pilot-discovery
Istio Pilot は、Istio サービスメッシュ内でメッシュ全体のトラフィック管理、セキュリティ、およびポリシー機能を提供します。
| フラグ | 説明 |
|---|---|
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
pilot-discovery completion
指定されたシェル用の pilot-discovery の自動補完スクリプトを生成します。生成されたスクリプトの使用方法の詳細については、各サブコマンドのヘルプを参照してください。
| フラグ | 説明 |
|---|---|
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
pilot-discovery completion bash
bash シェル用の自動補完スクリプトを生成します。
このスクリプトは 'bash-completion' パッケージに依存します。まだインストールされていない場合は、OS のパッケージマネージャーからインストールできます。
現在のシェルセッションで補完をロードするには
source <(pilot-discovery completion bash)新しいセッションごとに補完をロードするには、一度実行してください
Linux
pilot-discovery completion bash > /etc/bash_completion.d/pilot-discoverymacOS
pilot-discovery completion bash > /usr/local/etc/bash_completion.d/pilot-discoveryこの設定を有効にするには、新しいシェルを起動する必要があります。
pilot-discovery completion bash
| フラグ | 説明 |
|---|---|
--no-descriptions | 補完の説明を無効にします |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
pilot-discovery completion fish
fish シェル用の自動補完スクリプトを生成します。
現在のシェルセッションで補完をロードするには
pilot-discovery completion fish | source新しいセッションごとに補完をロードするには、一度実行してください
pilot-discovery completion bash > ~/.config/fish/completions/pilot-discovery.fishこの設定を有効にするには、新しいシェルを起動する必要があります。
pilot-discovery completion fish [flags]
| フラグ | 説明 |
|---|---|
--no-descriptions | 補完の説明を無効にします |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
pilot-discovery completion powershell
PowerShell 用の自動補完スクリプトを生成します。
現在のシェルセッションで補完をロードするには
pilot-discovery completion powershell | Out-String | Invoke-Expression新しいセッションごとに補完をロードするには、上記のコマンドの出力を powershell プロファイルに追加します。
pilot-discovery completion powershell [flags]
| フラグ | 説明 |
|---|---|
--no-descriptions | 補完の説明を無効にします |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
pilot-discovery completion zsh
zsh シェル用の自動補完スクリプトを生成します。
シェル補完が環境でまだ有効になっていない場合は、有効にする必要があります。一度だけ以下のコマンドを実行できます。
echo "autoload -U compinit; compinit" >> ~/.zshrc現在のシェルセッションで補完をロードするには
source <(pilot-discovery completion zsh)新しいセッションごとに補完をロードするには、一度実行してください
Linux
pilot-discovery completion zsh > "${fpath[1]}/_pilot-discovery"macOS
pilot-discovery completion zsh > $(brew --prefix)/share/zsh/site-functions/_pilot-discoveryこの設定を有効にするには、新しいシェルを起動する必要があります。
pilot-discovery completion zsh [flags]
| フラグ | 説明 |
|---|---|
--no-descriptions | 補完の説明を無効にします |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
pilot-discovery discovery
Istio プロキシのディスカバリーサービスを開始します。
pilot-discovery discovery [flags]
| フラグ | 短縮形 | 説明 |
|---|---|---|
--caCertFile <string> | x509 サーバー CA 証明書を含むファイル (デフォルト ``) | |
--clusterAliases <stringToString> | クラスターのエイリアス名 (デフォルト `[]`) | |
--clusterID <string> | この Istiod インスタンスが存在するクラスターの ID (デフォルト `Kubernetes`) | |
--clusterRegistriesNamespace <string> | クラスター構成を保存する ConfigMap の名前空間 (デフォルト `istio-system`) | |
--cniNamespace <string> | istio-cni が存在する名前空間を選択します。設定されていない場合は、${POD_NAMESPACE} 環境変数を使用します (デフォルト `istio-system`) | |
--configDir <string> | config yaml ファイルの更新を監視するディレクトリ。指定した場合、ファイルは CRD クライアントではなく、構成のソースとして使用されます。(デフォルト ``) | |
--ctrlz_address <string> | ControlZ イントロスペクション機能がリッスンする IP アドレス。すべてのアドレスを示すには '*' を使用します。(デフォルト `localhost`) | |
--ctrlz_port <uint16> | ControlZ イントロスペクション機能に使用する IP ポート (デフォルト `9876`) | |
--domain <string> | DNS ドメイン サフィックス (デフォルト `cluster.local`) | |
--grpcAddr <string> | ディスカバリーサービス gRPC アドレス (デフォルト `:15010`) | |
--httpAddr <string> | ディスカバリーサービス HTTP アドレス (デフォルト `:8080`) | |
--httpsAddr <string> | インジェクションおよび検証サービス HTTPS アドレス (デフォルト `:15017`) | |
--keepaliveInterval <duration> | 接続にアクティビティがない場合に、トランスポートが生きているかどうかを確認するためにピアに ping を送信する時間間隔 (デフォルト `30s`) | |
--keepaliveMaxServerConnectionAge <duration> | サーバーで接続を正常に閉じる前に開いたままにする最大期間。(デフォルト `2562047h47m16.854775807s`) | |
--keepaliveTimeout <duration> | キープアライブチェックのために ping を送信した後、クライアント/サーバーは keepaliveTimeout の間待機し、その後もアクティビティが見られない場合は接続を閉じます。(デフォルト `10s`) | |
--kubeconfig <string> | クラスター内構成の代わりに Kubernetes 構成ファイルを使用します (デフォルト ``) | |
--kubernetesApiBurst <int> | kubernetes API との通信時のスロットルに対する最大バースト (デフォルト `160`) | |
--kubernetesApiQPS <float32> | kubernetes API との通信時の最大 QPS (デフォルト `80`) | |
--log_as_json | 出力を JSON としてフォーマットするか、プレーンなコンソールフレンドリーな形式でフォーマットするか | |
--log_caller <string> | 呼び出し元情報を含めるスコープのカンマ区切りリスト。スコープは、[ads, adsc, all, analysis, authn, authorization, ca, controllers, default, delta, deltaadsc, file, fullpush, gateway, grpc, grpcgen, ingress status, ip-autoallocate, klog, krt, kube, model, monitor, monitoring, pkica, pkira, processing, retry, rootcertrotator, secretcontroller, security, serverca, serviceentry, spiffe, status, trustBundle, untaint, validation, validationController, validationServer, wasm, wle] のいずれかです (デフォルト ``) | |
--log_output_level <string> | 出力するメッセージのスコープごとの最小ログレベルのカンマ区切りリスト。<scope>:<level>,<scope>:<level>,... の形式で、スコープは [ads, adsc, all, analysis, authn, authorization, ca, controllers, default, delta, deltaadsc, file, fullpush, gateway, grpc, grpcgen, ingress status, ip-autoallocate, klog, krt, kube, model, monitor, monitoring, pkica, pkira, processing, retry, rootcertrotator, secretcontroller, security, serverca, serviceentry, spiffe, status, trustBundle, untaint, validation, validationController, validationServer, wasm, wle] のいずれか、レベルは [debug, info, warn, error, fatal, none] のいずれかです (デフォルト ``) | |
--log_stacktrace_level <string> | スタックトレースがキャプチャされるスコープごとの最小ログレベルのカンマ区切りリスト。<scope>:<level>,<scope:level>,... の形式で、スコープは [ads, adsc, all, analysis, authn, authorization, ca, controllers, default, delta, deltaadsc, file, fullpush, gateway, grpc, grpcgen, ingress status, ip-autoallocate, klog, krt, kube, model, monitor, monitoring, pkica, pkira, processing, retry, rootcertrotator, secretcontroller, security, serverca, serviceentry, spiffe, status, trustBundle, untaint, validation, validationController, validationServer, wasm, wle] のいずれか、レベルは [debug, info, warn, error, fatal, none] のいずれかです (デフォルト `default:none`) | |
--log_target <stringArray> | ログを出力するパスのセット。これは、stdout および stderr の特別な値だけでなく、任意のパスにできます (デフォルト `[stdout]`) | |
--meshConfig <string> | Istio メッシュ構成のファイル名。指定されていない場合は、デフォルトのメッシュが使用されます。(デフォルト `./etc/istio/config/mesh`) | |
--monitoringAddr <string> | pilot の自己監視情報に使用する HTTP アドレス (デフォルト `:15014`) | |
--namespace <string> | -n | コントローラーが存在する名前空間を選択します。設定されていない場合は、${POD_NAMESPACE} 環境変数を使用します (デフォルト `istio-system`) |
--networksConfig <string> | Istio メッシュネットワーク構成のファイル名。指定されていない場合は、デフォルトのメッシュネットワークが使用されます。(デフォルト `./etc/istio/config/meshNetworks`) | |
--profile | Web インターフェース host:port/debug/pprof を介したプロファイリングを有効にします | |
--registries <stringSlice> | 読み込むプラットフォームサービスレジストリのカンマ区切りリスト ({Kubernetes, Mock} から 1 つ以上を選択します) (デフォルト `[Kubernetes]`) | |
--secureGRPCAddr <string> | ディスカバリーサービスセキュア gRPC アドレス (デフォルト `:15012`) | |
--shutdownDuration <duration> | ディスカバリーサーバーが正常に終了する必要がある期間 (デフォルト `10s`) | |
--tls-cipher-suites <stringSlice> | istiod TLS サーバーの暗号スイートのカンマ区切りリスト。省略した場合、デフォルトの Go 暗号スイートが使用されます。推奨値: TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256。安全でない値: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_RC4_128_SHA。 (デフォルト `[]`) | |
--tlsCertFile <string> | x509 サーバー証明書を含むファイル (デフォルト ``) | |
--tlsKeyFile <string> | --tlsCertFile に一致する x509 秘密鍵を含むファイル (デフォルト ``) | |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
pilot-discovery request
Pilot メトリクス/デバッグエンドポイントに HTTP リクエストを行います
pilot-discovery request <method> <path> [<body>] [flags]
| フラグ | 説明 |
|---|---|
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
pilot-discovery version
ビルドバージョン情報を出力します
pilot-discovery version [flags]
| フラグ | 短縮形 | 説明 |
|---|---|---|
--output <string> | -o | 'yaml' または 'json' のいずれか。(デフォルト ``) |
--short | -s | 完全なバージョン情報を生成するには --short=false を使用します |
--vklog <Level> | ログレベルの詳細度を示す数値。-v フラグと同様。例: --vklog=9 (デフォルト `0`) |
環境変数
これらの環境変数は、pilot-discovery コマンドの動作に影響します。| 変数名 | 型 | デフォルト値 | 説明 |
|---|---|---|---|
AMBIENT_ENABLE_STATUS | ブール値 | false | 有効にすると、アンビエントモードのステータスメッセージがリソースに書き込まれます。現在、これはリーダー選出を行わないため、複数のレプリカで有効にすると安全ではない可能性があります。 |
AUDIENCE | 文字列 | | トークン内の予期されるオーディエンス。 |
BYPASS_OVERLOAD_MANAGER_FOR_STATIC_LISTENERS | ブール値 | true | 有効にすると、オーバーロードマネージャーは静的リスナーには適用されません |
CA_TRUSTED_NODE_ACCOUNTS | 文字列 | | 設定した場合、CSR にノード認証を使用することが許可されているサービスアカウントのリスト。ノード認証を使用すると、ID は他の ID の代わりに CSR を作成できますが、その ID で同じノードでポッドが実行されている場合に限ります。これはノードプロキシでの使用を目的としています。 |
CERT_SIGNER_DOMAIN | 文字列 | | 証明書署名者ドメイン情報 |
CITADEL_ENABLE_JITTER_FOR_ROOT_CERT_ROTATOR | ブール値 | true | true の場合、ルート証明書ローテーターを開始するためのジッターを設定します。ジッターは、ルート証明書ローテーターを開始するためのバックオフ時間(秒単位)を選択し、バックオフ時間はルート証明書チェック間隔より短くなります。 |
CITADEL_SELF_SIGNED_CA_CERT_TTL | 時間 | 87600h0m0s | 自己署名 CA ルート証明書の TTL。 |
CITADEL_SELF_SIGNED_CA_RSA_KEY_SIZE | 整数 | 2048 | 自己署名 Istio CA 証明書に使用する RSA キーサイズを指定します。 |
CITADEL_SELF_SIGNED_ROOT_CERT_CHECK_INTERVAL | 時間 | 1h0m0s | 自己署名 CA がルート証明書の有効期限を確認し、ルート証明書をローテーションする間隔。この間隔をゼロまたは負の値に設定すると、自動化されたルート証明書チェックとローテーションが無効になります。この間隔は、10 分より長くすることをお勧めします。 |
CITADEL_SELF_SIGNED_ROOT_CERT_GRACE_PERIOD_PERCENTILE | 整数 | 20 | 自己署名ルート証明書の猶予期間のパーセンタイル。 |
CLOUD_PLATFORM | 文字列 | | プロキシが実行されているクラウドプラットフォーム。指定しない場合、Istioはプラットフォームを検出を試みます。有効なプラットフォーム値は、aws、azure、gcp、noneです。 |
CLUSTER_ID | 文字列 | Kubernetes | このIstiodインスタンスが属するクラスタとサービスレジストリを定義します。 |
COMPLIANCE_POLICY | 文字列 | | 設定した場合、メッシュ内のmTLSや外部TLSを含む、既存のすべてのTLS設定にポリシー固有の制限を適用します。有効な値は次のとおりです。* '' または未設定の場合、追加の制限は適用されません。* 'fips-140-2' は、TLSプロトコルのバージョンと暗号スイートのサブセットを強制し、Envoy、gRPC Go SDK、gRPC C++ SDKを含むすべてのランタイムコンポーネントについて、ユーザーの好みやデフォルトを上書きします。警告: 制御プレーンでコンプライアンスポリシーを設定することは、コンプライアンスを達成するために必要な条件ですが、十分な条件ではありません。検証済みの暗号化モジュールを使用するなど、コンプライアンスを主張するために必要な追加の手順があります (https://www.envoyproxy.io/docs/envoy/latest/intro/arch_overview/security/ssl#fips-140-2 を参照してください)。 |
DEFAULT_WORKLOAD_CERT_TTL | 時間 | 24h0m0s | 発行されるワークロード証明書のデフォルトのTTL。クライアントがCSRで非正のTTLを設定した場合に適用されます。 |
ENABLE_100_CONTINUE_HEADERS | ブール値 | true | 有効にすると、istiodは100-continueヘッダーをそのままプロキシします。 |
ENABLE_AUTO_SNI | ブール値 | true | 有効にすると、`DestinationRules`が同じSNIを指定していない場合、SNIを自動的に設定します。 |
ENABLE_CA_SERVER | ブール値 | true | これをfalseに設定すると、istiodにCAサーバーは作成されません。 |
ENABLE_DEBUG_ON_HTTP | ブール値 | true | これをfalseに設定すると、デバッグインターフェースは有効になりません。本番環境では推奨されます。 |
ENABLE_DEFERRED_CLUSTER_CREATION | ブール値 | true | 有効にすると、Istioはリクエストがある場合にのみクラスタを作成します。これにより、多数の非アクティブなクラスタがあり、ワーカー スレッドが 1 つを超える場合にメモリと CPU サイクルを節約できます。 |
ENABLE_DEFERRED_STATS_CREATION | ブール値 | true | 有効にすると、Istioは統計のサブセットを遅延初期化します。 |
ENABLE_DELIMITED_STATS_TAG_REGEX | ブール値 | true | trueの場合、pilotは新しい区切り統計タグ正規表現を使用してEnvoy統計タグを生成します。 |
ENABLE_ENHANCED_DESTINATIONRULE_MERGE | ブール値 | true | 有効にすると、IstioはexportToフィールドを考慮してdestinationrulesをマージします。exportToが等しくない場合は、独立したルールとして保持されます。 |
ENABLE_ENHANCED_RESOURCE_SCOPING | ブール値 | true | 有効にすると、meshConfig.discoverySelectorsは、pilotによって処理できるカスタムリソース構成(Gateway、VirtualService、DestinationRule、Ingressなど)を制限します。これにより、ルートCA証明書の配布も制限されます。 |
ENABLE_HCM_INTERNAL_NETWORKS | ブール値 | false | 有効にすると、メッシュネットワークで定義されたエンドポイントは、HTTP接続マネージャーで内部アドレスとして構成されます。 |
ENABLE_INBOUND_RETRY_POLICY | ブール値 | true | trueの場合、サービスに到達する前にリセットされたリクエストを自動的に再試行する、インバウンドルートのリトライポリシーを有効にします。 |
ENABLE_INGRESS_WAYPOINT_ROUTING | ブール値 | false | trueの場合、サービスに「istio.io/ingress-use-waypoint」ラベルが設定されている場合、ゲートウェイはサービスウェイポイントを呼び出します。 |
ENABLE_LEADER_ELECTION | ブール値 | true | 有効(デフォルト)の場合、リーダー選出クライアントを起動し、コントローラーを実行する前にリーダーシップを取得します。 falseの場合、istiodのインスタンスが1つだけ実行されていると想定し、リーダー選出をスキップします。 |
ENABLE_LOCALITY_WEIGHTED_LB_CONFIG | ブール値 | false | 有効にすると、クラスタに常にLocalityWeightedLbConfigを設定します。それ以外の場合は、サービスに対してDestinationRuleでロカリティLBが指定されている場合にのみ適用します。 |
ENABLE_MCS_AUTO_EXPORT | ブール値 | false | 有効にすると、istiodはメッシュ内のすべてのサービスに対してKubernetes Multi-Cluster Services(MCS)ServiceExportリソースを自動的に生成します。MeshConfigでクラスタローカルとして定義されたサービスは除外されます。 |
ENABLE_MCS_CLUSTER_LOCAL | ブール値 | false | 有効にすると、istiodはホスト`<svc>.<namespace>.svc.cluster.local`をKubernetes Multi-Cluster Services(MCS)仕様で定義されているものとして扱います。このモードでは、`cluster.local`へのリクエストは、クライアントと同じクラスタ内にあるエンドポイントのみにルーティングされます。ENABLE_MCS_SERVICE_DISCOVERYとENABLE_MCS_HOSTの両方が有効になっている必要があります。 |
ENABLE_MCS_HOST | ブール値 | false | 有効にすると、istiodは、少なくとも1つのクラスタでエクスポートされた(ServiceExportを介して)各サービスに対してKubernetes Multi-Cluster Services(MCS)ホスト(<svc>.<namespace>.svc.clusterset.local)を構成します。ただし、クライアントはこれらのDNSホストを正常に検索できる必要があります。つまり、Istio DNSインターセプトを有効にするか、MCSコントローラーを使用する必要があります。ENABLE_MCS_SERVICE_DISCOVERYも有効になっている必要があります。 |
ENABLE_MCS_SERVICE_DISCOVERY | ブール値 | false | 有効にすると、istiodはKubernetes Multi-Cluster Services(MCS)サービスディスカバリモードを有効にします。このモードでは、ServiceExportを介して明示的にエクスポートされない限り、クラスタ内のサービスエンドポイントは同じクラスタ内でのみ検出可能になります。 |
ENABLE_MULTICLUSTER_HEADLESS | ブール値 | true | trueの場合、ヘッドレスサービスのDNS名テーブルは、任意のクラスタの同一ネットワークエンドポイントに解決されます。 |
ENABLE_NATIVE_SIDECARS | ブール値 | false | 設定されている場合、Kubernetesネイティブサイドカーコンテナのサポートが使用されます。SidecarContainer機能フラグが必要です。 |
ENABLE_PROBE_KEEPALIVE_CONNECTIONS | ブール値 | false | 有効にすると、readinessプローブはpilot-agentからアプリケーションへの接続を維持します。これは以前のIstioバージョンの動作を反映しますが、kubeletの動作ではありません。 |
ENABLE_RESOLUTION_NONE_TARGET_PORT | ブール値 | true | 有効にすると、resolution=NONEのServiceEntryでtargetPortがサポートされます。 |
ENABLE_SELECTOR_BASED_K8S_GATEWAY_POLICY | ブール値 | true | 無効にすると、Gateway APIゲートウェイはworkloadSelectorポリシーを無視し、targetRefでゲートウェイを選択するポリシーのみを適用します。 |
ENABLE_TLS_ON_SIDECAR_INGRESS | ブール値 | false | 有効にすると、Sidecar.ingressのTLS構成が有効になります。 |
ENABLE_VTPROTOBUF | ブール値 | true | trueの場合、最適化されたvtprotobufベースのマーシャリングを使用します。-tags=vtprotobufを使用したビルドが必要です。 |
EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY | ブール値 | true | trueの場合、デフォルトのリトライポリシーから503での安全でないリトライを除外します。 |
EXTERNAL_CA | 文字列 | | 外部CA統合タイプ。許可される値はISTIOD_RA_KUBERNETES_APIです。 |
EXTERNAL_ISTIOD | ブール値 | false | これをtrueに設定すると、1つのIstiodがCAを含むリモートクラスタを制御します。 |
GCP_METADATA | 文字列 | | パイプで区切られたGCPメタデータ。PROJECT_ID|PROJECT_NUMBER|CLUSTER_NAME|CLUSTER_ZONEとして構成されます。 |
GCP_QUOTA_PROJECT | 文字列 | | GCP APIへのリクエストで使用するクォータプロジェクトの指定を許可します。 |
GRPC_KEEPALIVE_INTERVAL | 時間 | 30秒 | gRPCキープアライブ間隔。 |
GRPC_KEEPALIVE_TIMEOUT | 時間 | 10秒 | gRPCキープアライブタイムアウト。 |
HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED | ブール値 | true | |
INBOUND_INTERCEPTION_MODE | 文字列 | | インバウンド接続をEnvoyにリダイレクトするために使用されるモード。「REDIRECT」または「TPROXY」のいずれかです。 |
INBOUND_TPROXY_MARK | 文字列 | | |
INJECTION_WEBHOOK_CONFIG_NAME | 文字列 | istio-sidecar-injector | istioctlを使用しない場合にパッチを適用するmutatingwebhookconfigurationの名前。 |
INJECT_ENABLED | ブール値 | true | mutating webhookハンドラーを有効にします。 |
ISTIOD_CUSTOM_HOST | 文字列 | | istiodがサーバー証明書に署名するistiodのカスタムホスト名。複数のカスタムホスト名がサポートされており、複数の値はカンマで区切られます。 |
ISTIO_AGENT_ENABLE_WASM_REMOTE_LOAD_CONVERSION | ブール値 | true | 有効にすると、IstioエージェントはECDSリソースの更新をインターセプトし、Wasmモジュールをダウンロードし、ダウンロードされたローカルモジュールファイルでWasmモジュールのリモートロードを置き換えます。 |
ISTIO_BOOTSTRAP | 文字列 | | |
ISTIO_DELTA_XDS | ブール値 | true | 有効にすると、pilotはリソースリクエスト時に世界の状況全体ではなく、差分構成のみを送信します。この機能は差分xds APIを使用しますが、現在、実際の差分は送信していません。 |
ISTIO_DUAL_STACK | ブール値 | false | trueの場合、Istioはデュアルスタック機能を有効にします。 |
ISTIO_ENABLE_CONTROLLER_QUEUE_METRICS | ブール値 | false | 有効にすると、キューの深さ、遅延、処理時間のメトリクスを公開します。 |
ISTIO_ENABLE_HTTP2_PROBING | ブール値 | true | 有効にすると、Kubernetesに従って、HTTPSプローブに対してHTTP2プローブが有効になります。 |
ISTIO_ENABLE_IPV4_OUTBOUND_LISTENER_FOR_IPV6_CLUSTERS | ブール値 | false | trueの場合、pilotは、AWS EKS IPv6専用クラスタなど、IPv6専用クラスタでアウトバウンドトラフィック用の追加のIPv4リスナーを構成します。 |
ISTIO_GPRC_MAXRECVMSGSIZE | 整数 | 4194304 | gRPCストリームの最大受信バッファサイズをバイト単位で設定します。 |
ISTIO_GPRC_MAXSTREAMS | 整数 | 100000 | 同時grpcストリームの最大数を設定します。 |
ISTIO_KUBE_CLIENT_CONTENT_TYPE | 文字列 | protobuf | Kubernetesクライアントで使用するコンテンツタイプ。デフォルトはprotobufです。有効なオプション:[protobuf、json] |
ISTIO_MULTIROOT_MESH | ブール値 | false | 有効にすると、メッシュはISTIO_MUTUAL mTLSで複数のtrustAnchorによって署名された証明書をサポートします。 |
ISTIO_OUTBOUND_IPV4_LOOPBACK_CIDR | 文字列 | 127.0.0.1/32 | アプリケーションコンテナを対象とするループバックインターフェースでのアウトバウンドトラフィックを識別するために使用されるIPv4 CIDR範囲 |
ISTIO_OUTBOUND_OWNER_GROUPS | 文字列 | * | 送信トラフィックをEnvoyにリダイレクトするグループのカンマ区切りリスト。グループは名前または数値GIDで指定できます。ワイルドカード文字 "*" を使用して、すべてのグループからのトラフィックのリダイレクトを構成できます。 |
ISTIO_OUTBOUND_OWNER_GROUPS_EXCLUDE | 文字列 | | 送信トラフィックをEnvoyへのリダイレクトから除外するグループのカンマ区切りリスト。グループは名前または数値GIDで指定できます。すべてのグループ(つまり、"*")からのトラフィックがEnvoyにリダイレクトされている場合にのみ適用されます。 |
ISTIO_PROMETHEUS_ANNOTATIONS | 文字列 | | |
ISTIO_WATCH_NAMESPACE | 文字列 | | 設定した場合、Kubernetesの監視を単一の名前空間に制限します。警告:設定できる名前空間は1つだけです。 |
ISTIO_WORKLOAD_ENTRY_VALIDATE_IDENTITY | ブール値 | true | 有効にすると、ワークロードのエンドポイントのIDが、ヘルスチェックと自動登録のために関連付けられているWorkloadEntryのIDと一致するかどうかが検証されます。このフラグは下位互換性のためだけに追加され、将来のリリースで削除されます。 |
JWKS_RESOLVER_INSECURE_SKIP_VERIFY | ブール値 | false | 有効にすると、istiodはJWKSサーバーの証明書の検証をスキップします。 |
JWT_RULE | 文字列 | | istiod認証で使用されるJWTルール |
K8S_INGRESS_NS | 文字列 | istio-system | イングレスコントローラーが実行される名前空間。デフォルトではistio-systemです。 |
K8S_SIGNER | 文字列 | | Kubernetes CA署名者タイプ。Kubernetes 1.18から有効です。 |
KUBERNETES_SERVICE_HOST | 文字列 | | Kubernetesサービスホスト。クラスタ内で実行されている場合は自動的に設定されます。 |
K_REVISION | 文字列 | | KNativeリビジョン。knativeで実行されている場合に設定されます。 |
LABEL_CANONICAL_SERVICES_FOR_MESH_EXTERNAL_SERVICE_ENTRIES | ブール値 | false | 有効にすると、locationがmesh_externalのServiceEntryリソースの標準サービスを表すメタデータが、それらのエンドポイントのクラスタメタデータに設定されます。 |
LOCAL_CLUSTER_SECRET_WATCHER | ブール値 | false | 有効にすると、クラスタシークレットウォッチャーは、構成クラスタの代わりに外部クラスタの名前空間を監視します。 |
MAX_WORKLOAD_CERT_TTL | 時間 | 2160h0m0s | 発行されるワークロード証明書の最大TTL。 |
MCS_API_GROUP | 文字列 | multicluster.x-k8s.io | Kubernetes Multi-Cluster Services(MCS)APIで使用するグループ。 |
MCS_API_VERSION | 文字列 | v1alpha1 | Kubernetes Multi-Cluster Services(MCS)APIで使用するバージョン。 |
METRICS_LOCALHOST_ACCESS_ONLY | ブール値 | false | これにより、ポッドの外部からのメトリクスエンドポイントが無効になり、ローカルホストアクセスのみが許可されます。 |
METRIC_GRACEFUL_DELETION_INTERVAL | 時間 | 5m0s | メトリクスの有効期限の猶予削除間隔。METRIC_ROTATION_INTERVALが無効になっている場合はノーオペレーションです。 |
METRIC_ROTATION_INTERVAL | 時間 | 0秒 | メトリクススコープのローテーション間隔。メトリクススコープのローテーションを無効にするには、0に設定します。 |
MUTEX_PROFILE_FRACTION | 整数 | 1000 | ゼロ以外の値に設定すると、1/MUTEX_PROFILE_FRACTIONイベントのレートでmutexプロファイリングが有効になります。たとえば、「1000」はイベントの0.1%を記録します。完全に無効にするには0に設定します。 |
PILOT_ALLOW_SIDECAR_SERVICE_INBOUND_LISTENER_MERGE | ブール値 | false | 設定すると、サービスポートとサイドカーイングレスリスナーのインバウンドリスナーを作成できます。 |
PILOT_ANALYSIS_INTERVAL | 時間 | 10秒 | 分析が有効になっている場合、pilotはこの値を秒単位の間隔として使用してIstioアナライザーを実行します(Istioリソース)。 |
PILOT_AUTO_ALLOW_WAYPOINT_POLICY | ブール値 | false | 有効にすると、zTunnelは、各ワークロードに対してウェイポイントのIDを許可する合成認証ポリシーを受け取ります。他のALLOWポリシーが作成されない限り、これは事実上、ウェイポイントを通過しないトラフィックを拒否します。 |
PILOT_CERT_PROVIDER | 文字列 | istiod | Pilot DNS 証明書のプロバイダー。K8S RA は k8s.io/NAME に使用されます。「istiod」の値は、Istio 組み込み CA を使用して署名します。その他の値では TLS 証明書は生成されませんが、./etc/certs/root-cert.pem は配布されます。カスタム証明書がマウントされていない場合にのみ使用されます。 |
PILOT_CONVERT_SIDECAR_SCOPE_CONCURRENCY | 整数 | 1 | SidecarScope 変換の並行性を調整するために使用されます。istiod がマルチコア CPU サーバーにデプロイされている場合、この値を大きくすると CPU を使用して構成プッシュを高速化できますが、istiod がより多くの CPU リソースを消費することも意味します。 |
PILOT_DEBOUNCE_AFTER | 時間 | 100ms | デバウンスのための構成/レジストリ イベントに追加される遅延。これにより、プッシュは少なくともこの間隔だけ遅延します。この期間内に変更が検出されない場合はプッシュが発生し、そうでない場合は、PILOT_DEBOUNCE_MAX の最大値まで遅延を続けます。 |
PILOT_DEBOUNCE_MAX | 時間 | 10秒 | デバウンス中にイベントを待機する最大時間。イベントがこの時間の間隔なしで表示され続ける場合、プッシュをトリガーします。 |
PILOT_DISABLE_MX_ALPN | ブール値 | false | true の場合、pilot は istio-peer-exchange ALPN を TLS ハンドシェイク構成に含めません。 |
PILOT_DRAINING_LABEL | 文字列 | istio.io/draining | 空でない場合、このラベル値が存在するエンドポイントは、ステータス DRAINING で送信されます。 |
PILOT_ENABLE_ALPHA_GATEWAY_API | ブール値 | false | これを true に設定すると、Kubernetes gateway-api (github.com/kubernetes-sigs/gateway-api) のアルファ API のサポートが有効になります。これを有効にするだけでなく、gateway-api CRD をインストールする必要があります。 |
PILOT_ENABLE_ALPN_FILTER | ブール値 | true | true の場合、pilot は適切なプロトコル スニッフィングに必要な Istio ALPN フィルターを追加します。 |
PILOT_ENABLE_AMBIENT | ブール値 | false | 有効にすると、アンビエント モードを使用できます。個々のフラグは、きめ細かい有効化を構成します。アンビエント機能を有効にするには、これを有効にする必要があります。 |
PILOT_ENABLE_AMBIENT_WAYPOINTS | ブール値 | false | 有効にすると、アンビエントに必要なコントローラーが実行されます。これは、アンビエント メッシュを実行するために必要です。 |
PILOT_ENABLE_ANALYSIS | ブール値 | false | 有効にすると、pilot は istio アナライザーを実行し、Istio リソースの Status フィールドに分析エラーを書き込みます。 |
PILOT_ENABLE_CDS_CACHE | ブール値 | true | true の場合、Pilot は CDS 応答をキャッシュします。注: これは PILOT_ENABLE_XDS_CACHE に依存します。 |
PILOT_ENABLE_CROSS_CLUSTER_WORKLOAD_ENTRY | ブール値 | true | 有効にすると、pilot は他のクラスターから WorkloadEntry を読み取り、そのクラスターの Services によって選択可能になります。 |
PILOT_ENABLE_EDS_DEBOUNCE | ブール値 | true | 有効にすると、Pilot は PILOT_DEBOUNCE_AFTER と PILOT_DEBOUNCE_MAX によって構成されたプッシュ デバウンスに EDS プッシュを含めます。EDS プッシュは遅延する可能性がありますが、プッシュの回数は少なくなります。デフォルトでは、これは有効になっています。 |
PILOT_ENABLE_EDS_FOR_HEADLESS_SERVICES | ブール値 | false | 有効にすると、Kubernetes のヘッドレス サービスの場合、pilot は EDS 経由でエンドポイントを送信し、サイドカーがヘッドレス サービス内のポッド間で負荷分散できるようにします。アプリケーションがサイドカーの HTTP プロキシ ポートを介してすべてのサービスに明示的にアクセスする場合は、この機能を有効にする必要があります。 |
PILOT_ENABLE_GATEWAY_API | ブール値 | true | これを true に設定すると、Kubernetes gateway-api (github.com/kubernetes-sigs/gateway-api) のサポートが有効になります。これを有効にするだけでなく、gateway-api CRD をインストールする必要があります。 |
PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER | ブール値 | true | これを true に設定すると、gateway-api リソースは、クラスターのデプロイ、サービスなどで自動的にプロビジョニングされます。 |
PILOT_ENABLE_GATEWAY_API_GATEWAYCLASS_CONTROLLER | ブール値 | true | これを true に設定すると、istiod はデフォルトの GatewayClasses を作成および管理します。 |
PILOT_ENABLE_GATEWAY_API_STATUS | ブール値 | true | これを true に設定すると、gateway-api リソースにステータスが書き込まれます。 |
PILOT_ENABLE_IP_AUTOALLOCATE | ブール値 | false | 有効にすると、pilot は、ユーザーが指定した IP を持たない ServiceEntry に IP アドレスを割り当てるコントローラーを開始します。これを DNS キャプチャと組み合わせると、ServiceEntry に送信されたトラフィックの TCP ルーティングが可能になります。 |
PILOT_ENABLE_K8S_SELECT_WORKLOAD_ENTRIES | ブール値 | true | 有効にすると、セレクターを持つ Kubernetes サービスは、一致するラベルを持つワークロード エントリを選択します。この機能が不要であると確信できる場合は、無効にしても安全です。 |
PILOT_ENABLE_METADATA_EXCHANGE | ブール値 | true | true の場合、pilot はメタデータ交換フィルターを追加します。これはテレメトリ フィルターによって消費されます。 |
PILOT_ENABLE_MONGO_FILTER | ブール値 | true | EnableMongoFilter は、フィルター チェーンに `envoy.filters.network.mongo_proxy` の挿入を有効にします。 |
PILOT_ENABLE_MYSQL_FILTER | ブール値 | false | EnableMysqlFilter は、フィルター チェーンに `envoy.filters.network.mysql_proxy` の挿入を有効にします。 |
PILOT_ENABLE_NODE_UNTAINT_CONTROLLERS | ブール値 | false | 有効にすると、CNI ポッドが準備完了状態のノードのテイントを解除するコントローラーが実行されます。アンビエント init コンテナーを無効にした場合は、これを有効にする必要があります。 |
PILOT_ENABLE_PERSISTENT_SESSION_FILTER | ブール値 | false | 有効にすると、Istiod は、サービスに 'PILOT_PERSISTENT_SESSION_LABEL' が設定されている場合に、リスナーに対して永続セッション フィルターを設定します。 |
PILOT_ENABLE_QUIC_LISTENERS | ブール値 | false | true の場合、ゲートウェイで TLS を終端するリスナーがある場合は常に、QUIC リスナーが生成されます。ゲートウェイ サービスが同じ番号の UDP ポートを公開する場合 (たとえば、443/TCP および 443/UDP) |
PILOT_ENABLE_RDS_CACHE | ブール値 | true | true の場合、Pilot は RDS 応答をキャッシュします。注: これは PILOT_ENABLE_XDS_CACHE に依存します。 |
PILOT_ENABLE_REDIS_FILTER | ブール値 | false | EnableRedisFilter は、フィルター チェーンに `envoy.filters.network.redis_proxy` の挿入を有効にします。 |
PILOT_ENABLE_ROUTE_COLLAPSE_OPTIMIZATION | ブール値 | true | true の場合、Pilot は最適化として、同じルートを持つ仮想ホストを単一の仮想ホストにマージします。 |
PILOT_ENABLE_SENDING_HBONE | ブール値 | false | 有効にすると、宛先に送信するときに HBONE が許可されます。 |
PILOT_ENABLE_SERVICEENTRY_SELECT_PODS | ブール値 | true | 有効にすると、セレクターを持つサービス エントリは、クラスターからポッドを選択します。この機能が不要であると確信できる場合は、無効にしても安全です。 |
PILOT_ENABLE_SIDECAR_LISTENING_HBONE | ブール値 | false | 有効にすると、プロキシで HBONE サポートを構成できます。 |
PILOT_ENABLE_TELEMETRY_LABEL | ブール値 | true | true の場合、pilot は、テレメトリ フィルターによって消費される、クラスターおよびエンドポイント リソースにテレメトリ関連のメタデータを追加します。 |
PILOT_ENABLE_WORKLOAD_ENTRY_AUTOREGISTRATION | ブール値 | true | ワークロードによる XDS 接続時に、関連付けられた WorkloadGroups に基づいて WorkloadEntries の自動登録を有効にします。 |
PILOT_ENABLE_WORKLOAD_ENTRY_HEALTHCHECKS | ブール値 | true | 関連付けられた WorkloadGroup で提供された構成に基づいて、WorkloadEntries の自動ヘルスチェックを有効にします。 |
PILOT_ENABLE_XDS_CACHE | ブール値 | true | true の場合、Pilot は XDS 応答をキャッシュします。 |
PILOT_ENABLE_XDS_IDENTITY_CHECK | ブール値 | true | 有効にすると、pilot は XDS クライアントを承認し、許可されている名前空間としてのみ動作するようにします。 |
PILOT_ENDPOINT_TELEMETRY_LABEL | ブール値 | true | true の場合、pilot は、テレメトリ フィルターによって消費されるエンドポイント リソースにテレメトリ関連のメタデータを追加します。 |
PILOT_ENVOY_FILTER_STATS | ブール値 | false | true の場合、Pilot は Envoy フィルター操作のメトリクスを収集します。 |
PILOT_FILTER_GATEWAY_CLUSTER_CONFIG | ブール値 | false | 有効にすると、Pilot はゲートウェイにアタッチされたゲートウェイ仮想サービスで参照されているクラスターのみを送信します。 |
PILOT_GATEWAY_API_CONTROLLER_NAME | 文字列 | istio.io/gateway-controller | Gateway API コントローラー名。istiod は、このコントローラー名を持つ GatewayClass を参照する Gateway API リソースのみを調整します。 |
PILOT_GATEWAY_API_DEFAULT_GATEWAYCLASS_NAME | 文字列 | istio | デフォルトの GatewayClass の名前 |
PILOT_HTTP10 | ブール値 | false | レガシー アプリケーションをサポートするために、アウトバウンド HTTP リスナーで HTTP 1.0 の使用を有効にします。 |
PILOT_INSECURE_MULTICLUSTER_KUBECONFIG_OPTIONS | 文字列 | | マルチクラスター認証で許可される、潜在的に安全でない kubeconfig 認証オプションのコンマ区切りリスト。サポート値: すべての認証プロバイダー (`gcp`、`azure`、`exec`、`openstack`)、`clientKey`、`clientCertificate`、`tokenFile`、および `exec`。 |
PILOT_JWT_ENABLE_REMOTE_JWKS | 文字列 | false | RequestAuthentication で JwksUri から JWK をフェッチするモード。サポートされる値: istiod, false, hybrid, true, envoy。JWK をフェッチするクライアントは次のとおりです。istiod/false - Istiod。hybrid/true - Envoy で、JWK サーバーが外部の場合は Istiod にフォールバック。envoy - Envoy。 |
PILOT_JWT_PUB_KEY_REFRESH_INTERVAL | 時間 | 20m0s | istiod が jwks 公開鍵の jwks_uri をフェッチする間隔。 |
PILOT_MAX_REQUESTS_PER_SECOND | 浮動小数点 | 0 | 1 秒あたりの受信 XDS リクエストの数を制限します。大規模なマシンでは、これを大きくして、より多くのプロキシを同時に処理できます。0 に設定した場合、または設定されていない場合は、マシンのサイズに基づいて最大値が自動的に決定されます。 |
PILOT_MULTI_NETWORK_DISCOVER_GATEWAY_API | ブール値 | true | true の場合、Pilot はラベル付けされた Kubernetes ゲートウェイ オブジェクトをマルチネットワーク ゲートウェイとして検出します。 |
PILOT_PERSISTENT_SESSION_HEADER_LABEL | 文字列 | istio.io/persistent-session-header | 空でない場合、このラベルを持つサービスはヘッダー ベースの永続セッションを使用します。 |
PILOT_PERSISTENT_SESSION_LABEL | 文字列 | istio.io/persistent-session | 空でない場合、このラベルを持つサービスは cookie ベースの永続セッションを使用します。 |
PILOT_PREFER_SENDING_HBONE | ブール値 | false | 有効にすると、宛先に送信するときに HBONE が優先されます。 |
PILOT_PUSH_THROTTLE | 整数 | 0 | 許可される同時プッシュの数を制限します。大規模なマシンでは、これを増やしてプッシュを高速化できます。0 に設定した場合、または設定されていない場合は、マシンのサイズに基づいて最大値が自動的に決定されます。 |
PILOT_REMOTE_CLUSTER_TIMEOUT | 時間 | 30秒 | このタイムアウトが経過すると、pilot はリモート シークレットを使用して追加されたクラスターからデータを同期せずに準備完了になる可能性があります。タイムアウトを 0 に設定すると、この動作が無効になります。 |
PILOT_SCOPE_GATEWAY_TO_NAMESPACE | ブール値 | false | 有効にすると、ゲートウェイ ワークロードは、同じ名前空間内のゲートウェイ リソースのみを選択できます。異なる名前空間の同じセレクターを持つゲートウェイは適用されません。 |
PILOT_SEND_UNHEALTHY_ENDPOINTS | ブール値 | false | 有効にすると、Pilot は EDS プッシュに異常なエンドポイントを含めます。たとえ Envoy に送信されても、それらは負荷分散には使用されません。準備ができていないエンドポイントへのトラフィックの送信を避けるために、このフラグを有効にすると、Envoy のパニックしきい値が無効になります。つまり、Envoy は、正常なホストの割合が最小正常割合(パニックしきい値)を下回った場合でも、異常な/準備ができていないホストに負荷分散要求を行いません。 |
PILOT_SIDECAR_USE_REMOTE_ADDRESS | ブール値 | false | UseRemoteAddress は、サイドカーのアウトバウンド リスナーに対して useRemoteAddress を true に設定します。 |
PILOT_SKIP_VALIDATE_TRUST_DOMAIN | ブール値 | false | 認証ポリシーで mTLS が有効になっている場合、ピアが同じ信頼ドメインからのものであるかの検証をスキップします。 |
PILOT_STATUS_BURST | 整数 | 500 | ステータスが有効になっている場合、ステータスが更新されるバースト レートを制御します。https://godoc.org/k8s.io/client-go/rest#Config Burst を参照してください。 |
PILOT_STATUS_MAX_WORKERS | 整数 | 100 | Pilot が構成ステータスを最新の状態に保つために使用するワーカーの最大数。数値を小さくするとステータス レイテンシーが長くなりますが、数値を大きくすると大規模環境で CPU に影響を与える可能性があります。 |
PILOT_STATUS_QPS | 整数 | 100 | ステータスが有効になっている場合、ステータスが更新される QPS を制御します。https://godoc.org/k8s.io/client-go/rest#Config QPS を参照してください。 |
PILOT_STATUS_UPDATE_INTERVAL | 時間 | 500ms | XDS 分散ステータスを更新する間隔。 |
PILOT_TRACE_SAMPLING | 浮動小数点 | 1 | メッシュ全体のトレース サンプリングのパーセンテージを設定します。0.0 から 100.0 である必要があります。精度は 0.01 です。デフォルトは 1.0 です。 |
PILOT_UNIFIED_SIDECAR_SCOPE | ブール値 | true | true の場合、統合された SidecarScope 作成が使用されます。これは、下位互換性のためのテンポラリ機能フラグとしてのみ意図されています。 |
PILOT_WORKLOAD_ENTRY_GRACE_PERIOD | 時間 | 10秒 | 自動登録されたワークロードが、関連付けられた WorkloadEntry がクリーンアップされる前に、すべての Pilot インスタンスから切断されたままにできる時間。 |
PILOT_XDS_CACHE_INDEX_CLEAR_INTERVAL | 時間 | 5s | xds キャッシュ インデックスをクリアする間隔。 |
PILOT_XDS_CACHE_SIZE | 整数 | 60000 | XDS キャッシュの最大キャッシュ エントリ数。 |
PILOT_XDS_CACHE_STATS | ブール値 | false | true の場合、Pilot は XDS キャッシュ効率のメトリクスを収集します。 |
PLATFORM | 文字列 | | Istio がデプロイされているプラットフォーム。有効な値は「openshift」と「gcp」です。 |
POD_NAME | 文字列 | | |
POD_NAMESPACE | 文字列 | istio-system | |
PREFER_DESTINATIONRULE_TLS_FOR_EXTERNAL_SERVICES | ブール値 | true | true の場合、外部サービスは、メタデータ TLS 設定よりも DestinationRules の TLS 設定を優先します。 |
RESOLVE_HOSTNAME_GATEWAYS | ブール値 | true | true の場合、Service の LoadBalancer アドレスのホスト名は、クロスネットワーク ゲートウェイで使用するためにコントロール プレーンで解決されます。 |
REVISION | 文字列 | | |
REWRITE_PROBE_LEGACY_LOCALHOST_DESTINATION | ブール値 | false | 有効にすると、準備プローブは「localhost」に送信されます。それ以外の場合は、Kubernetes の動作に合わせて、ポッドの IP に送信されます。 |
ROOT_CA_DIR | 文字列 | ./etc/cacerts | ローカルまたはマウントされた CA ルートの場所 |
SHARED_MESH_CONFIG | 文字列 | | 共有 MeshConfig 設定をロードするための追加の構成マップ。標準のメッシュ構成が優先されます。 |
TOKEN_AUDIENCES | 文字列 | istio-ca | 証明書を発行する前にJWTトークンで確認する、カンマ区切りの対象者リスト。トークンは、対象者のいずれかに一致した場合に受け入れられます。 |
TOKEN_ISSUER | 文字列 | | OIDCトークン発行者。設定されている場合、トークンの確認に使用されます。 |
TRUSTED_GATEWAY_CIDR | 文字列 | | 設定されている場合、このCIDR範囲のゲートウェイからIstiodへの接続は、XFCCのような認証メカニズムを使用するために信頼されているとみなされます。これは、Istiodと認証ゲートウェイが信頼できる/安全なネットワークで実行されている場合にのみ使用できます。 |
UNSAFE_ENABLE_ADMIN_ENDPOINTS | ブール値 | false | これをtrueに設定すると、危険な管理エンドポイントがデバッグインターフェースに公開されます。本番環境では推奨されません。 |
UNSAFE_PILOT_ENABLE_DELTA_TEST | ブール値 | false | 有効にすると、Delta XDS効率のための追加のランタイムテストが追加されます。これらのチェックは非常にコストがかかるため、本番環境ではなくテストでのみ使用する必要があります。 |
UNSAFE_PILOT_ENABLE_RUNTIME_ASSERTIONS | ブール値 | false | 有効にすると、追加のランタイムアサートが実行されます。これらのチェックはコストがかかるだけでなく、失敗時にはパニックが発生します。そのため、テストでのみ使用する必要があります。 |
USE_CACERTS_FOR_SELF_SIGNED_CA | ブール値 | false | 有効にすると、istiodは自己署名されたistio生成ルート証明書を保存するためにcacertsという名前のシークレットを使用します。 |
USE_REMOTE_CERTS | ブール値 | false | 設定KubernetesクラスターからCA証明書をロードしようとするかどうか。外部Istiodに使用されます。 |
VALIDATION_WEBHOOK_CONFIG_NAME | 文字列 | istio-istio-system | 空でない場合、コントローラーはCA証明書が変更されたときにvalidatingwebhookconfigurationを自動的にパッチします。Kubernetes環境でのみ機能します。 |
XDS_AUTH | ブール値 | true | trueの場合、XDSクライアントを認証します。 |
XDS_AUTH_PLAINTEXT | ブール値 | false | プレーンテキストリクエストを認証します - Istiodが安全/信頼できるネットワークで実行されている場合に使用されます |
エクスポートされるメトリクス
| メトリック名 | 型 | 説明 |
|---|---|---|
auto_registration_deletes_total | 合計 | 定期タイマーによってクリーンアップされた自動登録の合計数。 |
auto_registration_errors_total | 合計 | 自動登録エラーの合計数。 |
auto_registration_success_total | 合計 | 成功した自動登録の合計数。 |
auto_registration_unregister_total | 合計 | 登録解除の合計数。 |
auto_registration_updates_total | 合計 | 自動登録更新の合計数。 |
citadel_server_authentication_failure_count | 合計 | 認証失敗の数。 |
citadel_server_cert_chain_expiry_seconds | LastValue | Istioによって生成された証明書チェーンの有効期限が切れるまでの残り時間(秒単位)。負の値は証明書が期限切れであることを示します。 |
citadel_server_cert_chain_expiry_timestamp | LastValue | Istioによって生成された証明書チェーンの有効期限が切れるUNIXタイムスタンプ(秒単位)。 |
citadel_server_csr_count | 合計 | Citadelサーバーが受信したCSRの数。 |
citadel_server_csr_parsing_err_count | 合計 | CSRの解析中に発生したエラーの数。 |
citadel_server_csr_sign_err_count | 合計 | CSRの署名中に発生したエラーの数。 |
citadel_server_id_extraction_err_count | 合計 | CSRからIDを抽出中に発生したエラーの数。 |
citadel_server_root_cert_expiry_seconds | LastValue | ルート証明書の有効期限が切れるまでの残り時間(秒単位)。負の値は証明書が期限切れであることを示します。 |
citadel_server_root_cert_expiry_timestamp | LastValue | ルート証明書の有効期限が切れるUNIXタイムスタンプ(秒単位)。 |
citadel_server_success_cert_issuance_count | 合計 | 成功した証明書発行の数。 |
controller_sync_errors_total | 合計 | コントローラーの同期エラーの合計数。 |
endpoint_no_pod | LastValue | 関連付けられたポッドのないエンドポイント。 |
galley_validation_config_load_error | 合計 | k8s Webhook構成の(再)ロードエラー |
galley_validation_config_update_error | 合計 | k8s Webhook構成の更新エラー |
galley_validation_config_updates | 合計 | k8s Webhook構成の更新 |
galley_validation_failed | 合計 | リソースの検証に失敗しました |
galley_validation_http_error | 合計 | リソースの検証HTTPサーブエラー |
galley_validation_passed | 合計 | リソースは有効です |
istio_build | LastValue | Istioコンポーネントのビルド情報 |
istiod_managed_clusters | LastValue | istiodによって管理されるクラスターの数 |
istiod_uptime_seconds | LastValue | 現在のistiodサーバーの稼働時間(秒単位) |
num_outgoing_retries | 合計 | 送信リトライリクエストの数(トークン交換サーバー、CAなどへのリクエスト) |
pilot_conflict_inbound_listener | LastValue | 競合するインバウンドリスナーの数。 |
pilot_conflict_outbound_listener_tcp_over_current_tcp | LastValue | 現在のTCPリスナーと競合するTCPリスナーの数。 |
pilot_debounce_time | 分布 | 最初の構成がデバウンスに入ってから、マージされたプッシュリクエストがプッシュキューにプッシュされるまでの遅延(秒単位)。 |
pilot_destrule_subsets | LastValue | 同じホストの宛先ルール全体で重複するサブセット |
pilot_dns_cluster_without_endpoints | LastValue | STRICT_DNSタイプのクラスターのエンドポイントフィールドが設定されていないか、対応するサブセットがエンドポイントを選択できないために発生する、エンドポイントのないDNSクラスター |
pilot_duplicate_envoy_clusters | LastValue | 同じホスト名を持つサービスエントリによって発生する重複するEnvoyクラスター |
pilot_eds_no_instances | LastValue | インスタンスのないクラスターの数。 |
pilot_endpoint_not_ready | LastValue | 準備ができていない状態のエンドポイントが見つかりました。 |
pilot_envoy_filter_status | LastValue | 適用されたかエラーが発生したかどうかのEnvoyフィルターのステータス。 |
pilot_inbound_updates | 合計 | パイロットが受信した更新の合計数。 |
pilot_info | LastValue | パイロットのバージョンとビルド情報。 |
pilot_jwks_resolver_network_fetch_fail_total | 合計 | パイロットJWKSリゾルバーによる失敗したネットワークフェッチの合計数 |
pilot_jwks_resolver_network_fetch_success_total | 合計 | パイロットJWKSリゾルバーによる成功したネットワークフェッチの合計数 |
pilot_k8s_cfg_events | 合計 | k8s構成からのイベント。 |
pilot_k8s_endpoints_pending_pod | LastValue | 現在、対応するポッドがないエンドポイントの数。 |
pilot_k8s_endpoints_with_no_pods | 合計 | 対応するポッドがないエンドポイント。 |
pilot_k8s_reg_events | 合計 | k8sレジストリからのイベント。 |
pilot_no_ip | LastValue | エンドポイントテーブルに見つからないポッド。おそらく無効です。 |
pilot_proxy_convergence_time | 分布 | 構成の変更からプロキシが必要なすべての構成を受信するまでの遅延(秒単位)。 |
pilot_proxy_queue_time | 分布 | プロキシがデキューされる前にプッシュキューにいる時間(秒単位)。 |
pilot_push_triggers | 合計 | プッシュがトリガーされた合計回数(プッシュの理由でラベル付け)。 |
pilot_pushcontext_init_seconds | 分布 | PilotがpushContextを初期化するのにかかる合計時間(秒単位)。 |
pilot_sds_certificate_errors_total | 合計 | SDSキーと証明書のフェッチに失敗した合計数。 |
pilot_services | LastValue | パイロットに認識されている合計サービス数。 |
pilot_total_rejected_configs | 合計 | パイロットが拒否または無視する必要があった構成の合計数。 |
pilot_total_xds_internal_errors | 合計 | パイロットの内部XDSエラーの合計数。 |
pilot_total_xds_rejects | 合計 | プロキシによって拒否されたパイロットからのXDS応答の合計数。 |
pilot_virt_services | LastValue | パイロットに認識されている合計仮想サービス数。 |
pilot_vservice_dup_domain | LastValue | 重複ドメインを持つ仮想サービス。 |
pilot_worker_queue_depth | LastValue | コントローラーキューの深さ |
pilot_worker_queue_duration | 分布 | アイテムの処理にかかった時間 |
pilot_worker_queue_latency | 分布 | アイテムが処理されるまでのレイテンシー |
pilot_xds | LastValue | XDSを使用してこのパイロットに接続しているエンドポイントの数。 |
pilot_xds_cds_reject | LastValue | パイロットが拒否したCDS構成。 |
pilot_xds_config_size_bytes | 分布 | クライアントにプッシュされた構成サイズの分布 |
pilot_xds_eds_reject | LastValue | パイロットが拒否したEDS。 |
pilot_xds_expired_nonce | 合計 | 期限切れのnonceを持つXDSリクエストの合計数。 |
pilot_xds_lds_reject | LastValue | パイロットが拒否したLDS。 |
pilot_xds_push_context_errors | 合計 | プッシュコンテキストの開始時のエラー(タイムアウト)の数。 |
pilot_xds_push_time | 分布 | パイロットがLDS、RDS、CDS、EDSをプッシュするのにかかる合計時間(秒単位)。 |
pilot_xds_pushes | 合計 | LDS、RDS、CDS、EDSのパイロットのビルドおよび送信エラー。 |
pilot_xds_rds_reject | LastValue | パイロットが拒否したRDS。 |
pilot_xds_send_time | 分布 | パイロットが生成された構成を送信するのにかかる合計時間(秒単位)。 |
pilot_xds_write_timeout | 合計 | パイロットXDS応答の書き込みタイムアウト。 |
provider_lookup_cluster_failures | 合計 | クラスターのルックアップが失敗した回数 |
remote_cluster_sync_timeouts_total | 合計 | リモートクラスターの同期に時間がかかりすぎて、リモートクラスターを除外する起動が遅くなった回数。 |
scrape_failures_total | 合計 | 失敗したスクレイプの合計数。 |
scrapes_total | 合計 | スクレイプの合計数。 |
sidecar_injection_failure_total | 合計 | 失敗したサイドカーインジェクションリクエストの合計数。 |
sidecar_injection_requests_total | 合計 | サイドカーインジェクションリクエストの合計数。 |
sidecar_injection_skip_total | 合計 | スキップされたサイドカーインジェクションリクエストの合計数。 |
sidecar_injection_success_total | 合計 | 成功したサイドカーインジェクションリクエストの合計数。 |
sidecar_injection_time_seconds | 分布 | インジェクションにかかった合計時間(秒単位)。 |
startup_duration_seconds | LastValue | プロセスの開始から準備完了とマークされるまでの時間。 |
wasm_cache_entries | LastValue | Wasmリモートフェッチキャッシュエントリの数。 |
wasm_cache_lookup_count | 合計 | Wasmリモートフェッチキャッシュルックアップの数。 |
wasm_config_conversion_count | 合計 | 成功、リモートロードなし、マーシャル失敗、リモートフェッチ失敗、リモートフェッチヒントの失敗など、Wasm構成変換の数と結果。 |
wasm_config_conversion_duration | 分布 | istio-agentがWasm構成のリモートロードの変換に費やす合計時間(ミリ秒単位)。 |
wasm_remote_fetch_count | 合計 | 成功、ダウンロード失敗、チェックサムの不一致など、Wasmリモートフェッチの数と結果。 |
webhook_patch_attempts_total | 合計 | Webhookのパッチ適用試行 |
webhook_patch_failures_total | 合計 | Webhookのパッチ適用の合計失敗数 |
webhook_patch_retries_total | 合計 | Webhookのパッチ適用リトライ |
xds_cache_dependent_config_size | LastValue | 依存構成の現在のサイズ |
xds_cache_evictions | 合計 | xdsキャッシュの退避の合計数。 |
xds_cache_reads | 合計 | xdsキャッシュのxdsCacheReadsの合計数。 |
xds_cache_size | LastValue | xdsキャッシュの現在のサイズ |