IBM Cloud Kubernetes Service CLI 参考

请参考以下命令来创建和管理社区 Kubernetes 或 Red Hat OpenShift 集群。IBM Cloud® Kubernetes Service

Kubernetes: 安装 Kubernetes CLI 插件。
OpenShift：安装Red Hat OpenShift CLI 插件。

在命令行中，ibmcloud CLI 和插件更新可用时会通知您。请确保您的命令行界面（CLI）保持最新状态，以便能够使用所有可用的命令和选项。

在查找 ibmcloud cr 命令吗？请参阅 IBM Cloud Container Registry CLI 参考。在查找 kubectl 命令吗？参见文档 Kubernetes。

IBM Cloud Kubernetes Service 命令

下表列出了 ibmcloud ks 命令组。要查看所有 ibmcloud ks 命令在命令行界面（CLI）中的完整结构列表，请参阅 CLI IBM Cloud Kubernetes Service 映射。

IBM Cloud Kubernetes Service CLI 命令组
命令组	描述
集群命令	创建、查看和修改集群和集群设置，如附加组件、子网和主节点设置。
worker 命令	查看和修改集群的工作程序节点。
工作程序池命令	查看和修改集群的工作程序池。
zone 命令	列出可用性区域并修改附加到工作程序池的区域。
Ingress 命令	查看和修改Ingress服务及设置。
日志记录命令	从集群转发日志。
nlb-dns 命令	在集群中创建并管理网络负载均衡器 (NLB) IP 地址的主机名，并管理主机名的运行状况检查监视器。
Webhook-create 命令	在集群中注册 Webhook。
api-key 命令	查看有关集群的 API 密钥的信息或将其重置为新密钥。
凭证命令	设置和取消设置允许您通过 IBM Cloud 帐户访问 IBM Cloud 经典基础架构产品服务组合的凭证。
infra-permissions 命令	检查在 IBM Cloud Kubernetes Service中使用的经典 IBM Cloud 基础架构权限。
KMS 命令	在集群中启用密钥管理服务 (KMS) 提供程序，以使用您控制的根密钥对 etcd 组件和 Kubernetes 密钥进行加密。
配额命令	查看 IBM Cloud 帐户中集群相关资源的配额和限制。
子网命令	列出 IBM Cloud 基础架构帐户中可用的子网。
vlan 命令	列出专区的公用和专用 VLAN，并查看 VLAN 生成状态。
VPCS 命令	列出目标资源组中的所有 VPC。如果未设置目标资源组，那么会列出帐户中的所有 VPC。
Flavor 命令	获取区域的类型模板或列表可用类型模板的信息。
位置命令	列出 IBM Cloud Kubernetes Service支持的位置。
消息命令	查看当前用户消息。
版本命令	列出集群 IBM Cloud Kubernetes Service 可用的容器平台版本。
不推荐使用 API 命令	查看或定位服务的API端点和API版本。
不推荐使用的 `init` 命令	初始化插件 IBM Cloud Kubernetes Service 或指定要创建或访问 Kubernetes 集群的区域。
script 命令	重写调用 IBM Cloud Kubernetes Service 插件命令的脚本。
Beta 存储命令	查看和修改存储资源。

`cluster` 命令

创建、查看和修改集群和集群设置，如附加组件、子网和主节点设置。

`ibmcloud ks cluster addon disable`

在现有集群中禁用受管附加组件。对于要禁用的受管附加组件，此命令必须与下列其中一个子命令组合在一起。

`ibmcloud ks cluster addon disable alb-oauth-proxy`

虚拟私有云经典基础设施

在集群中禁用 ALB OAuth 代理的附加组件。

ibmcloud ks cluster addon disable alb-oauth-proxy --cluster CLUSTER

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。

示例 `addon disable alb-oauth-proxy` 命令

ibmcloud ks cluster addon disable alb-oauth-proxy --cluster my_cluster

`ibmcloud ks cluster addon disable debug-tool`

虚拟私有云经典基础设施

禁用诊断和调试 IBM Cloud Kubernetes Service 工具的附加组件。

ibmcloud ks cluster addon disable debug-tool --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。

`ibmcloud ks cluster addon disable istio`

经典基础设施

禁用受管 Istio 附加组件。从集群中除去所有 Istio 核心组件，包括 Prometheus。

ibmcloud ks cluster addon disable istio --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：此 Istio 附加组件是和 istio-sample-bookinfo 托管 istio-extras 附加组件的依赖项。包含此选项可同时禁用这些附加组件。

`ibmcloud ks cluster addon disable istio-extras`

经典基础设施

禁用不受支持的受管 Istio 附加组件。从集群中除去 Grafana、Jager 和 Kiali。

ibmcloud ks cluster addon disable istio-extras --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：此 Istio 附加组件是托管 istio-sample-bookinfo 附加组件的依赖项。包含此选项也可禁用该附加组件。

`ibmcloud ks cluster addon disable istio-sample-bookinfo`

经典基础设施

禁用不受支持的托管 Istio 附加 BookInfo 组件。从集群中除去所有部署、pod 和其他 BookInfo 应用程序资源。

ibmcloud ks cluster addon disable istio-sample-bookinfo --cluster CLUSTER

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。

`ibmcloud ks cluster addon disable kube-terminal`

虚拟私有云经典基础设施

禁用 Web 终端 Kubernetes 附加组件。要在集群 IBM Cloud Kubernetes Service 控制台中使用 Web Kubernetes 终端，必须先重新启用该附加组件。

ibmcloud ks cluster addon disable kube-terminal --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。

`ibmcloud ks cluster addon disable static-route`

虚拟私有云经典基础设施

禁用静态路由附加组件。

ibmcloud ks cluster addon disable static-route --cluster CLUSTER

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

`ibmcloud ks cluster addon disable vpc-block-csi-driver`

经典基础设施

禁用 CSI 驱动程序 IBM Cloud VPCBlock Storage 附加组件。

ibmcloud ks cluster addon disable vpc-block-csi-driver --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。

`ibmcloud ks cluster addon enable`

在现有集群中启用受管附加组件。对于要启用的受管附加组件，此命令必须与下列其中一个子命令组合在一起。

`ibmcloud ks cluster addon enable alb-oauth-proxy`

虚拟私有云经典基础设施

在集群中为 ALB OAuth 代理启用附加组件。当您的应用程序访问列表（ALB）运行 Kubernetes Ingress镜像时，可通过配置Ingress与应用程序访问列表（ALB）OAuth IBM Cloud App ID 代理，强制执行应用程序的身份验证。

ibmcloud ks cluster addon enable alb-oauth-proxy --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。

示例 `addon enable alb-oauth-proxy` 命令

ibmcloud ks cluster addon enable alb-oauth-proxy --cluster my_cluster

`ibmcloud ks cluster addon enable debug-tool`

虚拟私有云经典基础设施

在集群中启用诊断和调试 IBM Cloud Kubernetes Service 工具的附加组件。

ibmcloud ks cluster addon enable debug-tool --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。

示例 `addon enable debug-tool` 命令

ibmcloud ks cluster addon enable debug-tool --cluster my_cluster

`ibmcloud ks cluster addon enable istio`

经典基础设施

启用受管 Istio 附加组件。安装 Istio 的核心组件，包括 Prometheus。

ibmcloud ks cluster addon enable istio --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。请注意，Istio V 1.3 仅在 Kubernetes V 1.15 和更低版本的集群中受支持，Istio V 1.4 和更高版本仅在 Kubernetes V 1.16 和更高版本的集群中受支持。

`ibmcloud ks cluster addon enable static-route`

虚拟私有云经典基础设施

启用静态路由附加组件。

ibmcloud ks cluster addon enable static-route --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--cluster CLUSTER: 必填：集群的名称或ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。

`ibmcloud ks cluster addon enable vpc-block-csi-driver`

虚拟私有云

启用 CSI 驱动程序 IBM Cloud VPCBlock Storage 附加组件。

ibmcloud ks cluster addon enable vpc-block-csi-driver --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--cluster CLUSTER: 必填：集群的名称或ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。

`ibmcloud ks cluster addon get`

虚拟私有云经典基础设施

查看已安装附加组件的详细信息。

ibmcloud ks cluster addon get --addon ADDON --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--addon ADDON: 必填：文件名 addon。要列出已安装的附加组件，请运行 ibmcloud ks cluster addon ls。
-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks cluster addon ls`

虚拟私有云经典基础设施

列出集群中已启用的所有受管附加组件。

ibmcloud ks cluster addon ls --cluster CLUSTER

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。

`ibmcloud ks cluster addon options`

虚拟私有云经典基础设施

在启用附加组件之前，请查看其安装选项。

ibmcloud ks cluster addon options --addon ADDON [--output OUTPUT] [-q] [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--addon ADDON: 必填：文件名 addon。要列出可用的附加组件，请运行 ibmcloud ks cluster addon versions。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。
--version VERSION: 可选：指定要显示选项的附加组件版本。如果未指定版本，那么将显示缺省版本的选项。要列出可用的附加组件版本，请运行 ibmcloud ks cluster addon versions。

`ibmcloud ks cluster addon update`

虚拟私有云经典基础设施

更新已安装的附加组件。

ibmcloud ks cluster addon update ADD-ON_NAME --cluster CLUSTER [-f] [-q] [--version VERSION] [-y]

最低必需许可权: 无

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。
--version VERSION: 可选: 指定要将附加组件更新到的版本。如果未指定版本，那么该附加组件将更新为缺省版本。要列出可用的附加组件版本，请运行 ibmcloud ks cluster addon versions。

`ibmcloud ks cluster addon versions`

虚拟私有云经典基础设施

查看 IBM Cloud Kubernetes Service 中支持的受管附加组件版本的列表。

ibmcloud ks cluster addon versions [--addon ADD-ON_NAME] [--output json] [-q]

最低必需许可权: 无

命令选项：

--addon ADD-ON_NAME: 可选：指定附加组件名称（例如） istio，用于筛选版本。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `addon versions` 命令

ibmcloud ks cluster addon versions --addon istio

`ibmcloud ks cluster ca create`

虚拟私有云经典基础设施

为您的集群创建一个新的证书颁发机构（CA）。创建 CA 并为集群中的组件发放新的 CA 证书后，将自动刷新集群的 API 服务器。

运行此命令之后，在运行 ibmcloud ks cluster ca rotate 命令之前，请执行在集群中旋转 CA 证书中的步骤，以确保使用旧 CA 签署的证书的任何工具都将更新为使用新证书并更新工作程序节点。

ibmcloud ks cluster ca create --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ca create` 命令

ibmcloud ks cluster ca create --cluster my_cluster

`ibmcloud ks cluster ca get`

虚拟私有云经典基础设施

查看集群的 CA 证书的详细信息。

ibmcloud ks cluster ca get --cluster CLUSTER [ --output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ca get` 命令

ibmcloud ks cluster ca get --cluster my_cluster

`ibmcloud ks cluster ca rotate`

虚拟私有云经典基础设施

轮换集群中的证书颁发机构（CA）证书。循环使由集群的先前 CA 签署的证书失效，并将由集群的新 CA 签署的证书发放到工作程序节点。

在运行此命令之前，请遵循在集群中旋转 CA 证书中的步骤，以确保使用旧 CA 证书的任何工具都已更新为使用新证书并更新工作程序节点。

ibmcloud ks cluster ca rotate --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ca rotate` 命令

ibmcloud ks cluster ca rotate --cluster my_cluster

`ibmcloud ks cluster ca status`

虚拟私有云经典基础设施

运行 ibmcloud ks cluster ca rotate 后，查看集群的认证中心 (CA) 证书的轮换状态。

ibmcloud ks cluster ca status --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ca status` 命令

ibmcloud ks cluster ca status --cluster my_cluster

`ibmcloud ks cluster config`

虚拟私有云经典基础设施

登录后 IBM Cloud，将 Kubernetes 配置数据和证书下载为文件 kubeconfig 至本地机器，以便连接集群并执行命令 kubectl。

kubeconfig 文件将合并到 ~/.kube/config 中的现有 kubeconfig 文件 (在 Windows 中为 <user_profile>/.kube/config ) 或由 KUBECONFIG 环境变量在命令行会话中设置的最后一个文件。运行 ibmcloud ks cluster config 后，可以立即与集群进行交互，并将上下文快速更改为 Kubernetes 上下文中的其他集群。

ibmcloud ks cluster config --cluster CLUSTER [--admin] [--endpoint ENDPOINT_TYPE] [--network] [--skip-rbac] [-q] [-o]

最低必需许可权

查看者 或读者 IBM Cloud IBM Cloud Kubernetes Service中集群的 IAM 服务访问角色。此外，若您仅拥有平台访问角色或仅拥有服务访问角色，则适用额外限制。

平台：若您仅拥有平台访问角色，则可执行此命令，但需具备服务访问角色才能在集群中执行 Kubernetes 操作。
服务：若您拥有访问 service 权限角色，即可执行此命令。但是，集群管理员必须通过运行 ibmcloud ks cluster ls 命令或使用 IBM Cloud Kubernetes Service 控制台为您收集集群详细信息。收到集群名称和标识之后，可以通过 CLI 启动 Kubernetes 仪表板，并使用 Kubernetes。

命令选项：

-c, --cluster CLUSTER

必填：集群的名称或ID。

--admin

可选：使用此选项需要 Administrator 平台角色。下载超级用户角色的 TLS 证书和许可权文件。文件已下载至 <user_home_directory>/.bluemix/plugins/kubernetes-service/clusters/<cluster_name>-admin。证书可以撤销或轮换。如需了解更多信息，请参阅在群集中旋转 CA 证书。

--endpoint ENDPOINT_TYPE

可选: 指定用于连接到集群的端点的类型。如果未指定此选项，那么将使用集群的缺省服务端点。

private: 如果为集群启用了私有云服务端点，请设置为 private 以将私有云服务端点用于集群上下文。请注意，您必须位于 IBM Cloud 专用网络中，或者通过 VPC VPN 连接连接到专用网络，或者对于经典基础架构，经典 VPN 连接或 IBM Cloud Direct Link。
vpe: 如果是 VPC 集群，请设置为 vpe 以将虚拟专用端点网关用于集群上下文。请注意，您必须连接到通过 VPC VPN 连接部署集群的同一 VPC。

--network

可选：下载运行集群 calicoctl 中命令所需的配置文件 Calico、TLS证书和权限文件。

--skip-rbac

跳过基于 IBM Cloud IAM 服务访问角色向集群配置添加用户 Kubernetes RBAC 角色的操作。仅当您管理自己的 Kubernetes RBAC 角色时，才包含此选项。如果使用 IBM Cloud IAM 服务访问角色来管理所有 RBAC 用户，请不要包含此选项。

-q

可选：不显示当天的消息或更新提示。

-o

可选：以 YAML、JSON 或 .zip 格式。

示例 `cluster config` 命令

ibmcloud ks cluster config --cluster my_cluster

`ibmcloud ks cluster create classic`

经典基础设施

在经典基础架构上创建具有工作程序节点的集群。

ibmcloud ks cluster create classic [--hardware HARDWARE] --zone ZONE --flavor FLAVOR --name NAME  [--operating-system SYSTEM] [--version MAJOR.MINOR.PATCH] [--no-subnet] [--sm-group GROUP] [--sm-instance INSTANCE] [--private-vlan PRIVATE_VLAN] [--public-vlan PUBLIC_VLAN] [--private-only] [--private-service-endpoint] [--public-service-endpoint] [--workers WORKER] [--disable-disk-encrypt] [--pod-subnet SUBNET] [--service-subnet SUBNET] [--skip-advance-permissions-check] [-q]

要创建 VPC 集群，请改为使用 ibmcloud ks cluster create vpc-gen2 命令。

最低必需许可权: 管理员平台访问角色 （账户 IBM Cloud Kubernetes Service 级别）; 管理员平台访问角色 （账户 IBM Cloud Container Registry 级别）; 对 IBM Cloud 基础架构的超级用户角色

命令选项：

--hardware HARDWARE

工作程序节点的硬件隔离级别。使用 dedicated，以便可用的物理资源仅供您专用，或者使用 shared 以允许物理资源与其他 IBM 客户共享。缺省值为 shared。对于裸机类型模板，请指定 dedicated。

--zone ZONE

要在其中创建集群的专区。此值对于标准集群是必需的。

查看可用的经典或 VPC 区域。选择您所在国家或地区以外的专区时，请记住，您可能需要法律授权才能将数据实际存储在国外。

--flavor FLAVOR

为工作程序节点选择类型模板（或机器类型）。可以将工作程序节点作为虚拟机部署在共享或专用硬件上，也可以作为物理机器部署在裸机上。可用的物理和虚拟类型模板随集群的部署专区而变化。有关更多信息，请参阅 ibmcloud ks flavors (machine-types) 命令的文档。

--name NAME

必填：集群名称。名称必须以字母开头，可包含字母、数字、句点(.)和连字符(-)，且长度不得超过35个字符。请使用在各区域中唯一的名称。集群名称和部署集群的区域构成了 Ingress 子域的标准域名。为了确保 Ingress 子域在区域内是唯一的，可能会截断 Ingress 域名中的集群名称并附加随机值。

--operating-system UBUNTU_20_64|UBUNTU_24_64

可选。集群中工作程序节点的操作系统。如需按集群版本查看可用操作系统列表，请参阅 Kubernetes 版本信息。如果未指定任何选项，那么将使用与集群版本对应的缺省操作系统。

--version MAJOR.MINOR.PATCH

可选：集群主节点的版本 Kubernetes。未指定版本时，会使用受支持 Kubernetes 版本的缺省值来创建集群。要查看可用版本，请运行 ibmcloud ks versions.

--no-subnet

缺省情况下，将在与集群关联的 VLAN 上创建公用和专用可移植子网。包含该 --no-subnet 选项以避免在集群中创建子网。您可以日后为集群创建或添加子网。

--sm-group GROUP

存储您密钥的实例 Secrets Manager 的秘密组ID。要获取私钥组标识，请参阅 Secrets Manager CLI 参考。

--sm-instance INSTANCE

Secrets Manager 实例的 CRN。要获取实例的 CRN，请运行 ibmcloud ks ingress instance ls --cluster CLUSTER。

--private-vlan PRIVATE_VLAN

如果此标准集群是您在此区域创建的首个标准集群，则无需包含此选项。创建集群时，将为您创建专用 VLAN。如果之前在此专区中已创建标准集群，或者之前在 IBM Cloud 基础架构中已创建专用 VLAN，那么必须指定该专用 VLAN。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。

要查看是否已为特定区域创建私有VLAN，或查询现有私有VLAN的名称，请运行 ibmcloud ks vlan ls --zone ZONE.

--public-vlan PUBLIC_VLAN

如果此标准集群是您在此区域创建的首个标准集群，请勿使用此选项。创建集群时，将为您创建公用 VLAN。如果之前在此专区中已创建标准集群，或者之前在 IBM Cloud 基础架构中已创建公用 VLAN，请指定该公用 VLAN。若需将工作节点仅连接至私有VLAN，请勿指定此选项。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。

要查看是否已为特定区域创建公共VLAN，或查询现有公共VLAN的名称，请运行 ibmcloud ks vlan ls --zone ZONE.

--private-only

使用此选项可阻止创建公用 VLAN。仅当指定 --private-vlan 选项且不包含 --public-vlan 选项时才需要。如果工作节点仅配置了私有VLAN，则必须启用私有云服务端点或配置网关设备。有关更多信息，请参阅工作程序与主节点的通信以及用户与主节点的通信。

--private-service-endpoint

通过 VRF 和服务端点启用的帐户中的标准集群: 启用私有云服务端点，以便 Kubernetes 主节点和工作程序节点通过专用 VLAN 进行通信。此外，您还可以通过启用公共云服务端点选项 --public-service-endpoint，经由互联网访问您的集群。若仅启用私有云服务端点，则必须连接到私有VLAN才能与主 Kubernetes 节点通信。启用私有云服务端点后，您将无法再将其禁用。创建集群后，可通过运行以下命令获取 ibmcloud ks cluster get --cluster <cluster_name_or_ID> 端点：

--public-service-endpoint

启用公共云服务端点，以便您的 Kubernetes 主节点可通过公共网络访问，例如从命令行运行 kubectl 命令。只能在未启用 VRF 的帐户中创建仅公用集群。如果您具有使用 VRF 和服务端点启用的帐户并且还包含 --private-service-endpoint 选项，那么主工作程序节点通信将通过专用网络和公用网络进行。若需仅限私有集群，您可稍后禁用公共云服务端点。创建集群后，可通过运行以下命令获取 ibmcloud ks cluster get --cluster <cluster_name_or_ID> 端点：

--workers WORKERS

可选：指定要包含在集群中的工作节点数量。缺省值为 1。如果创建每个专区仅有一个工作程序节点的集群，那么可能会遇到 Ingress 问题。为实现高可用性，请在每个区域创建至少包含两个工作节点的集群。系统会为每个工作程序节点分配唯一的工作程序节点标识和域名，在创建集群后，不得手动更改该标识和域名。更改标识或域名会阻止 Kubernetes 主节点管理集群。

--disable-disk-encrypt

工作程序节点缺省情况下具有 AES 256 位磁盘加密功能；了解更多。要禁用加密，请包括此选项。

--pod-subnet SUBNET

默认情况下，部署到工作节点的所有容器都会被分配一个私有IP地址，该地址位于指定的 172.17.0.0/18 IP地址范围之内。若计划通过 IBM Cloud® Direct Link 或VPN服务将集群连接至本地网络，可通过指定自定义子网CIDR（为Pod提供私有IP地址）来避免子网冲突。

选择子网大小时，请考虑计划创建的集群的大小以及未来可能添加的工作程序节点数。子网必须至少具有 /23 CIDR 16 的地址空间，这可为集群中最多四个工作节点提供足够的 Pod IP 地址。对于较大的集群，请使用 /22 为 8 个工作程序节点提供足够的 pod IP 地址，使用 /21 为 16 个工作程序节点提供足够的 pod IP 地址，以此类推。

您选择的子网必须在下列其中一个范围内:

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
198.18.0.0 - 198.19.255.255

请注意，pod 和服务子网不能重叠。缺省情况下，服务子网在 172.21.0.0/16 范围内。

--service-subnet *SUBNET

缺省情况下，部署到集群的所有服务都会分配有 172.21.0.0/16 范围内的专用 IP 地址。若计划通过 IBM Cloud Direct Link 或VPN服务将集群连接至本地网络，可通过指定自定义子网CIDR（用于为服务提供私有IP地址）来避免子网冲突。

子网必须以 CIDR 格式指定，大小至少为 /24，这允许集群中最多 255 个服务或更大的服务。您选择的子网必须在下列其中一个范围内:

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
198.18.0.0 - 198.19.255.255

请注意，pod 和服务子网不能重叠。缺省情况下，pod 子网在 172.30.0.0/16 范围内。

--skip-advance-permissions-check

可选: 在创建集群之前，跳过基础架构许可权检查。请注意，如果您没有正确的基础架构许可权，那么集群创建可能仅会部分成功，例如主供应，但工作程序节点无法供应。您可以跳过许可权检查，以确定是否要继续以其他方式阻止的操作，例如，当您使用多个基础架构帐户时，如果稍后需要，可以单独处理基础架构资源。

-q

可选：不显示当天的消息或更新提示。

示例 `cluster create classic` 命令

创建您的第一个集群：在区域中创建的第一个标准集群也会创建一个私有VLAN。因此，请勿包含 --public-vlan 选项。

ibmcloud ks cluster create classic --zone dal10 --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --name my_cluster --hardware shared --workers 2 --operating-system UBUNTU_20_64

创建后续标准集群：若您已在此区域创建过标准集群，或在 IBM Cloud 基础架构中创建过公共VLAN，请使用该 --public-vlan 选项指定该公共VLAN。要查看是否已为特定区域创建公共VLAN，或查询现有公共VLAN的名称，请运行 ibmcloud ks vlan ls --zone <zone>.

ibmcloud ks cluster create classic --zone dal10 --public-vlan my_public_VLAN_ID --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --name my_cluster --hardware shared --workers 2 --operating-system UBUNTU_20_64

`ibmcloud ks cluster create vpc-gen2`

虚拟私有云

在第 2 代基础结构上创建具有工作程序节点的虚拟私有云 (VPC) 集群。登录到 IBM Cloud 帐户时，请将要在其中创建 VPC 集群的 IBM Cloud 区域和资源组设定为目标。有关支持的区域，请参阅在其他区域中创建 VPC。集群的资源组可以不同于 VPC 资源组。

具有实例存储器的 VPC Gen 2 集群虚拟硬件样板可用于列入允许列表的帐户。要添加到允许列表，请在支持下打开案例。

ibmcloud ks cluster create vpc-gen2 --name NAME --zone ZONE --vpc-id VPC_ID --subnet-id VPC_SUBNET_ID --flavor WORKER_FLAVOR [--cluster-security-group GROUP_ID] [--cni CNI] [--operating-system SYSTEM] [--version VERSION] [--workers NUMBER_WORKERS_PER_ZONE] [--dedicated-host-pool POOL] [--disable-outbound-traffic-protection] [--disable-public-service-endpoint] [--pod-subnet SUBNET] [--service-subnet SUBNET] [--kms-account-id ID] [--kms-instance KMS_INSTANCE_ID] [--crk ROOT_KEY_ID][--skip-advance-permissions-check] [--sm-group GROUP] [--sm-instance INSTANCE] [-q] [--secondary-storage STORAGE]

最低必需许可权: VPC 基础架构的管理员 平台访问角色。; 针对帐户级别的 IBM Cloud Kubernetes Service 的 管理员 平台访问角色。; Writer 或 Manager 服务访问角色，用于 IBM Cloud Kubernetes Service。; 针对帐户级别的 IBM Cloud Container Registry 的 管理员 平台访问角色。

命令选项：

--name NAME

--zone ZONE

必填：选择要部署初始集群工作进程池的区域。如果在多专区大城市中创建集群，那么日后可以向工作程序池添加专区。要列出可用的VPC区域，请运行 ibmcloud ks zone ls --provider vpc-gen2.

选择您所在国家或地区以外的专区时，请记住，您可能需要法律授权才能将数据实际存储在国外。

--vpc-id VPC_ID

必填：用于创建集群和工作节点的虚拟私有云（VPC）的ID。要列出可用ID，请运行 ibmcloud ks vpcs.

--subnet-id VPC_SUBNET_ID

必填：用于分配集群的VPC子网。要列出可用的VPC子网，请运行 ibmcloud ks subnets --provider vpc-gen2.

--version VERSION

集群主节点的 Kubernetes 版本。要查看可用版本，请运行 ibmcloud ks versions.

--flavor FLAVOR

选择工作程序节点的类型模板。可以将多个工作程序节点作为虚拟机部署在共享或专用硬件上。要查看某个区域中可用的风味，请运行 ibmcloud ks flavors --zone <vpc_zone> --provider vpc-gen2.

--cni CNI

为群集设置网络插件。 Calico 默认设置为接受的值: Calico，OVNKubernetes

--cluster-security-group GROUP_ID

可选。指定要应用于集群中所有工作节点的额外安全组ID。对于要添加的每个单独的安全组，必须包含单独的 --cluster-security-group 选项。要应用创建 IBM 的 kube-clusterID，请使用 --cluster-security-group cluster。如果未指定值，那么将仅应用 kube-clusterID 和缺省 VPC 安全组。最多可以将 5 个安全组应用于工作程序，包括缺省安全组。请注意，仅当未指定其他安全组时，才会应用 VPC 安全组。有关更多信息，请参阅在创建期间向集群和工作程序池添加 VPC 安全组。一旦创建了集群，就无法更改应用于集群的安全组。您可以更改应用于集群的安全组的规则，但不能在集群级别添加或除去安全组。如果在集群创建时应用了不正确的安全组，那么必须删除该集群并创建新的安全组。有关更多信息，请参阅在创建期间向集群和工作程序池添加 VPC 安全组。

--operating-system UBUNTU_20_64|UBUNTU_24_64

--preview PREVIEW

可选: 指定一个或多个集群级别预览功能，例如 fips。

--dedicated-host-pool POOL

可选: 要在其中运行工作程序的专用主机池的标识。

--workers NUMBER_WORKERS_PER_ZONE

可选：指定要包含在集群中的工作节点数量。缺省值为 1。

--disable-outbound-traffic-protection

包含此选项以允许来自集群工作程序的公共出站访问。缺省情况下，将在 OpenShift 版本 4.15 和更高版本以及 Kubernetes 版本 1.30 和更高版本中阻止公共出站访问。

--disable-public-service-endpoint

为确保工作节点和授权集群用户仅通过私有云服务端点与主节点通信，请包含此选项以创建不包含公有云服务端点的集群。

--pod-subnet SUBNET

在 VPC 中创建的第一个集群中，缺省 pod 子网为 172.17.0.0/18。在该 VPC 中创建的第二个集群中，缺省 pod 子网为 172.17.64.0/18。在每个后续集群中，pod 子网范围是下一个可用的非重叠 /18 子网。若计划通过 IBM Cloud® Direct Link 或VPN服务将集群连接至本地网络，可通过指定自定义子网CIDR（为Pod提供私有IP地址）来避免子网冲突。

: 默认情况下，部署到工作节点的所有容器都会被分配一个私有IP地址，该地址位于指定的 172.17.0.0/18 IP地址范围之内。若计划通过 IBM Cloud® Direct Link 或VPN服务将集群连接至本地网络，可通过指定自定义子网CIDR（为Pod提供私有IP地址）来避免子网冲突。

对于 VPC 集群，可以通过在 --pod-subnet 选项中包含子网大小来指定子网大小。例如: --pod-subnet 0.0.0.0/X，其中 X 是必需的 pod 子网大小。然后，将自动选择 pod 子网。自动分配 pod 子网时，分配将从 172.17.0.0 开始，最大子网限制为 13，最小子网大小限制为 23。有关更多信息，请参阅配置 VPC 子网。您选择的子网必须在下列其中一个范围内。

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
198.18.0.0 - 198.19.255.255

请注意，pod 和服务子网不能重叠。如果对工作程序节点使用定制范围子网，那么必须确保工作程序节点子网与集群的 pod 子网不重叠。

--service-subnet SUBNET

缺省情况下，部署到集群的所有服务都会分配有 172.21.0.0/16 范围内的专用 IP 地址。若计划通过 IBM Cloud Direct Link 或VPN服务将集群连接至本地网络，可通过指定自定义子网CIDR（用于为服务提供私有IP地址）来避免子网冲突。子网必须以 CIDR 格式指定，大小至少为 /24，这允许集群中最多 255 个服务或更大的服务。您选择的子网必须在下列其中一个范围内。

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
198.18.0.0 - 198.19.255.255

请注意，pod 和服务子网不能重叠。

--skip-advance-permissions-check

--kms-account-id ID

可选：包含您要用于本地磁盘或密钥加密的 KMS 实例的账户 ID。

--kms-instance KMS_INSTANCE_ID

可选: 包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的密钥管理服务 (KMS) 实例的标识。要列出可用的 KMS 实例，请运行 ibmcloud ks kms instance ls. 若包含此选项，则必须同时包含选项 --crk。必须先创建 KMS 实例并在 IAM 中设置所需的服务授权，然后才能使用 KMS 加密。请参阅管理集群中工作程序节点的加密。

--crk ROOT_KEY

可选: 在 KMS 实例中包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的根密钥的标识。要列出可用的根密钥，请运行 ibmcloud ks kms crk ls --instance-id. 若包含此选项，则必须同时包含选项 --kms-instance。必须先创建 KMS 实例并在 IAM 中设置所需的服务授权，然后才能使用 KMS 加密。请参阅管理集群中工作程序节点的加密。

--sm-group GROUP

存储您密钥的实例 Secrets Manager 的秘密组ID。要获取私钥组标识，请参阅 Secrets Manager CLI 参考。

--sm-instance INSTANCE

Secrets Manager 实例的 CRN。要查找实例的 CRN，请运行 ibmcloud ks ingress instance ls --cluster CLUSTER。

--secondary-storage STORAGE

可选: 类型模板的存储选项。例如，900gb.5iops-tier。添加辅助磁盘时，该磁盘用于容器运行时，而主磁盘用于操作系统。要查看类型模板的存储选项，请运行 **ibmcloud ks flavor get --flavor FLAVOR --zone ZONE --provider vpc-gen2 命令。

-q

可选：不显示当天的消息或更新提示。

示例 `cluster create vpc-gen2` 命令

ibmcloud ks cluster create vpc-gen2 --name mycluster --version 1.33 --zone us-south-1 --vpc-id a0123456-78b9-0c1d-23d4-567890123ef4 --subnet-id 1ab23c45-6789-0123-456d-789ef01gh234 --flavor bx2.4x16 --workers 3

`ibmcloud ks cluster get`

虚拟私有云经典基础设施

查看集群的详细信息。

ibmcloud ks cluster get --cluster CLUSTER [--show-resources] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--show-resources: 显示更多集群资源，例如附加组件、VLAN、子网和存储器。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster get` 命令

ibmcloud ks cluster get --cluster my_cluster --show-resources

`ibmcloud ks cluster image-security disable`

虚拟私有云经典基础设施

禁用映像安全性实施。禁用该功能时，将除去底层 ClusterImagePolicy CRD，这将除去所有缺省映像策略以及您创建的任何定制映像策略。

ibmcloud ks cluster image-security disable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster image-security disable` 命令

ibmcloud ks cluster image-security disable --cluster my_cluster

`ibmcloud ks cluster image-security enable`

虚拟私有云经典基础设施

通过在集群中安装准入 PortierisKubernetes 控制器及关联的默认镜像策略，启用镜像安全强制执行。

ibmcloud ks cluster image-security enable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster image-security enable` 命令

ibmcloud ks cluster image-security enable --cluster my_cluster

`ibmcloud ks cluster ls`

虚拟私有云经典基础设施 Satellite

列出 IBM Cloud 帐户中的所有集群。

这将返回所有位置中的集群。要按特定位置过滤簇，请包含选项 --location。例如，如果是按 dal 大城市过滤集群，那么会返回该大城市中的多专区集群以及该大城市内数据中心（专区）中的单专区集群。如果是按 dal10 数据中心（专区）过滤集群，那么将返回在该专区中具有工作程序节点的多专区集群以及该专区中的单专区集群。可以传递一个位置，也可以传递以逗号分隔的位置列表。

ibmcloud ks cluster ls [--provider (classic | vpc-gen2)] [--location LOCATION] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--provider (classic | vpc-gen2): 可选：根据基础设施提供商类型过滤输出。
-l, --location LOCATION: 按特定位置过滤输出。要查看支持的位置，请运行 ibmcloud ks locations. 要指定多个位置，请为每个位置使用一个选项，例如 -l dal -l seo.
--output json: 可选：以 JSON 格式打印命令输出。注: 如果不包含 --provider 选项，那么仅返回经典集群。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ls` 命令

ibmcloud ks cluster ls -l ams03 -l wdc -l ap

`ibmcloud ks cluster master audit-webhook`

修改用于将 API 服务器审计日志转发到远程服务器的 Webhook 后端。

不推荐使用这些命令的 apiserver-config-get|set|unset audit-webhook 别名。

`ibmcloud ks cluster master audit-webhook get`

查看要向其发送 API 服务器审计日志的远程日志记录服务的 URL。 URL 是在您为 API 服务器配置创建 Webhook 后端时指定的。

ibmcloud ks cluster master audit-webhook get --cluster CLUSTER [-q]

经典基础设施

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master audit-webhook get` 命令

ibmcloud ks cluster master audit-webhook get --cluster mycluster

`ibmcloud ks cluster master audit-webhook set`

经典基础设施

设置 API 服务器配置的 Webhook 后端。 Webhook 后端将 API 服务器审计日志转发到远程服务器。设置 Webhook 后，必须运行 ibmcloud ks cluster master refresh 命令以将更改应用于 Kubernetes 主节点。

ibmcloud ks cluster master audit-webhook set --cluster CLUSTER [--remote-server SERVER_URL_OR_IP] [--ca-cert CA_CERT_PATH] [--client-cert CLIENT_CERT_PATH] [--client-key CLIENT_KEY_PATH] [--policy POLICY] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--remote-server SERVER_URL: 可选：要发送审核日志的远程日志服务所使用的端口 URL 或IP地址。如果提供不安全的服务器 URL，那么将忽略任何证书。若提供IP地址，请在IP地址前添加前缀 http://。
--ca-cert CA_CERT_PATH: 可选：用于验证远程日志记录服务的CA证书文件路径。
--client-cert CLIENT_CERT_PATH: 可选：用于对远程日志服务进行身份验证的客户端证书文件路径。
--client-key CLIENT_KEY_PATH: 可选：用于连接远程日志服务的对应客户端密钥的文件路径。
--policy POLICY: 可选: 用于审计的策略类型。使用 default 或 verbose。请注意，verbose 策略类型会审计更多的 API 事务，这可能会影响集群性能，并且仅建议偶尔使用。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master audit-webhook set` 命令

ibmcloud ks cluster master audit-webhook set --cluster my_cluster --remote-server https://audit.example.com/audit --ca-cert /mnt/etc/kubernetes/apiserver audit/ca.pem --client-cert /mnt/etc/kubernetes/apiserver audit/cert.pem --client-key /mnt/etc/kubernetes/apiserver audit/key.pem

`ibmcloud ks cluster master audit-webhook unset`

经典基础设施

禁用集群 API 服务器的 Webhook 后端配置。禁用 Webhook 后端会停止将 API 服务器审计日志转发到远程服务器。

ibmcloud ks cluster master audit-webhook unset --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks cluster master console-oauth-access get`

获取 OpenShift Web 控制台和 OAuth 服务器访问类型。

ibmcloud ks cluster master console-oauth-access get --cluster CLUSTER [--output OUTPUT] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
-q: 不显示每日消息或更新提示。

`ibmcloud ks cluster master console-oauth-access set`

设置 OpenShift Web 控制台和 OAuth 服务器访问类型。

ibmcloud ks cluster master console-oauth-access set --cluster CLUSTER [-f] [-q] [--type TYPE]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
-f: 强制此命令运行，而不显示用户提示。
-q: 不显示每日消息或更新提示。
--type TYPE: 指定 Web 控制台和 OAuth OpenShift 服务器的访问类型。接受的值: vpe-gateway，legacy

`ibmcloud ks cluster master pod-security get`

虚拟私有云经典基础设施

查看集群 Kubernetes API 服务器的 Pod 安全准入配置。

ibmcloud ks cluster master pod-security get --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security get` 命令

ibmcloud ks cluster master pod-security get --cluster mycluster

`ibmcloud ks cluster master pod-security policy disable`

虚拟私有云经典基础设施

禁用 Kubernetes 集群API服务器的Pod安全策略。

ibmcloud ks cluster master pod-security policy disable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security policy disable` 命令

ibmcloud ks cluster master pod-security policy disable --cluster mycluster

`ibmcloud ks cluster master pod-security policy enable`

虚拟私有云经典基础设施

为集群的 Kubernetes API 服务器启用 Pod 安全策略。请注意，在运行版本 1.25 或更高版本的集群中，不支持使用 pod 安全策略。

ibmcloud ks cluster master pod-security policy enable --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security policy enable` 命令

ibmcloud ks cluster master pod-security policy enable --cluster mycluster

`ibmcloud ks cluster master pod-security policy get`

虚拟私有云经典基础设施

查看集群 Kubernetes API 服务器的 Pod 安全策略配置。请注意，在运行版本 1.25 或更高版本的集群中，不支持使用 pod 安全策略。

ibmcloud ks cluster master pod-security policy get --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security policy get` 命令

ibmcloud ks cluster master pod-security policy get --cluster mycluster

`ibmcloud ks cluster master pod-security set`

虚拟私有云经典基础设施

为集群的 Kubernetes API服务器设置并启用Pod安全准入策略。

ibmcloud ks cluster master pod-security set --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security set` 命令

ibmcloud ks cluster master pod-security set --cluster mycluster

`ibmcloud ks cluster master pod-security unset`

虚拟私有云经典基础设施

移除集群 Kubernetes API服务器的 Pod 安全准入配置。

ibmcloud ks cluster master pod-security unset --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security unset` 命令

ibmcloud ks cluster master pod-security unset --cluster mycluster

`ibmcloud ks cluster master private-service-endpoint allowlist`

不再支持专用服务端点允许列表。尽快从允许列表迁移到基于上下文的限制。有关更多信息，请参阅从专用服务端点允许列表迁移到基于上下文的限制(CBR)。

管理私有云服务端点允许列表，以便授权用户只能从允许列表中指定的子网访问私有云服务端点。

`ibmcloud ks cluster master private-service-endpoint allowlist add`

虚拟私有云经典基础设施

启用私有云服务端点允许列表后，将授权用户可从中访问私有云服务端点的子网添加到允许列表。

例如，要访问集群的私有云服务端点，必须通过 VPN 或 IBM Cloud Direct Link连接到 IBM Cloud 经典网络或 VPC 网络。您可以为 VPN 或 IBM Cloud Direct Link 隧道添加子网，以便组织中的授权用户只能从该子网访问私有云服务端点。

工作程序节点子网将自动添加到允许列表中并从允许列表中除去，以便工作程序节点可以始终通过私有云服务端点访问主节点。

ibmcloud ks cluster master private-service-endpoint allowlist add --cluster CLUSTER --subnet SUBNET [--subnet SUBNET ...] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--subnet SUBNET: 必需 :CIDR 格式的子网。使用多个重复选项指定多个子网。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist add` 命令

ibmcloud ks cluster master private-service-endpoint allowlist add --cluster mycluster --subnet 1.1.1.1/16

`ibmcloud ks cluster master private-service-endpoint allowlist disable`

虚拟私有云经典基础设施

对集群的私有云服务端点禁用子网允许列表功能。

禁用此功能后，通过集群的私有云服务端点向集群主节点发出的授权请求可以源自任何子网。

ibmcloud ks cluster master private-service-endpoint allowlist disable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在不显示用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist disable` 命令

ibmcloud ks cluster master private-service-endpoint allowlist disable --cluster mycluster

`ibmcloud ks cluster master private-service-endpoint allowlist enable`

虚拟私有云经典基础设施

为集群的私有云服务端点启用子网允许列表功能。

运行此命令后，请使用 ibmcloud ks cluster master private-service-endpoint allowlist 命令将子网添加到允许列表。仅允许源自允许列表中子网的、针对集群主机的授权请求通过集群的私有云服务端点。如果为集群启用了公共云服务端点，那么仍允许通过公共云服务端点进行授权请求。

ibmcloud ks cluster master private-service-endpoint allowlist enable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在不显示用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist enable` 命令

ibmcloud ks cluster master private-service-endpoint allowlist enable --cluster mycluster

`ibmcloud ks cluster master private-service-endpoint allowlist get`

虚拟私有云经典基础设施

列出集群的私有云服务端点的允许列表中的所有子网。

此列表包含使用 ibmcloud ks cluster master private-service-endpoint allowlist add 命令手动添加的子网以及由 IBM自动添加和管理的子网，例如工作程序节点子网。

ibmcloud ks cluster master private-service-endpoint allowlist get --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist get` 命令

ibmcloud ks cluster master private-service-endpoint allowlist get --cluster mycluster

`ibmcloud ks cluster master private-service-endpoint allowlist rm`

虚拟私有云经典基础设施

除去先前添加到集群的私有云服务端点的允许列表中的子网。

除去子网后，将拒绝从此子网通过私有云服务端点向集群主节点发出的任何请求。

ibmcloud ks cluster master private-service-endpoint allowlist rm --cluster CLUSTER --subnet SUBNET [--subnet SUBNET ...] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--subnet SUBNET: 必需: 子网 CIDR。使用多个重复选项指定多个子网。
-f: 可选：强制命令在不显示用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist rm` 命令

ibmcloud ks cluster master private-service-endpoint allowlist rm --cluster mycluster
 --subnet 1.1.1.1/16

`ibmcloud ks cluster master private-service-endpoint disable`

经典基础设施

禁用私有云服务端点以除去集群主节点的私有辅助功能选项。

重要提示：在禁用私有端点之前，您必须先完成以下步骤以启用公有云服务端点：

通过运行 ibmcloud ks cluster master public-service-endpoint enable --cluster <cluster_name> 来启用公共云服务端点。
遵循 CLI 中的提示来刷新 Kubernetes 主节点 API 服务器。
重新加载集群中的所有工作节点以获取公共端点配置。

ibmcloud ks cluster master private-service-endpoint disable --cluster CLUSTER [-f] [-q] [-y]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。
-y: 可选：刷新集群主节点并重新装入工作程序节点，而不显示用户提示。

示例 `cluster master private-service-endpoint disable` 命令

ibmcloud ks cluster master private-service-endpoint disable --cluster my_cluster

`ibmcloud ks cluster master private-service-endpoint enable`

经典基础设施

启用私有云服务端点，使集群主节点可通过私有方式访问。

要运行此命令，请执行以下操作：

在您的 IBM Cloud 基础架构帐户中启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。
启用 IBM Cloud 帐户以使用服务端点。
运行 ibmcloud ks cluster master private-service-endpoint enable --cluster <cluster_name>。
遵循 CLI 中的提示来刷新 Kubernetes 主节点 API 服务器。
重新装入集群中的所有工作程序节点以选取专用端点配置。

ibmcloud ks cluster master private-service-endpoint enable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。
-y: 可选：刷新集群主节点并重新装入工作程序节点，而不显示用户提示。

示例 `cluster master private-service-endpoint enable` 命令

ibmcloud ks cluster master private-service-endpoint enable --cluster my_cluster

`ibmcloud ks cluster master public-service-endpoint disable`

虚拟私有云经典基础设施

禁用集群的公共云服务端点。

重要提示：在禁用公共端点之前，您必须先完成以下步骤以启用私有云服务端点：

通过运行 ibmcloud ks cluster master private-service-endpoint enable --cluster <cluster_name>. 启用私有云服务端点。
遵循 CLI 中的提示来刷新 Kubernetes 主节点 API 服务器。
重新加载集群中的所有工作节点以获取私有端点配置。

ibmcloud ks cluster master public-service-endpoint disable --cluster CLUSTER [-q] [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-y: 可选：刷新集群主节点并重新装入工作程序节点，而不显示用户提示。

示例 `cluster master public-service-endpoint disable` 命令

ibmcloud ks cluster master public-service-endpoint disable --cluster my_cluster

`ibmcloud ks cluster master public-service-endpoint enable`

虚拟私有云经典基础设施

启用公共云服务端点，使集群主节点可供公众访问。

运行此命令后，必须通过遵循 CLI 中的提示来刷新 API 服务器，才能使用服务端点。

ibmcloud ks cluster master public-service-endpoint enable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。
-y: 可选：刷新集群主节点，而不显示用户提示。

示例 `cluster master public-service-endpoint enable` 命令

ibmcloud ks cluster master public-service-endpoint enable --cluster my_cluster

`ibmcloud ks cluster master refresh`

虚拟私有云经典基础设施

应用通过 ibmcloud ks cluster master 命令请求的主 Kubernetes 配置更改。高可用性 Kubernetes 主节点组件以滚动重新启动方式重新启动。但是，工作程序节点、应用程序和资源不会修改，并且会继续运行。

不推荐使用此命令的 apiserver-refresh 和 cluster-refresh 别名。

ibmcloud ks cluster master refresh --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks cluster master update`

虚拟私有云经典基础设施 Satellite

更新主 Kubernetes 服务器和API服务器。更新期间，您无法访问或更改集群。已部署的工作节点、应用程序和资源不会被修改，并将继续运行。

您可能需要更改 YAML 文件以供未来部署。请查看此发行说明以了解详细信息。

不推荐使用此命令的 cluster-update 别名。

ibmcloud ks cluster master update --cluster CLUSTER [--version MAJOR.MINOR.PATCH] [--force-update] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--version MAJOR.MINOR.PATCH: 可选：集群的版本 Kubernetes。若未指定版本，Kubernetes 主分支将更新至默认 API 版本。要查看可用版本，请运行 ibmcloud ks versions。
--force-update: 可选：即使变更版本比工作节点版本高出两个次要版本，仍尝试执行更新。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master update` 命令

ibmcloud ks cluster master update --cluster my_cluster

`ibmcloud ks cluster pull-secret apply`

虚拟私有云经典基础设施

为集群创建 IBM Cloud IAM 服务标识，为该服务标识创建策略，以用于在 IBM Cloud Container Registry 中分配读者服务访问角色，然后为该服务标识创建 API 密钥。 API密钥随后存储在镜像拉取 Kubernetes 密钥中，以便您能够从命名 IBM Cloud Container Registry 空间中为位于该 Kubernetesdefault 命名空间内的容器拉取镜像。创建集群时会自动执行此过程。如果在集群创建过程中遇到错误或具有现有集群，那么可以使用此命令再次应用该过程。

通过使用IAM API密钥访问 IBM Cloud Container Registry，您可以为服务ID自定义IAM策略，以限制对您命名空间或特定镜像的访问权限。例如，可以更改集群的映像拉取私钥中的服务标识策略，以仅从特定注册表区域或名称空间中拉取映像。必须为 IBM Cloud 启用 IBM Cloud Container Registry IAM 策略后，才能定制 IAM 策略。有关更多信息，请参阅了解如何授权集群从 IBM Cloud Container Registry 拉取映像。

运行此命令时，IAM 凭证和映像拉取私钥的创建操作将启动，并且可能需要一些时间才能完成。在创建镜像拉取密钥之前，您无法部署从域 icr.ioIBM Cloud Container Registry 中拉取镜像的容器。要检查图像拉取密钥，请运行 kubectl get secrets | grep icr-io. 如果向现有服务标识添加了 IAM 策略，例如用于限制对区域注册表的访问，那么此命令将重置映像拉取私钥的服务标识、IAM 策略和 API 密钥。

ibmcloud ks cluster pull-secret apply --cluster CLUSTER

最低必需许可权：

集群的操作员或管理员平台访问角色 IBM Cloud Kubernetes Service
管理员平台访问角色在 IBM Cloud Container Registry 所有区域和资源组中。该策略无法限定在特定区域或资源组内生效。

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。

`ibmcloud ks cluster rm`

虚拟私有云经典基础设施

删除集群。所有工作程序节点、应用程序和容器都将永久删除。此操作无法撤销。

ibmcloud ks cluster rm --cluster CLUSTER [--force-delete-storage] [--skip-advance-permissions-check] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--force-delete-storage: 可选：删除集群及其使用的任何持久存储。注意：若包含此选项，存储在集群或其关联存储实例中的数据将无法恢复。
--skip-advance-permissions-check: 可选: 在删除集群之前，跳过基础架构许可权检查。请注意，如果您没有正确的基础架构许可权，那么集群删除可能只会部分成功，例如要除去的 IBM管理的主节点，但无法从基础架构帐户中除去工作程序节点。您可以跳过许可权检查，以确定是否要继续以其他方式阻止的操作，例如，当您使用多个基础架构帐户时，如果稍后需要，可以单独处理基础架构资源。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster rm` 命令

ibmcloud ks cluster rm --cluster my_cluster

`ibmcloud ks cluster service bind`

虚拟私有云经典基础设施

通过将 IBM Cloud 服务实例绑定到 Kubernetes 名称空间，将该服务添加到集群。此命令将创建 IBM Cloud 服务的服务凭证，并将这些凭证存储在集群的 Kubernetes 私钥中。

要查看 IBM Cloud 目录中的可用 IBM Cloud 服务，请运行 ibmcloud service offerings。注：只能添加支持服务密钥的 IBM Cloud 服务。有关服务绑定以及可以将哪些服务添加到集群的更多信息，请参阅使用 IBM Cloud 服务绑定来添加服务。

ibmcloud ks cluster service bind --cluster CLUSTER --namespace KUBERNETES_NAMESPACE [--key SERVICE_INSTANCE_KEY] [--role IAM_SERVICE_ROLE] --service SERVICE_INSTANCE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-n, --namespace KUBERNETES_NAMESPACE: 必填：您希望为服务凭据创建密钥 Kubernetes 的 Kubernetes 命名空间名称。
--key SERVICE_INSTANCE_KEY: 可选：现有服务密钥的名称或全局唯一标识符（GUID）。使用 service-binding 命令时，会自动为服务实例创建新的服务凭证，并为启用 IAM 的服务分配 IAM 写入者服务访问角色。如果要使用先前创建的现有服务密钥，请使用此选项。若您已定义服务密钥，则无法同时设置该 --role 选项，因为您的服务密钥已通过特定的IAM服务访问角色创建。
--role IAM_SERVICE_ROLE: 您希望服务密钥具有的 IBM Cloud IAM 角色。此值是可选的，并且只能用于启用 IAM 的服务。若未设置此选项，系统将自动创建服务凭证并为其分配 IAM Writer 服务访问角色。若需通过指定 --key 选项使用现有服务密钥，请勿包含此选项。要列出该服务的可用角色，请运行 ibmcloud iam roles --service <service_name>. 服务名称是服务在目录中的名称，可以通过运行 ibmcloud catalog search 来获取。
--service SERVICE_INSTANCE: 必填：要绑 IBM Cloud 定的服务实例名称。要查找名称，请运行 ibmcloud resource service-instances。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster service bind` 命令

ibmcloud ks cluster service bind --cluster my_cluster --namespace my_namespace --service my_service_instance

`ibmcloud ks cluster service ls`

虚拟私有云经典基础设施

列出绑定到集群中一个或所有命名 Kubernetes 空间的服务。如果未指定任何选项，那么将显示缺省名称空间的服务。

ibmcloud ks cluster service ls --cluster CLUSTER [--namespace KUBERNETES_NAMESPACE] [--all-namespaces] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-n, --namespace KUBERNETES_NAMESPACE: 可选：包含绑定到集群中特定命名空间的服务。
--all-namespaces: 可选：包含绑定到集群中所有命名空间的服务。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster service ls` 命令

ibmcloud ks cluster service ls --cluster my_cluster --namespace my_namespace

`ibmcloud ks cluster service unbind`

虚拟私有云经典基础设施

通过将 IBM Cloud 服务与 Kubernetes 名称空间取消绑定，从集群中除去该服务。

除去 IBM Cloud 服务时，会从集群中除去服务凭证。如果某个Pod仍在使用该服务，则会失败，因为无法找到服务凭据。

ibmcloud ks cluster service unbind --cluster CLUSTER --namespace KUBERNETES_NAMESPACE --service SERVICE_INSTANCE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-n, --namespace KUBERNETES_NAMESPACE: 必填：命名 Kubernetes 空间的名称。
--service SERVICE_INSTANCE: 必填：要删除的服务 IBM Cloud 实例名称。要查找服务实例的名称，请运行 ibmcloud ks cluster service ls --cluster <cluster_name_or_ID>.
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster service unbind` 命令

ibmcloud ks cluster service unbind --cluster my_cluster --namespace my_namespace --service 8567221

`ibmcloud ks cluster subnet add`

经典基础设施

使 IBM Cloud 基础架构帐户中的现有可移植公用或专用经典子网可供集群使用，或者复用已删除集群中的子网，而不使用自动供应的子网。

使子网可供集群使用时，此子网的 IP 地址会用于集群联网。为了避免 IP 地址冲突，请确保一个子网只用于一个集群。不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。如果在多个集群中使用同一子网，那么缺省 Ingress TLS 证书可能会失效。要在非VRF账户中实现同一VLAN内不同子网的设备间通信，必须启用同一VLAN内子网之间的路由功能。

ibmcloud ks cluster subnet add --cluster CLUSTER --subnet-id SUBNET [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--subnet-id SUBNET: 必需：子网的ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster subnet add` 命令

ibmcloud ks cluster subnet add --cluster my_cluster --subnet-id 1643389

`ibmcloud ks cluster subnet create`

经典基础设施

在公用或专用 VLAN 上 IBM Cloud 基础架构帐户中创建可移植经典子网，并使其可供集群使用。

可移植公共 IP 地址按月收费。如果在供应集群后除去可移植公共 IP 地址，那么即使只使用了很短的时间，您也仍然必须支付一个月的费用。使子网可供集群使用时，此子网的 IP 地址会用于集群联网。为了避免 IP 地址冲突，请确保一个子网只用于一个集群。不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。如果在多个集群中使用同一子网，那么缺省 Ingress TLS 证书可能会失效。在经典集群中，如果有多个 VLAN 用于集群，有多个子网位于同一 VLAN 上，或有一个多专区经典集群，那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF)，从而使工作程序节点可以在专用网络上相互通信。要启用 VRF，请参阅启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。如果无法或不想启用 VRF，请启用 VLAN 生成。要执行此操作，您需要拥有“网络 > 管理网络VLAN跨域”的基础设施权限，或者可请求账户所有者为您启用该权限。要检查VLAN跨域是否已启用，请使用ibmcloud ks vlan spanning get --region <region> 以下命令：

ibmcloud ks cluster subnet create --cluster CLUSTER --size SIZE --vlan VLAN_ID [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。要列出集群，请使用 ibmcloud ks cluster ls 命令。
--size SIZE: 要在可移植子网中创建的 IP 地址数。接受的值为 8、16、32 或 64。添加子网的可移植 IP 地址时，会使用 3 个 IP 地址来建立集群内部联网。您无法将这三个IP地址用于Ingress应用程序负载均衡器（ALB），也无法用于创建网络负载均衡器（NLB）服务。例如，如果请求 8 个可移植公共 IP 地址，那么可以使用其中 5 个地址向公众公开应用程序。
--vlan VLAN_ID: 要在其中创建子网的公用或专用 VLAN 的标识。必须选择现有工作程序节点连接到的公用或专用 VLAN。要查看工作节点连接的公共或私有VLAN，请运行 ibmcloud ks cluster get --cluster <cluster> --show-resources 以下命令，并在输出中查找子网VLAN 部分。子网会在 VLAN 所在的区域中进行供应。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster subnet create` 命令

ibmcloud ks cluster subnet create --cluster my_cluster --size 8 --vlan 1764905

`ibmcloud ks cluster subnet detach`

经典基础设施

从集群中分离基础设施 IBM Cloud 账户中的公共或私有便携式经典子网。子网在 IBM Cloud 基础架构帐户中仍然可用。注：除去子网后，部署到该子网中 IP 地址的任何服务仍将保持活动状态。

ibmcloud ks cluster subnet detach --cluster CLUSTER --subnet-id SUBNET_ID [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。要列出集群，请使用 ibmcloud ks cluster ls 命令。
--vlan VLAN_ID: 要拆离的公用或专用子网的标识。要查找子网ID，请先运行 ibmcloud ks cluster get --cluster <cluster> --show-resources 命令，然后在输出结果的“子网VLAN”部分查找子网CIDR。然后，使用子网的CIDR表示法，运行 ibmcloud ks subnets --provider classic 并查找该子网的ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster subnet detach` 命令

ibmcloud ks cluster subnet detach --cluster my_cluster --subnet-id 1602829

不推荐：`ibmcloud ks cluster user-subnet add`

经典基础设施

将您自己的专用子网置于 IBM Cloud Kubernetes Service 集群中。此专用子网不是 IBM Cloud 基础架构提供的子网。因此，您必须为子网配置任何入站和出站网络流量路由。

不推荐使用该命令。通过运行命令将现有 IBM Cloudibmcloud ks cluster subnet add 基础设施子网添加到集群中。

使子网可供集群使用时，此子网的 IP 地址会用于集群联网。为了避免 IP 地址冲突，请确保一个子网只用于一个集群。不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。如果在多个集群中使用同一子网，那么缺省 Ingress TLS 证书可能会失效。在经典集群中，如果有多个 VLAN 用于集群，有多个子网位于同一 VLAN 上，或有一个多专区经典集群，那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF)，从而使工作程序节点可以在专用网络上相互通信。要启用 VRF，请参阅启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。如果无法或不想启用 VRF，请启用 VLAN 生成。要执行此操作，您需要拥有“网络 > 管理网络VLAN跨域”的基础设施权限，或者可请求账户所有者为您启用该权限。要检查VLAN跨域是否已启用，请使用ibmcloud ks vlan spanning get --region <region> 以下命令：

ibmcloud ks cluster user-subnet add --cluster CLUSTER --subnet-cidr SUBNET_CIDR --private-vlan PRIVATE_VLAN

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--subnet-cidr SUBNET_CIDR: 子网无类域间路由 (CIDR)。此值是必需的，且不得与 IBM Cloud 基础架构使用的任何子网相冲突。支持的前缀范围从 /30（1 个 IP 地址）到 /24（253 个 IP 地址）。如果将 CIDR 设置为一个前缀长度，而稍后需要对其进行更改，请先添加新的 CIDR，然后除去旧 CIDR。
--private-vlan PRIVATE_VLAN: 必填：私有VLAN的ID。该标识必须用于一个或多个工作程序节点所在的集群中的专用 VLAN。要查看集群中的私有VLAN，请运行 ibmcloud ks cluster get --cluster <cluster_name_or_ID> --show-resources. 在输出的 Subnet VLANs 部分中，查找 Public 值为 false 的 VLAN。

示例 `cluster user-subnet add` 命令

ibmcloud ks cluster user-subnet add --cluster my_cluster --subnet-cidr 169.xx.xxx.xxx/29 --private-vlan 1502175

不推荐：`ibmcloud ks cluster user-subnet rm`

经典基础设施

从指定集群除去您自己的专用子网。除去子网后，部署到您自己专用子网的 IP 地址的任何服务都仍将保持活动状态。

不推荐使用该命令。要从集群中移除基础设施 IBM Cloud 子网，请运行 ibmcloud ks cluster subnet detach.

ibmcloud ks cluster user-subnet rm --cluster CLUSTER --subnet-cidr SUBNET_CIDR --private-vlan PRIVATE_VLAN

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--subnet-cidr SUBNET_CIDR: 子网无类域间路由 (CIDR)。此值是必需的，并且必须与 ibmcloud ks cluster user-subnet add 命令设置的 CIDR 匹配。
--private-vlan PRIVATE_VLAN: 专用 VLAN 的标识。此值是必需的，并且必须与 ibmcloud ks cluster user-subnet add 命令设置的 VLAN 标识匹配。

示例 `cluster user-subnet rm` 命令

ibmcloud ks cluster user-subnet rm --cluster my_cluster --subnet-cidr 169.xx.xxx.xxx/29 --private-vlan 1502175

Beta: `dedicated` 命令

查看、创建和除去专用主机或专用主机池。

dedicated 命令以 Beta 版提供。

Beta： `ibmcloud ks dedicated flavors`

虚拟私有云

查看专用主机特色。

ibmcloud ks dedicated flavors --zone ZONE --provider PROVIDER

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

--zone ZONE: 用于搜索专用主机特色的区域。
--provider PROVIDER: 用于搜索专用主机特色的提供程序。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks dedicated flavors --zone us-south-1 --provider myprovider1

Beta： `ibmcloud ks dedicated host create`

虚拟私有云

创建专用主机。

ibmcloud ks dedicated host create --flavor FLAVOR --pool POOL --zone ZONE [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

-- flavor FLAVOR: 专用主机的特色。
-- pool POOL: 在其中添加专用主机的专用主机池的名称。
--zone ZONE: 用于创建专用主机的区域。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks dedicated host create --flavor b3c.4x16 --pool mypool --zone wdc

Beta： `ibmcloud ks dedicated host get`

虚拟私有云

获取专用主机的详细信息。

ibmcloud ks dedicated host get --host HOST --pool POOL [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项：

--host HOST: 专用主机的标识。
--pool POOL: 专用主机所在的专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host get --host myhost  --pool mypool

Beta： `ibmcloud ks dedicated host ls`

虚拟私有云

列出专用主机池中的所有专用主机。

ibmcloud ks dedicated host ls --pool POOL [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项：

--pool POOL: 专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls.
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host ls --pool mypool

Beta： `ibmcloud ks dedicated host placement disable`

虚拟私有云

禁用专用主机放置。

ibmcloud ks dedicated host placement disable --host HOST --pool POOL

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--host HOST: 要禁用放置的专用主机的标识。
--pool POOL: 专用主机所在的专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls.
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host placement disable --host myhost --pool mypool

Beta： `ibmcloud ks dedicated host placement enable`

虚拟私有云

启用专用主机放置。

ibmcloud ks dedicated host placement enable --host HOST --pool POOL

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--host HOST: 要为其启用放置的专用主机的标识。
--pool POOL: 专用主机所在的专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls.
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host placement enable --host myhost --pool mypool

Beta： `ibmcloud ks dedicated host rm`

虚拟私有云

删除专用主机。此操作无法撤销。

ibmcloud ks dedicated host rm --host HOST --pool POOL [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--pool POOL: 包含要删除的专用主机的专用主机池的ID。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls.
--output json: 可选：以 JSON 格式打印命令输出。
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host rm --host myhost --pool mypool

Beta： `ibmcloud ks dedicated pool create`

虚拟私有云

创建专用主机池。

ibmcloud ks dedicated pool create --flavor-class CLASS --metro METRO --name NAME [--output OUTPUT]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--flavor-class CLASS: 专用主机池的 flavor-class。要查看可用选项，请运行 ibmcloud ks flavors.
--metro METRO: 在其中创建专用主机池的地铁，例如 dal 或 wdc。
--name NAME: 专用主机池的名称。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated pool create --flavor-class mb4c.20x64 --metro dal --name mypool

Beta： `ibmcloud ks dedicated pool get`

虚拟私有云

获取专用主机池的详细信息。

ibmcloud ks dedicated pool get --pool POOL [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项：

--pool POOL: 专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls.

--output OUTPUT

-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated pool get --pool mypool

Beta： `ibmcloud ks dedicated pool ls`

虚拟私有云

列出所有专用主机池。

ibmcloud ks dedicated pool ls [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项：

--output json: 可选：以 JSON 格式打印命令输出。
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated pool ls

Beta： `ibmcloud ks dedicated pool rm`

虚拟私有云

删除专用主机池。此操作无法撤销。

ibmcloud ks dedicated pool rm --pool POOL [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--pool POOL: 要删除的专用主机池的ID。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls.
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated pool rm --pool mypool

`worker` 命令

查看和修改集群的工作程序节点。

不推荐：`ibmcloud ks worker add`

虚拟私有云经典基础设施

向集群添加独立工作程序节点。

不推荐使用该命令。通过运行 ibmcloud ks worker-pool create classic 或创建一个工作进程池，或通过运行 ibmcloud ks worker-pool create vpc-gen2 向现有工作进程 ibmcloud ks worker-pool resize 池添加工作进程。

ibmcloud ks worker add --cluster CLUSTER [--hardware HARDWARE] --flavor FLAVOR --workers NUMBER --private-vlan PRIVATE_VLAN --public-vlan PUBLIC_VLAN [--disable-disk-encrypt] [--operating-system SYSTEM] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--hardware HARDWARE: 可选：为您的工作节点设置硬件隔离级别。使用 dedicated，以便可用的物理资源仅供您专用，或者使用 shared 以允许物理资源与其他 IBM 客户共享。缺省值为 shared。对于裸机类型模板，请指定 dedicated。
--flavor FLAVOR: 为工作程序节点选择机器类型（或类型模板）。可以将工作程序节点作为虚拟机部署在共享或专用硬件上，也可以作为物理机器部署在裸机上。可用的物理和虚拟机类型随集群的部署专区而变化。有关更多信息，请参阅 ibmcloud ks flavors (machine-types) 命令的文档。
--workers NUMBER: 整数，表示要在集群中创建的工作程序节点数。
--private-vlan PRIVATE_VLAN: 必填：创建集群时指定的私有VLAN。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。
--public-vlan PUBLIC_VLAN: 可选：创建集群时指定的公共VLAN。若需将工作节点仅部署在私有VLAN中，请勿提供公共VLAN ID。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。如果工作节点仅配置了私有VLAN，则必须通过启用私有云服务端点或配置网关设备，允许工作节点与集群主节点进行通信。
--disable-disk-encrypt: 工作程序节点缺省情况下具有 AES 256 位磁盘加密功能；了解更多。要禁用加密，请包括此选项。
--operating-system UBUNTU_20_64|UBUNTU_24_64: 可选。集群中工作程序节点的操作系统。如需按集群版本查看可用操作系统列表，请参阅 Kubernetes 版本信息。如果未指定任何选项，那么将使用与集群版本对应的缺省操作系统。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker add` 命令

ibmcloud ks worker add --cluster my_cluster --workers 3 --public-vlan my_public_VLAN_ID --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --hardware shared

`ibmcloud ks worker get`

虚拟私有云经典基础设施

查看工作程序节点的详细信息。

ibmcloud ks worker get --cluster CLUSTER_NAME_OR_ID --worker WORKER_NODE_ID [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER_NAME_OR_ID: 可选：工作节点的集群名称或ID。
--worker WORKER_NODE_ID: 必填：您的工作节点的名称。运行 ibmcloud ks worker ls --cluster CLUSTER 以查看集群中工作节点的ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker get` 命令

ibmcloud ks worker get --cluster my_cluster --worker kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1

`ibmcloud ks worker ls`

虚拟私有云经典基础设施

列出一个集群中的所有工作程序节点。

ibmcloud ks worker ls --cluster CLUSTER [--worker-pool POOL] [--show-pools] [--show-deleted] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：可用工作节点的集群名称或ID。
-p, --worker-pool POOL: 可选：仅查看属于该工作池的工作节点。要列出可用的工作者池，请运行 ibmcloud ks worker-pool ls --cluster <cluster_name_or_ID>.
--show-pools: 可选：列出每个工作节点所属的工作池。
--show-deleted: 可选：查看从集群中删除的工作节点，包括删除原因。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker ls` 命令

ibmcloud ks worker ls --cluster my_cluster

`ibmcloud ks worker reboot`

虚拟私有云经典基础设施

重新引导集群中的工作程序节点。

在重新引导期间，工作程序节点的状态不会更改。例如，当经典 IBM Cloud 架构中的工作节点状态为 Powered Off 时，您可能需要重启该节点以使其正常运行。重新引导将清除临时目录，但不会清除整个文件系统或重新格式化磁盘。在执行重新引导操作后，工作程序节点 IP 地址保持不变。

重新引导工作程序节点可能导致工作程序节点上发生数据损坏。请谨慎使用此命令，仅在确信重新引导可以帮助恢复工作程序节点时使用。在其他所有情况下，请改为重新装入工作程序节点。

在重新引导工作程序节点之前，请确保其他工作程序节点中有足够的容量来重新调度工作程序节点上的 pod。重新调度Pod有助于避免应用程序停机或工作节点上的数据损坏。

列出集群中的所有工作程序节点，并记下要除去的工作程序节点的 name。
```
kubectl get nodes
```
此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。运行命令 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 后，您可以查找具有相同私有IP 地址的工作节点，以获取更多相关信息。
强制从工作程序节点中除去 pod，并将其重新安排到集群中的剩余工作程序节点上。工作程序节点也会被封锁，或者标记为不可用于将来的 pod 调度。将 <worker_name> 替换为先前检索的工作程序节点的专用 IP 地址。
```
kubectl drain <worker_name>
```
此过程可能需要几分钟时间。
重新引导工作程序节点。使用从命令 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 返回的工号。
```
ibmcloud ks worker reboot --cluster <cluster_name_or_ID> --worker <worker_name_or_ID>
```
等待大约 5 分钟后，才能使工作程序节点可用于 pod 安排，以确保重新引导完成。在重新引导期间，工作程序节点的状态不会更改。工作程序节点的重新引导通常在几秒后完成。
使工作程序节点可用于 pod 安排。请使用从 ** 命令返回的工作程序节点的 **namekubectl get nodes。
```
kubectl uncordon <worker_name>
```

ibmcloud ks worker reboot [--hard] --cluster CLUSTER --worker WORKER_ID [--skip-master-healthcheck] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--hard: 可选：使用此选项通过切断工作节点的电源来强制执行工作节点的硬重启。如果工作程序节点无响应或工作程序节点的容器运行时无响应，请使用此选项。
-w, --worker WORKER: 指定工作程序节点标识。要重新加载多个工作节点，请使用多个选项，例如 -w worker1_id -w worker2_id：
--skip-master-healthcheck: 在重新装入或重新引导工作程序节点之前，跳过对主节点的运行状况检查。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker reboot` 命令

ibmcloud ks worker reboot --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

`ibmcloud ks worker reload`

经典基础设施

重新加载经典工作节点的配置。要在 VPC 集群中重新加载工作节点，请改用命令 ibmcloud ks worker replace。

如果工作程序节点遇到问题（例如，性能降低），或者如果工作程序节点卡在非正常运行状态，那么重新装入会非常有用。在重新装入期间，工作程序节点机器将使用最新映像进行更新，并且如果数据未存储在工作程序节点外部，那么将删除数据。在执行重新装入操作后，工作程序节点公共和专用 IP 地址保持不变。

重新装入工作程序节点会将补丁版本更新应用于工作程序节点，但不会应用主要或次要更新。要查看从一个补丁版本到下一个补丁版本的变更内容，请查阅版本变更日志文档。

在重新装入工作程序节点之前，请确保其他工作程序节点中有足够的容量来重新调度工作程序节点上的 pod。重新调度Pod有助于避免应用程序停机或工作节点上的数据损坏。

列出集群中的所有工作程序节点，并记下要重新装入的工作程序节点的 name。
```
kubectl get nodes
```
此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。运行命令 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 后，您可以查找具有相同私有IP 地址的工作节点，以获取更多相关信息。
重新装入工作程序节点。在重新装入过程中，会将在工作程序节点上运行的 pod 排出并重新调度到集群中的其余工作程序节点上。工作程序节点也会被封锁，或者标记为不可用于将来的 pod 调度。使用从命令 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 返回的工作节点ID。
```
ibmcloud ks worker reload --cluster <cluster_name_or_ID> --worker <worker_name_or_ID>
```
等待重新装入完成。当工作程序节点处于“正常”状态时，该工作程序节点将再次可用于 pod 调度。

ibmcloud ks worker reload --cluster CLUSTER --worker WORKER_ID [--skip-master-healthcheck] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-w, --worker WORKER: 指定工作程序节点标识。要重新加载多个工作节点，请使用多个选项，例如 -w worker1_id -w worker2_id：
--skip-master-healthcheck: 在重新装入或重新引导工作程序节点之前，跳过对主节点的运行状况检查。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker reload` 命令

ibmcloud ks worker reload --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

`ibmcloud ks worker replace`

虚拟私有云经典基础设施

删除工作程序节点，并将其替换为同一工作程序池中的新工作程序节点。

替换工作节点创建在与旧工作节点相同的区域，且具有相同的规格，但可能被分配新的公共或私有IP地址。当无法重新加载或更新工作节点时（例如该节点进入异常状态），您可能需要替换该工作节点。

您还可以通过包含 --upgrade 选项 --update 来使用此命令，将工作节点的版本 Kubernetes 更新为与 Kubernetes 主节点的主版本号和次版本号相匹配。若未包含该 --update 选项，补丁版本更新将应用于工作节点，但不包含主版本或次版本更新。要查看从一个主要版本、次要版本或补丁版本到下一个版本的变更，请查阅版本变更日志文档。请记住，工作程序节点最多只能比主版本 (n-2) 落后两个版本。

更换工作程序节点时，请记住以下注意事项。

要更新 Satellite worker 节点，请参阅《更新分配给 Satellite 启用 worker 节点的服务的主机》。

同时更换多个工作程序节点: 如果同时更换多个工作程序节点，那么将同时删除并更换这些节点，而不是逐个更换。在更换工作程序节点之前，请确保集群中有足够的容量来重新调度工作负载。
不会保留Node级别定制: 不会将您在个别工作程序节点级别应用的任何定制标签或污点应用于替换工作程序节点。而是在工作程序池级别应用 labels 或 taints，以便替换工作程序节点获取这些属性。
自动重新平衡: 如果工作程序池未启用自动重新平衡，那么不会创建替换工作程序节点。

开始之前，请确保集群具有足够的其他工作程序节点，以便可以重新调度 pod 并继续运行。

列出集群中的所有工作程序节点，并记下要替换的工作程序节点的 name。
```
kubectl get nodes
```
此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。运行命令 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 后，您可以查找具有相同私有IP 地址的工作节点，以获取更多相关信息。
替换工作程序节点。在替换过程中，会将在工作程序节点上运行的 pod 排出并重新调度到集群中的其余工作程序节点上。工作程序节点也会被封锁，或者标记为不可用于将来的 pod 调度。使用从命令 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 返回的工作节点ID。
```
ibmcloud ks worker replace --cluster <cluster_name_or_ID> --worker <worker_node_ID>
```

验证工作程序节点是否已替换。

ibmcloud ks worker ls --cluster <cluster_name_or_ID>

ibmcloud ks worker replace --cluster CLUSTER_NAME_OR_ID --worker WORKER_ID [--update] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--worker WORKER: 必填：工作节点的名称或ID。
--update: 包含此选项可将工作节点更新至与主节点相同的主版本和次版本，并应用最新补丁。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker replace` 命令

ibmcloud ks worker replace --cluster my_cluster --worker kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1

`ibmcloud ks worker rm`

虚拟私有云经典基础设施

从集群中除去一个或多个工作程序节点。如果除去工作程序节点，那么集群将变得不平衡，并且更换工作程序节点将不再创建更换工作程序节点。在除去工作程序节点后，可以通过运行 ibmcloud ks worker-pool rebalance 命令来自动重新平衡工作程序池。

ibmcloud ks worker rm --cluster CLUSTER --worker WORKER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-w, --worker WORKER: 指定工作程序节点标识。要重新加载多个工作节点，请使用多个选项，例如 -w worker1_id -w worker2_id：
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker rm` 命令

ibmcloud ks worker rm --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

`ibmcloud ks worker update`

经典基础设施

更新工作程序节点以将最新的安全性更新和补丁应用于操作系统，并更新 Kubernetes 版本以与 Kubernetes 主节点的版本相匹配。可以使用 ibmcloud ks cluster master update 命令来更新主节点的 Kubernetes 版本。请记住，工作程序节点最多只能比主版本 (n-2) 落后两个版本。更新操作后，工作程序节点 IP 地址保持不变。

要在 VPC 集群中更新工作节点，请改用命令 ibmcloud ks worker replace。

运行 ibmcloud ks worker update 可能会导致应用程序和服务发生中断。更新期间，所有 pod 都将重新安排到其他工作程序节点，对该工作程序节点重新应用映像，如果数据未存储在 pod 外部，那么将删除数据。为避免发生中断，请确保在所选工作程序节点更新时有足够的工作程序节点来处理工作负载。

要更新 Satellite worker 节点，请参阅《更新分配给 Satellite 启用 worker 节点的服务的主机》。

在更新前，您可能需要更改 YAML 文件以进行部署。请查看此发行说明以了解详细信息。

ibmcloud ks worker update --cluster CLUSTER --worker WORKER_ID [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：您列出可用工作节点的集群名称或ID。
-w, --worker WORKER: 指定工作程序节点标识。要重新加载多个工作节点，请使用多个选项，例如 -w worker1_id -w worker2_id：
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker update` 命令

ibmcloud ks worker update --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

`worker-pool` 命令

查看和修改集群的工作程序池。

`ibmcloud ks worker-pool create classic`

经典基础设施

可以在集群中创建工作程序池。添加工作程序池时，缺省情况下不会为其分配专区。您可以指定每个专区中需要的工作程序数以及工作程序的类型模板。将为工作程序池提供缺省 Kubernetes 版本。要完成创建工作程序，请向池添加专区。

要在 VPC 集群中创建工作进程池，请使用命令 ibmcloud ks worker-pool create vpc-gen2。

ibmcloud ks worker-pool create classic --name POOL_NAME --cluster CLUSTER --flavor FLAVOR --size-per-zone WORKERS_PER_ZONE --hardware ISOLATION [--disable-disk-encrypt] [--label KEY1=VALUE1] [--operating-system SYSTEM]  [-q] [--output json]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

--name POOL_NAME: 要为工作程序池提供的名称。
-c, --cluster CLUSTER: 必填：集群的名称或ID。
--flavor FLAVOR: 选择机器类型（或类型模板）。可以将工作程序节点作为虚拟机部署在共享或专用硬件上，也可以作为物理机器部署在裸机上。可用的物理和虚拟机类型随集群的部署专区而变化。有关更多信息，请参阅 ibmcloud ks flavors (machine-types) 命令的文档。
--size-per-zone WORKERS_PER_ZONE: 要在每个专区中创建的工作程序数。
--hardware ISOLATION: 必填：您的工作节点所需的硬件隔离级别。使用 dedicated，以使可用的物理资源仅供您专用，或者使用 shared 以允许物理资源与其他 IBM 客户共享。缺省值为 shared。对于裸机类型模板，请指定 dedicated。
--disable-disk-encrypt: 指定不对磁盘进行加密。缺省值为 false。
-l, --label KEY1=VALUE1: 可选：为工作池中的每个工作节点应用键值标签。要指定多个标签，请使用多个选项，例如 -l key1=value1 -l key2=value2.
--operating-system UBUNTU_20_64|UBUNTU_24_64: 可选。集群中工作程序节点的操作系统。如需按集群版本查看可用操作系统列表，请参阅 Kubernetes 版本信息。如果未指定任何选项，那么将使用与集群版本对应的缺省操作系统。
-q: 可选：不显示当天的消息或更新提示。
--output json: 可选：以 JSON 格式打印命令输出。

示例 `worker-pool create classic` 命令

ibmcloud ks worker-pool create classic --name my_pool --cluster my_cluster --flavor b3c.4x16 --size-per-zone 6

`ibmcloud ks worker-pool create vpc-gen2`

虚拟私有云

向VPC集群添加一个工作池。在向工作程序池添加专区之前，不会创建任何工作程序节点。

ibmcloud ks worker-pool create vpc-gen2 --name <worker_pool_name> --cluster <cluster_name_or_ID> --flavor <flavor> --size-per-zone <number_of_workers_per_zone> [--operating-system SYSTEM][--dedicated-host-pool POOL][--vpc-id <VPC ID>] [--label KEY1=VALUE1] [--kms-account-id ID] [--kms-instance KMS_INSTANCE_ID] [--crk ROOT_KEY_ID] [--operating-system SYSTEM] [-q] [--secondary-storage STORAGE] [--security-group GROUP ...] [--output json]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

--name NAME: 必填：设置工作池的名称。
-c, --cluster CLUSTER: 必填：请指定集群的名称或ID。要列出 VPC 集群，请运行 ibmcloud ks cluster ls --provider vpc-gen2.
--size-per-zone NUMBER_WORKERS_PER_ZONE: 指定此工作程序池中每个专区要创建的工作程序节点数。在向工作程序池添加专区之前，不会创建任何工作程序节点。
--operating-system UBUNTU_20_64|UBUNTU_24_64: 可选。集群中工作程序节点的操作系统。如需按集群版本查看可用操作系统列表，请参阅 Kubernetes 版本信息。如果未指定任何选项，那么将使用与集群版本对应的缺省操作系统。
--flavor FLAVOR: 选择工作程序节点的类型模板。可以将多个工作程序节点作为虚拟机部署在共享或专用硬件上。要查看VPC区域中可用的口味，请运行 ibmcloud ks flavors --zone <vpc_zone> --provider vpc-gen2。
--dedicated-host-pool POOL: 可选。您希望运行工作节点的专用主机池的ID。
--vpc-id VPC_ID: 可选：指定要创建工作池工作节点的虚拟私有云（VPC）的ID。该值必须与集群的 VPC 标识相匹配。要列出集群的VPC ID，请运行 ibmcloud ks cluster get -c <cluster_name_or_ID>. 如果未提供此选项，则工作池将默认采用集群中现有工作池的 VPC ID。
-l, --label KEY1=VALUE1: 可选：为工作池中的每个工作节点应用键值标签。要指定多个标签，请使用多个选项，例如 -l key1=value1 -l key2=value2.
--kms-account-id ID: 可选：包含您要用于本地磁盘或密钥加密的 KMS 实例的账户 ID。
--kms-instance KMS_INSTANCE_ID: 可选: 包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的密钥管理服务 (KMS) 实例的标识。要列出可用的 KMS 实例，请运行 ibmcloud ks kms instance ls. 若包含此选项，则必须同时包含选项 --crk。有关更多信息 (包括要创建的步骤)，请参阅管理集群中工作程序节点的加密。
--crk ROOT_KEY: 可选: 在 KMS 实例中包含用于加密此工作程序池中工作程序节点上的本地磁盘的根密钥的标识。要列出可用的根密钥，请运行 ibmcloud ks kms crk ls --instance-id. 若包含此选项，则必须同时包含选项 --kms-instance。必须先创建 KMS 实例并在 IAM 中设置所需的服务授权，然后才能使用 KMS 加密。请参阅管理集群中工作程序节点的加密。
-q: 可选：不显示当天的消息或更新提示。
--secondary-storage STORAGE: 可选: 类型模板的存储选项。例如，900gb.5iops-tier。添加辅助磁盘时，该磁盘用于容器运行时，而主磁盘用于操作系统。要查看类型模板的存储选项，请运行 **ibmcloud ks flavor get --flavor FLAVOR --zone ZONE --provider vpc-gen2 命令。
--security-group GROUP: 可选。请指定一个或多个安全组标识，以应用于集群上所有工作程序。对于 OpenShift V 4.15 和 Kubernetes V 1.30 及更高版本，除了 IBM管理的 kube-clusterID 安全组外，还会应用这些安全组。对于较早的集群版本，请指定 --cluster-security-group cluster 选项以应用 kube-clusterID 安全组。如果未指定任何值，那么将应用包括 kube-clusterID 在内的一组缺省安全组。
--output json: 可选：以 JSON 格式打印命令输出。

示例 `worker-pool create vpc-gen2` 命令

ibmcloud ks worker-pool create vpc-gen2 --name my_pool --cluster my_cluster --flavor bx2.4x16 --size-per-zone 3

`ibmcloud ks worker-pool get`

虚拟私有云经典基础设施

查看工作程序池的详细信息。

ibmcloud ks worker-pool get --worker-pool WORKER_POOL --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-p, --worker-pool WORKER_POOL: 必填：您要查看详细信息的 worker 节点池的名称。要列出可用的工作者池，请运行 ibmcloud ks worker-pool ls --cluster <cluster_name_or_ID>.
-c, --cluster CLUSTER: 必填：包含工作进程池所在集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool get` 命令

ibmcloud ks worker-pool get --worker-pool pool1 --cluster my_cluster

`ibmcloud ks worker-pool label rm`

虚拟私有云经典基础设施

从工作程序池的所有工作程序节点中移除所有定制 Kubernetes 标签。

无法从工作池中除去单个污点。而是使用 kubectl taint node <worker_privateIP> key:effect- 命令从单个工作程序节点中除去污点。

ibmcloud ks worker-pool label rm --cluster CLUSTER --worker-pool POOL [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：包含工作进程池所在集群的名称或ID。
-p, --worker-pool WORKER_POOL: 必填：您要查看详细信息的 worker 节点池的名称。要列出可用的工作者池，请运行 ibmcloud ks worker-pool ls --cluster <cluster_name_or_ID>.
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool label rm` 命令

ibmcloud ks worker-pool label rm --worker-pool pool1 --cluster my_cluster

`ibmcloud ks worker-pool label set`

虚拟私有云经典基础设施

为工作池中的所有工作节点 key=value 设置自定义 Kubernetes 标签，格式为。若要保留工作池中的现有自定义标签，必须将这些标签包含在此命令中。

ibmcloud ks worker-pool label set --cluster CLUSTER --label LABEL [--label LABEL ...] --worker-pool POOL [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：包含工作进程池所在集群的名称或ID。
--label LABEL: 必需: 要为工作程序池中的所有工作程序节点设置的格式为 key=value 的定制标签。对于多个标签，请重复此选项。要保留工作池上现有的自定义标签，请使用此选项包含这些标签。您可以通过运行 ibmcloud ks worker-pool get -c <cluster_name_or_ID> --worker-pool <pool> 来列出工作程序池中工作程序节点上的现有定制标签。
-p, --worker-pool WORKER_POOL: 必填：您要查看详细信息的 worker 节点池的名称。要列出可用的工作者池，请运行 ibmcloud ks worker-pool ls --cluster <cluster_name_or_ID>.
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool label set` 命令

ibmcloud ks worker-pool label set --worker-pool pool1 --cluster my_cluster --label app=dev

`ibmcloud ks worker-pool ls`

虚拟私有云经典基础设施

列出一个集群中的所有工作程序池。

ibmcloud ks worker-pool ls --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER_NAME_OR_ID: 必填：要列出其工作池的集群名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool ls` 命令

ibmcloud ks worker-pool ls --cluster my_cluster

`ibmcloud ks worker-pool operating-system set`

设置操作系统。设置操作系统后，您必须运行 ibmcloud ks worker update 或 ibmcloud ks worker replace 来更新工人。

ibmcloud ks worker-pool operating-system set --cluster CLUSTER --operating-system SYSTEM --worker-pool POOL [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--operating-system SYSTEM: 指定操作系统的名称。
-q: 不显示每日消息或更新提示。
--worker-pool POOL, -p POOL: 指定工作程序池。

`ibmcloud ks worker-pool rebalance`

虚拟私有云经典基础设施

删除工作程序节点后，重新均衡集群中的工作程序池。运行此命令后，会向工作程序池添加新的工作程序，以便工作程序池的每个专区的节点数与指定值相符。

ibmcloud ks worker-pool rebalance --cluster CLUSTER --worker-pool WORKER_POOL [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-p, --worker-pool WORKER_POOL: 必填：您要重新平衡的工件池。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool rebalance` 命令

ibmcloud ks worker-pool rebalance --cluster my_cluster --worker-pool my_pool

`ibmcloud ks worker-pool resize`

虚拟私有云经典基础设施

调整工作程序池的大小，以增大或减小集群的每个专区中的工作程序节点数。

ibmcloud ks worker-pool resize --cluster CLUSTER --worker-pool WORKER_POOL --size-per-zone WORKERS_PER_ZONE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：要调整其工作池大小的集群的名称或ID。
--worker-pool WORKER_POOL: 必填：要更新的工作节点池的名称。
--size-per-zone WORKERS_PER_ZONE: 要在每个专区中拥有的工作程序数。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool resize` 命令

ibmcloud ks worker-pool resize --cluster my_cluster --worker-pool my_pool --size-per-zone 3

`ibmcloud ks worker-pool rm`

虚拟私有云经典基础设施

从集群中除去工作程序池。这将删除池中的所有工作程序节点。执行删除时，会重新安排 pod。为了避免产生停机时间，请确保您有足够的工作程序来运行工作负载。

ibmcloud ks worker-pool rm --worker-pool WORKER_POOL --cluster CLUSTER [-q] [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-p, --worker-pool WORKER_POOL: 必填：要删除的工作节点池的名称。
-c, --cluster CLUSTER: 必填：要从中移除工作池的集群名称或ID。
-q: 可选：不显示当天的消息或更新提示。
-f: 可选：强制命令在没有用户提示的情况下运行。

示例 `worker-pool rm` 命令

ibmcloud ks worker-pool rm --cluster my_cluster --worker-pool pool1

`ibmcloud ks worker-pool taint`

为工作池中的所有工作节点设置或清除 Kubernetes 污点。设置污点后，没有匹配容错的 pod 无法在工作程序池上运行。您可以使用污点将工作程序池专用于特定类型的工作负载，例如用于联网边缘节点或集群自动缩放器。有关污点和容忍机制的详细信息，请参阅文档 Kubernetes。

`ibmcloud ks worker-pool taint set`

虚拟私有云经典基础设施

为工作池中的所有工作节点设置 Kubernetes 污点。标记污点阻止无匹配容差的 pod 在工作程序节点上运行。为工作程序池设置定制污点后，通过获取工作程序节点的专用 IP 地址 (ibmcloud ks worker ls -c <cluster_name_or_ID>) 并运行 kubectl describe node <worker_private_IP> 来确认是否在工作程序节点上设置了这些污点。

为工作程序池设置污点时，将覆盖先前使用此命令设置的任何定制污点。要保留现有定制污点并设置新污点，请检查工作程序池的现有污点并在重新运行此命令时包含这些污点。

ibmcloud ks worker-pool taint set --worker-pool WORKER_POOL --cluster CLUSTER --taint KEY=VALUE:EFFECT [--taint KEY=VALUE2:EFFECT] [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-p, --worker-pool WORKER_POOL: 必填：要添加污点标记的工件节点池名称。要列出可用的工作者池，请运行 ibmcloud ks worker-pool ls -c <cluster_name_or_ID>.
-c, --cluster CLUSTER: 必需: 具有要感染的工作程序池的集群的名称或标识。
--taint KEY=VALUE:EFFECT: 必需: 要为工作程序池设置的 Kubernetes 污点的标签和效果。请以. key=value:effect 格式指定污染。标签对 key=value （ env=prod 例如）用于管理工作节点污点和匹配的Pod容忍度。 effect 是描述污点工作方式的 Kubernetes 污点效应，例如 NoSchedule，PreferNoSchedule 或 NoExecute。根据您设置的污点的影响，可能会逐出在工作程序节点上运行的 pod。
-f: 可选：强制命令在没有用户提示的情况下运行。

示例 `worker-pool taint set` 命令

ibmcloud ks worker-pool taint set --cluster my_cluster --worker-pool pool1 --taint env=prod:NoSchedule

`ibmcloud ks worker-pool taint rm`

虚拟私有云经典基础设施

清除工作池中所有工作节点的所有 Kubernetes 污点。要在除去污点之前检查这些污点，请运行 ibmcloud ks worker-pool get -c <cluster_name_or_ID> --worker-pool <worker_pool_name_or_ID>。

当您清除工作池的污点时，所有 Kubernetes 污点都将从工作池及其工作节点中移除。要从所有工作程序节点中除去单个污点，请重新运行 ibmcloud ks worker-pool taint set 命令并仅包含要保留的污点。或者，使用 kubectl taint node <worker_privateIP> key:effect- 命令从单个工作程序节点中除去污点。

ibmcloud ks worker-pool taint rm --worker-pool WORKER_POOL --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-p, --worker-pool WORKER_POOL: 必填：要添加污点标记的工件节点池名称。要列出可用的工作者池，请运行 ibmcloud ks worker-pool ls -c <cluster_name_or_ID>.
-c, --cluster CLUSTER: 必需: 具有要感染的工作程序池的集群的名称或标识。
-f: 可选：强制命令在没有用户提示的情况下运行。

示例 `worker-pool taint rm` 命令

ibmcloud ks worker-pool taint rm --cluster my_cluster --worker-pool pool1

`ibmcloud ks worker-pool zones`

虚拟私有云经典基础设施

查看连接到某个工作池的区域。

ibmcloud ks worker-pool zones --worker-pool WORKER_POOL --cluster CLUSTER [-q] [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必需：包含该工作进程池所在的集群名称或ID。
-p, --worker-pool WORKER_POOL: 必填：您要查看区域的 worker 节点池名称。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool zones` 命令

ibmcloud ks worker-pool zones --cluster my_cluster --worker-pool pool1

`zone` 命令

`ibmcloud ks zone add classic`

经典基础设施

创建经典集群或工作池后，即可添加区域。添加专区后，会向新专区添加工作程序节点，以匹配为工作程序池指定的每个专区的工作程序数。仅当集群位于多专区大城市中时，才能添加多个专区。

要在 VPC 集群的 worker 池中添加区域，请使用命令 ibmcloud ks zone add vpc-gen2。

ibmcloud ks zone add classic --zone ZONE --cluster CLUSTER --worker-pool WORKER_POOL [--private-vlan PRIVATE_VLAN] [--public-vlan PUBLIC_VLAN] [--private-only] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

--zone ZONE: 必填：您要添加的区域。该区域必须是集群区域中的支持多专区的专区。
-c, --cluster CLUSTER: 必填：集群的名称或ID。
-p, --worker-pool WORKER_POOL: 要将专区添加到的工作程序池的名称。要指定多个工作池，请使用多个选项，例如 -p pool1 -p pool2：
--private-vlan PRIVATE_VLAN: 专用 VLAN 的标识。此值是有条件的。如果专区中有专用 VLAN，那么此值必须与集群中一个或多个工作程序节点的专用 VLAN 标识相匹配。要查看可用的VLAN，请运行 ibmcloud ks cluster get --cluster <cluster> --show-resources. 新的工作程序节点会添加到指定的 VLAN，但不会更改任何现有工作程序节点的 VLAN。如果该区域中没有私有或公共VLAN，请勿指定此选项。初始向工作程序池添加专区后，会自动创建专用和公用 VLAN。在经典集群中，如果有多个 VLAN 用于集群，有多个子网位于同一 VLAN 上，或有一个多专区经典集群，那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF)，从而使工作程序节点可以在专用网络上相互通信。要启用 VRF，请参阅启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。如果无法或不想启用 VRF，请启用 VLAN 生成。要执行此操作，您需要拥有“网络 > 管理网络VLAN跨域”的基础设施权限，或者可请求账户所有者为您启用该权限。要检查VLAN跨域是否已启用，请使用ibmcloud ks vlan spanning get --region <region> 以下命令：
--public-vlan PUBLIC_VLAN: 公用 VLAN 的标识。如果要在创建集群之后向公众公开节点上的工作负载，那么此值是必需的。此值必须与集群中该专区的一个或多个工作程序节点的公用 VLAN 标识相匹配。要查看可用的VLAN，请运行 ibmcloud ks cluster get --cluster <cluster> --show-resources. 新的工作程序节点会添加到指定的 VLAN，但不会更改任何现有工作程序节点的 VLAN。如果该区域中没有私有或公共VLAN，请勿指定此选项。初始向工作程序池添加专区后，会自动创建专用和公用 VLAN。在经典集群中，如果有多个 VLAN 用于集群，有多个子网位于同一 VLAN 上，或有一个多专区经典集群，那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF)，从而使工作程序节点可以在专用网络上相互通信。要启用 VRF，请参阅启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。如果无法或不想启用 VRF，请启用 VLAN 生成。要执行此操作，您需要拥有“网络 > 管理网络VLAN跨域”的基础设施权限，或者可请求账户所有者为您启用该权限。要检查VLAN跨域是否已启用，请使用ibmcloud ks vlan spanning get --region <region> 以下命令：
--private-only: 使用此选项可阻止创建公用 VLAN。仅当指定 --private-vlan 选项且不包含 --public-vlan 选项时才需要。如果工作节点仅配置了私有VLAN，则必须启用私有云服务端点或配置网关设备。有关更多信息，请参阅规划专用集群和工作程序节点设置。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `zone add classic` 命令

ibmcloud ks zone add classic --zone dal10 --cluster my_cluster -p pool1 -p pool2 --private-vlan 2294021

`ibmcloud ks zone add vpc-gen2`

虚拟私有云

创建第二代 VPC 集群或工作池后，即可添加区域。添加专区后，会向新专区添加工作程序节点，以匹配为工作程序池指定的每个专区的工作程序数。仅当集群位于多专区大城市中时，才能添加多个专区。

ibmcloud ks zone add vpc-gen2 --zone ZONE --subnet-id VPC_SUBNET_ID --cluster CLUSTER --worker-pool WORKER_POOL [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

--zone ZONE: 必填：您要添加的区域。这必须是集群区域内的 VPC 专区。要查看可用的VPC区域，请运行 ibmcloud ks zone ls --provider vpc-gen2.
--subnet-id SUBNET_ID: 必填：您要添加的子网的ID。 VPC 子网必须在指定的 zone 内。要查看可用的VPC子网，请运行 ibmcloud ks subnets --provider vpc-gen2 --vpc-id <vpc> --zone <vpc_zone>。 VPC子网为集群中的工作节点和负载均衡服务提供IP地址，因此请使用具有足够IP地址（例如256个）的VPC子网。
-c, --cluster CLUSTER: 必填：集群的名称或ID。要列出 VPC 集群，请运行 ibmcloud ks cluster ls --provider vpc-gen2.
-p, --worker-pool WORKER_POOL: 要将专区添加到的工作程序池的名称。要指定多个工作池，请使用多个选项，例如 -p pool1 -p pool2：
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `zone add vpc-gen2` 命令

ibmcloud ks zone add vpc-gen2 --zone us-south-3 --cluster my_cluster --worker-pool pool1 --worker-pool pool2

`ibmcloud ks zone ls`

虚拟私有云经典基础设施 Satellite

查看可在其中创建集群的可用专区的列表。

不推荐使用此命令的 locations 别名。

ibmcloud ks zone ls --provider (classic | satellite | vpc-gen2) [--location LOCATION] [--region-only] [--output json] [-q]

最低许可权：无

命令选项：

--provider (classic | satellite | vpc-gen2): 用于列出区域的基础设施提供商类型。此选项是必需的。
-l, --location LOCATION: 按特定位置过滤输出。要查看支持的位置，请运行 ibmcloud ks locations. 要指定多个位置，请为每个位置使用一个选项，例如 -l dal -l seo.
--region-only: 可选：仅列出您当前登录区域内的多区域。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks zone ls -l ap

`ibmcloud ks zone network-set`

经典基础设施

仅限多专区经典集群：为工作程序池设置网络元数据，以将与先前所用不同的公用或专用 VLAN 用于专区。池中已创建的工作程序节点会继续使用先前的公用或专用 VLAN，但池中的新工作程序节点将使用新的网络数据。

ibmcloud ks zone network-set --zone ZONE --cluster CLUSTER  --private-vlan PRIVATE_VLAN --worker-pool WORKER_POOL [--public-vlan PUBLIC_VLAN] [--private-only] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

--zone ZONE: 必填：您要添加的区域。该区域必须是集群区域中的支持多专区的专区。
-c, --cluster CLUSTER: 必填：集群的名称或ID。
-p, --worker-pool WORKER_POOL: 要将专区添加到的工作程序池的名称。要指定多个工作池，请使用多个选项，例如 -p pool1 -p pool2：
--private-vlan PRIVATE_VLAN: 专用 VLAN 的标识。此值是必需的，无论要使用的专用 VLAN 与用于其他工作程序节点的专用 VLAN 相同还是不同。新的工作程序节点会添加到指定的 VLAN，但不会更改任何现有工作程序节点的 VLAN。专用 VLAN 和公用 VLAN 必须兼容，这可通过 Router 标识前缀进行确定。
--public-vlan PUBLIC_VLAN: 公用 VLAN 的标识。仅当要更改专区的公用 VLAN 时，此值才是必需的。要更改公用 VLAN，必须始终提供兼容的专用 VLAN。新的工作程序节点会添加到指定的 VLAN，但不会更改任何现有工作程序节点的 VLAN。专用 VLAN 和公用 VLAN 必须兼容，这可通过 Router 标识前缀进行确定。
--private-only: 可选：取消设置公用 VLAN，以便此专区中的工作程序仅连接到专用 VLAN。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

用法：

检查集群中可用的 VLAN。

ibmcloud ks cluster get --cluster <cluster_name_or_ID> --show-resources

示例输出

Subnet VLANs
VLAN ID   Subnet CIDR         Public   User-managed
229xxxx   169.xx.xxx.xxx/29   true     false
229xxxx   10.xxx.xx.x/29      false    false

检查要使用的公用和专用 VLAN 标识是否兼容。要使两者兼容，Router 必须具有相同的 pod 标识。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。
```
ibmcloud ks vlan ls --zone <zone>
```
在示例输出中，请注意路由器 Pod ID 匹配：01a 和 01a。如果一个 pod ID 为 01a，另一个为 02a，则无法为您的 worker 池设置这些公共和私有 VLAN ID。
```
ID        Name   Number   Type      Router         Supports Virtual Workers
229xxxx          1234     private   bcr01a.dal12   true
229xxxx          5678     public    fcr01a.dal12   true
```
如果没有任何可用的 VLAN，那么可以订购新的 VLAN。

示例 `zone network-set` 命令

ibmcloud ks zone network-set --zone dal10 -c my_cluster -p pool1 -p pool2 --private-vlan 2294021

`ibmcloud ks zone rm`

虚拟私有云经典基础设施

仅限多区域集群：从集群中的一个或多个工作池中移除一个区域。这将删除工作程序池中此专区的所有工作程序节点。

在除去专区之前，请确保集群的其他专区中有足够的工作程序节点，以便可以重新安排 pod。重新安排 pod 可避免因工作程序节点上的应用程序或数据损坏而产生的停机时间。

ibmcloud ks zone rm --cluster CLUSTER --zone ZONE --worker-pool WORKER_POOL [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--zone ZONE: 必填：您要删除的区域。
-p, --worker-pool WORKER_POOL: 要从其中移除该区域的工作者池名称。要指定多个工作池，请使用多个选项，例如 -p pool1 -p pool2：要从集群中的所有工作程序池中除去专区，请勿包含此选项。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `zone rm` 命令

ibmcloud ks zone rm --zone dal10 --cluster my_cluster

`ingress` 命令

查看和配置 Ingress 应用程序负载均衡器 (ALB)。

在 CLI 版本 1.0.157 及更高版本中，类别 ibmcloud ks alb 已被弃用，这些命令现已归入子 ibmcloud ks ingress alb 类别。有关更多信息，请参阅 CLI 更改日志。

`ibmcloud ks ingress alb autoscale get`

虚拟私有云经典基础设施

获取 Ingress ALB 自动缩放配置的详细信息和状态。

ibmcloud ks ingress alb autoscale get --alb ALB --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB: 必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。
--output json: 可选：以 JSON 格式打印命令输出。

示例 `ingress alb autoscale get` 命令

ibmcloud ks ingress alb autoscale get --alb myalb123 --cluster mycluster

`ibmcloud ks ingress alb autoscale set`

虚拟私有云经典基础设施

配置自动缩放以根据当前负载自动增加或减少 Ingress ALB pod 数。您可以选择根据 CPU 利用率来缩放 pod，也可以使用指定的定制度量。如果基于 CPU 利用率的自动缩放配置，请指定平均 CPU 利用率以及在任何给定时间要部署的最大和最小 pod 数。如果选择指定用于自动缩放的定制度量值，请传入定制度量值文件的路径。

ibmcloud ks ingress alb autoscale set --alb ALB --cluster CLUSTER --max-replicas REPLICAS --min-replicas REPLICAS [--output OUTPUT] [-q] (--cpu-average-utilization PERCENT | --custom-metrics-file FILE)

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB: 必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER: 必填：集群的名称或ID。
--max-replicas REPLICAS: 要随时部署的最大副本数。如果包含 ---cpu-average-utilization 选项，那么此值是必需的。
--min-replicas REPLICAS: 要随时部署的最小副本数。如果包含 ---cpu-average-utilization 选项，那么此值是必需的。
--cpu-average-utilization PERCENTAGE: 用于动态计算副本数的平均利用率阈值。
--custom-metrics-file: 定制度量文件的路径。
-q: 可选：不显示当天的消息或更新提示。
--output json: 可选：以 JSON 格式打印命令输出。

示例 `ingress alb autoscale set` 命令

ibmcloud ks ingress alb autoscale set --alb myalb123 --cluster mycluster --max-replicas 5 --min-replicas 2 --cpu-average-utilization 5

`ibmcloud ks ingress alb autoscale unset`

虚拟私有云经典基础设施

通过删除自动缩放配置从 Ingress ALB 中除去自动缩放。

ibmcloud ks ingress alb autoscale unset --alb ALB --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB: 必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb autoscale unset` 命令

ibmcloud ks ingress alb autoscale unset --alb myalb123 --cluster mycluster

`ibmcloud ks ingress alb autoupdate disable`

虚拟私有云经典基础设施

禁用集群中所有 Ingress ALB pod 的自动更新。

缺省情况下，将启用 Ingress 应用程序负载均衡器 (ALB) 的自动更新。当有新镜像版本可用时，ALB pod 将自动更新。要改为手动更新该附加组件，请使用此命令来禁用自动更新。然后，您可以通过运行命令 ibmcloud ks ingress alb update 来更新ALB pods。

当您更新集群的主版本或次 Kubernetes 版本时，IBM 系统会自动对Ingress部署进行必要的变更，但不会更改Ingress ALB附加组件的镜像版本。您应负责检查最新的 Kubernetes 版本和 Ingress ALB 附加组件映像的兼容性。

ibmcloud ks ingress alb autoupdate disable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb autoupdate disable` 命令

ibmcloud ks ingress alb autoupdate disable --cluster mycluster

`ibmcloud ks ingress alb autoupdate enable`

虚拟私有云经典基础设施

启用集群中所有 Ingress ALB pod 的自动更新。

如果禁用了 Ingress ALB 附加组件的自动更新，那么您可以重新启用自动更新。每当新版本图像可用时，应用程序逻辑块（ALBs）都会自动更新至最新构建版本。

ibmcloud ks ingress alb autoupdate enable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks ingress alb autoupdate get`

虚拟私有云经典基础设施

检查Ingress ALB附加组件的自动更新功能是否已启用，并确认您的ALB是否已更新至最新镜像版本。

ibmcloud ks ingress alb autoupdate get --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks ingress alb create classic`

经典基础设施

在经典集群中创建公共或专用 ALB。缺省情况下，已启用您创建的 ALB。

ibmcloud ks ingress alb create classic --cluster CLUSTER --type (PUBLIC|PRIVATE) --vlan VLAN_ID --zone ZONE [--ip IP] [--version IMAGE_VERSION] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
--type (PUBLIC|PRIVATE): ALB的类型：public 或 private。此类型必须与 vlan 匹配。
--vlan VLAN_ID: 要在其中创建 ALB 的 VLAN 的标识。此VLAN必须与ALB匹配 type，且必须与您要创建的 zone ALB位于同一区域。
--zone ZONE: 创建ALB的区域。
--ip IP: 可选: 要分配给 ALB 的 IP 地址。此 IP 必须位于您指定的 vlan 上，并且必须与要创建的 ALB 位于同一 zone 中。该IP地址不得被集群中的其他负载均衡器或应用程序负载均衡器使用。要查看当前正在使用的 IP 地址，请运行 kubectl get svc --all-namespaces。
--version IMAGE_VERSION: 可选: 您希望 ALB 运行的映像版本。要列出可用版本，请运行 ibmcloud ks ingress alb versions. 要指定非缺省版本，必须首先通过运行 ibmcloud ks ingress alb autoupdate disable 命令来禁用自动更新。如果省略此选项，那么 ALB 将运行缺省版本的 Kubernetes Ingress 映像类型。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb create classic` 命令

ibmcloud ks ingress alb create classic --cluster mycluster --type public --vlan 2234945 --zone dal10 --ip 1.1.1.1 --version 1.1.2_2507_iks

`ibmcloud ks ingress alb create vpc-gen2`

虚拟私有云

在 VPC 集群中创建公共或专用 ALB。缺省情况下，已启用您创建的 ALB。

ibmcloud ks ingress alb create vpc-gen2 --cluster CLUSTER --type PUBLIC|PRIVATE --zone ZONE [--version IMAGE_VERSION] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。要查看 VPC 集群，请运行 ibmcloud ks cluster ls --provider vpc-gen2.
--type PUBLIC|PRIVATE: ALB的类型：public 或 private。
--zone ZONE: 要将 ALB 部署到的 VPC 区域。
--version IMAGE_VERSION: 可选: 您希望 ALB 运行的映像版本。要列出可用版本，请运行 ibmcloud ks ingress alb versions. 要指定非缺省版本，必须首先通过运行 ibmcloud ks ingress alb autoupdate disable 命令来禁用自动更新。如果省略此选项，那么 ALB 将运行缺省版本的 Kubernetes Ingress 映像类型。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb create vpc-gen2` 命令

ibmcloud ks ingress alb create vpc-gen2 --cluster mycluster --type public --zone us-south-1 --version 1.1.2_2507_iks

`ibmcloud ks ingress alb disable`

虚拟私有云经典基础设施

在集群中禁用 ALB。 ALB 及其 pod 仍然存在，但停止将流量路由到应用程序。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb configure。

ibmcloud ks ingress alb disable --alb ALB_ID --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB_ID: 必填：ALB的ID。要查看集群中应用程序负载均衡器的ID，请运行 ibmcloud ks ingress alb ls --cluster CLUSTER.
-c, --cluster CLUSTER: 集群的名称或标识。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb disable` 命令

ibmcloud ks ingress alb disable --alb public-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster

`ibmcloud ks ingress alb enable classic`

经典基础设施

在经典集群中启用应用程序负载均衡器。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb configure classic。

可以使用此命令来执行以下操作：

启用缺省专用 ALB。创建集群时，会在具有工作程序和可用专用子网的每个专区中创建缺省专用 ALB，但未启用缺省专用 ALB。但是，将自动启用所有缺省公共 ALB，并且缺省情况下也会启用使用 ibmcloud ks ingress alb create classic 命令创建的任何公共或专用 ALB。
启用先前禁用的 ALB。

ibmcloud ks ingress alb enable classic --alb ALB_ID --cluster CLUSTER [--ip IP_ADDRESS] [--version IMAGE_VERSION] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB_ID: 必填：ALB的ID。要查看集群中应用程序负载均衡器的ID，请运行 ibmcloud ks ingress alb ls --cluster CLUSTER.
-c, --cluster CLUSTER: 集群的名称或标识。
--ip IP_ADDRESS: 可选: 指定在其中创建 ALB 的区域中 VLAN 上的 IP 地址。 ALB 已启用并使用此公共或专用 IP 地址。该IP地址不得被集群中的其他负载均衡器或应用程序负载均衡器使用。如果未提供 IP 地址，ALB 将使用集群创建时自动分配的可移植公共或私有子网中的公共或私有 IP 地址进行部署；若重新启用先前已启用的 ALB，则使用该 ALB 之前分配的公共或私有 IP 地址。
--version IMAGE_VERSION: 可选: 您希望 ALB 运行的映像版本。要列出可用版本，请运行 ibmcloud ks ingress alb versions. 要指定非缺省版本，必须首先通过运行 ibmcloud ks ingress alb autoupdate disable 命令来禁用自动更新。如果省略此选项，那么 ALB 将运行 ALB 先前运行的相同映像的缺省版本: Kubernetes Ingress 映像或 IBM Cloud Kubernetes Service Ingress 映像。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb enable classic` 命令

ibmcloud ks ingress alb enable classic --alb private-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster --ip 169.XX.XXX.XX --version 1.1.2_2507_iks

`ibmcloud ks ingress alb enable vpc-gen2`

虚拟私有云

在VPC集群中启用ALB。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb configure vpc-gen2。

可以使用此命令来执行以下操作：

启用缺省专用 ALB。创建集群时，会在您有工作程序节点的每个专区中创建缺省专用 ALB，但不会启用这些缺省专用 ALB。但是，将自动启用所有缺省公共 ALB，并且缺省情况下也会启用使用 ibmcloud ks ingress alb create vpc-gen2 命令创建的任何公共或专用 ALB。
启用先前禁用的 ALB。

ibmcloud ks ingress alb enable vpc-gen2 --alb ALB_ID --cluster CLUSTER [--version IMAGE_VERSION] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB_ID: 必填：ALB的ID。要查看集群中应用程序负载均衡器的ID，请运行 ibmcloud ks ingress alb ls --cluster CLUSTER.
-c, --cluster CLUSTER: 集群的名称或标识。
--version IMAGE_VERSION: 可选: 您希望 ALB 运行的映像版本。要列出可用版本，请运行 ibmcloud ks ingress alb versions. 要指定非缺省版本，必须首先通过运行 ibmcloud ks ingress alb autoupdate disable 命令来禁用自动更新。如果省略此选项，那么 ALB 将运行 ALB 先前运行的相同映像的缺省版本: Kubernetes Ingress 映像或 IBM Cloud Kubernetes Service Ingress 映像。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb enable vpc-gen2` 命令

ibmcloud ks ingress alb enable vpc-gen2 --alb private-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster --version 1.1.2_2507_iks

`ibmcloud ks ingress alb get`

虚拟私有云经典基础设施

查看集群中 Ingress ALB 的详细信息。

ibmcloud ks ingress alb get --alb ALB_ID --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--alb ALB_ID: 必填：ALB的ID。要查看集群中应用程序负载均衡器的ID，请运行 ibmcloud ks ingress alb ls --cluster CLUSTER.
-c, --cluster CLUSTER: 集群的名称或标识。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb get` 命令

ibmcloud ks ingress alb get --alb public-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster

`ibmcloud ks ingress alb health-checker disable`

虚拟私有云经典基础设施

禁用集群中 Ingress ALB 的运行状况检查程序。

ibmcloud ks ingress alb health-checker disable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb health-checker disable` 命令

ibmcloud ks ingress alb health-checker disable --cluster mycluster

`ibmcloud ks ingress alb health-checker enable`

虚拟私有云经典基础设施

对集群中的 Ingress ALB 启用运行状况检查程序。

ibmcloud ks ingress alb health-checker enable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb health-checker enable` 命令

ibmcloud ks ingress alb health-checker enable --cluster mycluster

`ibmcloud ks ingress alb health-checker get`

虚拟私有云经典基础设施

查看集群中 Ingress ALB 的运行状况检查程序的详细信息。

ibmcloud ks ingress alb health-checker get --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb health-checker get` 命令

ibmcloud ks ingress alb health-checker get --cluster mycluster

`ibmcloud ks ingress alb ls`

虚拟私有云经典基础设施

列出集群中的所有 Ingress ALB 标识，并查看 ALB pod 的更新是否可用。

如果未返回任何 ALB 标识，说明集群没有可移植子网。您可以为集群创建或添加子网。之后，将自动为您创建 ALB。

ibmcloud ks ingress alb ls --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

*-c, --cluster *CLUSTER: 必填：您列出可用应用程序负载均衡器所在的集群名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb ls` 命令

ibmcloud ks ingress alb ls --cluster my_cluster

`ibmcloud ks ingress alb update`

虚拟私有云经典基础设施

强制将集群中各个或所有 Ingress ALB 的 pod 更新到最新或特定版本。

如果禁用了 Ingress ALB 附加组件的自动更新，而您希望更新该附加组件，那么可以强制一次性更新 ALB pod。如果最近更新了 ALB pod，但 ALB 的定制配置受最新构建影响，那么您还可以使用此命令将 ALB pod 回滚到受支持的较早版本。请注意，您可以使用此命令将 ALB 映像更新为其他版本，但不能使用此命令将 ALB 从一种类型的映像更改为另一种类型的映像。强制一次性更新后，自动更新仍处于禁用状态，但可以使用 ibmcloud ks ingress alb autoupdate enable 命令重新启用。

ibmcloud ks ingress alb update --cluster CLUSTER [--alb ALB1_ID --alb ALB2_ID ...] [--version IMAGE_VERSION] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必需: 要更新 ALB 的集群的名称或标识。
--alb CLUSTER: 可选: 要更新的各个 ALB 的标识。要列出ALB ID，请运行 ibmcloud ks ingress alb ls -c <cluster>. 要更新多个 ALB，请使用多个选项，例如 --alb ALB1_ID --alb ALB2_ID。如果省略此选项，那么将更新集群中的所有 ALB。
--version IMAGE_VERSION: 可选: 要将 ALB 更新为的映像版本。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

要更新集群中的所有 ALB pod:

ibmcloud ks ingress alb update -c mycluster --version 1.1.2_2507_iks

要更新一个或多个特定 ALB 的 ALB pod:

ibmcloud ks ingress alb update -c mycluster --version 1.1.2_2507_iks --alb public-crdf253b6025d64944ab99ed63bb4567b6-alb1

`ibmcloud ks ingress alb versions`

虚拟私有云经典基础设施

查看可用的 Ingress ALB 版本。

ibmcloud ks ingress alb versions [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks ingress domain create`

为集群创建 Ingress 域。

ibmcloud ks ingress domain create --cluster CLUSTER [--crn CRN] [--default] [--domain DOMAIN] [--hostname HOSTNAME] [--ip IP] [--output OUTPUT] [--domain-provider PROVIDER] [-q] [--secret-namespace NAMESPACE] [--domain-zone ZONE]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必需: 要在其中创建域的集群的名称或标识。
--crn CRN: 对于 IBM Cloud Internet Services 域是必需的。 IBM Cloud Internet Services 实例的 CRN。
--is-default: 可选。包含此选项可将相关域设置为集群的默认域。
--domain DOMAIN: Ingress 域。您可以指定现有域名，或创建新域名。有关指定域的特定于提供者的信息，请参阅创建您自己的 Ingress 域。
--hostname HOSTNAME: 可选。对于 VPC 集群。要为域注册的主机名。
--ip IP: 可选。要为域注册的 IP 地址。
--output OUTPUT: 可选：以 JSON 格式打印命令输出。
--domain-provider PROVIDER: 可选。外部 DNS 提供程序类型。可选项有 ns1, cis-ext。如果未指定提供程序，则使用 IBM-managed 内部提供程序创建域。默认 DNS 提供商是 cis-ext。有关支持的提供商，请参阅为群集设置域。
--secret-namespace NAMESPACE: 可选。要在其中创建 TLS 私钥的名称空间。如果未指定命名空间，则该密钥将在默认 default 命名空间中创建。
--domain-zone ZONE: 可选。 IBM Cloud Internet Services 实例的域标识。这是一个全局唯一标识符值。

示例 `ingress domain create` 命令

此示例命令创建向 IBM Cloud 内部提供程序注册的域。有关使用不同提供程序创建域的示例，请参阅创建您自己的 Ingress 域。

ibmcloud ks ingress domain create --cluster my-cluster --domain exampledomain

`ibmcloud ks ingress domain default replace`

更改集群的缺省 Ingress 域。

ibmcloud ks ingress domain default replace --cluster CLUSTER --domain DOMAIN [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

-c, --cluster CLUSTER: 必填：应用域名的集群名称或ID。
--domain DOMAIN: 必需。要指定为集群的新缺省域的域。您必须指定一个已存在的域名。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain default replace` 命令

ibmcloud ks ingress domain default replace --cluster CLUSTER --domain DOMAIN [-q]

`ibmcloud ks ingress domain get`

查看 Ingress 域的详细信息。

ibmcloud ks ingress domain get --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：应用域名的集群名称或ID。
--domain DOMAIN: 必需。要查看其详细信息的域。
--output OUTPUT: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain get` 命令

ibmcloud ks ingress domain get --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]

`ibmcloud ks ingress domain ls`

列出集群的所有 Ingress 域。

ibmcloud ks ingress domain ls --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output OUTPUT: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain ls` 命令

ibmcloud ks ingress domain ls --cluster CLUSTER [--output OUTPUT] [-q]

`ibmcloud ks ingress domain rm`

从集群中移除 Ingress 域。

ibmcloud ks ingress domain rm --cluster CLUSTER --domain DOMAIN [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：应用域名的集群名称或ID。
--domain DOMAIN: 必需。要从集群中除去的域。不能指定缺省域。如果要除去当前设置为集群缺省值的域，那么必须首先将缺省值替换为另一个域。

-f

-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain rm` 命令

ibmcloud ks ingress domain rm --cluster CLUSTER --domain DOMAIN [-f] [-q]

`ibmcloud ks ingress domain secret regenerate`

为 Ingress 域重新生成证书。运行此命令以在 DNS 提供程序中生成新令牌并将其应用于集群

ibmcloud ks ingress domain secret regenerate --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：应用域名的集群名称或ID。
--domain DOMAIN: 必需。要重新生成的域。
--output OUTPUT: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain secret regenerate` 命令

ibmcloud ks ingress domain secret regenerate --cluster mycluster --domain exampledomain [--output OUTPUT] [-q]

`ibmcloud ks ingress domain secret rm`

删除Ingress域的密钥，并阻止证书的后续续期。

ibmcloud ks ingress domain secret rm --cluster CLUSTER --domain DOMAIN [-f] [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：应用域名的集群名称或ID。
--domain DOMAIN: 必需。要从中除去私钥的域。

-f

--output OUTPUT: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain secret rm` 命令

ibmcloud ks ingress domain secret rm --cluster CLUSTER --domain DOMAIN [-f] [--output OUTPUT] [-q]

`ibmcloud ks ingress domain update`

更新集群的 Ingress 域以更改与该域关联的主机名或 IP 地址。此命令使用指定的 IP 地址或主机名更新集群中的所有资源，并更改应用程序 URL。

ibmcloud ks ingress domain update --cluster CLUSTER --domain DOMAIN [--hostname HOSTNAME] [--ip IP] [--ip IP] [-q]

请注意，添加 IP 地址或主机名时，必须包含当前已向域注册的任何 IP 或主机名。域将使用指定的精确值进行更新，因此如果不包含任何当前 IP 地址或主机名，那么将覆盖这些地址或主机名。例如，如果 52.137.182.166 当前已注册到您的域，并且您要添加 52.137.182.270，那么必须在命令中指定 --ip 52.137.182.166 --ip 52.137.182.270。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：应用域名的集群名称或ID。
--domain DOMAIN: 必需。要更新的域。
--hostname HOSTNAME: 对于 VPC 集群。要为域注册的主机名。
--ip IP: 要为域注册的 IP 地址。传入的 IP 地址将完全替换当前与域关联的 IP 地址。如果要保留当前 IP 地址，那么必须包含这些地址。如果指定此标志而不指定任何值，那么将从域中注销当前 IP 地址。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain update` 命令

ibmcloud ks ingress domain update --cluster CLUSTER --domain DOMAIN [--hostname HOSTNAME] [--ip IP] [-q]

`ibmcloud ks ingress instance default set`

虚拟私有云经典基础设施

将注册的 Secrets ManagerIBM Cloud 实例设置为默认值。如果存在现有缺省实例，那么将从缺省实例取消设置该实例。

当您设置新的默认 Secrets Manager 实例时，所有未由该实例 IBM Cloud 管理的现有机密必须手动更新其证书CRN，使其与新默认实例的CRN保持一致。要更新课程注册编号（CRN），请使用命令 ibmcloud ks ingress secret update。如果不更新 CRN，那么这些私钥不会在下一次调度的证书更新时更新。

ibmcloud ks ingress instance default set --cluster CLUSTER --crn CRN --name NAME [-q] [--secret-group GROUP]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--crn: 必需。该 IBM Cloud 密钥管理器实例的CRN。
--name NAME: 必需。 Secret Manager 实例的名称。
-q: 可选：不显示当天的消息或更新提示。
--secret-group GROUP: 用于持久存储私钥的 IBM Cloud Secret Manager 实例的私钥组标识。要获取私钥组标识，请参阅 Secrets Manager CLI 参考。

示例：

ibmcloud ks ingress instance default set --cluster --cluster a111aaa11a1aaaaaaa1 --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --name my-secret-manager --namespace default --secret-group 90e059dd-d04e-a32b-010f-4d303b9050b8

`ibmcloud ks ingress instance default unset`

虚拟私有云经典基础设施

移除一个 Secrets Manager 实例作为默认实例。

如果未设置默认实例，您的密钥将仅直接写入集群，不会写入任何 Secrets Manager 实例。

ibmcloud ks ingress instance default unset --cluster CLUSTER --crn CRN --name NAME [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--crn: 必需。该 IBM Cloud 密钥管理器实例的CRN。
--name NAME: 必需。 Secret Manager 实例的名称。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks ingress instance default unset --cluster --cluster a111aaa11a1aaaaaaa1 --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --name my-secret-manager --namespace default

`ibmcloud ks ingress instance get`

虚拟私有云经典基础设施

查看实例 Secrets Manager 的详细信息。

ibmcloud ks ingress instance get --cluster CLUSTER --name NAME [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--name NAME: 必需。 Secret Manager 实例的名称。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks ingress instance get --cluster my-cluster --name my-secrets-manager

`ibmcloud ks ingress instance ls`

虚拟私有云经典基础设施

列出注册到集群的所有 Secrets Manager 实例。

ibmcloud ks ingress instance ls --cluster CLUSTER [--output OUTPUT] [-q] [--show-deleted]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。
--show-deleted: 可选。添加此选项以包含从集群注销的实例。

示例：

ibmcloud ks ingress instance ls --cluster my-cluster --show-deleted

`ibmcloud ks ingress instance register`

虚拟私有云经典基础设施

将一个 Secrets Manager 实例注册到集群中。

ibmcloud ks ingress instance register --cluster CLUSTER --crn CRN [--is-default] [--secret-group GROUP] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--crn: 必需。该 IBM Cloud 密钥管理器实例的CRN。
--is-default: 可选。包含此选项还可将已注册的实例设置为存储所有 Ingress 子域证书的缺省 Secrets Manager 实例。如果另一个实例已设置为缺省值，那么将除去该实例。请注意，您必须手动更新任何证书或私钥以将其上载到新的缺省实例。否则，将在下一次调度的私钥更新时间上载这些私钥。
-q: 可选：不显示当天的消息或更新提示。
--secret-group GROUP: 用于持久存储私钥的 IBM Cloud Secret Manager 实例的私钥组标识。要获取私钥组标识，请参阅 Secrets Manager CLI 参考。

示例：

ibmcloud ks ingress instance register --cluster my-cluster --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --secret-group 90e059dd-d04e-a32b-010f-4d303b9050b8

`ibmcloud ks ingress instance unregister`

虚拟私有云经典基础设施

从集群中移除一个 Secrets Manager 实例。

ibmcloud ks ingress instance unregister --cluster CLUSTER --name NAME [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--name: 必需。要删除的实例 Secrets Manager 名称。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks ingress instance unregister --cluster my-cluster --name my-secrets-manager-instance

`ibmcloud ks ingress lb get`

虚拟私有云经典基础设施

获取在集群中公开 Ingress ALB 的负载均衡器的配置。

例如，如果先前运行了诸如 ibmcloud ks ingress lb proxy-protocol enable 之类的命令，那么可以使用此命令来查看配置更改。

ibmcloud ks ingress lb get --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress lb get` 命令

ibmcloud ks ingress lb get --cluster mycluster

`ibmcloud ks ingress lb proxy-protocol disable`

虚拟私有云

禁用集群中所有 Ingress ALB 前面的负载均衡器的 NGINX PROXY 协议，以便不再将请求头中的客户机连接信息传递到 ALB。

执行此命令后，现有的负载均衡器将被删除并重新创建，这可能会导致服务中断。在重新创建负载均衡器期间，两个未使用的 IP 地址必须在每个子网中可用。

ibmcloud ks ingress lb proxy-protocol disable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress lb proxy-protocol disable` 命令

ibmcloud ks ingress lb proxy-protocol disable --cluster mycluster

`ibmcloud ks ingress lb proxy-protocol enable`

虚拟私有云

对所有在集群中公开 Ingress ALB 的负载均衡器启用 NGINX PROXY 协议，以便在请求头中将客户机连接信息传递到 ALB。

PROXY 协议使负载均衡器能够将客户机请求的头中包含的客户机连接信息传递到 ALB。此客户机信息可以包含客户机 IP 地址，代理服务器 IP 地址以及两个端口号。

ibmcloud ks ingress lb proxy-protocol enable --cluster CLUSTER [--cidr CIDR ...] [--header-timeout TIMEOUT] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--cidr CIDR: 可选: 负载均衡器 CIDR，ALB 从中处理 PROXY 协议头中的信息。如果包含 PROXY 头的请求源自其他 IP 范围内的负载均衡器，那么 ALB 不会处理头中的信息。此选项仅支持运行社区版 Kubernetes Ingress镜像的ALB。缺省值： 0.0.0.0/0
--header-timeout TIMEOUT: 可选: 负载均衡器接收包含客户机连接信息的 PROXY 协议头的超时值 (以秒计)。此选项仅支持运行社区版 Kubernetes Ingress镜像的ALB。缺省值： 5
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress lb proxy-protocol enable` 命令

ibmcloud ks ingress lb proxy-protocol enable --cluster mycluster --cidr 1.1.1.1/16

`ibmcloud ks ingress secret create`

虚拟私有云经典基础设施

在集群中为存储在 IBM Cloud® Secrets Manager. 中的证书创建一个 Ingress 密钥。此命令可用于创建 TLS 或非 TLS 私钥。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb cert deploy。在 CLI 版本 1.0.157 及更高版本中，类别 ibmcloud ks ingress alb cert 已被弃用，这些命令现已归入子 ibmcloud ks ingress secret 类别。有关更多信息，请参阅 CLI 更改日志。

要使用该 ibmcloud ks ingress secret create 命令，您必须在集群中注册默认 Secrets Manager 实例。若您未创建实例 Secrets Manager，而是将密钥直接写入集群，则这些密钥将缺少必需的 CRN 值，您必须使用 kubectl 命令进行管理。

ibmcloud ks ingress secret create --cert-crn CERTIFICATE_CRN --cluster CLUSTER --name SECRET_NAME  [--namespace NAMESPACE] [--field CRN] [--persist] [--type] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--cert-crn CERTIFICATE_CRN

必需: 证书 CRN。

-c, --cluster CLUSTER

必填：集群的名称或ID。

--name SECRET_NAME

必需: 指定私钥的名称。确保不创建与 IBM提供的 Ingress 私钥同名的私钥，您可以通过运行 ibmcloud ks cluster get --cluster <cluster_name_or_ID> | grep Ingress 来找到该私钥。

--field CRN

对于非 TLS 私钥是必需的。向密钥添加一个字段。您可以同时指定多个字段。有关更多信息，请参阅管理非 TLS 私钥字段。此选项不支持 TLS 密钥。

要使用私钥类型的缺省字段名称来拉入私钥，请使用缺省字段选项: --field <crn>。此选项可用于所有非 TLS 密钥类型。
要指定字段名称，请使用指定的字段选项: --field name=<crn>。此选项可用于任意和 IAM 凭证密钥类型。
要使用 IBM Cloud Secrets Manager 私钥作为前缀，请使用前缀字段选项: --field prefix=<crn>。此选项可用于 IAM 凭证，用户名和密码以及密钥值私钥类型。

--namespace NAMESPACE

可选: 指定 Ingress 资源要部署到的名称空间。如果 ALB 运行 Kubernetes Ingress 映像，那么需要此值，因为 ALB 只能在与 Ingress 资源相同的名称空间中识别私钥。如果 ALB 运行 IBM Cloud Kubernetes Service Ingress 映像，并且未指定名称空间，那么将在名为 ibm-cert-store 的名称空间中创建证书私钥。然后，将在 default 名称空间中创建对此私钥的引用，任何名称空间中的任何 Ingress 资源都可以对其进行访问。处理请求时，ALB 遵循引用以从 ibm-cert-store 名称空间获取并使用证书私钥。

--persist

可选: 在集群中持久存储私钥数据。如果稍后从 CLI 或 Red Hat OpenShift Web 控制台中删除私钥，那么将在集群中自动重新创建私钥。要永久删除私钥，必须使用 /ingress/v2/secret/deleteSecret API。

--type

可选。私钥的类型。从 tls (对于证书 CRN) 或 opaque (对于非证书 CRN) 中进行选择。对于 tls，最多指定一个 CRN。对于 opaque，可以指定多个 CRN。如果未指定密钥类型，tls 则默认应用。

-q

可选：不显示当天的消息或更新提示。

示例 `ingress secret create` 命令

ibmcloud ks ingress secret create --cert-crn crn:v1:staging:public:cloudcerts:us-south:a/06580c923e40314421d3b6cb40c01c68:0db4351b-0ee1-479d-af37-56a4da9ef30f:certificate:4bc35b7e0badb304e60aef00947ae7ff --cluster my_cluster --type tls --name my_alb_secret --namespace demo_ns

`ibmcloud ks ingress secret field add`

虚拟私有云经典基础设施

将非 TLS CRN 字段添加到不透明密钥。有三种方法可指定字段类型。您选择的选项取决于私钥类型以及您希望如何在非 TLS 私钥中命名该字段。有关更多信息，请参阅管理非 TLS 私钥字段。

ibmcloud ks ingress secret field add --cluster CLUSTER --name SECRET_NAME --field CRN --namespace NAMESPACE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER

必需。集群的名称或标识。

--name NAME

必需。要向其添加字段的私钥的名称。

--field CRN

必需。要添加到字段的私钥 CRN。您可以同时指定多个字段。有关更多信息，请参阅管理非 TLS 私钥字段。

要使用私钥类型的缺省字段名称来拉入私钥，请使用缺省字段选项: --field <crn>。此选项可用于所有非 TLS 密钥类型。
要指定字段名称，请使用指定的字段选项: --field name=<crn>。此选项可用于任意和 IAM 凭证密钥类型。
要使用 IBM Cloud Secrets Manager 私钥作为前缀，请使用前缀字段选项: --field prefix=<crn>。此选项可用于 IAM 凭证，用户名和密码以及密钥值私钥类型。

--namespace NAMESPACE

必需。私钥部署到的名称空间。

-q

可选：不显示当天的消息或更新提示。

用于将缺省字段，指定字段和前缀字段添加到一组 IAM 凭证的示例:

ibmcloud ks ingress secret field add --cluster example-cluster --name example-iam-secret --namespace default  --field crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1 --field unique_iam_name=crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1 --field prefix=crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1

`ibmcloud ks ingress secret field ls`

虚拟私有云经典基础设施

查看Ingress密钥的CRN字段。此命令仅适用于不透明密钥。

ibmcloud ks ingress secret field ls --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--name NAME: 必需。要向其添加字段的私钥的名称。
--namespace NAMESPACE: 必需。私钥部署到的名称空间。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret field ls` 命令

ibmcloud ks ingress secret field ls --cluster a11a11a11a111a1a111a --name my-secret --namespace default

`ibmcloud ks ingress secret field rm`

虚拟私有云经典基础设施

ibmcloud ks ingress secret field rm --cluster CLUSTER --name NAME --namespace NAMESPACE [--field-name NAME]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--name NAME: 必需。要从中除去字段的私钥的名称。
--namespace NAMESPACE: 必需。私钥部署到的名称空间。
--field-name NAME: 要删除的字段名称。要查看字段列表，请运行 ibmcloud ks ingress secret field ls。

示例 `ingress secret field rm` 命令

ibmcloud ks ingress secret field rm --cluster a11a11a11a111a1a111a --name my-secret --namespace default --field-name test-field-name

`ibmcloud ks ingress secret get`

虚拟私有云经典基础设施

查看集群中Ingress密钥的相关信息，包括存储在中的 IBM Cloud® Secrets Manager 密钥。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb cert get。在 CLI 版本 1.0.157 及更高版本中，类别 ibmcloud ks ingress alb cert 已被弃用，这些命令现已归入子 ibmcloud ks ingress secret 类别。有关更多信息，请参阅 CLI 更改日志。

ibmcloud ks ingress secret get --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--name SECRET_NAME: 必填：秘密的名称。
--namespace NAMESPACE: 必需: 私钥要部署到的名称空间。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret get` 命令

ibmcloud ks ingress secret get --cluster my_cluster --name my_alb_secret --namespace demo_ns

`ibmcloud ks ingress secret ls`

虚拟私有云经典基础设施

列出集群中的Ingress密钥，包括存储在 IBM Cloud® Secrets Manager.中的密钥。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb cert ls。

ibmcloud ks ingress secret ls --cluster CLUSTER [--show-deleted] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--show-deleted: 可选：查看从集群中删除的密钥。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret ls` 命令

ibmcloud ks ingress secret ls --cluster my_cluster

`ibmcloud ks ingress secret rm`

虚拟私有云经典基础设施

从集群中删除 Ingress 私钥。若您为某个证书创建了密钥，Secrets Manager 则仅删除集群中的该密钥，而证书仍保留在您的 Secrets Manager 实例中。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb cert rm。在 CLI 版本 1.0.157 及更高版本中，类别 ibmcloud ks ingress alb cert 已被弃用，这些命令现已归入子 ibmcloud ks ingress secret 类别。有关更多信息，请参阅 CLI 更改日志。

ibmcloud ks ingress secret rm --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--name SECRET_NAME: 必填：秘密的名称。
--namespace NAMESPACE: 必需: 私钥要部署到的名称空间。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret rm` 命令

ibmcloud ks ingress secret rm --cluster my_cluster --name my_alb_secret --namespace demo_ns

`ibmcloud ks ingress secret update`

虚拟私有云经典基础设施

更新证书的Ingress密钥，该证书未托管在为您的集群创建的默认 Secrets Manager 实例中。

您对集群中缺省 Secrets Manager 实例中的证书进行的任何更改都会自动反映在集群中的私钥中。如果您对集群 Secrets Manager 实例中未托管的证书进行更改，那么必须使用此命令更新集群中的私钥，以获取证书更改。

ibmcloud ks ingress secret update --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--cert-crn CRN] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--name SECRET_NAME: 必填：秘密的名称。要查看可用私钥，请运行 ibmcloud ks ingress secret ls。
--namespace NAMESPACE: 必需: 私钥要部署到的名称空间。要查看私钥名称空间，请运行 ibmcloud ks ingress secret get --cluster cluster_name_or_ID <--name secret_name> --namespace <namespace>。
--cert-crn CERTIFICATE_CRN: 可选: 证书 CRN。要查看私钥 CRN，请运行 ibmcloud ks ingress secret get --cluster <cluster_name_or_ID> --name secret_name> --namespace <namespace>。此选项需要集群中的缺省 Secrets Manager 实例。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret update` 命令

虚拟私有云经典基础设施

ibmcloud ks ingress secret update --cluster my_cluster --name my_alb_secret --namespace demo_ns

`ibmcloud ks ingress status-report disable`

虚拟私有云经典基础设施

禁用集群中的 Ingress 组件状态报告。

ibmcloud ks ingress status-report disable --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report disable` 命令

ibmcloud ks ingress status-report disable --cluster mycluster

`ibmcloud ks ingress status-report enable`

虚拟私有云经典基础设施

在集群中启用 Ingress 组件的状态报告。

ibmcloud ks ingress status-report enable --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report enable` 命令

ibmcloud ks ingress status-report enable --cluster mycluster

`ibmcloud ks ingress status-report get`

虚拟私有云经典基础设施

获取集群中的 Ingress 组件状态报告。

ibmcloud ks ingress status-report get --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report get` 命令

ibmcloud ks ingress status-report get --cluster mycluster

`ibmcloud ks ingress status-report ignored-errors add`

虚拟私有云经典基础设施

添加集群的 Ingress 状态要忽略的警告。

ibmcloud ks ingress status-report ignored-errors add --cluster CLUSTER --code CODE [--code CODE ...] [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-code, --code CODE: 所需：要忽略的警告代码。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report ignored-errors add` 命令

ibmcloud ks ingress status-report ignored-errors add --cluster mycluster --code CODE

`ibmcloud ks ingress status-report ignored-errors ls`

虚拟私有云经典基础设施

列出集群的 Ingress 状态当前忽略的警告。

ibmcloud ks ingress status-report ignored-errors ls --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report ignored-errors ls` 命令

ibmcloud ks ingress status-report ignored-errors ls --cluster mycluster

`ibmcloud ks ingress status-report ignored-errors rm`

虚拟私有云经典基础设施

除去集群的 Ingress 状态当前忽略的警告。除去后，将不再忽略这些警告。

ibmcloud ks ingress status-report ignored-errors rm --cluster CLUSTER --code CODE [--code CODE ...] [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-code, --code CODE: 必需: 要从忽略列表中除去的警告的代码。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report ignored-errors rm` 命令

ibmcloud ks ingress status-report ignored-errors rm --cluster mycluster

`logging` 命令

将日志从集群转发到外部服务器。

`ibmcloud ks logging autoupdate disable`

虚拟私有云经典基础设施

禁用集群中所有 Fluentd pod 的自动更新。

在特定集群中禁用 Fluentd pod 的自动更新。当您更新集群的主版本或次 Kubernetes 版本时，IBM 系统会自动对日志附加组件进行必要的变更，ConfigMap,Fluentd 但不会更改其映像版本 Fluentd。您应负责检查最新的 Kubernetes 版本和附加组件映像的兼容性。

ibmcloud ks logging autoupdate disable --cluster CLUSTER [-q]

命令选项：

-c, --cluster CLUSTER: 必填：您希望禁用该 Fluentd 附加组件自动更新的集群名称或ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks logging autoupdate enable`

虚拟私有云经典基础设施

在特定集群中启用 Fluentd pod 的自动更新。 Fluentd 当有新映像版本可用时，pod会自动更新。

ibmcloud ks logging autoupdate enable --cluster CLUSTER [-q]

命令选项：

-c, --cluster CLUSTER: 必填：您希望为该 Fluentd 附加组件启用自动更新的集群名称或ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks logging autoupdate get`

虚拟私有云经典基础设施

查看 Fluentd pod 是否设置为在集群中自动更新。

ibmcloud ks logging autoupdate get --cluster CLUSTER [--output json] [-q]

命令选项：

-c, --cluster CLUSTER: 必填：您要检查附加 Fluentd 组件自动更新是否启用的集群名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks logging config create`

虚拟私有云经典基础设施

创建日志记录配置。您可以使用此命令将容器、应用程序、工作程序节点、Kubernetes 集群以及 Ingress 应用程序负载均衡器的日志转发到外部 syslog 服务器。

ibmcloud ks logging config create --cluster CLUSTER --logsource LOG_SOURCE --type syslog [--namespace KUBERNETES_NAMESPACE] [--hostname LOG_SERVER_HOSTNAME_OR_IP] [--port LOG_SERVER_PORT] [--app-containers CONTAINERS] [--app-paths PATHS_TO_LOGS] [--syslog-protocol PROTOCOL] [--skip-validation] [--force-update] [--output json] [-q]

最低必需许可权: 集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
--logsource LOG_SOURCE: 要对其启用日志转发的日志源。此选项支持以逗号分隔的日志源列表，用于应用配置。允许的取值为 container, application, worker, kubernetes, storage，和 ingress。若未提供日志源，则会为 container 和创建 ingress 配置。
--type syslog: 按 Enter 键 syslog 将日志转发至外部服务器。
-n, --namespace KUBERNETES_NAMESPACE: 要从中转发日志的 Kubernetes 名称空间。日志转发功能不支持和命名 ibm-system``kube-systemKubernetes 空间。此值仅对容器日志源有效，并且是可选的。若未指定命名空间，则集群中的所有命名空间均采用此配置。
--hostname LOG_SERVER_HOSTNAME: 日志收集器服务器的主机名或 IP 地址。
--port LOG_SERVER_PORT: 可选：日志收集器服务器的端口。若未指定端口，则默认使用标准端口 514 用于 syslog，并使用标准端口 9091 用于 ibm。
-p, --app-path: 容器上应用程序要将日志记录到的路径。要转发源类型为的日志，必须 application 提供路径。通配符（如 /var/log/*.log``*）可以使用，但递归通配符（ /var/log/**/test.log 如 *.*）则不可用。要指定多个路径，请使用多个选项，例如 -p /var/log/myApp1/&ast; -p /var/log/myApp2/&ast;：此值是日志源所必需 application 的。
--syslog-protocol: 当日志类型为 syslog. 时使用的传输层协议。支持的值为 tcp, tls，以及默认值 udp。转发至采用该 udp 协议的 rsyslog 服务器时，超过1KB的日志将被截断。
-C, --app-container: 要转发来自应用程序的日志，可以指定包含应用程序的容器的名称。要指定多个容器，请使用多个选项，例如 -C /var/log/myApp1/&ast; -C /var/log/myApp2/&ast;. 如果未指定容器，则会从所有包含您提供的路径的容器中转发日志。此选项仅适用于日志源 application。
--skip-validation: 可选：当组织和空间名称被指定时，跳过对其的验证。跳过验证可减少处理时间，但无效的日志记录配置将无法正确转发日志。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须使用最新版本才能更改日志记录配置。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

缺省端口 514 上从 syslog 日志源转发的日志类型 container 的示例：

ibmcloud ks logging config create my_cluster --logsource container --namespace my_namespace  --hostname 169.xx.xxx.xxx --type syslog

非缺省端口上从 syslog 源转发日志的日志类型 ingress 的实例：

ibmcloud ks logging config create --cluster my_cluster --logsource container --hostname 169.xx.xxx.xxx --port 5514 --type syslog

`ibmcloud ks logging config get`

虚拟私有云经典基础设施

查看集群的所有日志转发配置，或基于日志源过滤日志记录配置。

ibmcloud ks logging config get --cluster CLUSTER [--logsource LOG_SOURCE] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--logsource LOG_SOURCE: 可选：您要过滤的日志源类型。仅会返回集群中此日志源的日志记录配置。允许的取值为 container, storage, application, worker, kubernetes，和 ingress。
--show-covering-filters: 显示导致先前过滤器过时的日志记录过滤器。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging config get` 命令

ibmcloud ks logging config get --cluster my_cluster --logsource worker

`ibmcloud ks logging config rm`

虚拟私有云经典基础设施

删除集群的一个日志转发配置或所有日志记录配置。删除日志配置会阻止将日志转发到远程 syslog 服务器。

ibmcloud ks logging config rm --cluster CLUSTER (--namespace NAMESPACE --id LOG_CONFIG_ID] [--all] [--force-update] [-q]

最低必需许可权: 集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
-n, --namespace NAMESPACE: 要从中除去日志转发配置的名称空间。如果同一命名空间存在多个配置，请改用选项 --id <logging_configuration_ID>。
--id LOG_CONFIG_ID: 如果要除去单个日志记录配置，此值为日志记录配置标识。
--all: 清除集群中所有日志配置的选项。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须使用最新版本才能更改日志记录配置。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging config rm` 命令

ibmcloud ks logging config rm --cluster my_cluster --id f4bc77c0-ee7d-422d-aabf-a4e6b977264e

`ibmcloud ks logging config update`

虚拟私有云经典基础设施

更新日志转发配置的详细信息。

ibmcloud ks logging config update --cluster CLUSTER --id LOG_CONFIG_ID --type LOG_TYPE  [--namespace NAMESPACE] [--hostname LOG_SERVER_HOSTNAME_OR_IP] [--port LOG_SERVER_PORT] [--app-paths PATH] [--app-containers PATH] [--output json] [--skipValidation] [--force-update] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--id LOG_CONFIG_ID: 必填：您要更新的日志配置ID。
--type LOG_TYPE: 必填：您要使用的日志转发协议。目前支持 ibm 和 syslog。
-n, --namespace NAMESPACE: 要从中转发日志的 Kubernetes 名称空间。日志转发功能不支持和命名 ibm-system``kube-systemKubernetes 空间。此值仅对日志 container 源有效。若未指定命名空间，则集群中的所有命名空间均采用此配置。
--hostname LOG_SERVER_HOSTNAME: 日志收集器服务器的主机名或 IP 地址。
--port LOG_SERVER_PORT: 日志收集器服务器的端口。当日志类型为 syslog. 时，此值为可选项。若未指定端口，则默认 514 使用标准端口，syslog 而 9091 用于 ibm。
-p, --app-path: 容器上应用程序要将日志记录到的路径。要转发源类型为的日志，必须 application 提供路径。通配符（如 /var/log/*.log``*）可以使用，但递归通配符（ /var/log/**/test.log 如 *.*）则不可用。要指定多个路径，请使用多个选项，例如 -p /var/log/myApp1/&ast; -p /var/log/myApp2/&ast;：此值是日志源所必需 application 的。
-C, --app-container: 要转发来自应用程序的日志，可以指定包含应用程序的容器的名称。要指定多个容器，请使用多个选项，例如 -C /var/log/myApp1/&ast; -C /var/log/myApp2/&ast;. 如果未指定容器，则会从所有包含您提供的路径的容器中转发日志。此选项仅适用于日志源 application。
--output json: 可选：以 JSON 格式打印命令输出。
--skipValidation: 可选：当组织和空间名称被指定时，跳过对其的验证。跳过验证可减少处理时间，但无效的日志记录配置将无法正确转发日志。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须使用最新版本才能更改日志记录配置。
-q: 可选：不显示当天的消息或更新提示。

日志类型 ibm 的示例：

ibmcloud ks logging config update --cluster my_cluster --id f4bc77c0-ee7d-422d-aabf-a4e6b977264e --type ibm

日志类型 syslog 的示例：

ibmcloud ks logging config update --cluster my_cluster --id f4bc77c0-ee7d-422d-aabf-a4e6b977264e --hostname localhost --port 5514 --type syslog

`ibmcloud ks logging filter create`

虚拟私有云经典基础设施

过滤掉根据日志记录配置转发的日志。

ibmcloud ks logging filter create --cluster CLUSTER --type LOG_TYPE [--logging-config CONFIG] [--namespace KUBERNETES_NAMESPACE] [--container CONTAINER_NAME] [--level LOGGING_LEVEL] [--message MESSAGE] [--regex-message MESSAGE] [--force-update] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：要为其创建日志过滤器的集群名称或ID。
--type LOG_TYPE: 要应用过滤器的日志的类型。目前支持 all、host 和 container。
-lc, --logging-config CONFIG: 可选：日志配置ID。若未提供过滤器，则该过滤器将应用于传递给该过滤器的所有集群日志配置。您可以通过在命令中使用选项 --show-matching-configs 来查看匹配过滤器的日志配置。要指定多个ID，请使用多个选项，例如 -lc id1 -lc id2：
-n, --namespace KUBERNETES_NAMESPACE: 可选：想要从其中过滤日志的 Kubernetes 名称空间。
--container CONTAINER_NAME: 可选：想要从其中过滤掉日志的容器的名称。此选项仅适用于使用日志类型 container. 时。
--level LOGGING_LEVEL: 可选：过滤掉处于指定级别及更低级别的日志。在规范顺序中，可接受的值为 fatal：, error warn/warning, info, debug,，和 trace。例如，若在 info 级别上过滤日志 debug，则、和 trace 也会被过滤。注意：仅当日志消息采用 JSON 格式且包含级别字段时，才可使用此选项。示例输出 {"log": "hello", "level": "info"}
--message MESSAGE: 可选：过滤掉日志中的任何地方包含了指定消息的任何日志。示例：消息"Hello"、"!"和"Hello, World!"将应用于日志"Hello, World!"。
--regex-message MESSAGE: 可选：过滤掉任何包含指定消息的日志，该消息以正则表达式形式写在日志的任意位置。示例：模式"hello [0-9] "将匹配"hello 1"、"hello 2"和"hello 9"。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须使用最新版本才能更改日志记录配置。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

此示例过滤掉满足以下条件的所有日志：从缺省名称空间中名称为 test-container 的容器转发，处于 debug 级别或更低级别，并且具有包含“GET request”的日志消息。

ibmcloud ks logging filter create --cluster example-cluster --type container --namespace default --container test-container --level debug --message "GET request"

此示例过滤掉来自特定集群的所有转发日志，其 info 日志级别为或更低。输出会作为 JSON 返回。

ibmcloud ks logging filter create --cluster example-cluster --type all --level info --output json

`ibmcloud ks logging filter get`

虚拟私有云经典基础设施

查看日志记录过滤器配置。

ibmcloud ks logging filter get --cluster CLUSTER [--id FILTER_ID] [--show-matching-configs] [--show-covering-filters] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：要查看其筛选器的集群名称或ID。
--id FILTER_ID: 要查看的日志过滤器的标识。
--show-matching-configs: 可选：显示与您正在查看的配置匹配的日志配置。
--show-covering-filters: 可选：显示使先前过滤器呈现为已废弃的日志记录过滤器。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging filter get` 命令

ibmcloud ks logging filter get --cluster mycluster --id 885732 --show-matching-configs

`ibmcloud ks logging filter rm`

虚拟私有云经典基础设施

删除日志记录过滤器。

ibmcloud ks logging filter rm --cluster CLUSTER [--id FILTER_ID] [--all] [--force-update] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 要删除其中过滤器的集群的名称或标识。
--id FILTER_ID: 要删除的日志过滤器的标识。
--all: 可选：删除所有日志转发过滤器。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须使用最新版本才能更改日志记录配置。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging filter rm` 命令

ibmcloud ks logging filter rm --cluster mycluster --id 885732

`ibmcloud ks logging filter update`

虚拟私有云经典基础设施

更新日志记录过滤器。

ibmcloud ks logging filter update --cluster CLUSTER --id FILTER_ID --type LOG_TYPE [--logging-config CONFIG] [--namespace KUBERNETES_NAMESPACE] [--container CONTAINER_NAME] [--level LOGGING_LEVEL] [--message MESSAGE] [--regex-message MESSAGE] [--force-update] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：要更新日志过滤器的集群名称或ID。
--id FILTER_ID: 要更新的日志过滤器的标识。
--type LOG_TYPE: 要应用过滤器的日志的类型。目前支持 all、host 和 container。
-lc, --logging-config CONFIG: 可选：日志配置ID。若未提供过滤器，则该过滤器将应用于传递给该过滤器的所有集群日志配置。您可以通过在命令中使用选项 --show-matching-configs 来查看匹配过滤器的日志配置。要指定多个ID，请使用多个选项，例如 -lc id1 -lc id2：
-n, --namespace KUBERNETES_NAMESPACE: 可选：想要从其中过滤日志的 Kubernetes 名称空间。
--container CONTAINER_NAME: 可选：想要从其中过滤掉日志的容器的名称。此选项仅适用于使用日志类型 container. 时。
--level LOGGING_LEVEL: 可选：过滤掉处于指定级别及更低级别的日志。在规范顺序中，可接受的值为 fatal：, error warn/warning, info, debug,，和 trace。例如，若在 info 级别上过滤日志 debug，则、和 trace 也会被过滤。注意：仅当日志消息采用 JSON 格式且包含级别字段时，才可使用此选项。示例输出 {"log": "hello", "level": "info"}
--message MESSAGE: 可选：过滤掉日志中的任何地方包含了指定消息的任何日志。示例：消息"Hello"、"!"和"Hello, World!"将应用于日志"Hello, World!"。
--regex-message MESSAGE: 可选：过滤掉任何包含指定消息的日志，该消息以正则表达式形式写在日志的任意位置。示例：模式"hello [0-9] "将匹配"hello 1"、"hello 2"和"hello 9"
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须使用最新版本才能更改日志记录配置。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks logging filter update --cluster example-cluster --id 885274 --type container --namespace default --container test-container --level debug --message "GET request"

此示例过滤掉来自特定集群的所有转发日志，其 info 日志级别为或更低。输出会作为 JSON 返回。

ibmcloud ks logging filter update --cluster example-cluster --id 274885 --type all --level info --output json

`ibmcloud ks logging refresh`

虚拟私有云经典基础设施

刷新集群的日志记录配置。此操作将刷新转发到集群中空间级别的任何日志记录配置的日志记录令牌。

不推荐使用此命令的 logging config refresh 别名。

ibmcloud ks logging refresh --cluster CLUSTER [--force-update] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须使用最新版本才能更改日志记录配置。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging refresh` 命令

ibmcloud ks logging refresh --cluster my_cluster

`nlb-dns` 命令

创建和管理网络负载均衡器 (NLB) IP 地址的子域以及用于这些子域的运行状况检查监视器。有关更多信息，请参阅注册负载均衡器子域。

DNS 微服务更新是异步的，可能需要几分钟才能应用。请注意，如果运行 ibmcloud ks nlb-dns 命令并接收到 200 确认消息，那么可能仍需要等待实现更改。要检查子域的状态，请运行 ibmcloud ks nlb-dns ls 并在输出中找到 Status 列。

`ibmcloud ks nlb-dns add`

经典基础设施

向使用命令 ibmcloud ks nlb-dns create 创建的现有子域添加一个或多个网络负载均衡器 (NLB) IP 地址。

例如，在多区域经典集群中，您可能在每个区域创建一个网络负载均衡器（NLB）来暴露应用程序。通过运行 ibmcloud ks nlb-dns create classic 可向子域注册 NLB IP。日后，可将另一个专区添加到集群，并为该专区添加另一个 NLB。可以使用此命令将新的 NLB IP 添加到此现有子域。用户访问应用程序子域时，客户机会随机访问其中一个 IP，并且会向相应的 NLB 发送请求。

ibmcloud ks nlb-dns add --cluster CLUSTER --ip NLB_IP [--ip NLB2_IP2 --ip NLB3_IP ...] --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--ip NLB_IP: 要添加到子域的 NLB IP 地址。要查看您的 NLB IP 地址，请运行 kubectl get svc. 要指定多个IP地址，请使用多个 --ip 选项。
--nlb-host SUBDOMAIN: 要向其添加 IP 的子域。要查看现有子域名，请运行 ibmcloud ks nlb-dns ls.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns add` 命令

ibmcloud ks nlb-dns add --cluster mycluster --ip 1.1.1.1 --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns create classic`

经典基础设施

通过创建 DNS 子域来注册网络负载均衡器 (NLB) IP，可采用公共方式公开应用程序。

ibmcloud ks nlb-dns create classic --cluster CLUSTER --ip NLB_IP [--ip NLB2_IP --ip NLB3_IP ...] [--secret-namespace NAMESPACE] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--ip IP: 要注册的网络负载均衡器 IP 地址。要查看您的 NLB IP 地址，请运行 kubectl get svc. 要指定多个IP地址，请使用多个 --ip 选项。
--secret-namespace NAMESPACE: 要在其中创建 Kubernetes 私钥（用于保存 NLB 的 SSL 证书信息）的 Kubernetes 名称空间。若未指定命名空间，该密钥将自动创建在默认 default 命名空间中。
--type public: 子域类型。目前仅 public 支持。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns create classic` 命令

ibmcloud ks nlb-dns create classic --cluster mycluster --ip 1.1.1.1

`ibmcloud ks nlb-dns create vpc-gen2`

虚拟私有云

为 Network Load Balancer for VPC 或创建一个 Application Load Balancer for VPC DNS 记录。

创建 Network Load Balancer for VPC时，将为集群中的每个专区分配负载均衡器外部 IP 地址。创建 Application Load Balancer for VPC时，会为负载均衡器分配主机名。如果需要具有 TLS 终止的应用程序子域，那么可以使用 ibmcloud ks nlb-dns create vpc-gen2 命令为 IP 地址或主机名创建 DNS 记录。IBM Cloud 负责为您生成和维护子域的通配符 SSL 证书。您可以为公共和专用 VPC 负载均衡器创建子域。

ibmcloud ks nlb-dns create vpc-gen2 --cluster CLUSTER (--lb-host VPC_ALB_HOSTNAME | --ip VPC_NLB_IP) [--secret-namespace NAMESPACE] [--type (public|private)] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--lb-host VPC_ALB_HOSTNAME | --ip VPC_NLB_IP: 对于 VPC 应用程序负载均衡器，这是负载均衡器主机名。要查看负载均衡器的主机名，请运行 kubectl get svc -o wide. 对于 VPC 网络负载均衡器，外部 IP 地址。要指定多个IP地址，请使用多个 --ip 选项。要查看负载均衡器的IP地址，请运行 kubectl get svc -o wide。
--secret-namespace NAMESPACE: 要在其中创建 Kubernetes 私钥（用于保存 NLB 的 SSL 证书信息）的 Kubernetes 名称空间。若未指定命名空间，该密钥将自动创建在默认 default 命名空间中。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns create vpc-gen2` 命令

ibmcloud ks nlb-dns create vpc-gen2 --cluster mycluster --lb-host 1234abcd-us-south.lb.appdomain.cloud --type public

`ibmcloud ks nlb-dns get`

虚拟私有云经典基础设施

查看集群中注册的 NLB 主机名的详细信息。

ibmcloud ks nlb-dns get --cluster CLUSTER --nlb-subdomain SUBDOMAIN [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色
-c, --cluster CLUSTER: 必填：集群的名称或ID。
--nlb-subdomain SUBDOMAIN: 注册网络负载均衡器 (NLB) IP 地址的 DNS 子域。要列出NLB，请运行 ibmcloud ks nlb-dns ls --cluster mycluster。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns get` 命令

虚拟私有云经典基础设施

ibmcloud ks nlb-dns get --cluster mycluster --nlb-subdomain subDomain1

`ibmcloud ks nlb-dns ls`

在经典集群中，列出向 DNS 子域注册的网络负载均衡器 (NLB) IP 地址。在 VPC 集群中，列出向 DNS 子域注册的 VPC 负载均衡器主机名。

ibmcloud ks nlb-dns ls --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns ls` 命令

ibmcloud ks nlb-dns ls --cluster mycluster

`ibmcloud ks nlb-dns monitor configure`

在集群中为现有 NLB 主机名配置运行状况检查监视器。要启用监视器，请包含 --enable 标志。要更新现有监视器，请仅包含要更改的设置所对应的标志。

ibmcloud ks nlb-dns monitor configure --cluster CLUSTER --nlb-host HOST [--enable] [--header HEADER ...] [--interval INTERVAL] [--output OUTPUT] [--path PATH] [--port PORT] [-q] [--timeout TIMEOUT] [--type TYPE]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--enable: 为主机名启用运行状况检查监视器。
--header HEADER: 当 type 为 HTTP 或 HTTPS 时必须填写：HTTP 用于健康检查的请求标头仅限于 Host 标头。此标志仅对类型 HTTP 或有效 HTTPS。此标志接受以下格式的值：--header Header-Name=value. 更新监视器时，指定的头将替换现有头。要删除所有现有标头，请将标志设置为空值 --header ""。
--interval INTERVAL: 各个运行状况检查之间的时间间隔（以秒为单位）。较短的时间间隔可缩短故障转移时间，但会增加 IP 上的负载。该值必须在 [60到300] 的范围内。缺省值： 60
--nlb-host HOST: 主机名。要查看现有主机名，请运行 ibmcloud ks nlb-dns ls.
--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
--path PATH: 运行状况检查所依据的端点路径。此标志仅对类型 HTTP 或有效 HTTPS。缺省值： /
--port PORT: 进行运行状况检查时要连接到的端口号。如果类型为 TCP，那么此标志是必需的。如果类型为 HTTP 或 HTTPS，此标志仅用于除 80（针对 HTTP）或 443（针对 HTTPS）以外的端口。 HTTP 默认值：80. HTTPS 默认值：443.
-q: 不显示每日消息或更新提示。
--timeout TIMEOUT: 超时（以秒为单位），在此时间后 IP 会被视为运行状况欠佳。必须在 [1到60] 的范围内。缺省值： 5
--type TYPE: 用于运行状况检查的协议。接受值：http, https、tcp

示例 `nlb-dns monitor configure` 命令

ibmcloud ks nlb-dns monitor configure --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud --enable --type HTTPS --path / --timeout 5 --interval 60 --header Host=example.com

`ibmcloud ks nlb-dns monitor disable`

经典基础设施

对集群中的子域禁用现有运行状况检查监视器。

ibmcloud ks nlb-dns monitor disable --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--nlb-host SUBDOMAIN: 监视器对其执行运行状况检查的子域。要列出子域名，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor disable` 命令

ibmcloud ks nlb-dns monitor disable --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns monitor enable`

经典基础设施

启用配置的运行状况检查监视器。

首次创建运行状况检查监视器时，必须使用 ibmcloud ks nlb-dns monitor configure 命令来配置并启用该监视器。使用 ibmcloud ks nlb-dns monitor enable 命令仅可启用已配置但尚未启用的监视器，或者重新启用先前禁用的监视器。

ibmcloud ks nlb-dns monitor enable --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--nlb-host SUBDOMAIN: 监视器对其执行运行状况检查的子域。要列出子域名，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor enable` 命令

ibmcloud ks nlb-dns monitor enable --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns monitor get`

经典基础设施

查看现有运行状况检查监视器的设置。

ibmcloud ks nlb-dns monitor get --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--nlb-host SUBDOMAIN: 监视器对其执行运行状况检查的子域。要列出子域名，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor get` 命令

ibmcloud ks nlb-dns monitor get --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns monitor ls`

经典基础设施

列出集群中每个 NLB 子域的运行状况检查监视器设置。

ibmcloud ks nlb-dns monitor ls --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor ls` 命令

ibmcloud ks nlb-dns monitor ls --cluster mycluster

`ibmcloud ks nlb-dns replace`

虚拟私有云

替换已向 DNS 子域注册的负载均衡器主机名。例如，若为应用创建新的VPC负载均衡器，但不希望创建新的DNS子域名供用户访问应用，可将旧负载均衡器的主机名替换为新负载均衡器的主机名。

ibmcloud ks nlb-dns replace --cluster CLUSTER --lb-host NEW_LB_HOSTNAME --nlb-subdomain SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--lb-host NEW_LB_HOSTNAME: 用于更新子域的新 VPC 负载均衡器的主机名。要查看 VPC 负载均衡器主机名，请运行 kubectl get svc -o wide。
nlb-subdomain SUBDOMAIN: 要替换负载均衡器主机名的 DNS 子域。要查看现有子域名，请运行 ibmcloud ks nlb-dns ls --cluster <cluster>.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns replace` 命令

ibmcloud ks nlb-dns replace --cluster mycluster --lb-host 1234abcd-us-south.lb.appdomain.cloud nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns rm classic`

经典基础设施

从子域中除去网络负载均衡器 (NLB) IP 地址。如果从子域中除去所有 IP，该子域仍然会存在，但没有与之关联的 IP。注意：您必须为每个要删除的IP地址运行此命令。

ibmcloud ks nlb-dns rm classic --cluster CLUSTER --ip IP --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--ip IP: 要除去的 NLB IP。要查看每个子域注册的IP地址，请运行 ibmcloud ks nlb-dns ls --cluster <cluster>.
--nlb-host SUBDOMAIN: 要从中除去 IP 的子域。要查看现有子域名，请运行 ibmcloud ks nlb-dns ls.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns rm classic` 命令

ibmcloud ks nlb-dns rm classic --cluster mycluster --ip 1.1.1.1 --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns rm vpc-gen2`

虚拟私有云

从该负载均衡器的 DNS 记录中除去负载均衡器主机名 (VPC 应用程序负载均衡器) 或 IP 地址 (VPC 网络负载均衡器)。

删除主机名或IP地址后，DNS子域仍存在，但未与任何负载均衡器关联。

ibmcloud ks nlb-dns rm vpc-gen2 --cluster CLUSTER --nlb-subdomain SUBDOMAIN [ --ip IP] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--nlb-subdomain SUBDOMAIN: 您要从VPC负载均衡器主机名中解除关联的子域。要查看现有子域名，请运行 ibmcloud ks nlb-dns ls --cluster <cluster>.
--ip IP: 对于 VPC 网络负载均衡器，这是要除去的 IP 地址。要查看每个子域注册的IP地址，请运行 ibmcloud ks nlb-dns ls --cluster <cluster>. 请注意，您必须对每个要删除的IP地址重复执行此命令。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns rm vpc-gen2` 命令

ibmcloud ks nlb-dns rm vpc-gen2 --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

实验: `ibmcloud ks nlb-dns secret regenerate`

虚拟私有云经典基础设施

重新生成 NLB 子域的证书和密钥。密钥重新生成不会造成中断，并且在密钥重新生成时流量会继续流动。

如果在私钥重新生成期间 Let 's Encrypt 证书创建失败，那么必须经过 10 分钟的等待时间，然后再自动尝试重新生成。重新生成私钥需要另外 5 分钟才能完成，因此在完成此过程之前总共需要 15 分钟时间。

要避免 Let 's Encrypt 速率限制，请勿每天重新生成超过 5 次的私钥。

ibmcloud ks nlb-dns secret regenerate --cluster CLUSTER --nlb-subdomain SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--nlb-subdomain SUBDOMAIN: 要为其重新生成私钥的子域。要列出子域名，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns secret regenerate` 命令

ibmcloud ks nlb-dns secret regenerate --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

实验: `ibmcloud ks nlb-dns secret rm`

虚拟私有云经典基础设施

从 NLB 子域中删除密钥，并阻止证书的未来续订。

如果不再使用 NLB 子域，或者该子域的所有者离开您的组织，那么可以删除该子域的私钥。

ibmcloud ks nlb-dns secret rm --cluster CLUSTER --nlb-subdomain SUBDOMAIN [-f] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--nlb-subdomain SUBDOMAIN: 要删除其私钥的子域。要列出子域名，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER.
-f: 可选：强制命令在没有用户提示的情况下运行。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns secret rm` 命令

ibmcloud ks nlb-dns secret rm --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks vpc secure-by-default enable`

为使用传统安全组的 VPC 群集启用“默认情况下的安全 VPC 网络”。

ibmcloud ks vpc secure-by-default enable --cluster CLUSTER [--disable-outbound-traffic-protection] [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--disable-outbound-traffic-protection: 包含此选项以允许来自集群工作程序的公共出站访问。默认情况下，会阻止公共向外访问。
-f: 强制此命令运行，而不显示用户提示。
-q: 不显示每日消息或更新提示。

`webhook-create` 命令

虚拟私有云经典基础设施

ibmcloud ks webhook-create --cluster CLUSTER --level LEVEL --type slack --url URL  [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--level LEVEL: 可选: 通知级别 (例如 Normal 或 Warning)。Warning 是缺省值。
--type slack: 必需 :webhook 类型。目前支持 Slack。
--url URL: 必填：用于 webhook URL 的。
-q: 可选：不显示当天的消息或更新提示。

示例 `webhook-create` 命令

ibmcloud ks webhook-create --cluster my_cluster --level Normal --type slack --url http://github.com/mywebhook

`api-key` 命令

查看有关集群的 API 密钥的信息或将其重置为新密钥。

`ibmcloud ks api-key info`

虚拟私有云经典基础设施

查看 IBM Cloud Kubernetes Service 用于验证特定请求（如区域和资源组中的基础设施）的 (IAM) API IBM CloudIdentity and Access Management 密钥所有者的姓名和电子邮件地址。

要为资源组和区域创建不同的 API 密钥，请使用 ibmcloud ks api-key reset 命令。

若您通过命令手动设置 IBM Cloud 基础设施凭据，则该 ibmcloud ks credential set 命令返回的 API 密钥不会用于基础设施权限。

ibmcloud ks api-key info --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：集群的名称或ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `api-key info` 命令

ibmcloud ks api-key info --cluster my_cluster

`ibmcloud ks api-key reset`

虚拟私有云经典基础设施

创建一个 IBM Cloud IAM API 密钥，该密钥模拟用户的权限，用于验证当前资源组和区域内所有集群的请求。

若您在集群中使用了或集群自动 Block Storage for VPC 扩展器附加组件，则在重置 API 密钥后必须重新创建附加组件控制器 Pod。有关更多信息，请参阅《 API Block Storage for VPC 密钥重置后PVC创建失败》和《API密钥重置后自动缩放失败》。

在使用此命令之前，请确保用于运行此命令的身份在中具有所需的管理员平台角色，若使用服务ID，IBM Cloud Kubernetes Service 则需在中具有操作员平台角色，IAM Identity Service 并 IBM Cloud 具备基础设施权限。将要为其设置 API 密钥的资源组和区域设定为目标。重置 API 密钥时，先前用于区域和资源组的 API 密钥 (如果有) 现在已过时。然后，可以从 API 密钥列表中删除旧 API 密钥。在重置 API 密钥之前，请检查是否还有其他服务正在使用该现有 API 密钥，例如密钥管理服务(KMS)提供商或 Secrets Manager.

ibmcloud ks api-key reset --region REGION [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
-q: 可选：不显示当天的消息或更新提示。

示例 `api-key reset` 命令

ibmcloud ks api-key reset --region us-south

`credential` 命令

设置和取消设置凭据，使您能够通过您的 IBM Cloud 账户访问经典 IBM Cloud 基础设施组合。

仅对于经典集群，可以手动将基础架构凭证设置为其他帐户，但此操作不适用于 VPC 集群。

`ibmcloud ks credential get`

经典基础设施

若您已设置 IBM Cloud 账户使用不同凭据访问基础设施 IBM Cloud 组合，请获取当前目标区域及资源组的基础设施用户名。

ibmcloud ks credential get --region REGION [-q] [--output json]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `credential get` 命令

ibmcloud ks credential get --region us-south

`ibmcloud ks credential set classic`

经典基础设施

为资源组和区域设置凭证，以便可以通过 IBM Cloud 帐户访问 IBM Cloud 基础架构产品服务组合。

如果您有 IBM Cloud 现收现付帐户，那么缺省情况下您有权访问 IBM Cloud 基础架构产品服务组合。但是，您可能希望使用不同的现有 IBM Cloud 基础架构帐户来订购基础架构。您可以使用此命令将此基础架构帐户链接到 IBM Cloud 帐户。

如果为某个区域和资源组手动设置了 IBM Cloud 基础架构凭证，那么这些凭证会用于为该资源组中该区域内的所有集群订购基础架构。这些凭证用于确定基础架构许可权，即使已存在该资源组和区域的 IBM CloudIAM API 密钥也不例外。如果存储了其凭证的用户没有必需的许可权来订购基础架构，那么与基础架构相关的操作（例如，创建集群或重新装入工作程序节点）可能会失败。

您无法为同一 IBM Cloud Kubernetes Service 资源组和区域设置多个凭据。

使用此命令之前，请确保使用其凭证的用户具有必需的 IBM Cloud Kubernetes Service 和 IBM Cloud 基础架构许可权。

ibmcloud ks credential set classic --infrastructure-api-key API_KEY --infrastructure-username USERNAME --region REGION [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--infrastructure-username USERNAME: 必填：IBM Cloud 基础设施账户API用户名。基础架构 API 用户名与 IBM 标识不同。要查看基础架构 API 用户名，请参阅管理经典基础架构 API 密钥。
--infrastructure-api-key API_KEY: 必需：IBM Cloud 基础设施账户API密钥。要查看或生成基础架构 API 密钥，请参阅管理经典基础架构 API 密钥。
--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
-q: 可选：不显示当天的消息或更新提示。

示例 `credential set classic` 命令

ibmcloud ks credential set classic --infrastructure-api-key <api_key> --infrastructure-username dbmanager --region us-south

`ibmcloud ks credential unset`

经典基础设施

除去资源组和区域的凭证，以除去通过 IBM Cloud 帐户对 IBM Cloud 基础架构产品服务组合的访问权。

除去凭证后，将使用 IBM CloudIAM API 密钥来订购 IBM Cloud 基础架构中的资源。

ibmcloud ks credential unset --region REGION [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
-q: 可选：不显示当天的消息或更新提示。

示例 `credential unset` 命令

ibmcloud ks credential unset --region us-south

`infra-permissions` 命令

检查在 IBM Cloud Kubernetes Service. 中使用的经典 IBM Cloud 基础架构权限。

这些 ibmcloud ks infra-permissions 命令仅检查经典 IBM Cloud 基础设施，不检查VPC权限。

`ibmcloud ks infra-permissions get`

经典基础设施

检查允许访问 IBM Cloud 基础架构产品服务组合（对于目标资源组和区域）的凭证是否缺少建议或必需的基础架构许可权。

如果区域和资源组的基础架构凭证缺少任何许可权，那么此命令的输出会返回required和suggested许可权的列表。

必需：成功订购和管理基础架构资源（例如，工作程序节点）需要这些许可权。如果基础架构凭证缺少其中某个许可权，那么对区域和资源组中的所有集群执行的 worker reload 等常见操作会失败。
建议：将这些许可权包含在基础架构许可权中会非常有用，并且在某些用例中这些许可权可能是必需的。例如，Add Compute with Public Network Port基础架构许可权是建议许可权，因为如果需要公用网络，那么会需要此许可权。但是，如果用例是位于仅专用 VLAN 上的集群，那么无需此许可权，因此不会将其视为required。

有关按许可权列出的常见用例的列表，请参阅基础架构角色。

如果我在控制台或基础架构角色表中找不到某个基础架构权限怎么办？: Support Case许可权和基础架构许可权是在控制台的不同部分中进行管理的。请参阅定制基础架构许可权。
我应该分配哪些基础设施权限？: 如果您公司的许可权策略很严格，那么可能需要限制集群用例的suggested许可权。否则，请确保区域和资源组的基础架构凭证包含所有required和suggested许可权。

对于大多数用例，请使用相应的基础架构许可权为区域和资源组设置 API 密钥。如果需要使用不同于当前帐户的其他基础架构帐户，请设置手动凭证。

如何控制用户可执行的操作？: 在配置好基础架构凭证后，您可以通过为用户分配 IBM Cloud IAM 平台访问角色来控制他们可执行的操作。

ibmcloud ks infra-permissions get --region REGION [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--region REGION: 必需: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `infra-permissions get` 命令

ibmcloud ks infra-permissions get --region us-south

示例输出

Missing Virtual Worker Permissions

Add Server                    suggested
Cancel Server                 suggested
View Virtual Server Details   required

Missing Physical Worker Permissions

No changes are suggested or required.

Missing Network Permissions

No changes are suggested or required.

Missing Storage Permissions

Add Storage       required
Manage Storage    required

`kms` 命令

在集群中启用密钥管理服务（KMS）提供商，使用您控制的根密钥对 etcd 组件和 Kubernetes 机密进行加密。

`ibmcloud ks kms crk ls`

虚拟私有云经典基础设施

列出密钥管理服务实例中可用的客户根密钥（CRK）。根密钥打包并解包集群用于加密其密钥的本地数据加密密钥 (DEK)。有关更多信息，请参阅了解密钥管理服务(KMS)提供程序。

请勿删除 KMS 实例中的根密钥，即使轮换使用新密钥也是如此。若删除集群使用的根密钥，该集群将无法使用，所有数据将丢失且无法恢复。

ibmcloud ks kms crk ls --instance-id KMS_INSTANCE_ID [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中的 查看者 平台访问角色

命令选项：

--instance-id KMS_INSTANCE_ID: 要列出其根密钥的密钥管理服务实例的标识。要列出可用的 KMS 实例，请运行 ibmcloud ks kms instance ls.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `kms crk ls` 命令

ibmcloud ks kms crk ls --instance-id 1aa1a111-1111-1111-a111-a1aaaa1a1a1a

`ibmcloud ks kms enable`

虚拟私有云经典基础设施

通过在集群中启用密钥管理服务（KMS）提供商来加密您的 Kubernetes 机密信息。要使用现有密钥加密在集群中轮换密钥，请使用新的根密钥标识重新运行此命令。

请勿删除 KMS 实例中的根密钥，即使轮换使用新密钥也是如此。若删除集群使用的根密钥，该集群将无法使用，所有数据将丢失且无法恢复。当您轮换根密钥时，不能对同一集群复用先前的根密钥。

ibmcloud ks kms enable --cluster CLUSTER_NAME_OR_ID --instance-id KMS_INSTANCE_ID --crk ROOT_KEY_ID [--kms-account-id ID] [--public-endpoint] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--container, -c CLUSTER_NAME_OR_ID: 集群的名称或标识。
--instance-id KMS_INSTANCE_ID: 要用于对集群中的私钥进行加密的 KMS 实例的标识。要列出可用的 KMS 实例，请运行 ibmcloud ks kms instance ls.
--crk ROOT_KEY_ID: 要用于打包集群中本地存储的数据加密密钥 (DEK) 的 KMS 实例中客户根密钥 (CRK) 的标识。要列出可用的根密钥，请运行 ibmcloud ks kms crk ls --instance-id <kms_instance_id>.
--kms-account-id ID: 可选：包含您要用于本地磁盘或密钥加密的 KMS 实例的账户 ID。
--public-endpoint: 可选：指定此选项以使用 KMS 公有云服务端点。如果不包含此选项，那么缺省情况下将使用私有云服务端点。
-q: 可选：不显示当天的消息或更新提示。

示例 `kms enable` 命令

ibmcloud ks kms enable -c mycluster --instance-id a11aa11a-bbb2-3333-d444-e5e555e5ee5 --crk 1a111a1a-bb22-3c3c-4d44-55e555e55e55

`ibmcloud ks kms instance ls`

虚拟私有云经典基础设施

列出您 IBM Cloud 账户中可供选择并在集群中启用的可用密钥管理服务（KMS）实例。

ibmcloud ks kms instance ls [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中的 查看者 平台访问角色

命令选项：

--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks kms instance ls

`quota` 命令

`ibmcloud ks quota ls`

虚拟私有云经典基础设施

列出您 IBM Cloud 账户中所有集群相关资源的配额和限制。

ibmcloud ks quota ls [--provider PROVIDER] [--output json]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

--provider (classic | vpc-gen2): 要列出配额和限制的基础架构提供者类型。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks quota ls

`subnets` 命令

虚拟私有云经典基础设施

列出您 IBM Cloud 基础设施账户中所有资源组中的可用子网。

ibmcloud ks subnets [--provider (classic | vpc-gen2)] [--vpc-id <VPC_ID> --zone <VPC_ZONE>] [--location LOCATION] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

--provider (classic | vpc-gen2): 用于列出子网的基础设施提供商类型。此选项用于列出VPC子网。
--vpc-id VPC_ID: 要列出其子网的 VPC 的标识。此选项在指定提供程序 vpc-gen2 类型时是必需的。要列出 VPC 标识，请运行 ibmcloud ks vpcs。
--zone VPC_ZONE: 要列出其 VPC 子网的专区。当您指定VPC提供商类型时，此选项是必需的。
-l, --location LOCATION: 按特定位置过滤输出。要查看支持的位置，请运行 ibmcloud ks locations. 要指定多个位置，请为每个位置使用一个选项，例如 -l dal -l seo.
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks subnets -l ams03 -l wdc -l ap

`vlan` 命令

经典基础设施

列出专区的公用和专用 VLAN，并查看 VLAN 生成状态。

`ibmcloud ks vlan ls`

经典基础设施

列出可用于经典 IBM Cloud 基础架构帐户中专区的公用和专用 VLAN。要列出可用 VLAN，您必须具有付费帐户。

ibmcloud ks vlan ls --zone ZONE [--all] [--output json] [-q]

最低必需许可权：

要查看集群在某个区域中连接的VLAN：集群在查看器平台的访问角色为 IBM Cloud Kubernetes Service
要列出区域中所有可用的VLAN：该区域的查看器平台访问角色 IBM Cloud Kubernetes Service

命令选项：

--zone ZONE: 必填：请输入您希望列出私有和公共VLAN的区域。要查看可用专区，请运行 ibmcloud ks zone ls。
--all: 列出所有可用的 VLAN。缺省情况下，会对 VLAN 进行过滤，以仅显示有效的 VLAN。要使 VLAN 有效，必须将 VLAN 与可使用本地磁盘存储来托管工作程序的基础架构相关联。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `vlan ls` 命令

ibmcloud ks vlan ls --zone dal10

`ibmcloud ks vlan spanning get`

经典基础设施

查看 IBM Cloud 基础架构帐户的 VLAN 生成状态。 VLAN 生成支持帐户中的所有设备通过专用网络相互通信，而不管设备分配给哪个 VLAN。

对于在启用 VRF 的帐户中创建的集群，已禁用 VLAN 生成选项。启用 VRF 时，帐户中的所有 VLAN 都可以通过专用网络自动相互通信。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。有关更多信息，请参阅规划集群网络设置：工作程序到工作程序的通信。

ibmcloud ks vlan spanning get --region REGION [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `vlan spanning get` 命令

ibmcloud ks vlan spanning get --region us-south

`ibmcloud ks vpc ls`

列出目标资源组中的所有 VPC。如果未指定资源组，则列出账户中的所有 VPC。

ibmcloud ks vpc ls [--output OUTPUT] [--provider PROVIDER] [-q]

命令选项

--output OUTPUT: 以提供的格式打印命令输出。接受的值： json --provider PROVIDER; VPC 基础结构提供程序类型。支持的值为 vpc-classic 和 vpc-gen2。缺省情况下，将返回所有提供程序类型的 VPC。
-q: 不显示每日消息或更新提示。

`ibmcloud ks vpc outbound-traffic-protection disable`

对缺省情况下的安全 VPC 集群禁用出站流量保护。

ibmcloud ks vpc outbound-traffic-protection disable --cluster CLUSTER [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
-f: 强制此命令运行，而不显示用户提示。
-q: 不显示每日消息或更新提示。

`ibmcloud ks vpc outbound-traffic-protection enable`

对缺省情况下的安全 VPC 集群启用出站流量保护。

ibmcloud ks vpc outbound-traffic-protection enable --cluster CLUSTER [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
-f: 强制此命令运行，而不显示用户提示。
-q: 不显示每日消息或更新提示。

`flavor` 命令

每种类型模板都包含集群中每个工作程序节点的虚拟 CPU 量、内存量和磁盘空间量。

缺省情况下，存储所有容器数据的辅助存储器磁盘目录将使用 LUKS 加密进行加密。如果在创建集群期间包含了 disable-disk-encrypt 选项，那么不会加密主机的容器运行时数据。了解有关加密的更多信息。

可以将工作程序节点作为虚拟机在共享或专用硬件上进行供应，也可以作为物理机器在裸机上进行供应（仅适用于经典集群）。

`flavor get` 命令

虚拟私有云经典基础设施

获取区域和提供者的类型模板信息。

ibmcloud ks flavor get --flavor FLAVOR --provider PROVIDER --zone ZONE [--output OUTPUT] [-q]

最低必需许可权: 无

命令选项：

--flavor FLAVOR: 要获取其信息的类型模板。类型将确定可供每个工作程序节点使用的虚拟 CPU、内存和磁盘空间。
--provider PROVIDER: 要获取其类型模板信息的基础结构提供程序。可选项为 classic、vpc-classic 和 vpc-gen2。
--zone ZONE: 要获取其类型模板信息的区域。要查看经典集群的可用专区，请运行 ibmcloud ks zone ls。要查看 VPC 集群的可用区域，请运行 ibmcloud ks zone ls --provider vpc-gen2 for Generation 2 计算。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `flavor get` 命令

虚拟私有云经典基础设施

ibmcloud ks flavor get --zone us-south-1 --provider vpc-gen2 --flavor bx2d.48x192.900gb

`flavor ls` 命令

虚拟私有云经典基础设施

列出某个区域的可用类型。

ibmcloud ks flavor ls --zone ZONE [--output OUTPUT] [--provider PROVIDER] [-q] [--show-os] [--show-storage]

最低必需许可权: 无

命令选项：

--zone ZONE: 要获取其类型模板信息的区域。要查看经典集群的可用专区，请运行 ibmcloud ks zone ls。要查看 VPC 集群的可用区域，请运行 ibmcloud ks zone ls --provider vpc-gen2 for Generation 2 计算。
--provider PROVIDER: 可选: 要获取其类型模板信息的基础结构提供程序。可选项为 classic、vpc-classic 和 vpc-gen2。
--show-os: 可选：列出支持的操作系统。
--show-storage: 可选: 显示可用于 SDS 工作程序节点类型模板的其他原始磁盘。有关更多信息，请参阅软件定义的存储器(SDS)机器。在各都市区部分的表格中，SDS 味道位于 Bare Metal 选项卡中，并以 .ssd 结尾。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `flavor ls` 命令

ibmcloud ks flavor ls --zone us-south-1 --provider vpc-gen2 --show-os --show-storage

`messages` 命令

虚拟私有云经典基础设施

查看来自 IBM 标识用户的 IBM Cloud Kubernetes Service CLI 插件的当前消息。

ibmcloud ks messages

最低必需许可权: 无

命令选项：无

locations 命令

虚拟私有云经典基础设施

列出 IBM Cloud Kubernetes Service 支持的位置。有关返回的位置的更多信息，请参阅 IBM Cloud Kubernetes Service 位置。

ibmcloud ks locations [--output json]

最低必需许可权: 无

命令选项：

--output json: 可选：以 JSON 格式打印命令输出。

`versions` 命令

虚拟私有云经典基础设施

列出可用于 IBM Cloud Kubernetes Service 集群的所有容器平台版本。将集群主节点和工作程序节点更新到缺省版本以获取最新的稳定功能。

不推荐使用此命令的 kube-versions 别名。

ibmcloud ks versions [--show-version (KUBERNETES|OPENSHIFT)] [--output json] [-q]

最低必需许可权: 无

命令选项：

--show-version (KUBERNETES|OPENSHIFT): 仅显示指定容器平台的版本。支持的值为 kubernetes 或 openshift。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks versions

`api` 命令

虚拟私有云经典基础设施

将 IBM Cloud Kubernetes Service 的 API 端点设定为目标。若未指定端点，则可查看当前目标端点的相关信息。

不推荐使用特定于区域的端点。请改用全局端点。

如果只需要列出和使用一个区域中的资源，那么可以使用 ibmcloud ks api 命令将区域端点而不是全局端点设定为目标。

达拉斯（美国南部，us-south）：https://us-south.containers.cloud.ibm.com
法兰克福（欧洲中部，eu-de）：https://eu-de.containers.cloud.ibm.com
伦敦（英国南部，eu-gb）：https://eu-gb.containers.cloud.ibm.com
大坂 (jp-osa): https://jp-osa.containers.cloud.ibm.com
圣保罗 (br-sao): https://br-sao.containers.cloud.ibm.com
悉尼（亚太地区南部，au-syd）：https://au-syd.containers.cloud.ibm.com
东京（亚太地区北部，jp-tok）：https://jp-tok.containers.cloud.ibm.com
多伦多 (ca-tor): https://ca-tor.containers.cloud.ibm.com
华盛顿，D.C。(美国东部，美国东部): https://us-east.containers.cloud.ibm.com

要使用全局功能，可以再次使用 ibmcloud ks api 命令将全局端点 https://containers.cloud.ibm.com 设定为目标。

ibmcloud ks api --endpoint ENDPOINT [--insecure] [--skip-ssl-validation] [--api-version VALUE] [-q]

最低必需许可权: 无

命令选项：

--endpoint ENDPOINT: API IBM Cloud Kubernetes Service 端点。注意：此端点与其他 IBM Cloud 端点不同。需要此值来设置 API 端点。
--insecure: 允许不安全的 HTTP 连接。此选项是可选的。
--skip-ssl-validation: 允许不安全的 SSL 证书。此选项是可选的。
--api-version VALUE: 可选：指定要使用的服务的 API 版本。
-q: 可选：不显示当天的消息或更新提示。

示例：查看有关设定为目标的当前 API 端点的信息。

ibmcloud ks api

API Endpoint:          https://containers.cloud.ibm.com
API Version:           v1
Skip SSL Validation:   false
Region:                us-south

`init` 命令

虚拟私有云经典基础设施

初始化 IBM Cloud Kubernetes Service 插件或指定要在其中创建或访问 Kubernetes 集群的区域。

不推荐使用特定于区域的端点。请改用全局端点。

如果只需要列出和使用一个区域中的资源，那么可以使用 ibmcloud ks init 命令将区域端点而不是全局端点设定为目标。

达拉斯（美国南部，us-south）：https://us-south.containers.cloud.ibm.com
法兰克福（欧洲中部，eu-de）：https://eu-de.containers.cloud.ibm.com
伦敦（英国南部，eu-gb）：https://eu-gb.containers.cloud.ibm.com
大坂 (jp-osa): https://jp-osa.containers.cloud.ibm.com
圣保罗 (br-sao): https://br-sao.containers.cloud.ibm.com
悉尼（亚太地区南部，au-syd）：https://au-syd.containers.cloud.ibm.com
东京（亚太地区北部，jp-tok）：https://jp-tok.containers.cloud.ibm.com
多伦多 (ca-tor): https://ca-tor.containers.cloud.ibm.com
华盛顿，D.C。(美国东部，美国东部): https://us-east.containers.cloud.ibm.com

要使用全局功能，可以再次使用 ibmcloud ks init 命令将全局端点 https://containers.cloud.ibm.com 设定为目标。

ibmcloud ks init [--host HOST] [--insecure] [-p] [-u] [-q]

最低必需许可权: 无

命令选项：

--host HOST: 可选: 要使用的 IBM Cloud Kubernetes Service API 端点。
--insecure: 允许不安全的 HTTP 连接。
-p: 您的 IBM Cloud 密码。
-u: 您的 IBM Cloud 用户名。
-q: 可选：不显示当天的消息或更新提示。

示例：

将美国南部区域端点设定为目标的示例：

ibmcloud ks init --host https://us-south.containers.cloud.ibm.com

将全局端点重新设定为目标的示例：

ibmcloud ks init --host https://containers.cloud.ibm.com

`script` 命令

`ibmcloud ks script update`

虚拟私有云经典基础设施

重写调用 kubernetes-service 命令的脚本。将旧结构的命令替换为 Beta 结构的命令。

V1.0 中的大部分命令行为和语法都有更改。这些更改与先前版本不兼容。更新脚本之后，必须在脚本中或运行脚本的环境中继续使用 V1.0 插件。不要将 IKS_BETA_VERSION 环境变量更改为其他版本。

ibmcloud ks script update [--in-place] FILE [FILE ...]

最低必需许可权: 无

命令选项：

--in-place: 可选：使用更新的命令结构来重写源文件。如果未指定此选项，您可以在标准输出中查看脚本文件更改的摘要。
FILE [FILE ...]: 包含要更新的脚本的文件。

要使用此命令为 IBM Cloud Kubernetes Service V1.0 插件发行版准备自动化脚本，请执行以下操作：

在测试脚本上运行该命令，但不带该 --in-place 选项。
```
ibmcloud ks script update ./mytestscript.sh
```

请通过命令行标准输出（STDOUT）中显示的差异，审查脚本中拟议的修改内容。示例输出

--- a/script-test-2
+++ b/script-test-2
@@ -1,5 +1,5 @@
-ibmcloud ks logging-config-get --cluster mycluster
-ibmcloud ks logging-config-update --cluster mycluster --id myconfig --logsource application --type ibm --app-containers app1,app2,app3 --app-paths /var/log/path/
-ibmcloud ks logging-config-update --cluster mycluster --id myconfig --logsource application --type ibm --app-paths=/var/log/path/,/var/log/other/path/
-ibmcloud ks clusters -s --locations dal09,dal12 --output json
-ibmcloud ks subnets --locations sao01
+ibmcloud ks logging config get --cluster mycluster
+ibmcloud ks logging config update --cluster mycluster --id myconfig --logsource application --type ibm -C app1 -C app2 -C app3 -p /var/log/path/
+ibmcloud ks logging config update --cluster mycluster --id myconfig --logsource application --type ibm -p /var/log/path/ -p /var/log/other/path/
+ibmcloud ks clusters -s -l dal09 -l dal12 --output json
+ibmcloud ks subnets -l sao01

要使用建议的更新重写脚本，请再次运行该命令并添加 --in-place 选项。
```
ibmcloud ks script update ./mytestscript.sh --in-place
```
搜索并解决脚本中标记有 # WARNING 消息的所有命令。例如，某些命令已被弃用且没有替代命令。
在脚本中或运行脚本的环境中，将 IKS_BETA_VERSION 环境变量设置为 1.0。
```
export IKS_BETA_VERSION=1.0
```
使用更新的脚本测试自动化。请注意，如果自动化包含创建集群，那么可能会产生费用。
更新所有脚本。

将 CLI 插件更新为 V 1.0。

ibmcloud plugin update kubernetes-service

`security-group` 命令

虚拟私有云经典基础设施

将安全组重置或同步到缺省交通规则。

`ibmcloud ks security-group ls`

列出与集群关联的所有安全组。

ibmcloud ks security-group ls --cluster CLUSTER [--attached-to ATTACHED] [--managed-by MANAGER] [--output OUTPUT] [-q] [--scope SCOPE]

命令选项

--attached-to ATTACHED: 按安全组所连接的组件对安全组进行过滤。接受的值: cluster，load-balancer，vpc，vpe-gateway 和 worker-pool
--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--managed-by MANAGER: 指定 user 以返回用户创建的安全组。指定 ibm 以仅返回由 IBM管理的安全组。接受的值: ibm，user
--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
-q: 不显示每日消息或更新提示。
--scope SCOPE: 指定 cluster 以返回作用域限定为集群的安全组。指定 vpc 以返回作用域限定为整个 VPC 的安全组。接受的值: cluster，vpc

`ibmcloud ks security-group reset`

虚拟私有云经典基础设施

删除所有现有安全组规则并重新应用缺省规则。

ibmcloud ks security-group reset --cluster CLUSTER --security-group GROUP [-f] [-q]

最低必需许可权: 无

命令选项：

--cluster CLUSTER: 必填：请指定集群名称或ID。要列出可用集群，请运行 ibmcloud ks cluster ls.
--security-group GROUP_ID: 必需: 指定安全组标识。

示例：

ibmcloud ks security-group reset --cluster mycluster --security-group mygroup

`ibmcloud ks security-group sync`

虚拟私有云经典基础设施

重新应用缺省安全组规则以添加任何缺少的规则。不删除已存在的规则。

ibmcloud ks security-group sync --cluster CLUSTER --security-group GROUP [-q]

最低必需许可权: 无

命令选项：

--cluster CLUSTER: 必填：请指定集群名称或ID。要列出可用集群，请运行 ibmcloud ks cluster ls.
--security-group GROUP_ID: 必需: 指定安全组标识。

示例：

ibmcloud ks security-group sync --cluster mycluster --security-group mygroup

Beta: `storage` 命令

虚拟私有云经典基础设施

创建，获取，列示或除去存储卷连接。

storage 命令以 Beta 版提供。

`ibmcloud ks storage attachment create`

虚拟私有云

将存储卷连接到集群中的工作程序节点。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

ibmcloud ks storage attachment create --cluster CLUSTER_ID --volume VOLUME --worker WORKER [--output json]

命令选项：

--cluster CLUSTER_ID: 必填：请指定集群ID。要列出可用集群，请运行 ibmcloud ks cluster ls.
--volume VOLUME: 必填：请指定卷标识符。要列出可用工人，请运行 ibmcloud ks storage volume ls.
--worker WORKER: 必填：请指定工人ID。要列出可用工人，请运行 ibmcloud ks worker ls.
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage attachment create --cluster aa1111aa11aaaaa11aa1 --volume 111111111 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

`ibmcloud ks storage attachment get`

虚拟私有云

获取集群中存储卷附加的详细信息。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

ibmcloud ks storage attachment get --cluster CLUSTER_ID --attachment ATTACHMENT --worker WORKER [--output json]

--cluster CLUSTER_ID: 必填：请指定集群ID。要列出可用集群，请运行 ibmcloud ks cluster ls.
--attachment ATTACHMENT: 必填：请指定卷挂载标识符。要列出可用附件，请运行 ibmcloud ks storage attachment ls.
--worker WORKER: 必填：请指定工人ID。要列出可用工人，请运行 ibmcloud ks worker ls.
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage attachment get --cluster aa1111aa11aaaaa11aa1 --attachment 0111-1a111aaa-1111-1111-111a-aaa1a1a11a11 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

`ibmcloud ks storage attachment ls`

虚拟私有云

列出集群中工作程序节点的存储卷连接。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

ibmcloud ks storage attachment ls --cluster CLUSTER_ID --worker WORKER [--output json]

--cluster CLUSTER_ID: 必填：请指定集群ID。要列出可用集群，请运行 ibmcloud ks cluster ls.
--worker WORKER: 必填：请指定工人ID。要列出可用工人，请运行 ibmcloud ks worker ls.
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage attachment ls --cluster aa1111aa11aaaaa11aa1 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

`ibmcloud ks storage attachment rm`

虚拟私有云

从集群中的工作程序节点除去存储卷。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

ibmcloud ks storage attachment rm --cluster CLUSTER_ID --attachment ATTACHMENT --worker WORKER [--output json]

命令选项：

--cluster CLUSTER_ID: 必填：请指定集群ID。要列出可用集群，请运行 ibmcloud ks cluster ls.
--attachment ATTACHMENT: 必填：请指定卷挂载标识符。要列出可用附件，请运行 ibmcloud ks storage attachment ls.
--worker WORKER: 必填：请指定工人ID。要列出可用工人，请运行 ibmcloud ks worker ls.
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage attachment rm --cluster aa1111aa11aaaaa11aa1 --attachment 0111-1a111aaa-1111-1111-111a-aaa1a1a11a11 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

`ibmcloud ks storage volume get`

虚拟私有云经典基础设施

列出经典集群的存储卷。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

ibmcloud ks storage volume get --volume VOLUME

命令选项：

--volume VOLUME: 必填：请指定卷标识符。要列出可用卷，请运行 ibmcloud ks storage volume ls.
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage volume get --volume 111111111

`ibmcloud ks storage volume ls`

虚拟私有云经典基础设施

获取存储卷列表。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

ibmcloud ks storage volume ls [--cluster CLUSTER_ID] [--provider PROVIDER] [--zone ZONE] [--output json]

命令选项：

--cluster CLUSTER_ID: 可选：指定集群ID。要列出可用集群，请运行 ibmcloud ks cluster ls.
--provider PROVIDER: 可选: 指定提供程序。支持的值为 classic 和 vpc-gen2。
--zone ZONE: 可选: 指定区域。要列出可用区域，请运行 ibmcloud ks locations.
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage volume ls --cluster aa1111aa11aaaaa11aa1

`ibmcloud ks experimental trusted-profile default get`

[过期日期：2025-12-17] 获取在资源组中创建的群集的默认可信配置文件。

ibmcloud ks experimental trusted-profile default get --region REGION --resource-group GROUP [--output OUTPUT] [-q]

命令选项

--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
-q: 不显示每日消息或更新提示。
--region REGION: 资源组所在的区域。
--resource-group GROUP: 要检索其默认可信配置文件的资源组。

`ibmcloud ks experimental trusted-profile default set`

[过期日期：2025-12-17] 为资源组中创建的群集设置默认可信配置文件。

ibmcloud ks experimental trusted-profile default set --region REGION --resource-group GROUP --trusted-profile PROFILE [--output OUTPUT] [-q]

命令选项

--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
-q: 不显示每日消息或更新提示。
--region REGION: 资源组所在的区域。
--resource-group GROUP: 要设置受信任配置文件的资源组 ID。
--trusted-profile PROFILE: 受信任的配置文件 ID。

`ibmcloud ks experimental trusted-profile get`

[过期日期：2025-12-17] 获取群集的受信任配置文件。

ibmcloud ks experimental trusted-profile get --cluster CLUSTER [--output OUTPUT] [-q]

命令选项

--cluster CLUSTER: 要检索受信任配置文件的群组 ID。
--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
-q: 不显示每日消息或更新提示。

`ibmcloud ks experimental trusted-profile set`

[过期日期：2025-12-17] 在群集上设置受信任配置文件。

ibmcloud ks experimental trusted-profile set --cluster CLUSTER --trusted-profile PROFILE [--output OUTPUT] [-q]

命令选项

--cluster CLUSTER: 要设置受信任配置文件的群组 ID。
--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
-q: 不显示每日消息或更新提示。
--trusted-profile PROFILE: 受信任的配置文件 ID。

IBM Cloud Kubernetes Service CLI 参考

IBM Cloud Kubernetes Service 命令

cluster 命令

ibmcloud ks cluster addon disable

ibmcloud ks cluster addon disable alb-oauth-proxy

示例 addon disable alb-oauth-proxy 命令

ibmcloud ks cluster addon disable debug-tool

ibmcloud ks cluster addon disable istio

ibmcloud ks cluster addon disable istio-extras

ibmcloud ks cluster addon disable istio-sample-bookinfo

ibmcloud ks cluster addon disable kube-terminal

ibmcloud ks cluster addon disable static-route

ibmcloud ks cluster addon disable vpc-block-csi-driver

ibmcloud ks cluster addon enable

ibmcloud ks cluster addon enable alb-oauth-proxy

示例 addon enable alb-oauth-proxy 命令

ibmcloud ks cluster addon enable debug-tool

示例 addon enable debug-tool 命令

ibmcloud ks cluster addon enable istio

ibmcloud ks cluster addon enable static-route

ibmcloud ks cluster addon enable vpc-block-csi-driver

ibmcloud ks cluster addon get

ibmcloud ks cluster addon ls

ibmcloud ks cluster addon options

ibmcloud ks cluster addon update

ibmcloud ks cluster addon versions

示例 addon versions 命令

ibmcloud ks cluster ca create

示例 cluster ca create 命令

ibmcloud ks cluster ca get

示例 cluster ca get 命令

ibmcloud ks cluster ca rotate

示例 cluster ca rotate 命令

ibmcloud ks cluster ca status

示例 cluster ca status 命令

ibmcloud ks cluster config

示例 cluster config 命令

ibmcloud ks cluster create classic

示例 cluster create classic 命令

ibmcloud ks cluster create vpc-gen2

示例 cluster create vpc-gen2 命令

ibmcloud ks cluster get

示例 cluster get 命令

ibmcloud ks cluster image-security disable

示例 cluster image-security disable 命令

ibmcloud ks cluster image-security enable

示例 cluster image-security enable 命令

ibmcloud ks cluster ls

示例 cluster ls 命令

ibmcloud ks cluster master audit-webhook

ibmcloud ks cluster master audit-webhook get

示例 cluster master audit-webhook get 命令

ibmcloud ks cluster master audit-webhook set

示例 cluster master audit-webhook set 命令

ibmcloud ks cluster master audit-webhook unset

ibmcloud ks cluster master console-oauth-access get

命令选项

ibmcloud ks cluster master console-oauth-access set

命令选项

ibmcloud ks cluster master pod-security get

示例 cluster master pod-security get 命令

ibmcloud ks cluster master pod-security policy disable

示例 cluster master pod-security policy disable 命令

ibmcloud ks cluster master pod-security policy enable

示例 cluster master pod-security policy enable 命令

ibmcloud ks cluster master pod-security policy get

示例 cluster master pod-security policy get 命令

ibmcloud ks cluster master pod-security set

示例 cluster master pod-security set 命令

ibmcloud ks cluster master pod-security unset

示例 cluster master pod-security unset 命令

ibmcloud ks cluster master private-service-endpoint allowlist

ibmcloud ks cluster master private-service-endpoint allowlist add

示例 cluster master private-service-endpoint allowlist add 命令

ibmcloud ks cluster master private-service-endpoint allowlist disable

示例 cluster master private-service-endpoint allowlist disable 命令

ibmcloud ks cluster master private-service-endpoint allowlist enable

示例 cluster master private-service-endpoint allowlist enable 命令

ibmcloud ks cluster master private-service-endpoint allowlist get

示例 cluster master private-service-endpoint allowlist get 命令

`cluster` 命令

`ibmcloud ks cluster addon disable`

`ibmcloud ks cluster addon disable alb-oauth-proxy`

示例 `addon disable alb-oauth-proxy` 命令

`ibmcloud ks cluster addon disable debug-tool`

`ibmcloud ks cluster addon disable istio`

`ibmcloud ks cluster addon disable istio-extras`

`ibmcloud ks cluster addon disable istio-sample-bookinfo`

`ibmcloud ks cluster addon disable kube-terminal`

`ibmcloud ks cluster addon disable static-route`

`ibmcloud ks cluster addon disable vpc-block-csi-driver`

`ibmcloud ks cluster addon enable`

`ibmcloud ks cluster addon enable alb-oauth-proxy`

示例 `addon enable alb-oauth-proxy` 命令

`ibmcloud ks cluster addon enable debug-tool`

示例 `addon enable debug-tool` 命令

`ibmcloud ks cluster addon enable istio`

`ibmcloud ks cluster addon enable static-route`

`ibmcloud ks cluster addon enable vpc-block-csi-driver`

`ibmcloud ks cluster addon get`

`ibmcloud ks cluster addon ls`

`ibmcloud ks cluster addon options`

`ibmcloud ks cluster addon update`

`ibmcloud ks cluster addon versions`

示例 `addon versions` 命令

`ibmcloud ks cluster ca create`

示例 `cluster ca create` 命令

`ibmcloud ks cluster ca get`

示例 `cluster ca get` 命令

`ibmcloud ks cluster ca rotate`

示例 `cluster ca rotate` 命令

`ibmcloud ks cluster ca status`

示例 `cluster ca status` 命令

`ibmcloud ks cluster config`

示例 `cluster config` 命令

`ibmcloud ks cluster create classic`

示例 `cluster create classic` 命令

`ibmcloud ks cluster create vpc-gen2`

示例 `cluster create vpc-gen2` 命令

`ibmcloud ks cluster get`

示例 `cluster get` 命令

`ibmcloud ks cluster image-security disable`

示例 `cluster image-security disable` 命令

`ibmcloud ks cluster image-security enable`

示例 `cluster image-security enable` 命令

`ibmcloud ks cluster ls`

示例 `cluster ls` 命令

`ibmcloud ks cluster master audit-webhook`

`ibmcloud ks cluster master audit-webhook get`

示例 `cluster master audit-webhook get` 命令

`ibmcloud ks cluster master audit-webhook set`

示例 `cluster master audit-webhook set` 命令

`ibmcloud ks cluster master audit-webhook unset`

`ibmcloud ks cluster master console-oauth-access get`

`ibmcloud ks cluster master console-oauth-access set`

`ibmcloud ks cluster master pod-security get`

示例 `cluster master pod-security get` 命令

`ibmcloud ks cluster master pod-security policy disable`

示例 `cluster master pod-security policy disable` 命令

`ibmcloud ks cluster master pod-security policy enable`

示例 `cluster master pod-security policy enable` 命令

`ibmcloud ks cluster master pod-security policy get`

示例 `cluster master pod-security policy get` 命令

`ibmcloud ks cluster master pod-security set`

示例 `cluster master pod-security set` 命令

`ibmcloud ks cluster master pod-security unset`

示例 `cluster master pod-security unset` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist`

`ibmcloud ks cluster master private-service-endpoint allowlist add`

示例 `cluster master private-service-endpoint allowlist add` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist disable`

示例 `cluster master private-service-endpoint allowlist disable` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist enable`

示例 `cluster master private-service-endpoint allowlist enable` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist get`

示例 `cluster master private-service-endpoint allowlist get` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist rm`

示例 `cluster master private-service-endpoint allowlist rm` 命令

`ibmcloud ks cluster master private-service-endpoint disable`

示例 `cluster master private-service-endpoint disable` 命令