Valores predeterminados de servicio para componentes de Kubernetes

kube-apiserver

Revise los valores predeterminados del componente maestro kube-apiserver en IBM Cloud Kubernetes Service.

Tolerancias predeterminadas de pod

default-not-ready-toleration-seconds=600s

default-unreachable-toleration-seconds=600s

Pods con privilegios

allow-privileged=true

Cabeceras de solicitud y respuesta

strict-transport-security-directives="max-age=31536000" (Kubernetes versión 1.28 y posterior)

requestheader-client-ca-file=/mnt/etc/kubernetes-cert/ca.pem

requestheader-username-headers=X-Remote-User

requestheader-group-headers=X-Remote-Group

requestheader-extra-headers-prefix=X-Remote-Extra-

Número de solicitudes de cliente

max-requests-inflight=1600

max-mutating-requests-inflight=800

Controladores de admisión

ClusterTrustBundleAttest (Kubernetes versión 1.27 y posterior)

ValidatingAdmissionPolicy (Kubernetes versión 1.27 y posterior)

DefaultStorageClass

NamespaceLifecycle

LimitRanger

ServiceAccount

MutatingAdmissionWebhook

ValidatingAdmissionWebhook

ResourceQuota

DefaultTolerationSeconds

StorageObjectInUseProtection

PersistentVolumeClaimResize

Priority

PodSecurity (Opcional en Kubernetes versión 1.24, habilitado en la versión 1.25 y posteriores)

PodSecurityPolicy (Kubernetes versión 1.24 y anteriores)

NodeRestriction

TaintNodesByCondition

CertificateApproval

CertificateSigning

• CertificateSubjectRestriction
• DefaultIngressClass
• RuntimeClass
• DenyServiceExternalIPs

Puertas de características

Consulte Puertas de características

Soporte de cifrado TLS

Versión TLS 1.2:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Versión TLS 1.3:

• TLS_AES_128_GCM_SHA256
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_256_GCM_SHA384

kube-controller-manager

Revise los valores predeterminados del componente maestro kube-controller-manager en IBM Cloud Kubernetes Service.

Periodo de gracia de supervisor de Node

node-monitor-grace-period=55s (Kubernetes versión 1.28 y posterior)

Puertas de características

Consulte Puertas de características

Umbral de recogida de basura de pod

terminated-pod-gc-threshold=12500

Soporte de cifrado TLS

Versión TLS 1.2:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Versión TLS 1.3:

• TLS_AES_128_GCM_SHA256
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_256_GCM_SHA384

kubelet

Revise los valores predeterminados para el componente de nodo trabajador kubelet en IBM Cloud Kubernetes Service.

imageMaximumGCAge: 336h (Kubernetes versión 1.31 y posteriores)

imageGCHighThresholdPercent: 75 (Kubernetes versión 1.26 y posteriores)

imageGCLowThresholdPercent: 65 (Kubernetes versión 1.26 y posteriores)

kubeAPIQPS: 50 (Kubernetes versión 1.27 y posterior)

kubeAPIBurst: 100 (Kubernetes versión 1.27 y posterior)

eventBurst: 100 (Kubernetes versión 1.27 y posterior)

eventRecordQPS: 50 (Kubernetes versión 1.27 y posterior)

serializeImagePulls: false

registryPullQPS: 5

registryBurst: 5

cgroups

kubeletCgroups: /podruntime/kubelet

runtime-cgroups=/podruntime/runtime

Registros de contenedor

containerLogMaxSize: 100Mi

containerLogMaxFiles: 3

Punto final de tiempo de ejecución de contenedor

containerRuntimeEndpoint: "unix:///run/containerd/containerd.sock"

Cuota de CFS de CPU

cpuCFSQuotaPeriod: 20ms

Puertas de características

Consulte Puertas de características.

Frecuencia de comprobación de archivos

fileCheckFrequency: 5s

Cierre de nodo correcto

shutdownGracePeriodCriticalPods: 15s

Reservas de Kubernetes y del sistema

kubeReserved calculated based on worker node flavor

systemReserved calculated based on worker node flavor

evictionSoft:
  memory.available:  "100Mi"
  nodefs.available: "10%"
  imagefs.available: "10%"
  nodefs.inodesFree: "10%"
  imagefs.inodesFree: "10%"

evictionSoftGracePeriod:
  memory.available: "10m"
  nodefs.available: "10m"
  imagefs.available: "10m"
  nodefs.inodesFree: "10m"
  imagefs.inodesFree: "10m"

evictionHard:
  memory.available: "100Mi"
  nodefs.available: "5%"
  imagefs.available: "5%"
  nodefs.inodesFree: "5%"
  imagefs.inodesFree: "5%"

kube-scheduler

Revise los valores predeterminados para el componente de nodo trabajador kube-scheduler en IBM Cloud Kubernetes Service.

Soporte de cifrado TLS

Versión TLS 1.2:

• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Versión TLS 1.3:

• TLS_AES_128_GCM_SHA256
• TLS_CHACHA20_POLY1305_SHA256
• TLS_AES_256_GCM_SHA384

kube-proxy

Revise los valores predeterminados para el componente de nodo trabajador kube-proxy en IBM Cloud Kubernetes Service.

Valores de Iptable

iptables-sync-period 120 (Kubernetes versión 1.29 y posteriores)

iptables-min-sync-period 2s (Kubernetes versión 1.29 y posteriores)

iptables-sync-period 180s (Kubernetes versión 1.28)

iptables-min-sync-period 3s (Kubernetes versión 1.28)

iptables-sync-period 300s (Kubernetes versión 1.27 y anterior)

iptables-min-sync-period 5s (Kubernetes versión 1.27 y anterior)

iptables-localhost-nodeports false (Kubernetes versiones 1.26 y posteriores)

Modalidad de proxy

proxy-mode=iptables

Puertas de características

Consulte Puertas de características

Puertas de características

Revise las puertas de características que se aplican a todos los componentes de nodo maestro y de nodo trabajador de forma predeterminada en clústeres de IBM Cloud Kubernetes Service. Estas puertas de características difieren de las que se establecen en las distribuciones de la comunidad. En Kubernetes, la mayoría de las nuevas funciones beta están desactivadas de forma predeterminada. Las funciones Alpha, que están sujetas a cambios, están desactivadas en todas las versiones.

Puede utilizar el kubectl get --raw /metrics | grep kubernetes_feature_enabled para determinar si una función de acceso está habilitada o deshabilitada.

1.34

CustomCPUCFSQuotaPeriod=true

DisableNodeKubeProxyVersion=false

1.33

CustomCPUCFSQuotaPeriod=true

DisableNodeKubeProxyVersion=false

1.32

CustomCPUCFSQuotaPeriod=true

1.31

CustomCPUCFSQuotaPeriod=true

StrictCostEnforcementForVAP=true

StrictCostEnforcementForWebhooks=true

1.30

CustomCPUCFSQuotaPeriod=true

StrictCostEnforcementForVAP=true

StrictCostEnforcementForWebhooks=true

1.29

CustomCPUCFSQuotaPeriod=true

KMSv1=true

StructuredAuthenticationConfiguration=true

1.28

CustomCPUCFSQuotaPeriod=true

UnauthenticatedHTTP2DOSMitigation=true

1.27

CustomCPUCFSQuotaPeriod=true

UnauthenticatedHTTP2DOSMitigation=true

1.26

CustomCPUCFSQuotaPeriod=true

UnauthenticatedHTTP2DOSMitigation=true

1.25

CustomCPUCFSQuotaPeriod=true

UnauthenticatedHTTP2DOSMitigation=true

1.24

CustomCPUCFSQuotaPeriod=true

LegacyServiceAccountTokenNoAutoGeneration=false

PodSecurity=false

1.23

CustomCPUCFSQuotaPeriod=true

ServiceLBNodePortControl=false

PodSecurity=false

1.22

ServiceLBNodePortControl=false

CustomCPUCFSQuotaPeriod=true

IPv6DualStack=false

1.21

ServiceLoadBalancerClass=true

CustomCPUCFSQuotaPeriod=true

IPv6DualStack=false

1.20

AllowInsecureBackendProxy=false

CustomCPUCFSQuotaPeriod=true

1.19

RuntimeClass=false

CustomCPUCFSQuotaPeriod=true

AllowInsecureBackendProxy=false

SCTPSupport=false

ServiceAppProtocol=false

1.18

RuntimeClass=false

CustomCPUCFSQuotaPeriod=true

AllowInsecureBackendProxy=false