESS | 文字列 | /var/run/ztunnel/ztunnel.sock | ztunnelが接続するUDSサーバーアドレス。 |
エクスポートされたメトリクス
| メトリック名 | 型 | 説明 |
|---|---|---|
controller_sync_errors_total | 合計 | コントローラを同期するエラーメトリックの総数。 |
endpoint_no_pod | 最終値 | 関連付けられたPodのないエンドポイント。 |
istio_build | 最終値 | Istioコンポーネントのビルド情報。 |
istio_cni_install_ready | 最終値 | CNIプラグインのインストールの準備が完了しているかどうか。 |
istio_cni_installs_total | 合計 | Istio CNIインストーラによってインストールされたCNIプラグインの総数。 |
istio_cni_repair_pods_repaired_total | 合計 | 修復コントローラによって修復されたPodの総数。 |
nodeagent_reconcile_events_total | 合計 | ノードエージェントの調整イベントの総数。 |
pilot_conflict_inbound_listener | 最終値 | 競合するインバウンドリスナーの数。 |
pilot_conflict_outbound_listener_tcp_over_current_tcp | 最終値 | 現在のTCPリスナーと競合するTCPリスナーの数。 |
pilot_destrule_subsets | 最終値 | 同じホストに対するDestinationRule間の重複サブセット。 |
pilot_dns_cluster_without_endpoints | 最終値 | エンドポイントのないDNSクラスタ。これは、STRICT_DNSタイプのクラスタのendpointフィールドが設定されていないか、対応するサブセットがエンドポイントを選択できないことが原因です。 |
pilot_duplicate_envoy_clusters | 最終値 | 同じホスト名を持つサービスエントリによって発生する重複するEnvoyクラスタ。 |
pilot_eds_no_instances | 最終値 | インスタンスのないクラスタの数。 |
pilot_endpoint_not_ready | 最終値 | 準備完了でない状態で見つかったエンドポイント。 |
pilot_jwks_resolver_network_fetch_fail_total | 合計 | Pilot jwksレゾルバによるネットワークフェッチ失敗の総数。 |
pilot_jwks_resolver_network_fetch_success_total | 合計 | Pilot jwksレゾルバによるネットワークフェッチ成功の総数。 |
pilot_no_ip | 最終値 | エンドポイントテーブルに見つからないPod(無効な可能性があります)。 |
pilot_total_rejected_configs | 合計 | Pilotが拒否または無視する必要があった設定の総数。 |
pilot_total_xds_internal_errors | 合計 | Pilotでの内部XDSエラーの総数。 |
pilot_total_xds_rejects | 合計 | プロキシによって拒否されたPilotからのXDSレスポンスの総数。 |
pilot_virt_services | 最終値 | Pilotが認識している仮想サービスの合計。 |
pilot_vservice_dup_domain | 最終値 | 重複ドメインを持つ仮想サービス。 |
pilot_xds_cds_reject | 最終値 | Pilotが拒否したCDS設定。 |
pilot_xds_eds_reject | 最終値 | Pilotが拒否したEDS。 |
pilot_xds_expired_nonce | 合計 | 期限切れのnonceを持つXDSリクエストの総数。 |
pilot_xds_lds_reject | 最終値 | Pilotが拒否したLDS。 |
pilot_xds_rds_reject | 最終値 | Pilotが拒否したRDS。 |
pilot_xds_send_time | 分布 | 生成された設定の送信にPilotが要する合計時間(秒)。 |
pilot_xds_write_timeout | 合計 | Pilot XDSレスポンスの書き込みタイムアウト。 |
provider_lookup_cluster_failures | 合計 | クラスタルックアップが失敗した回数。 |
xds_cache_dependent_config_size | 最終値 | 依存設定の現在のサイズ。 |
xds_cache_evictions | 合計 | xdsキャッシュの追出しの総数。 |
xds_cache_reads | 合計 | xdsキャッシュのxdsCacheReadsの総数。 |
xds_cache_size | 最終値 | xdsキャッシュの現在のサイズ。 |
ztunnel_connected | 最終値 | ztunnelへの接続数。 |