pilot-agent
Istio Pilotエージェントは、サイドカーまたはゲートウェイコンテナで実行され、Envoyをブートストラップします。
| フラグ | 説明 |
|---|---|
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent completion
指定されたシェル用の pilot-agent の自動補完スクリプトを生成します。生成されたスクリプトの使用方法の詳細については、各サブコマンドのヘルプを参照してください。
| フラグ | 説明 |
|---|---|
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent completion bash
bash シェル用の自動補完スクリプトを生成します。
このスクリプトは 'bash-completion' パッケージに依存しています。まだインストールされていない場合は、OS のパッケージマネージャーを使用してインストールできます。
現在のシェルセッションで補完をロードするには
source <(pilot-agent completion bash)新しいセッションごとに補完をロードするには、一度実行します
Linux
pilot-agent completion bash > /etc/bash_completion.d/pilot-agentmacOS
pilot-agent completion bash > /usr/local/etc/bash_completion.d/pilot-agentこの設定を有効にするには、新しいシェルを起動する必要があります。
pilot-agent completion bash
| フラグ | 説明 |
|---|---|
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--no-descriptions | 補完の説明を無効にします。 |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent completion fish
fish シェル用の自動補完スクリプトを生成します。
現在のシェルセッションで補完をロードするには
pilot-agent completion fish | source新しいセッションごとに補完をロードするには、一度実行します
pilot-agent completion bash > ~/.config/fish/completions/pilot-agent.fishこの設定を有効にするには、新しいシェルを起動する必要があります。
pilot-agent completion fish [flags]
| フラグ | 説明 |
|---|---|
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--no-descriptions | 補完の説明を無効にします。 |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent completion powershell
PowerShell 用の自動補完スクリプトを生成します。
現在のシェルセッションで補完をロードするには
pilot-agent completion powershell | Out-String | Invoke-Expression新しいセッションごとに補完をロードするには、上記のコマンドの出力を PowerShell プロファイルに追加します。
pilot-agent completion powershell [flags]
| フラグ | 説明 |
|---|---|
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--no-descriptions | 補完の説明を無効にします。 |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent completion zsh
zsh シェル用の自動補完スクリプトを生成します。
環境でシェルの補完がまだ有効になっていない場合は、有効にする必要があります。次のコマンドを一度実行できます。
echo "autoload -U compinit; compinit" >> ~/.zshrc現在のシェルセッションで補完をロードするには
source <(pilot-agent completion zsh)新しいセッションごとに補完をロードするには、一度実行します
Linux
pilot-agent completion zsh > "${fpath[1]}/_pilot-agent"macOS
pilot-agent completion zsh > $(brew --prefix)/share/zsh/site-functions/_pilot-agentこの設定を有効にするには、新しいシェルを起動する必要があります。
pilot-agent completion zsh [flags]
| フラグ | 説明 |
|---|---|
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--no-descriptions | 補完の説明を無効にします。 |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent istio-clean-iptables
iptables ルールをクリーンアップするスクリプト。
pilot-agent istio-clean-iptables [flags]
| フラグ | Shorthand | 説明 |
|---|---|---|
--capture-all-dns | DNS サーバー IP への DNS トラフィックのみをキャプチャするのではなく、ポート 53 でのすべての DNS トラフィックをキャプチャします。この設定は、DNS リダイレクトが有効な場合にのみ有効です。 | |
--dry-run | -n | iptables のような外部依存関係を呼び出しません。 |
--istio-inbound-interception-mode <string> | -m | Envoy へのインバウンド接続のリダイレクトに使用されるモード。 "REDIRECT" または "TPROXY" のいずれかです(デフォルトは ``)。 |
--istio-inbound-tproxy-mark <string> | -t | (デフォルトは ``) |
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか | |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) | |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 | |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 | |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 | |
--proxy-gid <string> | -g | リダイレクトが適用されないユーザーの GID を指定します(-u パラメータと同じデフォルト値)。(デフォルトは ``) |
--proxy-uid <string> | -u | リダイレクトが適用されないユーザーの UID を指定します。通常、これはプロキシコンテナの UID です。(デフォルトは ``) |
--redirect-dns | istio-agent による DNS トラフィックのキャプチャを有効にします。 | |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent istio-iptables
istio-iptables は、Istio Sidecar のポートフォワーディングの設定を担当します。
pilot-agent istio-iptables [flags]
| フラグ | Shorthand | 説明 |
|---|---|---|
--capture-all-dns | DNS サーバー IP への DNS トラフィックのみをキャプチャするのではなく、ポート 53 でのすべての DNS トラフィックをキャプチャします。この設定は、DNS リダイレクトが有効な場合にのみ有効です。 | |
--cleanup-only | 新しい iptables チェーンまたはルールを作成せずに、強制的にクリーンアップを実行します。 | |
--cni-mode | CNI プラグインとして実行するかどうか。 | |
--drop-invalid | iptables ルールで無効なドロップを有効にします。 | |
--dry-run | -n | iptables のような外部依存関係を呼び出しません。 |
--dual-stack | デュアルスタック用の IPv4/IPv6 リダイレクトを有効にします。 | |
--envoy-port <string> | -p | すべての TCP トラフィックをリダイレクトする Envoy ポートを指定します。(デフォルトは `15001`) |
--force-apply | iptables の変更がすでに存在するように見えても適用します。 | |
--inbound-capture-port <string> | -z | ポッド/VM へのすべてのインバウンド TCP トラフィックがリダイレクトされるポート。(デフォルトは `15006`) |
--inbound-tunnel-port <string> | -e | インバウンド TCP トラフィック用の Istio トンネルポートを指定します。(デフォルトは `15008`) |
--iptables-probe-port <uint16> | 障害検出用のリッスンポートを設定します。(デフォルトは `15002`) | |
--iptables-trace-logging | LOG チェーンを使用して、iptables ルールごとにトレースログを挿入します。 | |
--istio-exclude-interfaces <string> | -c | NIC のコンマ区切りリスト(オプション)。インバウンドおよびアウトバウンドのトラフィックはキャプチャされません。(デフォルトは ``) |
--istio-inbound-interception-mode <string> | -m | Envoy へのインバウンド接続のリダイレクトに使用されるモード。 "REDIRECT" または "TPROXY" のいずれかです(デフォルトは ``)。 |
--istio-inbound-ports <string> | -b | Envoy にトラフィックをリダイレクトするインバウンドポートのコンマ区切りリスト(オプション)。ワイルドカード文字 "*" を使用して、すべてのポートのリダイレクトを構成できます。空のリストにすると無効になります。(デフォルトは ``) |
--istio-inbound-tproxy-mark <string> | -t | (デフォルトは `1337`) |
--istio-inbound-tproxy-route-table <string> | -r | (デフォルトは `133`) |
--istio-local-exclude-ports <string> | -d | Envoy へのリダイレクトから除外するインバウンドポートのコンマ区切りリスト(オプション)。すべてのインバウンドトラフィック(つまり "*")がリダイレクトされている場合にのみ適用されます。(デフォルトは ``) |
--istio-local-outbound-ports-exclude <string> | -o | Envoy へのリダイレクトから除外するアウトバウンドポートのコンマ区切りリスト。(デフォルトは ``) |
--istio-outbound-ports <string> | -q | Envoy へのリダイレクトに明示的に含めるアウトバウンドポートのコンマ区切りリスト。(デフォルトは ``) |
--istio-service-cidr <string> | -i | Envoy にリダイレクトする CIDR 形式の IP 範囲のコンマ区切りリスト(オプション)。ワイルドカード文字 "*" を使用して、すべてのアウトバウンドトラフィックをリダイレクトできます。空のリストにすると、すべてのアウトバウンドが無効になります。(デフォルトは ``) |
--istio-service-exclude-cidr <string> | -x | リダイレクトから除外する CIDR 形式の IP 範囲のコンマ区切りリスト。すべてのアウトバウンドトラフィック(つまり "*")がリダイレクトされている場合にのみ適用されます。(デフォルトは ``) |
--kube-virt-interfaces <string> | -k | インバウンドトラフィック(VM から)がアウトバウンドとして扱われる仮想インターフェイスのコンマ区切りリスト。(デフォルトは ``) |
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか | |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) | |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 | |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 | |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 | |
--network-namespace <string> | iptables ルールを適用する必要があるネットワーク名前空間。(デフォルトは ``) | |
--probe-timeout <duration> | 障害検出のタイムアウト。(デフォルトは `5s`) | |
--proxy-gid <string> | -g | リダイレクトが適用されないユーザーの GID を指定します(-u パラメータと同じデフォルト値)。(デフォルトは ``) |
--proxy-uid <string> | -u | リダイレクトが適用されないユーザーの UID を指定します。通常、これはプロキシコンテナの UID です。(デフォルトは ``) |
--reconcile | ドリフトが検出された場合に失敗するのではなく、既存の互換性のない iptables ルールを調整します。 | |
--redirect-dns | istio-agent による DNS トラフィックのキャプチャを有効にします。 | |
--run-validation | iptables を検証します。 | |
--skip-rule-apply | iptables の適用をスキップします。 | |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent proxy
XDS プロキシエージェント
pilot-agent proxy [flags]
| フラグ | 説明 |
|---|---|
--concurrency <int> | 実行するワーカースレッドの数(デフォルトは `0`) |
--domain <string> | DNS ドメインサフィックス。指定されていない場合は、${POD_NAMESPACE}.svc.cluster.local を使用します(デフォルトは ``)。 |
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--meshConfig <string> | Istio メッシュ構成のファイル名。指定されていない場合は、デフォルトのメッシュが使用されます。これは、PROXY_CONFIG 環境変数または proxy.istio.io/config アノテーションによってオーバーライドされる場合があります。(デフォルトは `./etc/istio/config/mesh`) |
--outlierLogPath <string> | 外れ値検出のログパス(デフォルトは ``)。 |
--profiling | Web インターフェイス host:port/debug/pprof/ 経由でのプロファイリングを有効にします。 |
--proxyComponentLogLevel <string> | Envoy プロキシの開始に使用されるコンポーネントログレベル。非推奨。代わりに proxyLogLevel を使用してください。(デフォルトは ``) |
--proxyLogLevel <string> | Envoy プロキシの開始に使用されるログレベル({trace, debug, info, warning, error, critical, off} から選択)。レベルには、'info,misc:error,upstream:debug' のように 1 つ以上のスコープを含めることもできます。(デフォルトは `warning,misc:error`) |
--serviceCluster <string> | サービスクラスター(デフォルトは `istio-proxy`) |
--stsPort <int> | Security Token Service (STS) を提供する HTTP ポート。ゼロの場合、STS サービスは提供されません。(デフォルトは `0`) |
--templateFile <string> | Go テンプレートブートストラップ構成(デフォルトは ``) |
--tokenManagerPlugin <string> | トークンプロバイダー固有のプラグイン名。(デフォルトは ``) |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent request
Envoy 管理 API に HTTP リクエストを行います
pilot-agent request <method> <path> [<body>] [flags]
| フラグ | 説明 |
|---|---|
--debug-port <int32> | ローカルリクエストを行うポートを設定します。デフォルトは Envoy 管理 API を指します。(デフォルトは `15000`) |
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent version
ビルドバージョン情報を出力します。
pilot-agent version [flags]
| フラグ | Shorthand | 説明 |
|---|---|---|
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか | |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) | |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 | |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 | |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 | |
--output <string> | -o | 'yaml' または 'json' のいずれか。(デフォルトは ``) |
--short | -s | 完全なバージョン情報を生成するには、--short=false を使用します。 |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
pilot-agent wait
Envoy プロキシの準備が整うまで待機します。
pilot-agent wait [flags]
| フラグ | 説明 |
|---|---|
--log_as_json | 出力をJSONとしてフォーマットするか、プレーンなコンソールフレンドリー形式でフォーマットするか |
--log_caller <string> | 呼び出し元情報を含めるスコープのコンマ区切りリスト。スコープには、[ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれかを指定できます。(デフォルト ``) |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルをコンマ区切りで指定します。形式は <scope>:<level>,<scope>:<level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは ``)。 |
--log_stacktrace_level <string> | スタックトレースをキャプチャする最小ログレベルをスコープごとにコンマ区切りで指定します。形式は <scope>:<level>,<scope:level>,... のように記述します。ここで、scope は [ads, all, ca, cache, citadelclient, default, dns, gcecred, grpc, healthcheck, iptables, klog, mockcred, monitoring, sds, security, spiffe, validation, wasm, xdsproxy] のいずれか、level は [debug, info, warn, error, fatal, none] のいずれかです(デフォルトは `default:none`)。 |
--log_target <stringArray> | ログを出力するパスのセット。任意のパスのほか、特別な値として stdout および stderr を指定できます(デフォルトは `[stdout]`)。 |
--periodMillis <int> | 試行間の待機時間(ミリ秒単位)(デフォルトは `500`) |
--requestTimeoutMillis <int> | 応答を待つ時間(ミリ秒単位)(デフォルトは `500`) |
--timeoutSeconds <int> | Envoy の準備が整うまで待機する最大秒数(デフォルトは `60`) |
--url <string> | リクエストで使用する URL (デフォルトは `https://127.0.0.1:15021/healthz/ready`) |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様です。例: --vklog=9(デフォルトは `0`)。 |
環境変数
これらの環境変数は、pilot-agent コマンドの動作に影響します。| 変数名 | タイプ | デフォルト値 | 説明 |
|---|---|---|---|
AMBIENT_ENABLE_STATUS | ブール値 | false | 有効にすると、アンビエントモードのステータスメッセージがリソースに書き込まれます。現在、これはリーダー選出を行わないため、複数のレプリカで有効にすると安全でない場合があります。 |
BYPASS_OVERLOAD_MANAGER_FOR_STATIC_LISTENERS | ブール値 | true | 有効にすると、オーバーロードマネージャーは静的リスナーには適用されません。 |
CA_ADDR | 文字列 | | spiffe 証明書プロバイダーのアドレス。デフォルトは discoveryAddress です。 |
CA_PROVIDER | 文字列 | Citadel | 認証プロバイダーの名前 |
CA_ROOT_CA | 文字列 | | CA 接続で期待されるルート CA を明示的に設定します。 |
CA_TRUSTED_NODE_ACCOUNTS | 文字列 | | 設定されている場合、CSR にノード認証を使用することを許可されているサービスアカウントのリスト。ノード認証では、他の ID の代わりに CSR を作成できますが、同じノードでその ID を持つポッドが実行されている場合に限ります。これは、ノードプロキシでの使用を目的としています。 |
CERT_SIGNER_DOMAIN | 文字列 | | 証明書署名者のドメイン情報 |
CLOUD_PLATFORM | 文字列 | | プロキシが実行されているクラウドプラットフォーム。指定されていない場合、Istio はプラットフォームの検出を試みます。有効なプラットフォームの値は、aws、azure、gcp、none です。 |
CLUSTER_ID | 文字列 | Kubernetes | この Istiod インスタンスが属するクラスターとサービスレジストリを定義します。 |
COMPLIANCE_POLICY | 文字列 | | 設定した場合、メッシュ内mTLSや外部TLSを含む、既存のすべてのTLS設定に対してポリシー固有の制限を適用します。有効な値は次のとおりです。* '' または未設定の場合、追加の制限は適用されません。* 'fips-140-2' は、TLSプロトコルのバージョンと暗号スイートのサブセットを強制し、Envoy、gRPC Go SDK、gRPC C++ SDK を含むすべてのランタイムコンポーネントのユーザー設定やデフォルトを上書きします。警告:コントロールプレーンでコンプライアンスポリシーを設定することは、コンプライアンスを達成するための必要条件ではありますが、十分条件ではありません。検証済みの暗号化モジュールを使用するなど、コンプライアンスを主張するために必要な追加の手順があります(https://www.envoyproxy.io/docs/envoy/latest/intro/arch_overview/security/ssl#fips-140-2 を参照してください)。 |
CREDENTIAL_FETCHER_TYPE | 文字列 | JWT | クレデンシャルフェッチャーのタイプ。現在サポートされているタイプには GoogleComputeEngine があります。 |
CREDENTIAL_IDENTITY_PROVIDER | 文字列 | GoogleComputeEngine | クレデンシャルのIDプロバイダー。現在デフォルトでサポートされているIDプロバイダーは GoogleComputeEngine です。 |
DISABLE_ENVOY | ブール値 | false | すべてのEnvoyエージェント機能を無効にします。 |
DNS_FORWARD_PARALLEL | ブール値 | false | trueに設定すると、エージェントはすべてのアップストリームネームサーバーに並列DNSクエリを送信します。 |
DNS_PROXY_ADDR | 文字列 | localhost:15053 | DNSプロキシのカスタムアドレス。末尾が :53 で、ルートとして実行している場合は、iptable DNSキャプチャなしで実行できます。 |
DRY_RUN_FILE_PATH | 文字列 | | 指定された場合、StdoutStubDependencies は stdin からの入力を指定されたファイルに書き込みます。 |
ECC_CURVE | 文字列 | P256 | ECC_SIGNATURE_ALGORITHM が ECDSA に設定されている場合に使用する楕円曲線 |
ECC_SIGNATURE_ALGORITHM | 文字列 | | 秘密鍵を生成するときに使用するECC署名アルゴリズムのタイプ |
ENABLE_100_CONTINUE_HEADERS | ブール値 | true | 有効にすると、istiod は 100-continue ヘッダーをそのままプロキシします。 |
ENABLE_AUTO_SNI | ブール値 | true | 有効にすると、`DestinationRules` が同じものを指定していない場合、SNI を自動的に設定します。 |
ENABLE_CA_SERVER | ブール値 | true | これを false に設定すると、istiod で CA サーバーは作成されません。 |
ENABLE_DEBUG_ON_HTTP | ブール値 | true | これを false に設定すると、デバッグインターフェースは有効になりません。本番環境では推奨されます。 |
ENABLE_DEFERRED_CLUSTER_CREATION | ブール値 | true | 有効にすると、Istio はリクエストがある場合にのみクラスタを作成します。これにより、非アクティブなクラスタが多数あり、ワーカー スレッドが 2 つ以上の場合にメモリと CPU サイクルを節約できます。 |
ENABLE_DEFERRED_STATS_CREATION | ブール値 | true | 有効にすると、Istio は統計のサブセットを遅延初期化します。 |
ENABLE_DELIMITED_STATS_TAG_REGEX | ブール値 | true | true の場合、pilot は新しい区切り文字付き統計タグ正規表現を使用して Envoy 統計タグを生成します。 |
ENABLE_ENHANCED_DESTINATIONRULE_MERGE | ブール値 | true | 有効にすると、Istio は DestinationRule の exportTo フィールドを考慮してマージし、exportTo が等しくない場合は独立したルールとして保持されます。 |
ENABLE_ENHANCED_RESOURCE_SCOPING | ブール値 | true | 有効にすると、meshConfig.discoverySelectors は pilot で処理できる CustomResource 設定(Gateway、VirtualService、DestinationRule、Ingressなど)を制限します。これにより、ルートCA証明書の配布も制限されます。 |
ENABLE_HCM_INTERNAL_NETWORKS | ブール値 | false | 有効にすると、メッシュネットワークで定義されたエンドポイントは、Http Connection Manager で内部アドレスとして構成されます。 |
ENABLE_INBOUND_RETRY_POLICY | ブール値 | true | true の場合、サービスに到達する前にリセットされたリクエストを自動的に再試行するインバウンドルートのリトライポリシーを有効にします。 |
ENABLE_INGRESS_WAYPOINT_ROUTING | ブール値 | false | true の場合、Gateways は、Service に 'istio.io/ingress-use-waypoint' ラベルが設定されている場合、サービスウェイポイントを呼び出します。 |
ENABLE_LEADER_ELECTION | ブール値 | true | 有効(デフォルト)の場合、リーダー選出クライアントを起動し、コントローラーを実行する前にリーダーシップを獲得します。false の場合、istiod のインスタンスが 1 つだけ実行されていると想定し、リーダー選出をスキップします。 |
ENABLE_LOCALITY_WEIGHTED_LB_CONFIG | ブール値 | false | 有効にすると、常にクラスタに LocalityWeightedLbConfig を設定します。それ以外の場合は、サービスの DestinationRule でロカリティLBが指定されている場合にのみ適用します。 |
ENABLE_MCS_AUTO_EXPORT | ブール値 | false | 有効にすると、istiod はメッシュ内のすべてのサービスに対して Kubernetes Multi-Cluster Services (MCS) ServiceExport リソースを自動的に生成します。MeshConfig でクラスタローカルとして定義されたサービスは除外されます。 |
ENABLE_MCS_CLUSTER_LOCAL | ブール値 | false | 有効にすると、istiod はホスト `<svc>.<namespace>.svc.cluster.local` を Kubernetes Multi-Cluster Services (MCS) 仕様で定義されているものとして扱います。このモードでは、`cluster.local` へのリクエストは、クライアントと同じクラスタ内にあるエンドポイントのみにルーティングされます。ENABLE_MCS_SERVICE_DISCOVERY と ENABLE_MCS_HOST の両方が有効になっている必要があります。 |
ENABLE_MCS_HOST | ブール値 | false | 有効にすると、istiod は少なくとも 1 つのクラスタでエクスポートされた(ServiceExport 経由で)各サービスに対して、Kubernetes Multi-Cluster Services (MCS) ホスト (<svc>.<namespace>.svc.clusterset.local) を構成します。ただし、クライアントはこれらの DNS ホストを正常に検索できる必要があります。つまり、Istio DNS インターセプトを有効にするか、MCS コントローラーを使用する必要があります。ENABLE_MCS_SERVICE_DISCOVERY も有効にする必要があります。 |
ENABLE_MCS_SERVICE_DISCOVERY | ブール値 | false | 有効にすると、istiod は Kubernetes Multi-Cluster Services (MCS) サービス検出モードを有効にします。このモードでは、クラスタ内のサービスエンドポイントは、ServiceExport を介して明示的にエクスポートされない限り、同じクラスタ内でのみ検出可能になります。 |
ENABLE_MULTICLUSTER_HEADLESS | ブール値 | true | true の場合、ヘッドレスサービスの DNS 名前テーブルは、任意のクラスタの同じネットワークのエンドポイントに解決されます。 |
ENABLE_NATIVE_SIDECARS | ブール値 | false | 設定すると、KubernetesネイティブのSidecarコンテナサポートを使用します。SidecarContainerフィーチャーフラグが必要です。 |
ENABLE_PROBE_KEEPALIVE_CONNECTIONS | ブール値 | false | 有効にすると、準備プローブは、pilot-agentからアプリケーションへの接続を維持します。これは、古いIstioバージョンの動作を反映していますが、kubeletの動作は反映していません。 |
ENABLE_RESOLUTION_NONE_TARGET_PORT | ブール値 | true | 有効にすると、resolution=NONE ServiceEntry で targetPort がサポートされます。 |
ENABLE_SELECTOR_BASED_K8S_GATEWAY_POLICY | ブール値 | true | 無効にすると、Gateway API ゲートウェイは workloadSelector ポリシーを無視し、targetRef でゲートウェイを選択するポリシーのみを適用します。 |
ENABLE_TLS_ON_SIDECAR_INGRESS | ブール値 | false | 有効にすると、Sidecar.ingress のTLS構成が有効になります。 |
ENABLE_VTPROTOBUF | ブール値 | true | true の場合、最適化された vtprotobuf ベースのマーシャリングを使用します。-tags=vtprotobuf を使用したビルドが必要です。 |
ENVOY_PROMETHEUS_PORT | 整数 | 15090 | Envoy prometheus リダイレクトポート値 |
ENVOY_STATUS_PORT | 整数 | 15021 | Envoyヘルスステータスポート値 |
ENVOY_USER | 文字列 | istio-proxy | Envoyプロキシのユーザー名 |
EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY | ブール値 | true | true の場合、デフォルトのリトライポリシーから 503 での安全でないリトライを除外します。 |
EXIT_ON_ZERO_ACTIVE_CONNECTIONS | ブール値 | false | true に設定すると、ドレイン中にアクティブな接続数がゼロになったときにプロキシを終了します。 |
EXTERNAL_ISTIOD | ブール値 | false | これを true に設定すると、1 つの Istiod が CA を含むリモートクラスタを制御します。 |
FILE_DEBOUNCE_DURATION | 時間 | 100ms | ファイルの更新が検出されてからファイル読み取り操作が遅延する時間 |
FILE_MOUNTED_CERTS | ブール値 | false | |
GCP_METADATA | 文字列 | | パイプで区切られたGCPメタデータ。PROJECT_ID|PROJECT_NUMBER|CLUSTER_NAME|CLUSTER_ZONE の形式。 |
GCP_QUOTA_PROJECT | 文字列 | | GCP APIへのリクエストで使用するクォータプロジェクトの指定を許可します。 |
GRPC_KEEPALIVE_INTERVAL | 時間 | 30秒 | gRPCキープアライブ間隔 |
GRPC_KEEPALIVE_TIMEOUT | 時間 | 10秒 | gRPCキープアライブタイムアウト |
GRPC_XDS_BOOTSTRAP | 文字列 | etc/istio/proxy/grpc-bootstrap.json | gRPCがブートストラップファイルの読み取りを期待するパス。設定した場合、エージェントが生成します。 |
HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED | ブール値 | true | |
INBOUND_INTERCEPTION_MODE | 文字列 | | インバウンド接続をEnvoyにリダイレクトするために使用するモード。"REDIRECT"または"TPROXY" |
INBOUND_TPROXY_MARK | 文字列 | | |
INJECTION_WEBHOOK_CONFIG_NAME | 文字列 | istio-sidecar-injector | istioctlを使用しない場合、パッチを適用するmutatingwebhookconfigurationの名前。 |
INSTANCE_IP | 文字列 | | |
IPTABLES_TRACE_LOGGING | ブール値 | false | 有効にすると、すべての iptables アクションがログに記録されます。これには NET_ADMIN 特権が必要であり、ログが大量になるため、デバッグ専用です。 |
ISTIOD_CUSTOM_HOST | 文字列 | | istiod がサーバー証明書に署名する istiod のカスタム ホスト名。複数のカスタム ホスト名がサポートされており、複数の値はカンマで区切られます。 |
ISTIOD_SAN | 文字列 | | Istiod 証明書の検証に使用する ServerName をオーバーライドします。VM の /etc/hosts を設定する代わりに使用できます。検出アドレスは IP:ポートになります。 |
ISTIO_AGENT_ENABLE_WASM_REMOTE_LOAD_CONVERSION | ブール値 | true | 有効にすると、Istio エージェントは ECDS リソースの更新をインターセプトし、Wasm モジュールをダウンロードし、ダウンロードしたローカル モジュール ファイルで Wasm モジュールのリモート ロードを置き換えます。 |
ISTIO_BOOTSTRAP | 文字列 | | |
ISTIO_BOOTSTRAP_OVERRIDE | 文字列 | | |
ISTIO_CPU_LIMIT | 整数 | 0 | 現在のプロセスの CPU 制限。整数値で表され、切り上げられます。 |
ISTIO_DELTA_XDS | ブール値 | true | 有効にすると、pilot はリソース リクエスト時に世界の状況とは対照的にデルタ構成のみを送信します。この機能はデルタ xds api を使用しますが、現在は実際のデルタを送信しません。 |
ISTIO_DUAL_STACK | ブール値 | false | true の場合、Istio はデュアル スタック機能を有効にします。 |
ISTIO_ENABLE_CONTROLLER_QUEUE_METRICS | ブール値 | false | 有効にすると、キューの深さ、レイテンシー、処理時間のメトリクスを発行します。 |
ISTIO_ENABLE_HTTP2_PROBING | ブール値 | true | 有効にすると、Kubernetes に従って、HTTPS プローブに対して HTTP2 プローブが有効になります。 |
ISTIO_ENABLE_IPV4_OUTBOUND_LISTENER_FOR_IPV6_CLUSTERS | ブール値 | false | true の場合、pilot は IPv6 のみのクラスタ(例:AWS EKS IPv6 のみのクラスタ)で、アウトバウンドトラフィック用の追加の IPv4 リスナーを構成します。 |
ISTIO_ENVOY_ENABLE_CORE_DUMP | ブール値 | false | |
ISTIO_GPRC_MAXRECVMSGSIZE | 整数 | 4194304 | gRPCストリームの最大受信バッファサイズをバイト単位で設定します。 |
ISTIO_GPRC_MAXSTREAMS | 整数 | 100000 | 同時grpcストリームの最大数を設定します。 |
ISTIO_KUBE_APP_PROBERS | 文字列 | | |
ISTIO_KUBE_CLIENT_CONTENT_TYPE | 文字列 | protobuf | Kubernetes クライアントに使用するコンテンツ タイプ。デフォルトは protobuf です。有効なオプション:[protobuf, json] |
ISTIO_META_CERT_SIGNER | 文字列 | | ワークロード証明書の証明書署名者情報 |
ISTIO_META_CLUSTER_ID | 文字列 | | |
ISTIO_META_DNS_CAPTURE | ブール値 | false | true に設定すると、ポート 53 の発信 DNS パケットのキャプチャを有効にし、:15053 の istio-agent にリダイレクトします。 |
ISTIO_META_ENABLE_DNS_SERVER | ブール値 | false | true に設定すると、:15053 で DNS サーバーが起動します。これにより、DNS トラフィックが自動的にキャプチャされることはなく、動的フォワードプロキシのようなユースケースで、ゲートウェイがこれをリゾルバーとして使用して DNS を解決する場合に使用できます。 |
ISTIO_MULTIROOT_MESH | ブール値 | false | 有効にすると、メッシュは ISTIO_MUTUAL mTLS に対して複数のトラストアンカーによって署名された証明書をサポートします。 |
ISTIO_OUTBOUND_IPV4_LOOPBACK_CIDR | 文字列 | 127.0.0.1/32 | アプリケーションコンテナを対象としたループバックインターフェースのアウトバウンドトラフィックを識別するために使用されるIPv4 CIDR範囲 |
ISTIO_OUTBOUND_OWNER_GROUPS | 文字列 | * | アウトバウンドトラフィックをEnvoyにリダイレクトするグループのカンマ区切りリスト。グループは、名前または数値GIDで指定できます。ワイルドカード文字 "*" を使用して、すべてのグループからのトラフィックのリダイレクトを構成できます。 |
ISTIO_OUTBOUND_OWNER_GROUPS_EXCLUDE | 文字列 | | アウトバウンドトラフィックをEnvoyへのリダイレクトから除外するグループのカンマ区切りリスト。グループは、名前または数値GIDで指定できます。すべてのグループからのトラフィック (つまり、"*") が Envoy にリダイレクトされている場合にのみ適用されます。 |
ISTIO_PROMETHEUS_ANNOTATIONS | 文字列 | | |
ISTIO_WATCH_NAMESPACE | 文字列 | | 設定した場合、Kubernetesの監視を単一の名前空間に制限します。警告:単一の名前空間のみを設定できます。 |
ISTIO_WORKLOAD_ENTRY_VALIDATE_IDENTITY | ブール値 | true | 有効にすると、ワークロードのIDが、ヘルスチェックと自動登録のために関連付けられているWorkloadEntryのIDと一致するかどうかを検証します。このフラグは下位互換性のためだけに追加されており、将来のリリースで削除されます。 |
JWKS_RESOLVER_INSECURE_SKIP_VERIFY | ブール値 | false | 有効にすると、istiod は JWKS サーバーの証明書の検証をスキップします。 |
JWT_POLICY | 文字列 | third-party-jwt | JWT検証ポリシー。 |
KUBERNETES_SERVICE_HOST | 文字列 | | Kubernetesサービスホスト。クラスタ内で実行すると自動的に設定されます。 |
LABEL_CANONICAL_SERVICES_FOR_MESH_EXTERNAL_SERVICE_ENTRIES | ブール値 | false | 有効にすると、mesh_external のロケーションを持つ ServiceEntry リソースの正規サービスを表すメタデータが、それらのエンドポイントのクラスタメタデータに設定されます。 |
LOCAL_CLUSTER_SECRET_WATCHER | ブール値 | false | 有効にすると、クラスタシークレットウォッチャーは、構成クラスタではなく外部クラスタの名前空間を監視します。 |
MCS_API_GROUP | 文字列 | multicluster.x-k8s.io | Kubernetes Multi-Cluster Services (MCS) API に使用するグループ。 |
MCS_API_VERSION | 文字列 | v1alpha1 | Kubernetes Multi-Cluster Services (MCS) API で使用するバージョン。 |
METRICS_LOCALHOST_ACCESS_ONLY | ブール値 | false | ポッド外部からのメトリクスエンドポイントを無効にし、ローカルホストからのアクセスのみを許可します。 |
METRIC_GRACEFUL_DELETION_INTERVAL | 時間 | 5m0s | メトリクスの有効期限切れに伴う猶予期間の削除間隔。METRIC_ROTATION_INTERVAL が無効の場合は効果なし。 |
METRIC_ROTATION_INTERVAL | 時間 | 0s | メトリクススコープのローテーション間隔。0 に設定するとメトリクススコープのローテーションが無効になる。 |
MINIMUM_DRAIN_DURATION | 時間 | 5s | エージェントがアクティブな接続を確認し、アクティブな接続数がゼロになったときにプロキシを終了するまで待機する最小時間。 |
MUTEX_PROFILE_FRACTION | 整数 | 1000 | ゼロ以外の値を設定すると、1/MUTEX_PROFILE_FRACTION イベントの割合でミューテックスプロファイリングが有効になる。たとえば、「1000」とすると、0.1% のイベントが記録される。完全に無効にするには 0 に設定する。 |
OUTPUT_CERTS | 文字列 | | キーと証明書の出力ディレクトリ。空の場合、キーと証明書は保存されない。プロビジョニング証明書を使用する VM では設定が必要。 |
PEER_METADATA_DISCOVERY | ブール値 | false | true に設定すると、Envoy でピアメタデータ検出拡張機能が有効になる。 |
PILOT_ALLOW_SIDECAR_SERVICE_INBOUND_LISTENER_MERGE | ブール値 | false | 設定すると、サービスポートとサイドカーイングレスリスナーのインバウンドリスナーを作成できるようになる。 |
PILOT_ANALYSIS_INTERVAL | 時間 | 10秒 | 分析が有効な場合、Pilot はこの値を秒単位の間隔として使用して Istio リソースのアナライザーを実行する。 |
PILOT_AUTO_ALLOW_WAYPOINT_POLICY | ブール値 | false | 有効にすると、zTunnel は各ワークロードに対して、ウェイポイントの ID を ALLOW する合成認証ポリシーを受信する。他の ALLOW ポリシーが作成されない限り、これは事実上、ウェイポイントを通過しないトラフィックを拒否することになる。 |
PILOT_CERT_PROVIDER | 文字列 | istiod | Pilot DNS 証明書のプロバイダー。k8s.io/NAME には K8S RA が使用される。「istiod」の値は、Istio 組み込み CA を使用して署名される。他の値では TLS 証明書は生成されないが、./etc/certs/root-cert.pem は配布される。カスタム証明書がマウントされていない場合にのみ使用される。 |
PILOT_CONVERT_SIDECAR_SCOPE_CONCURRENCY | 整数 | 1 | SidecarScope 変換の同時実行性を調整するために使用する。istiod がマルチコア CPU サーバーにデプロイされている場合、この値を大きくすると CPU を使用して構成プッシュを高速化するのに役立つが、istiod がより多くの CPU リソースを消費することも意味する。 |
PILOT_DEBOUNCE_AFTER | 時間 | 100ms | デバウンス用の構成/レジストリイベントに追加される遅延。これにより、プッシュが少なくともこの間隔遅延される。この期間内に変更が検出されない場合、プッシュが実行される。それ以外の場合は、PILOT_DEBOUNCE_MAX の最大値まで、状況が落ち着くまで遅延が維持される。 |
PILOT_DEBOUNCE_MAX | 時間 | 10秒 | デバウンス中にイベントを待機する最大時間。イベントがこの時間途切れることなく発生し続ける場合は、プッシュがトリガーされる。 |
PILOT_DISABLE_MX_ALPN | ブール値 | false | true の場合、Pilot は istio-peer-exchange ALPN を TLS ハンドシェイク構成に含めない。 |
PILOT_DRAINING_LABEL | 文字列 | istio.io/draining | 空でない場合、ラベル値が存在するエンドポイントは、ステータス DRAINING で送信される。 |
PILOT_ENABLE_ALPHA_GATEWAY_API | ブール値 | false | これを true に設定すると、Kubernetes gateway-api (github.com/kubernetes-sigs/gateway-api) のアルファ API のサポートが有効になる。これを有効にするだけでなく、gateway-api CRD もインストールする必要がある。 |
PILOT_ENABLE_ALPN_FILTER | ブール値 | true | true の場合、Pilot は適切なプロトコルスニッフィングに必要な Istio ALPN フィルターを追加する。 |
PILOT_ENABLE_AMBIENT | ブール値 | false | 有効にすると、アンビエントモードを使用できる。個別のフラグで詳細な有効化を構成する。すべてのアンビエント機能で有効にする必要がある。 |
PILOT_ENABLE_AMBIENT_WAYPOINTS | ブール値 | false | 有効にすると、アンビエントに必要なコントローラーが実行される。アンビエントメッシュを実行するには、これが必要。 |
PILOT_ENABLE_ANALYSIS | ブール値 | false | 有効にすると、Pilot は Istio アナライザーを実行し、Istio リソースのステータスフィールドに分析エラーを書き込む。 |
PILOT_ENABLE_CDS_CACHE | ブール値 | true | true の場合、Pilot は CDS 応答をキャッシュする。注意: これは PILOT_ENABLE_XDS_CACHE に依存する。 |
PILOT_ENABLE_CROSS_CLUSTER_WORKLOAD_ENTRY | ブール値 | true | 有効にすると、Pilot は他のクラスターから WorkloadEntry を読み取り、そのクラスター内のサービスによって選択可能になる。 |
PILOT_ENABLE_EDS_DEBOUNCE | ブール値 | true | 有効にすると、Pilot は PILOT_DEBOUNCE_AFTER および PILOT_DEBOUNCE_MAX で構成されたプッシュデバウンスに EDS プッシュを含める。EDS プッシュは遅延される可能性があるが、プッシュ数が少なくなる。デフォルトでは有効になっている。 |
PILOT_ENABLE_EDS_FOR_HEADLESS_SERVICES | ブール値 | false | 有効にすると、Kubernetes のヘッドレスサービスの場合、Pilot は EDS 経由でエンドポイントを送信し、サイドカーがヘッドレスサービス内のポッド間で負荷分散できるようにする。アプリケーションがサイドカーの HTTP プロキシポート経由で明示的にすべてのサービスにアクセスする場合は、この機能を有効にする必要がある。 |
PILOT_ENABLE_GATEWAY_API | ブール値 | true | これを true に設定すると、Kubernetes gateway-api (github.com/kubernetes-sigs/gateway-api) のサポートが有効になる。これを有効にするだけでなく、gateway-api CRD もインストールする必要がある。 |
PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER | ブール値 | true | これを true に設定すると、gateway-api リソースは、クラスターデプロイメント、サービスなどで自動的にプロビジョニングされる。 |
PILOT_ENABLE_GATEWAY_API_GATEWAYCLASS_CONTROLLER | ブール値 | true | これを true に設定すると、istiod はデフォルトの GatewayClasses を作成および管理する。 |
PILOT_ENABLE_GATEWAY_API_STATUS | ブール値 | true | これを true に設定すると、gateway-api リソースにステータスが書き込まれる。 |
PILOT_ENABLE_IP_AUTOALLOCATE | ブール値 | false | 有効にすると、Pilot はユーザーが指定した IP を持たない ServiceEntry に IP アドレスを割り当てるコントローラーを起動する。これを DNS キャプチャと組み合わせると、ServiceEntry に送信されるトラフィックの TCP ルーティングが可能になる。 |
PILOT_ENABLE_K8S_SELECT_WORKLOAD_ENTRIES | ブール値 | true | 有効にすると、セレクターを持つ Kubernetes サービスは、一致するラベルを持つワークロードエントリを選択する。この機能が必要ないことが確実な場合は、無効にしても安全。 |
PILOT_ENABLE_METADATA_EXCHANGE | ブール値 | true | true の場合、Pilot はメタデータ交換フィルターを追加する。これはテレメトリフィルターによって消費される。 |
PILOT_ENABLE_MONGO_FILTER | ブール値 | true | EnableMongoFilter は、フィルターチェーンに `envoy.filters.network.mongo_proxy` を注入できるようにする。 |
PILOT_ENABLE_MYSQL_FILTER | ブール値 | false | EnableMysqlFilter は、フィルターチェーンに `envoy.filters.network.mysql_proxy` を注入できるようにする。 |
PILOT_ENABLE_NODE_UNTAINT_CONTROLLERS | ブール値 | false | 有効にすると、CNI ポッドの準備ができたノードのアンテイントを行うコントローラーが実行される。アンビエント初期化コンテナを無効にした場合は、これを有効にする必要がある。 |
PILOT_ENABLE_PERSISTENT_SESSION_FILTER | ブール値 | false | 有効にすると、Istiod は、サービスに「PILOT_PERSISTENT_SESSION_LABEL」が設定されている場合、リスナーに対して永続的なセッションフィルターを設定する。 |
PILOT_ENABLE_QUIC_LISTENERS | ブール値 | false | true の場合、ゲートウェイで TLS を終端するリスナーがあり、ゲートウェイサービスが同じ番号の UDP ポートを公開している場合 (たとえば、443/TCP と 443/UDP)、QUIC リスナーが生成される。 |
PILOT_ENABLE_RDS_CACHE | ブール値 | true | true の場合、Pilot は RDS 応答をキャッシュする。注意: これは PILOT_ENABLE_XDS_CACHE に依存する。 |
PILOT_ENABLE_REDIS_FILTER | ブール値 | false | EnableRedisFilter は、フィルターチェーンに `envoy.filters.network.redis_proxy` を注入できるようにする。 |
PILOT_ENABLE_ROUTE_COLLAPSE_OPTIMIZATION | ブール値 | true | true の場合、Pilot は最適化として、同じルートを持つ仮想ホストを単一の仮想ホストにマージする。 |
PILOT_ENABLE_SENDING_HBONE | ブール値 | false | 有効にすると、宛先に送信するときに HBONE が許可される。 |
PILOT_ENABLE_SERVICEENTRY_SELECT_PODS | ブール値 | true | 有効にすると、セレクターを持つサービスエントリは、クラスターからポッドを選択する。この機能が必要ないことが確実な場合は、無効にしても安全。 |
PILOT_ENABLE_SIDECAR_LISTENING_HBONE | ブール値 | false | 有効にすると、プロキシに対して HBONE サポートを構成できるようになる。 |
PILOT_ENABLE_TELEMETRY_LABEL | ブール値 | true | true の場合、Pilot は、テレメトリフィルターによって消費される、クラスターおよびエンドポイントリソースに関連するテレメトリメタデータを追加する。 |
PILOT_ENABLE_WORKLOAD_ENTRY_AUTOREGISTRATION | ブール値 | true | ワークロードによる XDS 接続時に、関連付けられた WorkloadGroups に基づいて WorkloadEntries を自動登録できるようにする。 |
PILOT_ENABLE_WORKLOAD_ENTRY_HEALTHCHECKS | ブール値 | true | 関連付けられた WorkloadGroup で提供される構成に基づいて、WorkloadEntries の自動ヘルスチェックを有効にする。 |
PILOT_ENABLE_XDS_CACHE | ブール値 | true | true の場合、Pilot は XDS 応答をキャッシュする。 |
PILOT_ENABLE_XDS_IDENTITY_CHECK | ブール値 | true | 有効にすると、Pilot は XDS クライアントを承認し、クライアントがアクセス許可を持つ名前空間としてのみ動作するようにする。 |
PILOT_ENDPOINT_TELEMETRY_LABEL | ブール値 | true | true の場合、Pilot は、テレメトリフィルターによって消費される、エンドポイントリソースに関連するテレメトリメタデータを追加する。 |
PILOT_ENVOY_FILTER_STATS | ブール値 | false | true の場合、Pilot は Envoy フィルター操作のメトリクスを収集する。 |
PILOT_FILTER_GATEWAY_CLUSTER_CONFIG | ブール値 | false | 有効にすると、Pilot は、ゲートウェイに接続されたゲートウェイ仮想サービスで参照されているクラスターのみを送信する。 |
PILOT_GATEWAY_API_CONTROLLER_NAME | 文字列 | istio.io/gateway-controller | ゲートウェイ API コントローラー名。istiod は、このコントローラー名を持つ GatewayClass を参照するゲートウェイ API リソースのみを調整する。 |
PILOT_GATEWAY_API_DEFAULT_GATEWAYCLASS_NAME | 文字列 | istio | デフォルトの GatewayClass の名前。 |
PILOT_HTTP10 | ブール値 | false | レガシーアプリケーションをサポートするために、アウトバウンド HTTP リスナーで HTTP 1.0 の使用を有効にする。 |
PILOT_INSECURE_MULTICLUSTER_KUBECONFIG_OPTIONS | 文字列 | | マルチクラスター認証で許可される、潜在的に安全でない kubeconfig 認証オプションのカンマ区切りリスト。サポート値: すべての認証プロバイダー (`gcp`、`azure`、`exec`、`openstack`)、`clientKey`、`clientCertificate`、`tokenFile`、および `exec`。 |
PILOT_JWT_ENABLE_REMOTE_JWKS | 文字列 | false | RequestAuthentication で JwksUri から JWKs をフェッチするモード。サポートされている値: istiod、false、hybrid、true、envoy。JWKs をフェッチするクライアントは次のとおり: istiod/false - Istiod; hybrid/true - Envoy。JWKs サーバーが外部の場合は Istiod にフォールバック。envoy - Envoy. |
PILOT_JWT_PUB_KEY_REFRESH_INTERVAL | 時間 | 20m0s | istiod が jwks_uri の jwks 公開キーをフェッチする間隔。 |
PILOT_MAX_REQUESTS_PER_SECOND | 浮動小数点 | 0 | 1 秒あたりの着信 XDS リクエスト数を制限する。大規模なマシンでは、より多くのプロキシを同時に処理できるようにこれを増やすことができる。0 または未設定に設定すると、最大値はマシンのサイズに基づいて自動的に決定される。 |
PILOT_MULTI_NETWORK_DISCOVER_GATEWAY_API | ブール値 | true | true の場合、Pilot はラベル付けされた Kubernetes ゲートウェイオブジェクトをマルチネットワークゲートウェイとして検出する。 |
PILOT_PERSISTENT_SESSION_HEADER_LABEL | 文字列 | istio.io/persistent-session-header | 空でない場合、このラベルを持つサービスはヘッダーベースの永続セッションを使用する。 |
PILOT_PERSISTENT_SESSION_LABEL | 文字列 | istio.io/persistent-session | 空でない場合、このラベルを持つサービスは Cookie ベースの永続セッションを使用する。 |
PILOT_PREFER_SENDING_HBONE | ブール値 | false | 有効にすると、宛先に送信するときに HBONE が優先される。 |
PILOT_PUSH_THROTTLE | 整数 | 0 | 許可される同時プッシュ数を制限する。大規模なマシンでは、プッシュを高速化するためにこれを増やすことができる。0 または未設定に設定すると、最大値はマシンのサイズに基づいて自動的に決定される。 |
PILOT_REMOTE_CLUSTER_TIMEOUT | 時間 | 30秒 | このタイムアウトが経過すると、Pilot はリモートシークレットを介して追加されたクラスターからデータを同期せずに準備完了になる可能性がある。タイムアウトを 0 に設定すると、この動作が無効になる。 |
PILOT_SCOPE_GATEWAY_TO_NAMESPACE | ブール値 | false | 有効にすると、ゲートウェイワークロードは同じ名前空間内のゲートウェイリソースのみを選択できる。異なる名前空間で同じセレクターを持つゲートウェイは適用できない。 |
PILOT_SEND_UNHEALTHY_ENDPOINTS | ブール値 | false | 有効にすると、Pilot は EDS プッシュに異常なエンドポイントを含める。また、たとえ送信されたとしても、Envoy は負荷分散にそれらを使用しない。準備ができていないエンドポイントへのトラフィックの送信を回避するために、このフラグを有効にすると、Envoy のパニックしきい値が無効になる。つまり、Envoy は、正常なホストの割合が最小正常割合 (パニックしきい値) を下回った場合でも、異常なホスト/準備のできていないホストにリクエストを負荷分散しない。 |
PILOT_SIDECAR_USE_REMOTE_ADDRESS | ブール値 | false | UseRemoteAddress は、サイドカーのアウトバウンドリスナーに対して useRemoteAddress を true に設定する。 |
PILOT_SKIP_VALIDATE_TRUST_DOMAIN | ブール値 | false | 認証ポリシーでmTLSが有効になっている場合、ピアが同じ信頼ドメインからのものであるかの検証をスキップします。 |
PILOT_STATUS_BURST | 整数 | 500 | ステータスが有効な場合、ステータスが更新されるバーストレートを制御します。https://godoc.org/k8s.io/client-go/rest#Config Burst を参照してください。 |
PILOT_STATUS_MAX_WORKERS | 整数 | 100 | Pilotが構成ステータスを最新の状態に保つために使用するワーカーの最大数。数を少なくするとステータスの遅延が大きくなりますが、数を大きくすると大規模な環境でCPUに影響を与える可能性があります。 |
PILOT_STATUS_QPS | 整数 | 100 | ステータスが有効な場合、ステータスが更新されるQPSを制御します。https://godoc.org/k8s.io/client-go/rest#Config QPS を参照してください。 |
PILOT_STATUS_UPDATE_INTERVAL | 時間 | 500ms | XDS配信ステータスを更新する間隔。 |
PILOT_TRACE_SAMPLING | 浮動小数点 | 1 | メッシュ全体のトレースサンプリング率を設定します。0.0〜100.0である必要があります。精度は0.01です。デフォルトは1.0です。 |
PILOT_UNIFIED_SIDECAR_SCOPE | ブール値 | true | trueの場合、統合されたSidecarScope作成が使用されます。これは後方互換性のためのテンポラリ機能フラグとしてのみ意図されています。 |
PILOT_WORKLOAD_ENTRY_GRACE_PERIOD | 時間 | 10秒 | 自動登録されたワークロードが、関連するWorkloadEntryがクリーンアップされる前にすべてのPilotインスタンスから切断されたままになることができる時間。 |
PILOT_XDS_CACHE_INDEX_CLEAR_INTERVAL | 時間 | 5s | XDSキャッシュインデックスをクリアする間隔。 |
PILOT_XDS_CACHE_SIZE | 整数 | 60000 | XDSキャッシュの最大キャッシュエントリ数。 |
PILOT_XDS_CACHE_STATS | ブール値 | false | trueの場合、PilotはXDSキャッシュ効率のメトリクスを収集します。 |
PKCS8_KEY | ブール値 | false | PKCS#8秘密鍵を生成するかどうか |
POD_NAME | 文字列 | | |
POD_NAMESPACE | 文字列 | | |
PREFER_DESTINATIONRULE_TLS_FOR_EXTERNAL_SERVICES | ブール値 | true | trueの場合、外部サービスはメタデータTLS設定よりもDestinationRulesのTLS設定を優先します。 |
PROV_CERT | 文字列 | | VM用のプロビジョニングされた証明書を含むディレクトリに設定します。 |
PROXY_CONFIG | 文字列 | | プロキシ設定。これはインジェクションによって設定されます。ゲートウェイはファイルマウントを使用します。 |
PROXY_CONFIG_XDS_AGENT | ブール値 | false | trueに設定した場合、エージェントはxdsチャネル経由で動的なプロキシ構成の更新を取得します。 |
PROXY_XDS_DEBUG_VIA_AGENT | ブール値 | true | trueに設定した場合、エージェントはタップポートでリッスンし、そこにpilotのXDS istio.io/debugデバッグAPIを提供します。 |
PROXY_XDS_DEBUG_VIA_AGENT_PORT | 整数 | 15004 | エージェントのデバッグポート。 |
RESOLVE_HOSTNAME_GATEWAYS | ブール値 | true | trueの場合、サービスのリソースロードバランサーのアドレス内のホスト名は、クロスネットワークゲートウェイで使用するためにコントロールプレーンで解決されます。 |
REWRITE_PROBE_LEGACY_LOCALHOST_DESTINATION | ブール値 | false | 有効な場合、準備プローブは「localhost」に送信されます。それ以外の場合は、Kubernetesの動作に合わせて、PodのIPに送信されます。 |
SECRET_GRACE_PERIOD_RATIO | 浮動小数点 | 0.5 | 証明書ローテーションの猶予期間の比率。デフォルトは0.5です。 |
SECRET_GRACE_PERIOD_RATIO_JITTER | 浮動小数点 | 0.01 | 証明書の更新をずらすために、猶予期間の比率をこの量だけ上下にランダム化します。デフォルトは0.01(24時間で約15分)。 |
SECRET_TTL | 時間 | 24h0m0s | istioエージェントによって要求される証明書の有効期間 |
SERVICE_ACCOUNT | 文字列 | | サービスアカウントの名前 |
SHARED_MESH_CONFIG | 文字列 | | 共有MeshConfig設定をロードするための追加のConfigMap。標準のメッシュ構成が優先されます。 |
TOKEN_AUDIENCES | 文字列 | istio-ca | 証明書を発行する前にJWTトークンで確認する、カンマ区切りのオーディエンスのリスト。トークンは、オーディエンスのいずれかと一致する場合に受け入れられます。 |
TRUSTED_GATEWAY_CIDR | 文字列 | | 設定されている場合、このCIDR範囲からのゲートウェイからIstiodへの接続は、XFCCのような認証メカニズムを使用するために信頼できるものとして扱われます。これは、Istiodと認証ゲートウェイが実行されているネットワークが信頼できる/安全なネットワークである場合にのみ使用できます。 |
TRUST_DOMAIN | 文字列 | cluster.local | SPIFFE証明書の信頼ドメイン |
UNSAFE_ENABLE_ADMIN_ENDPOINTS | ブール値 | false | これをtrueに設定すると、危険な管理エンドポイントがデバッグインターフェイスで公開されます。本番環境には推奨されません。 |
UNSAFE_PILOT_ENABLE_DELTA_TEST | ブール値 | false | 有効にすると、Delta XDS効率の追加ランタイムテストが追加されます。これらのチェックは非常にコストがかかるため、本番環境ではなくテストでのみ使用する必要があります。 |
UNSAFE_PILOT_ENABLE_RUNTIME_ASSERTIONS | ブール値 | false | 有効にすると、追加のランタイムアサートが実行されます。これらのチェックはコストがかかるだけでなく、失敗時にパニックを引き起こします。そのため、これはテストでのみ使用する必要があります。 |
USE_CACERTS_FOR_SELF_SIGNED_CA | ブール値 | false | 有効にすると、istiodはcacertsという名前のシークレットを使用して、自己署名されたistioによって生成されたルート証明書を保存します。 |
VALIDATION_WEBHOOK_CONFIG_NAME | 文字列 | istio-istio-system | 空でない場合、コントローラーはCA証明書が変更されたときにvalidatingwebhookconfigurationを自動的にパッチ適用します。kubernetes環境でのみ機能します。 |
WASM_HTTP_REQUEST_MAX_RETRIES | 整数 | 5 | http/https経由でWasmモジュールをプルするためのHTTP/HTTPSリクエストの最大再試行回数 |
WASM_HTTP_REQUEST_TIMEOUT | 時間 | 15s | http/https経由でWasmモジュールをプルするためのHTTPリクエストごとのタイムアウト |
WASM_INSECURE_REGISTRIES | 文字列 | | エージェントが安全でないレジストリまたはhttpsサーバーからwasmプラグインをプルすることを許可します。たとえば、「localhost:5000,docker-registry:5000」など。 |
WASM_MODULE_EXPIRY | 時間 | 24h0m0s | wasmモジュールのキャッシュ有効期限。 |
WASM_PURGE_INTERVAL | 時間 | 1h0m0s | wasmモジュールの有効期限を確認する間隔 |
WORKLOAD_IDENTITY_SOCKET_FILE | 文字列 | socket | SPIREワークロードID SDSソケットファイル名。設定されている場合、この名前のSDSソケットが./var/run/secrets/workload-spiffe-udsに存在する必要があります |
WORKLOAD_RSA_KEY_SIZE | 整数 | 2048 | ワークロード証明書に使用するRSAキーサイズを指定します。 |
XDS_AUTH | ブール値 | true | trueの場合、XDSクライアントを認証します。 |
XDS_AUTH_PLAINTEXT | ブール値 | false | プレーンテキストリクエストを認証します - Istiodが安全/信頼できるネットワーク上で実行されている場合に使用します。 |
XDS_AUTH_PROVIDER | 文字列 | | XDS認証のプロバイダー |
XDS_ROOT_CA | 文字列 | | XDS接続に期待されるルートCAを明示的に設定します。 |
エクスポートされたメトリクス
| メトリクス名 | タイプ | 説明 |
|---|---|---|
cert_expiry_seconds | LastValue | 証明書チェーンが期限切れになるまでの残り時間(秒単位)。負の値は、証明書が期限切れであることを示します。 |
dns_requests_total | Sum | DNSリクエストの総数。 |
dns_upstream_failures_total | Sum | DNS失敗の総数。 |
dns_upstream_request_duration_seconds | Distribution | IstioがアップストリームからDNS応答を取得するのにかかる合計時間(秒単位)。 |
dns_upstream_requests_total | Sum | アップストリームに転送されたDNSリクエストの総数。 |
envoy_connection_terminations | Sum | envoyからの接続エラーの総数 |
istio_build | LastValue | Istioコンポーネントのビルド情報 |
istiod_connection_failures | Sum | Istiodへの接続失敗の総数 |
istiod_connection_terminations | Sum | Istiodへの接続エラーの総数 |
num_failed_outgoing_requests | Sum | 失敗した送信リクエストの数(例:トークン交換サーバー、CAなど)。 |
num_file_secret_failures_total | Sum | ファイルに対するシークレット生成が失敗した回数 |
num_file_watcher_failures_total | Sum | ファイルウォッチャーがウォッチャーの追加に失敗した回数 |
num_outgoing_requests | Sum | 送信リクエストの総数(例:トークン交換サーバー、CAなど)。 |
num_outgoing_retries | Sum | 送信リトライリクエストの数(例:トークン交換サーバー、CAなど)。 |
outgoing_latency | Sum | 送信リクエストのレイテンシ(例:トークン交換サーバー、CAなど) (ミリ秒単位)。 |
pilot_total_xds_internal_errors | Sum | pilotでの内部XDSエラーの総数。 |
pilot_total_xds_rejects | Sum | プロキシによって拒否されたpilotからのXDS応答の総数。 |
pilot_worker_queue_depth | LastValue | コントローラーキューの深さ |
pilot_worker_queue_duration | Distribution | アイテムを処理するのにかかる時間 |
pilot_worker_queue_latency | Distribution | アイテムが処理される前のレイテンシ |
pilot_xds_cds_reject | LastValue | Pilotが拒否したCDS構成。 |
pilot_xds_eds_reject | LastValue | Pilotが拒否したEDS。 |
pilot_xds_expired_nonce | Sum | 期限切れのnonceを持つXDSリクエストの総数。 |
pilot_xds_lds_reject | LastValue | Pilotが拒否したLDS。 |
pilot_xds_rds_reject | LastValue | Pilotが拒否したRDS。 |
pilot_xds_send_time | Distribution | Pilotが生成された構成を送信するのにかかる合計時間(秒単位)。 |
pilot_xds_write_timeout | Sum | Pilot XDS応答書き込みタイムアウト。 |
scrape_failures_total | Sum | 失敗したスクレイプの総数。 |
scrapes_total | Sum | スクレイプの総数。 |
startup_duration_seconds | LastValue | プロセスが開始してから準備完了とマークされるまでの時間。 |
wasm_cache_entries | LastValue | Wasmリモートフェッチキャッシュエントリの数。 |
wasm_cache_lookup_count | Sum | Wasmリモートフェッチキャッシュルックアップの数。 |
wasm_config_conversion_count | Sum | 成功、リモートロードなし、マーシャリング失敗、リモートフェッチ失敗、リモートフェッチヒントのミスなど、Wasm構成変換の数と結果。 |
wasm_config_conversion_duration | Distribution | istioエージェントがWasm構成でのリモートロードの変換に費やす合計時間(ミリ秒単位)。 |
wasm_remote_fetch_count | Sum | 成功、ダウンロード失敗、チェックサム不一致など、Wasmリモートフェッチの数と結果。 |
xds_proxy_requests | Sum | Xdsプロキシリクエストの総数 |
xds_proxy_responses | Sum | Xdsプロキシ応答の総数 |