IBM Cloud Kubernetes Service CLI 参考

请参考这些命令在 IBM Cloud® Kubernetes Service 中创建和管理 Kubernetes 或 Red Hat OpenShift 社区群集。

Kubernetes: 安装 Kubernetes CLI 插件。
OpenShift：安装Red Hat OpenShift CLI 插件。

在命令行中，ibmcloud CLI 和插件更新可用时会通知您。确保更新 CLI，以便使用所有可用命令和选项。

在查找 ibmcloud cr 命令吗？请参阅 IBM Cloud Container Registry CLI 参考。在查找 kubectl 命令吗？请参阅 Kubernetes 文档。

IBM Cloud Kubernetes Service 命令

下表列出了 ibmcloud ks 命令组。要获取在 CLI 中构造的所有 ibmcloud ks 命令的完整列表，请参阅 IBM Cloud Kubernetes Service CLI 映射。

IBM Cloud Kubernetes Service CLI 命令组
命令组	描述
集群命令	创建、查看和修改集群和集群设置，如附加组件、子网和主节点设置。
worker 命令	查看和修改集群的工作程序节点。
工作程序池命令	查看和修改集群的工作程序池。
zone 命令	列出可用性区域并修改附加到工作程序池的区域。
Ingress 命令	查看和修改入口服务和设置。
日志记录命令	从集群转发日志。
nlb-dns 命令	在集群中创建并管理网络负载均衡器 (NLB) IP 地址的主机名，并管理主机名的运行状况检查监视器。
Webhook-create 命令	在集群中注册 Webhook。
api-key 命令	查看有关集群的 API 密钥的信息或将其重置为新密钥。
凭证命令	设置和取消设置允许您通过 IBM Cloud 帐户访问 IBM Cloud 经典基础架构产品服务组合的凭证。
infra-permissions 命令	检查在 IBM Cloud Kubernetes Service中使用的经典 IBM Cloud 基础架构权限。
KMS 命令	在集群中启用密钥管理服务 (KMS) 提供程序，以使用您控制的根密钥对 etcd 组件和 Kubernetes 密钥进行加密。
配额命令	查看 IBM Cloud 帐户中集群相关资源的配额和限制。
子网命令	列出 IBM Cloud 基础架构帐户中可用的子网。
vlan 命令	列出专区的公用和专用 VLAN，并查看 VLAN 生成状态。
VPCS 命令	列出目标资源组中的所有 VPC。如果未设置目标资源组，那么会列出帐户中的所有 VPC。
Flavor 命令	获取区域的类型模板或列表可用类型模板的信息。
位置命令	列出 IBM Cloud Kubernetes Service支持的位置。
消息命令	查看当前用户消息。
版本命令	列出可用于 IBM Cloud Kubernetes Service 集群的容器平台版本。
不推荐使用 API 命令	查看或锁定服务的 API 端点和 API 版本。
不推荐使用的 `init` 命令	初始化 IBM Cloud Kubernetes Service 插件或指定要创建或访问 Kubernetes 群集的区域。
script 命令	重写调用 IBM Cloud Kubernetes Service 插件命令的脚本。
Beta 存储命令	查看和修改存储资源。

`cluster` 命令

创建、查看和修改集群和集群设置，如附加组件、子网和主节点设置。

`ibmcloud ks cluster addon disable`

在现有集群中禁用受管附加组件。对于要禁用的受管附加组件，此命令必须与下列其中一个子命令组合在一起。

`ibmcloud ks cluster addon disable alb-oauth-proxy`

虚拟私有云经典基础架构

在集群中禁用 ALB OAuth 代理的附加组件。

ibmcloud ks cluster addon disable alb-oauth-proxy --cluster CLUSTER

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。

示例 `addon disable alb-oauth-proxy` 命令

ibmcloud ks cluster addon disable alb-oauth-proxy --cluster my_cluster

`ibmcloud ks cluster addon disable debug-tool`

虚拟私有云经典基础架构

禁用 IBM Cloud Kubernetes Service 诊断和调试工具的附加组件。

ibmcloud ks cluster addon disable debug-tool --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。

`ibmcloud ks cluster addon disable istio`

经典基础结构

禁用受管 Istio 附加组件。从集群中除去所有 Istio 核心组件，包括 Prometheus。

ibmcloud ks cluster addon disable istio --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：该 Istio 附加组件依赖于 istio-extras 和 istio-sample-bookinfo 托管附加组件。包含此选项还可禁用这些附加组件。

`ibmcloud ks cluster addon disable istio-extras`

经典基础结构

禁用不受支持的受管 Istio 附加组件。从集群中除去 Grafana、Jager 和 Kiali。

ibmcloud ks cluster addon disable istio-extras --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：此 Istio 附加组件是 istio-sample-bookinfo 托管附加组件的依赖项。包含此选项也可禁用该插件。

`ibmcloud ks cluster addon disable istio-sample-bookinfo`

经典基础结构

禁用不受支持的受管 Istio BookInfo 附加组件。从集群中除去所有部署、pod 和其他 BookInfo 应用程序资源。

ibmcloud ks cluster addon disable istio-sample-bookinfo --cluster CLUSTER

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。

`ibmcloud ks cluster addon disable kube-terminal`

虚拟私有云经典基础架构

禁用 Kubernetes Web 终端附加组件。要在 IBM Cloud Kubernetes Service 集群控制台中使用 Kubernetes 网络终端，必须先重新启用插件。

ibmcloud ks cluster addon disable kube-terminal --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。

`ibmcloud ks cluster addon disable static-route`

虚拟私有云经典基础架构

禁用静态路由附加组件。

ibmcloud ks cluster addon disable static-route --cluster CLUSTER

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

`ibmcloud ks cluster addon disable vpc-block-csi-driver`

经典基础结构

禁用 IBM Cloud VPC Block Storage CSI 驱动程序附加组件。

ibmcloud ks cluster addon disable vpc-block-csi-driver --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。

`ibmcloud ks cluster addon enable`

在现有集群中启用受管附加组件。对于要启用的受管附加组件，此命令必须与下列其中一个子命令组合在一起。

`ibmcloud ks cluster addon enable alb-oauth-proxy`

虚拟私有云经典基础架构

在集群中为 ALB OAuth 代理启用附加组件。当 ALB 运行 Kubernetes Ingress 映像时，可以使用 ALB OAuth 代理通过使用 IBM Cloud App ID配置 Ingress 来对应用程序实施认证。

ibmcloud ks cluster addon enable alb-oauth-proxy --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。

示例 `addon enable alb-oauth-proxy` 命令

ibmcloud ks cluster addon enable alb-oauth-proxy --cluster my_cluster

`ibmcloud ks cluster addon enable debug-tool`

虚拟私有云经典基础架构

在集群中为 IBM Cloud Kubernetes Service 诊断和调试工具启用附加组件。

ibmcloud ks cluster addon enable debug-tool --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。

示例 `addon enable debug-tool` 命令

ibmcloud ks cluster addon enable debug-tool --cluster my_cluster

`ibmcloud ks cluster addon enable istio`

经典基础结构

启用受管 Istio 附加组件。安装 Istio 的核心组件，包括 Prometheus。

ibmcloud ks cluster addon enable istio --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。请注意，Istio V 1.3 仅在 Kubernetes V 1.15 和更低版本的集群中受支持，Istio V 1.4 和更高版本仅在 Kubernetes V 1.16 和更高版本的集群中受支持。

`ibmcloud ks cluster addon enable static-route`

虚拟私有云经典基础架构

启用静态路由附加组件。

ibmcloud ks cluster addon enable static-route --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--cluster CLUSTER: 必须填写：群集的名称或 ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。

`ibmcloud ks cluster addon enable vpc-block-csi-driver`

虚拟私有云

启用 IBM Cloud VPC Block Storage CSI 驱动程序附加组件。

ibmcloud ks cluster addon enable vpc-block-csi-driver --cluster CLUSTER [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--cluster CLUSTER: 必须填写：群集的名称或 ID。
--version VERSION: 可选：指定要安装的附加组件版本。如果未指定版本，那么将安装缺省版本。

`ibmcloud ks cluster addon get`

虚拟私有云经典基础架构

查看已安装插件的详细信息。

ibmcloud ks cluster addon get --addon ADDON --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--addon ADDON: 必须填写：addon 的名称。要列出已安装的附加组件，请运行 ibmcloud ks cluster addon ls。
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks cluster addon ls`

虚拟私有云经典基础架构

列出群集中已启用的任何受管附加组件。

ibmcloud ks cluster addon ls --cluster CLUSTER

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。

`ibmcloud ks cluster addon options`

虚拟私有云经典基础架构

在启用附加组件之前，请查看其安装选项。

ibmcloud ks cluster addon options --addon ADDON [--output OUTPUT] [-q] [--version VERSION]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--addon ADDON: 必须填写：addon 的名称。要列出可用的附加组件，请运行 ibmcloud ks cluster addon versions。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。
--version VERSION: 可选：指定要显示选项的附加组件版本。如果未指定版本，那么将显示缺省版本的选项。要列出可用的附加组件版本，请运行 ibmcloud ks cluster addon versions。

`ibmcloud ks cluster addon update`

虚拟私有云经典基础架构

更新已安装的附加组件。

ibmcloud ks cluster addon update ADD-ON_NAME --cluster CLUSTER [-f] [-q] [--version VERSION] [-y]

最低必需许可权: 无

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。
--version VERSION: 可选: 指定要将附加组件更新到的版本。如果未指定版本，那么该附加组件将更新为缺省版本。要列出可用的附加组件版本，请运行 ibmcloud ks cluster addon versions。

`ibmcloud ks cluster addon versions`

虚拟私有云经典基础架构

查看 IBM Cloud Kubernetes Service 中支持的受管附加组件版本的列表。

ibmcloud ks cluster addon versions [--addon ADD-ON_NAME] [--output json] [-q]

最低必需许可权: 无

命令选项：

--addon ADD-ON_NAME: 可选：指定插件名称，如 istio，以筛选版本。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `addon versions` 命令

ibmcloud ks cluster addon versions --addon istio

`ibmcloud ks cluster ca create`

虚拟私有云经典基础架构

为群集创建新的证书颁发机构 (CA)。创建 CA 并为集群中的组件发放新的 CA 证书后，将自动刷新集群的 API 服务器。

运行此命令之后，在运行 ibmcloud ks cluster ca rotate 命令之前，请执行在集群中旋转 CA 证书中的步骤，以确保使用旧 CA 签署的证书的任何工具都将更新为使用新证书并更新工作程序节点。

ibmcloud ks cluster ca create --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ca create` 命令

ibmcloud ks cluster ca create --cluster my_cluster

`ibmcloud ks cluster ca get`

虚拟私有云经典基础架构

查看集群的 CA 证书的详细信息。

ibmcloud ks cluster ca get --cluster CLUSTER [ --output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ca get` 命令

ibmcloud ks cluster ca get --cluster my_cluster

`ibmcloud ks cluster ca rotate`

虚拟私有云经典基础架构

轮换群集的证书颁发机构 (CA) 证书。循环使由集群的先前 CA 签署的证书失效，并将由集群的新 CA 签署的证书发放到工作程序节点。

在运行此命令之前，请遵循在集群中旋转 CA 证书中的步骤，以确保使用旧 CA 证书的任何工具都已更新为使用新证书并更新工作程序节点。

ibmcloud ks cluster ca rotate --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ca rotate` 命令

ibmcloud ks cluster ca rotate --cluster my_cluster

`ibmcloud ks cluster ca status`

虚拟私有云经典基础架构

运行 ibmcloud ks cluster ca rotate 后，查看集群的认证中心 (CA) 证书的轮换状态。

ibmcloud ks cluster ca status --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ca status` 命令

ibmcloud ks cluster ca status --cluster my_cluster

`ibmcloud ks cluster config`

虚拟私有云经典基础架构

登录到 IBM Cloud后，将 Kubernetes 配置数据和证书作为 kubeconfig 文件下载到本地计算机，以便您可以连接到集群并运行 kubectl 命令。

kubeconfig 文件将合并到 ~/.kube/config 中的现有 kubeconfig 文件 (在 Windows 中为 <user_profile>/.kube/config ) 或由 KUBECONFIG 环境变量在命令行会话中设置的最后一个文件。运行 ibmcloud ks cluster config 后，可以立即与集群进行交互，并将上下文快速更改为 Kubernetes 上下文中的其他集群。

ibmcloud ks cluster config --cluster CLUSTER [--admin] [--endpoint ENDPOINT_TYPE] [--network] [--skip-rbac] [-q] [-o]

最低必需许可权

查看者 或读者 IBM Cloud IBM Cloud Kubernetes Service中集群的 IAM 服务访问角色。此外，如果您只有平台访问角色或只有服务访问角色，还会有其他限制。

平台：如果只有平台访问角色，则可以执行此命令，但需要服务访问角色才能在群集中执行 Kubernetes 操作。
服务：如果您拥有 service 访问角色，则可以执行此命令。但是，集群管理员必须通过运行 ibmcloud ks cluster ls 命令或使用 IBM Cloud Kubernetes Service 控制台为您收集集群详细信息。收到集群名称和标识之后，可以通过 CLI 启动 Kubernetes 仪表板，并使用 Kubernetes。

命令选项：

-c, --cluster CLUSTER

必须填写：群集的名称或 ID。

--admin

可选：使用此选项需要 Administrator 平台角色。下载超级用户角色的 TLS 证书和许可权文件。文件下载到 <user_home_directory>/.bluemix/plugins/kubernetes-service/clusters/<cluster_name>-admin。证书可以撤销或轮换。如需了解更多信息，请参阅在群集中旋转 CA 证书。

--endpoint ENDPOINT_TYPE

可选: 指定用于连接到集群的端点的类型。如果未指定此选项，那么将使用集群的缺省服务端点。

private: 如果为集群启用了私有云服务端点，请设置为 private 以将私有云服务端点用于集群上下文。请注意，您必须位于 IBM Cloud 专用网络中，或者通过 VPC VPN 连接连接到专用网络，或者对于经典基础架构，经典 VPN 连接或 IBM Cloud Direct Link。
vpe: 如果是 VPC 集群，请设置为 vpe 以将虚拟专用端点网关用于集群上下文。请注意，您必须连接到通过 VPC VPN 连接部署集群的同一 VPC。

--network

可选：下载 Calico 配置文件、TLS 证书以及在群集中运行 calicoctl 命令所需的权限文件。

--skip-rbac

跳过基于 IBM Cloud IAM 服务访问角色向集群配置添加用户 Kubernetes RBAC 角色的操作。仅当您管理自己的 Kubernetes RBAC 角色时，才包含此选项。如果使用 IBM Cloud IAM 服务访问角色来管理所有 RBAC 用户，请不要包含此选项。

-q

可选：不显示当天的消息或更新提示。

-o

可选：以 YAML、JSON 或 .zip 格式。

示例 `cluster config` 命令

ibmcloud ks cluster config --cluster my_cluster

`ibmcloud ks cluster create classic`

经典基础结构

在经典基础架构上创建具有工作程序节点的集群。

ibmcloud ks cluster create classic [--hardware HARDWARE] --zone ZONE --flavor FLAVOR --name NAME  [--operating-system SYSTEM] [--version MAJOR.MINOR.PATCH] [--no-subnet] [--sm-group GROUP] [--sm-instance INSTANCE] [--private-vlan PRIVATE_VLAN] [--public-vlan PUBLIC_VLAN] [--private-only] [--private-service-endpoint] [--public-service-endpoint] [--workers WORKER] [--disable-disk-encrypt] [--pod-subnet SUBNET] [--service-subnet SUBNET] [--skip-advance-permissions-check] [-q]

要创建 VPC 集群，请改为使用 ibmcloud ks cluster create vpc-gen2 命令。

最低必需许可权: IBM Cloud Kubernetes Service 账户级别的管理员平台访问角色; IBM Cloud Container Registry 账户级别的管理员平台访问角色; 对 IBM Cloud 基础架构的超级用户角色

命令选项：

--hardware HARDWARE

工作程序节点的硬件隔离级别。使用 dedicated，以便可用的物理资源仅供您专用，或者使用 shared 以允许物理资源与其他 IBM 客户共享。缺省值为 shared。对于裸机类型模板，请指定 dedicated。

--zone ZONE

要在其中创建集群的专区。此值对于标准集群是必需的。

查看可用的经典或 VPC 区域。选择您所在国家或地区以外的专区时，请记住，您可能需要法律授权才能将数据实际存储在国外。

--flavor FLAVOR

为工作程序节点选择类型模板（或机器类型）。可以将工作程序节点作为虚拟机部署在共享或专用硬件上，也可以作为物理机器部署在裸机上。可用的物理和虚拟类型模板随集群的部署专区而变化。有关更多信息，请参阅 ibmcloud ks flavors (machine-types) 命令的文档。

--name NAME

必须填写：群集名称。名称必须以字母开头，可包含字母、数字、句点 (.) 和连字符 (-)，且必须少于或等于 35 个字符。请使用在各区域中唯一的名称。集群名称和部署集群的区域构成了 Ingress 子域的标准域名。为了确保 Ingress 子域在区域内是唯一的，可能会截断 Ingress 域名中的集群名称并附加随机值。

--operating-system UBUNTU_20_64|UBUNTU_24_64

可选。集群中工作程序节点的操作系统。如需按集群版本查看可用操作系统列表，请参阅 Kubernetes 版本信息。如果未指定任何选项，那么将使用与集群版本对应的缺省操作系统。

--version MAJOR.MINOR.PATCH

可选：群集主节点的 Kubernetes 版本。未指定版本时，会使用受支持 Kubernetes 版本的缺省值来创建集群。要查看可用版本，请运行 ibmcloud ks versions。

--no-subnet

缺省情况下，将在与集群关联的 VLAN 上创建公用和专用可移植子网。包括 --no-subnet 选项，以避免在集群中创建子网。您可以日后为集群创建或添加子网。

--sm-group GROUP

保存秘密的 Secrets Manager 实例的秘密组 ID。要获取私钥组标识，请参阅 Secrets Manager CLI 参考。

--sm-instance INSTANCE

Secrets Manager 实例的 CRN。要获取实例的 CRN，请运行 ibmcloud ks ingress instance ls --cluster CLUSTER。

--private-vlan PRIVATE_VLAN

如果此标准群集是您在此区域创建的第一个标准群集，则不包括此选项。创建集群时，将为您创建专用 VLAN。如果之前在此专区中已创建标准集群，或者之前在 IBM Cloud 基础架构中已创建专用 VLAN，那么必须指定该专用 VLAN。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。

要了解特定区域是否已经有专用 VLAN，或查找现有专用 VLAN 的名称，请运行 ibmcloud ks vlan ls --zone ZONE。

--public-vlan PUBLIC_VLAN

如果此标准群集是您在此区域创建的第一个标准群集，请勿使用此选项。创建集群时，将为您创建公用 VLAN。如果之前在此专区中已创建标准集群，或者之前在 IBM Cloud 基础架构中已创建公用 VLAN，请指定该公用 VLAN。如果只想将工作节点连接到专用 VLAN，请不要指定此选项。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。

要了解特定区域是否已有公用 VLAN，或查找现有公用 VLAN 的名称，请运行 ibmcloud ks vlan ls --zone ZONE。

--private-only

使用此选项可阻止创建公用 VLAN。仅当指定 --private-vlan 选项且不包含 --public-vlan 选项时才需要。如果工人节点只设置了私有 VLAN，则必须启用私有云服务端点或配置网关设备。有关更多信息，请参阅工作程序与主节点的通信以及用户与主节点的通信。

--private-service-endpoint

通过 VRF 和服务端点启用的帐户中的标准集群: 启用私有云服务端点，以便 Kubernetes 主节点和工作程序节点通过专用 VLAN 进行通信。此外，您还可以选择启用公共云服务端点，使用 --public-service-endpoint 选项通过互联网访问群集。如果只启用私有云服务端点，则必须连接到私有 VLAN 才能与 Kubernetes 主站通信。启用私有云服务端点后，就不能再禁用它了。创建群集后，可通过运行 ibmcloud ks cluster get --cluster <cluster_name_or_ID>.

--public-service-endpoint

启用公有云服务端点，以便可以通过公有网络访问您的 Kubernetes 主服务器，例如运行 kubectl 来自命令行的命令。只能在未启用 VRF 的帐户中创建仅公用集群。如果您具有使用 VRF 和服务端点启用的帐户并且还包含 --private-service-endpoint 选项，那么主工作程序节点通信将通过专用网络和公用网络进行。之后，如果您想要一个纯私有群集，可以禁用公共云服务端点。创建群集后，可通过运行 ibmcloud ks cluster get --cluster <cluster_name_or_ID>.

--workers WORKERS

可选：指定要包含在群集中的工作节点数量。缺省值为 1。如果创建每个专区仅有一个工作程序节点的集群，那么可能会遇到 Ingress 问题。为实现高可用性，请创建一个群集，每个区域至少有两个工作者。系统会为每个工作程序节点分配唯一的工作程序节点标识和域名，在创建集群后，不得手动更改该标识和域名。更改标识或域名会阻止 Kubernetes 主节点管理集群。

--disable-disk-encrypt

工作程序节点缺省情况下具有 AES 256 位磁盘加密功能；了解更多。要禁用加密，请包括此选项。

--pod-subnet SUBNET

所有部署到 Worker 节点的 pod 默认都会分配一个 172.17.0.0/18 范围内的私有 IP 地址。如果计划通过 IBM Cloud® Direct Link 或 VPN 服务将集群连接到内部网络，则可指定一个自定义子网 CIDR，为 pod 提供私有 IP 地址，从而避免子网冲突。

选择子网大小时，请考虑计划创建的集群的大小以及未来可能添加的工作程序节点数。子网的 CIDR 必须至少为 /23，这样才能为集群中最多四个工作节点提供足够的 pod IP。对于较大的集群，请使用 /22 为 8 个工作程序节点提供足够的 pod IP 地址，使用 /21 为 16 个工作程序节点提供足够的 pod IP 地址，以此类推。

您选择的子网必须在下列其中一个范围内:

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
198.18.0.0 - 198.19.255.255

请注意，pod 和服务子网不能重叠。缺省情况下，服务子网在 172.21.0.0/16 范围内。

--service-subnet *SUBNET

缺省情况下，部署到集群的所有服务都会分配有 172.21.0.0/16 范围内的专用 IP 地址。如果计划通过 IBM Cloud Direct Link 或 VPN 服务将群集连接到内部网络，则可指定一个自定义子网 CIDR，为服务提供私有 IP 地址，从而避免子网冲突。

子网必须以 CIDR 格式指定，大小至少为 /24，这允许集群中最多 255 个服务或更大的服务。您选择的子网必须在下列其中一个范围内:

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
198.18.0.0 - 198.19.255.255

请注意，pod 和服务子网不能重叠。缺省情况下，pod 子网在 172.30.0.0/16 范围内。

--skip-advance-permissions-check

可选: 在创建集群之前，跳过基础架构许可权检查。请注意，如果您没有正确的基础架构许可权，那么集群创建可能仅会部分成功，例如主供应，但工作程序节点无法供应。您可以跳过许可权检查，以确定是否要继续以其他方式阻止的操作，例如，当您使用多个基础架构帐户时，如果稍后需要，可以单独处理基础架构资源。

-q

可选：不显示当天的消息或更新提示。

示例 `cluster create classic` 命令

创建第一个群集：在区域中创建的第一个标准群集也会创建一个专用 VLAN。因此，请勿包含 --public-vlan 选项。

ibmcloud ks cluster create classic --zone dal10 --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --name my_cluster --hardware shared --workers 2 --operating-system UBUNTU_20_64

创建后续标准群集：如果之前已在此区域创建了标准群集或在 IBM Cloud 基础架构中创建了公共 VLAN，请使用 --public-vlan 选项指定该公共 VLAN。要了解特定区域是否已有公用 VLAN，或查找现有公用 VLAN 的名称，请运行 ibmcloud ks vlan ls --zone <zone>。

ibmcloud ks cluster create classic --zone dal10 --public-vlan my_public_VLAN_ID --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --name my_cluster --hardware shared --workers 2 --operating-system UBUNTU_20_64

`ibmcloud ks cluster create vpc-gen2`

虚拟私有云

在第 2 代基础结构上创建具有工作程序节点的虚拟私有云 (VPC) 集群。登录到 IBM Cloud 帐户时，请将要在其中创建 VPC 集群的 IBM Cloud 区域和资源组设定为目标。有关支持的区域，请参阅在其他区域中创建 VPC。集群的资源组可以不同于 VPC 资源组。

具有实例存储器的 VPC Gen 2 集群虚拟硬件样板可用于列入允许列表的帐户。要添加到允许列表，请在支持下打开案例。

ibmcloud ks cluster create vpc-gen2 --name NAME --zone ZONE --vpc-id VPC_ID --subnet-id VPC_SUBNET_ID --flavor WORKER_FLAVOR [--cluster-security-group GROUP_ID] [--operating-system SYSTEM] [--version VERSION] [--workers NUMBER_WORKERS_PER_ZONE] [--dedicated-host-pool POOL] [--disable-outbound-traffic-protection] [--disable-public-service-endpoint] [--pod-subnet SUBNET] [--service-subnet SUBNET] [--kms-account-id ID] [--kms-instance KMS_INSTANCE_ID] [--crk ROOT_KEY_ID][--skip-advance-permissions-check] [--sm-group GROUP] [--sm-instance INSTANCE] [-q] [--secondary-storage STORAGE]

最低必需许可权: VPC 基础架构的管理员 平台访问角色。; 针对帐户级别的 IBM Cloud Kubernetes Service 的 管理员 平台访问角色。; Writer 或 Manager 服务访问角色，用于 IBM Cloud Kubernetes Service。; 针对帐户级别的 IBM Cloud Container Registry 的 管理员 平台访问角色。

命令选项：

--name NAME

--zone ZONE

需要：选择一个区域来部署初始群集 Worker 池。如果在多专区大城市中创建集群，那么日后可以向工作程序池添加专区。要列出可用的 VPC 区域，请运行 ibmcloud ks zone ls --provider vpc-gen2。

选择您所在国家或地区以外的专区时，请记住，您可能需要法律授权才能将数据实际存储在国外。

--vpc-id VPC_ID

必填：要在其中创建群集和工作节点的 VPC 的 ID。要列出可用的 ID，请运行 ibmcloud ks vpcs。

--subnet-id VPC_SUBNET_ID

必填：分配群集的 VPC 子网。要列出可用的 VPC 子网，请运行 ibmcloud ks subnets --provider vpc-gen2。

--version VERSION

集群主节点的 Kubernetes 版本。要查看可用版本，请运行 ibmcloud ks versions。

--flavor FLAVOR

选择工作程序节点的类型模板。可以将多个工作程序节点作为虚拟机部署在共享或专用硬件上。要查看某一区域可用的调味品，请运行 ibmcloud ks flavors --zone <vpc_zone> --provider vpc-gen2。

--cluster-security-group GROUP_ID

可选。指定适用于群集上所有工作者的附加安全组 ID。对于要添加的每个单独的安全组，必须包含单独的 --cluster-security-group 选项。要应用 IBM 创建的 kube-clusterID，请使用 --cluster-security-group cluster。如果未指定值，那么将仅应用 kube-clusterID 和缺省 VPC 安全组。最多可以将 5 个安全组应用于工作程序，包括缺省安全组。请注意，仅当未指定其他安全组时，才会应用 VPC 安全组。有关更多信息，请参阅在创建期间向集群和工作程序池添加 VPC 安全组。一旦创建了集群，就无法更改应用于集群的安全组。您可以更改应用于集群的安全组的规则，但不能在集群级别添加或除去安全组。如果在集群创建时应用了不正确的安全组，那么必须删除该集群并创建新的安全组。有关更多信息，请参阅在创建期间向集群和工作程序池添加 VPC 安全组。

--operating-system UBUNTU_20_64|UBUNTU_24_64

--preview PREVIEW

可选: 指定一个或多个集群级别预览功能，例如 fips。

--dedicated-host-pool POOL

可选: 要在其中运行工作程序的专用主机池的标识。

--workers NUMBER_WORKERS_PER_ZONE

可选：指定要包含在群集中的工作节点数量。缺省值为 1。

--disable-outbound-traffic-protection

包含此选项以允许来自集群工作程序的公共出站访问。缺省情况下，将在 OpenShift 版本 4.15 和更高版本以及 Kubernetes 版本 1.30 和更高版本中阻止公共出站访问。

--disable-public-service-endpoint

为确保工作节点和授权群集用户仅通过私有云服务端点与主控程序通信，请包含此选项以创建不含公共云服务端点的群集。

--pod-subnet SUBNET

在 VPC 中创建的第一个集群中，缺省 pod 子网为 172.17.0.0/18。在该 VPC 中创建的第二个集群中，缺省 pod 子网为 172.17.64.0/18。在每个后续集群中，pod 子网范围是下一个可用的非重叠 /18 子网。如果计划通过 IBM Cloud® Direct Link 或 VPN 服务将集群连接到内部网络，则可指定一个自定义子网 CIDR，为 pod 提供私有 IP 地址，从而避免子网冲突。

: 所有部署到 Worker 节点的 pod 默认都会分配一个 172.17.0.0/18 范围内的私有 IP 地址。如果计划通过 IBM Cloud® Direct Link 或 VPN 服务将集群连接到内部网络，则可指定一个自定义子网 CIDR，为 pod 提供私有 IP 地址，从而避免子网冲突。

对于 VPC 集群，可以通过在 --pod-subnet 选项中包含子网大小来指定子网大小。例如: --pod-subnet 0.0.0.0/X，其中 X 是必需的 pod 子网大小。然后，将自动选择 pod 子网。自动分配 pod 子网时，分配将从 172.17.0.0 开始，最大子网限制为 13，最小子网大小限制为 23。有关更多信息，请参阅配置 VPC 子网。您选择的子网必须在下列其中一个范围内。

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
198.18.0.0 - 198.19.255.255

请注意，pod 和服务子网不能重叠。如果对工作程序节点使用定制范围子网，那么必须确保工作程序节点子网与集群的 pod 子网不重叠。

--service-subnet SUBNET

缺省情况下，部署到集群的所有服务都会分配有 172.21.0.0/16 范围内的专用 IP 地址。如果计划通过 IBM Cloud Direct Link 或 VPN 服务将群集连接到内部网络，则可指定一个自定义子网 CIDR，为服务提供私有 IP 地址，从而避免子网冲突。子网必须以 CIDR 格式指定，大小至少为 /24，这允许集群中最多 255 个服务或更大的服务。您选择的子网必须在下列其中一个范围内。

172.17.0.0 - 172.17.255.255
172.21.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
198.18.0.0 - 198.19.255.255

请注意，pod 和服务子网不能重叠。

--skip-advance-permissions-check

--kms-account-id ID

可选项：包含要用于本地磁盘或秘密加密的 KMS 实例的账户 ID。

--kms-instance KMS_INSTANCE_ID

可选: 包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的密钥管理服务 (KMS) 实例的标识。要列出可用的 KMS 实例，请运行 ibmcloud ks kms instance ls。如果包含该选项，还必须包含 --crk 选项。必须先创建 KMS 实例并在 IAM 中设置所需的服务授权，然后才能使用 KMS 加密。请参阅管理集群中工作程序节点的加密。

--crk ROOT_KEY

可选: 在 KMS 实例中包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的根密钥的标识。要列出可用的根密钥，请运行 ibmcloud ks kms crk ls --instance-id。如果包含该选项，还必须包含 --kms-instance 选项。必须先创建 KMS 实例并在 IAM 中设置所需的服务授权，然后才能使用 KMS 加密。请参阅管理集群中工作程序节点的加密。

--sm-group GROUP

保存秘密的 Secrets Manager 实例的秘密组 ID。要获取私钥组标识，请参阅 Secrets Manager CLI 参考。

--sm-instance INSTANCE

Secrets Manager 实例的 CRN。要查找实例的 CRN，请运行 ibmcloud ks ingress instance ls --cluster CLUSTER。

--secondary-storage STORAGE

可选: 类型模板的存储选项。例如，900gb.5iops-tier。添加辅助磁盘时，该磁盘用于容器运行时，而主磁盘用于操作系统。要查看类型模板的存储选项，请运行 **ibmcloud ks flavor get --flavor FLAVOR --zone ZONE --provider vpc-gen2 命令。

-q

可选：不显示当天的消息或更新提示。

示例 `cluster create vpc-gen2` 命令

ibmcloud ks cluster create vpc-gen2 --name mycluster --version 1.32 --zone us-south-1 --vpc-id a0123456-78b9-0c1d-23d4-567890123ef4 --subnet-id 1ab23c45-6789-0123-456d-789ef01gh234 --flavor bx2.4x16 --workers 3

`ibmcloud ks cluster get`

虚拟私有云经典基础架构

查看集群的详细信息。

ibmcloud ks cluster get --cluster CLUSTER [--show-resources] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--show-resources: 显示更多集群资源，例如附加组件、VLAN、子网和存储器。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster get` 命令

ibmcloud ks cluster get --cluster my_cluster --show-resources

`ibmcloud ks cluster image-security disable`

虚拟私有云经典基础架构

禁用映像安全性实施。禁用该功能时，将除去底层 ClusterImagePolicy CRD，这将除去所有缺省映像策略以及您创建的任何定制映像策略。

ibmcloud ks cluster image-security disable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster image-security disable` 命令

ibmcloud ks cluster image-security disable --cluster my_cluster

`ibmcloud ks cluster image-security enable`

虚拟私有云经典基础架构

通过在集群中安装 Portieris Kubernetes 许可控制器和关联的缺省映像策略来启用映像安全实施。

ibmcloud ks cluster image-security enable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster image-security enable` 命令

ibmcloud ks cluster image-security enable --cluster my_cluster

`ibmcloud ks cluster ls`

虚拟私有云经典基础架构 Satellite

列出 IBM Cloud 帐户中的所有集群。

这将返回所有位置中的集群。要按特定位置过滤群集，请加入 --location 选项。例如，如果是按 dal 大城市过滤集群，那么会返回该大城市中的多专区集群以及该大城市内数据中心（专区）中的单专区集群。如果是按 dal10 数据中心（专区）过滤集群，那么将返回在该专区中具有工作程序节点的多专区集群以及该专区中的单专区集群。可以传递一个位置，也可以传递以逗号分隔的位置列表。

ibmcloud ks cluster ls [--provider (classic | vpc-gen2)] [--location LOCATION] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--provider (classic | vpc-gen2): 可选：根据基础设施提供商类型过滤输出。
-l, --location LOCATION: 按特定位置过滤输出。要查看支持的位置，请运行 ibmcloud ks locations。要指定多个位置，每个位置使用一个选项，如 -l dal -l seo。
--output json: 可选：以 JSON 格式打印命令输出。注: 如果不包含 --provider 选项，那么仅返回经典集群。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster ls` 命令

ibmcloud ks cluster ls -l ams03 -l wdc -l ap

`ibmcloud ks cluster master audit-webhook`

修改用于将 API 服务器审计日志转发到远程服务器的 Webhook 后端。

不推荐使用这些命令的 apiserver-config-get|set|unset audit-webhook 别名。

`ibmcloud ks cluster master audit-webhook get`

查看要向其发送 API 服务器审计日志的远程日志记录服务的 URL。 URL 是在您为 API 服务器配置创建 Webhook 后端时指定的。

ibmcloud ks cluster master audit-webhook get --cluster CLUSTER [-q]

经典基础结构

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master audit-webhook get` 命令

ibmcloud ks cluster master audit-webhook get --cluster mycluster

`ibmcloud ks cluster master audit-webhook set`

经典基础结构

设置 API 服务器配置的 Webhook 后端。 Webhook 后端将 API 服务器审计日志转发到远程服务器。设置 Webhook 后，必须运行 ibmcloud ks cluster master refresh 命令以将更改应用于 Kubernetes 主节点。

ibmcloud ks cluster master audit-webhook set --cluster CLUSTER [--remote-server SERVER_URL_OR_IP] [--ca-cert CA_CERT_PATH] [--client-cert CLIENT_CERT_PATH] [--client-key CLIENT_KEY_PATH] [--policy POLICY] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--remote-server SERVER_URL: 可选：要发送审计日志的远程日志服务的 URL 或 IP 地址。如果提供不安全的服务器 URL，那么将忽略任何证书。如果提供 IP 地址，请将 http:// 前缀添加到 IP 中。
--ca-cert CA_CERT_PATH: 可选项：用于验证远程日志服务的 CA 证书的文件路径。
--client-cert CLIENT_CERT_PATH: 可选项：客户端证书的文件路径，该证书用于对远程日志服务进行身份验证。
--client-key CLIENT_KEY_PATH: 可选项：用于连接远程日志服务的相应客户端密钥的文件路径。
--policy POLICY: 可选: 用于审计的策略类型。使用 default 或 verbose。请注意，verbose 策略类型会审计更多的 API 事务，这可能会影响集群性能，并且仅建议偶尔使用。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master audit-webhook set` 命令

ibmcloud ks cluster master audit-webhook set --cluster my_cluster --remote-server https://audit.example.com/audit --ca-cert /mnt/etc/kubernetes/apiserver audit/ca.pem --client-cert /mnt/etc/kubernetes/apiserver audit/cert.pem --client-key /mnt/etc/kubernetes/apiserver audit/key.pem

`ibmcloud ks cluster master audit-webhook unset`

经典基础结构

禁用集群 API 服务器的 Webhook 后端配置。禁用 Webhook 后端会停止将 API 服务器审计日志转发到远程服务器。

ibmcloud ks cluster master audit-webhook unset --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks cluster master console-oauth-access get`

获取 OpenShift Web 控制台和 OAuth 服务器访问类型。

ibmcloud ks cluster master console-oauth-access get --cluster CLUSTER [--output OUTPUT] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
-q: 不显示每日消息或更新提示。

`ibmcloud ks cluster master console-oauth-access set`

设置 OpenShift Web 控制台和 OAuth 服务器访问类型。

ibmcloud ks cluster master console-oauth-access set --cluster CLUSTER [-f] [-q] [--type TYPE]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
-f: 强制此命令运行，而不显示用户提示。
-q: 不显示每日消息或更新提示。
--type TYPE: 指定 OpenShift Web 控制台和 OAuth 服务器访问类型。接受的值: vpe-gateway，legacy

`ibmcloud ks cluster master pod-security get`

虚拟私有云经典基础架构

查看群集 Kubernetes API 服务器的 pod 安全许可配置。

ibmcloud ks cluster master pod-security get --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security get` 命令

ibmcloud ks cluster master pod-security get --cluster mycluster

`ibmcloud ks cluster master pod-security policy disable`

虚拟私有云经典基础架构

禁用集群的 Kubernetes API 服务器的 pod 安全策略。

ibmcloud ks cluster master pod-security policy disable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security policy disable` 命令

ibmcloud ks cluster master pod-security policy disable --cluster mycluster

`ibmcloud ks cluster master pod-security policy enable`

虚拟私有云经典基础架构

为集群的 Kubernetes API 服务器启用 pod 安全策略。请注意，pod 安全策略在运行 1.25 或更高版本的集群中不可用。

ibmcloud ks cluster master pod-security policy enable --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security policy enable` 命令

ibmcloud ks cluster master pod-security policy enable --cluster mycluster

`ibmcloud ks cluster master pod-security policy get`

虚拟私有云经典基础架构

查看群集 Kubernetes API 服务器的 pod 安全策略配置。请注意，pod 安全策略在运行 1.25 或更高版本的集群中不可用。

ibmcloud ks cluster master pod-security policy get --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security policy get` 命令

ibmcloud ks cluster master pod-security policy get --cluster mycluster

`ibmcloud ks cluster master pod-security set`

虚拟私有云经典基础架构

设置并启用集群的 Kubernetes API 服务器的 pod 安全许可。

ibmcloud ks cluster master pod-security set --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security set` 命令

ibmcloud ks cluster master pod-security set --cluster mycluster

`ibmcloud ks cluster master pod-security unset`

虚拟私有云经典基础架构

除去集群的 Kubernetes API 服务器的 pod 安全许可配置。

ibmcloud ks cluster master pod-security unset --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master pod-security unset` 命令

ibmcloud ks cluster master pod-security unset --cluster mycluster

`ibmcloud ks cluster master private-service-endpoint allowlist`

不再支持专用服务端点允许列表。尽快从允许列表迁移到基于上下文的限制。有关更多信息，请参阅从专用服务端点允许列表迁移到基于上下文的限制(CBR)。

管理私有云服务端点允许列表，以便授权用户只能从允许列表中指定的子网访问私有云服务端点。

`ibmcloud ks cluster master private-service-endpoint allowlist add`

虚拟私有云经典基础架构

启用私有云服务端点允许列表后，将授权用户可从中访问私有云服务端点的子网添加到允许列表。

例如，要访问集群的私有云服务端点，必须通过 VPN 或 IBM Cloud Direct Link连接到 IBM Cloud 经典网络或 VPC 网络。您可以为 VPN 或 IBM Cloud Direct Link 隧道添加子网，以便组织中的授权用户只能从该子网访问私有云服务端点。

工作程序节点子网将自动添加到允许列表中并从允许列表中除去，以便工作程序节点可以始终通过私有云服务端点访问主节点。

ibmcloud ks cluster master private-service-endpoint allowlist add --cluster CLUSTER --subnet SUBNET [--subnet SUBNET ...] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--subnet SUBNET: 必需 :CIDR 格式的子网。使用多个重复选项指定多个子网。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist add` 命令

ibmcloud ks cluster master private-service-endpoint allowlist add --cluster mycluster --subnet 1.1.1.1/16

`ibmcloud ks cluster master private-service-endpoint allowlist disable`

虚拟私有云经典基础架构

对集群的私有云服务端点禁用子网允许列表功能。

禁用此功能后，通过集群的私有云服务端点向集群主节点发出的授权请求可以源自任何子网。

ibmcloud ks cluster master private-service-endpoint allowlist disable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist disable` 命令

ibmcloud ks cluster master private-service-endpoint allowlist disable --cluster mycluster

`ibmcloud ks cluster master private-service-endpoint allowlist enable`

虚拟私有云经典基础架构

为集群的私有云服务端点启用子网允许列表功能。

运行此命令后，请使用 ibmcloud ks cluster master private-service-endpoint allowlist 命令将子网添加到允许列表。只允许通过群集的私有云服务端点向群集主控发送来自允许列表中子网的授权请求。如果为集群启用了公共云服务端点，那么仍允许通过公共云服务端点进行授权请求。

ibmcloud ks cluster master private-service-endpoint allowlist enable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist enable` 命令

ibmcloud ks cluster master private-service-endpoint allowlist enable --cluster mycluster

`ibmcloud ks cluster master private-service-endpoint allowlist get`

虚拟私有云经典基础架构

列出集群的私有云服务端点的允许列表中的所有子网。

此列表包含使用 ibmcloud ks cluster master private-service-endpoint allowlist add 命令手动添加的子网以及由 IBM自动添加和管理的子网，例如工作程序节点子网。

ibmcloud ks cluster master private-service-endpoint allowlist get --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist get` 命令

ibmcloud ks cluster master private-service-endpoint allowlist get --cluster mycluster

`ibmcloud ks cluster master private-service-endpoint allowlist rm`

虚拟私有云经典基础架构

除去先前添加到集群的私有云服务端点的允许列表中的子网。

除去子网后，将拒绝从此子网通过私有云服务端点向集群主节点发出的任何请求。

ibmcloud ks cluster master private-service-endpoint allowlist rm --cluster CLUSTER --subnet SUBNET [--subnet SUBNET ...] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--subnet SUBNET: 必需: 子网 CIDR。使用多个重复选项指定多个子网。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master private-service-endpoint allowlist rm` 命令

ibmcloud ks cluster master private-service-endpoint allowlist rm --cluster mycluster
 --subnet 1.1.1.1/16

`ibmcloud ks cluster master private-service-endpoint disable`

经典基础结构

禁用私有云服务端点以除去集群主节点的私有辅助功能选项。

重要：在禁用私有端点之前，必须先完成以下步骤以启用公共云服务端点：

通过运行 ibmcloud ks cluster master public-service-endpoint enable --cluster <cluster_name> 来启用公共云服务端点。
遵循 CLI 中的提示来刷新 Kubernetes 主节点 API 服务器。
重新加载群集中的所有工作节点，以获取公共端点配置。

ibmcloud ks cluster master private-service-endpoint disable --cluster CLUSTER [-f] [-q] [-y]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。
-y: 可选：刷新集群主节点并重新装入工作程序节点，而不显示用户提示。

示例 `cluster master private-service-endpoint disable` 命令

ibmcloud ks cluster master private-service-endpoint disable --cluster my_cluster

`ibmcloud ks cluster master private-service-endpoint enable`

经典基础结构

启用私有云服务端点，使您的群集主控以私有方式访问。

要运行此命令，请执行以下操作：

在您的 IBM Cloud 基础架构帐户中启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。
启用 IBM Cloud 帐户以使用服务端点。
运行 ibmcloud ks cluster master private-service-endpoint enable --cluster <cluster_name>。
遵循 CLI 中的提示来刷新 Kubernetes 主节点 API 服务器。
重新装入集群中的所有工作程序节点以选取专用端点配置。

ibmcloud ks cluster master private-service-endpoint enable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。
-y: 可选：刷新集群主节点并重新装入工作程序节点，而不显示用户提示。

示例 `cluster master private-service-endpoint enable` 命令

ibmcloud ks cluster master private-service-endpoint enable --cluster my_cluster

`ibmcloud ks cluster master public-service-endpoint disable`

虚拟私有云经典基础架构

禁用群集的公共云服务端点。

重要：在禁用公共端点之前，必须先完成以下步骤以启用私有云服务端点：

通过运行 ibmcloud ks cluster master private-service-endpoint enable --cluster <cluster_name> 启用私有云服务端点。
遵循 CLI 中的提示来刷新 Kubernetes 主节点 API 服务器。
重新加载群集中的所有工作节点，以获取私有端点配置。

ibmcloud ks cluster master public-service-endpoint disable --cluster CLUSTER [-q] [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-y: 可选：刷新集群主节点并重新装入工作程序节点，而不显示用户提示。

示例 `cluster master public-service-endpoint disable` 命令

ibmcloud ks cluster master public-service-endpoint disable --cluster my_cluster

`ibmcloud ks cluster master public-service-endpoint enable`

虚拟私有云经典基础架构

启用公共云服务端点，以公开访问群集主控程序。

运行此命令后，必须通过遵循 CLI 中的提示来刷新 API 服务器，才能使用服务端点。

ibmcloud ks cluster master public-service-endpoint enable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。
-y: 可选：刷新集群主节点，而不显示用户提示。

示例 `cluster master public-service-endpoint enable` 命令

ibmcloud ks cluster master public-service-endpoint enable --cluster my_cluster

`ibmcloud ks cluster master refresh`

虚拟私有云经典基础架构

应用 ibmcloud ks cluster master 命令所要求的 Kubernetes 主站配置更改。高可用性 Kubernetes 主节点组件以滚动重新启动方式重新启动。但是，工作程序节点、应用程序和资源不会修改，并且会继续运行。

不推荐使用此命令的 apiserver-refresh 和 cluster-refresh 别名。

ibmcloud ks cluster master refresh --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks cluster master update`

虚拟私有云经典基础架构 Satellite

更新 Kubernetes 主服务器和 API 服务器。更新期间，您无法访问或更改群集。已部署的工作节点、应用程序和资源不会被修改并继续运行。

您可能需要更改 YAML 文件以供未来部署。请查看此发行说明以了解详细信息。

不推荐使用此命令的 cluster-update 别名。

ibmcloud ks cluster master update --cluster CLUSTER [--version MAJOR.MINOR.PATCH] [--force-update] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--version MAJOR.MINOR.PATCH: 可选：群集的 Kubernetes 版本。如果不指定版本，Kubernetes 主站将更新为默认的 API 版本。要查看可用版本，请运行 ibmcloud ks versions。
--force-update: 可选：即使更改与工作节点版本相差两个次版本以上，也要尝试更新。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster master update` 命令

ibmcloud ks cluster master update --cluster my_cluster

`ibmcloud ks cluster pull-secret apply`

虚拟私有云经典基础架构

为集群创建 IBM Cloud IAM 服务标识，为该服务标识创建策略，以用于在 IBM Cloud Container Registry 中分配读者服务访问角色，然后为该服务标识创建 API 密钥。然后，API 密钥会保存在 Kubernetes 镜像拉取密钥中，这样您就可以从 IBM Cloud Container Registry 命名空间为 default Kubernetes 命名空间中的容器拉取镜像。创建集群时会自动执行此过程。如果在集群创建过程中遇到错误或具有现有集群，那么可以使用此命令再次应用该过程。

通过使用 IAM API 密钥访问 IBM Cloud Container Registry，您可以为服务 ID 定制 IAM 策略，以限制对命名空间或特定图像的访问。例如，可以更改集群的映像拉取私钥中的服务标识策略，以仅从特定注册表区域或名称空间中拉取映像。必须为 IBM Cloud 启用 IBM Cloud Container Registry IAM 策略后，才能定制 IAM 策略。有关更多信息，请参阅了解如何授权集群从 IBM Cloud Container Registry 拉取映像。

运行此命令时，IAM 凭证和映像拉取私钥的创建操作将启动，并且可能需要一些时间才能完成。在创建映像拉取机密之前，无法部署从 IBM Cloud Container Registry icr.io 域拉取映像的容器。要检查图像提取秘密，请运行 kubectl get secrets | grep icr-io。如果向现有服务标识添加了 IAM 策略，例如用于限制对区域注册表的访问，那么此命令将重置映像拉取私钥的服务标识、IAM 策略和 API 密钥。

ibmcloud ks cluster pull-secret apply --cluster CLUSTER

最低必需许可权：

中群集的操作员或管理员平台访问角色 IBM Cloud Kubernetes Service
在 IBM Cloud Container Registry 中跨所有区域和资源组的管理员平台访问角色。该策略不能针对特定区域或资源组。

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。

`ibmcloud ks cluster rm`

虚拟私有云经典基础架构

删除集群。所有工作程序节点、应用程序和容器都将永久删除。此操作无法撤销。

ibmcloud ks cluster rm --cluster CLUSTER [--force-delete-storage] [--skip-advance-permissions-check] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--force-delete-storage: 可选：删除群集和群集使用的任何持久存储。注意：如果包含此选项，则无法恢复群集或其相关存储实例中存储的数据。
--skip-advance-permissions-check: 可选: 在删除集群之前，跳过基础架构许可权检查。请注意，如果您没有正确的基础架构许可权，那么集群删除可能只会部分成功，例如要除去的 IBM管理的主节点，但无法从基础架构帐户中除去工作程序节点。您可以跳过许可权检查，以确定是否要继续以其他方式阻止的操作，例如，当您使用多个基础架构帐户时，如果稍后需要，可以单独处理基础架构资源。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster rm` 命令

ibmcloud ks cluster rm --cluster my_cluster

`ibmcloud ks cluster service bind`

虚拟私有云经典基础架构

通过将 IBM Cloud 服务实例绑定到 Kubernetes 名称空间，将该服务添加到集群。此命令将创建 IBM Cloud 服务的服务凭证，并将这些凭证存储在集群的 Kubernetes 私钥中。

要查看 IBM Cloud 目录中的可用 IBM Cloud 服务，请运行 ibmcloud service offerings。注：只能添加支持服务密钥的 IBM Cloud 服务。有关服务绑定以及可以将哪些服务添加到集群的更多信息，请参阅使用 IBM Cloud 服务绑定来添加服务。

ibmcloud ks cluster service bind --cluster CLUSTER --namespace KUBERNETES_NAMESPACE [--key SERVICE_INSTANCE_KEY] [--role IAM_SERVICE_ROLE] --service SERVICE_INSTANCE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-n, --namespace KUBERNETES_NAMESPACE: 必须填写：Kubernetes 命名空间的名称，您要在此为服务凭据创建 Kubernetes 保密信息。
--key SERVICE_INSTANCE_KEY: 可选：现有服务密钥的名称或 GUID。使用 service-binding 命令时，会自动为服务实例创建新的服务凭证，并为启用 IAM 的服务分配 IAM 写入者服务访问角色。如果要使用先前创建的现有服务密钥，请使用此选项。如果定义了服务密钥，就不能同时设置 --role 选项，因为服务密钥已经用特定的 IAM 服务访问角色创建。
--role IAM_SERVICE_ROLE: 您希望服务密钥具有的 IBM Cloud IAM 角色。此值是可选的，并且只能用于启用 IAM 的服务。如果不设置该选项，则会自动创建服务凭证并分配 IAM Writer 服务访问角色。如果想通过指定 --key 选项来使用现有的服务密钥，请不要包含此选项。要列出服务的可用角色，请运行 ibmcloud iam roles --service <service_name>。服务名称是服务在目录中的名称，可以通过运行 ibmcloud catalog search 来获取。
--service SERVICE_INSTANCE: 必须填写：要绑定的 IBM Cloud 服务实例的名称。要查找名称，请运行 ibmcloud resource service-instances。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster service bind` 命令

ibmcloud ks cluster service bind --cluster my_cluster --namespace my_namespace --service my_service_instance

`ibmcloud ks cluster service ls`

虚拟私有云经典基础架构

列出绑定到群集中一个或所有 Kubernetes 命名空间的服务。如果未指定任何选项，那么将显示缺省名称空间的服务。

ibmcloud ks cluster service ls --cluster CLUSTER [--namespace KUBERNETES_NAMESPACE] [--all-namespaces] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-n, --namespace KUBERNETES_NAMESPACE: 可选：包括绑定到群集中特定命名空间的服务。
--all-namespaces: 可选：包括绑定到群集中所有命名空间的服务。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster service ls` 命令

ibmcloud ks cluster service ls --cluster my_cluster --namespace my_namespace

`ibmcloud ks cluster service unbind`

虚拟私有云经典基础架构

通过将 IBM Cloud 服务与 Kubernetes 名称空间取消绑定，从集群中除去该服务。

除去 IBM Cloud 服务时，会从集群中除去服务凭证。如果 pod 仍在使用服务，则会因找不到服务凭据而失败。

ibmcloud ks cluster service unbind --cluster CLUSTER --namespace KUBERNETES_NAMESPACE --service SERVICE_INSTANCE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-n, --namespace KUBERNETES_NAMESPACE: 必须填写：Kubernetes 命名空间的名称。
--service SERVICE_INSTANCE: 必须填写：要删除的 IBM Cloud 服务实例的名称。要查找服务实例的名称，请运行 ibmcloud ks cluster service ls --cluster <cluster_name_or_ID>。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster service unbind` 命令

ibmcloud ks cluster service unbind --cluster my_cluster --namespace my_namespace --service 8567221

`ibmcloud ks cluster subnet add`

经典基础结构

使 IBM Cloud 基础架构帐户中的现有可移植公用或专用经典子网可供集群使用，或者复用已删除集群中的子网，而不使用自动供应的子网。

使子网可供集群使用时，此子网的 IP 地址会用于集群联网。为了避免 IP 地址冲突，请确保一个子网只用于一个集群。不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。如果在多个集群中使用同一子网，那么缺省 Ingress TLS 证书可能会失效。要在非 VRF 账户中同一 VLAN 不同子网的工作人员之间进行通信，必须启用同一 VLAN 子网之间的路由。

ibmcloud ks cluster subnet add --cluster CLUSTER --subnet-id SUBNET [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--subnet-id SUBNET: 必须填写：子网 ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster subnet add` 命令

ibmcloud ks cluster subnet add --cluster my_cluster --subnet-id 1643389

`ibmcloud ks cluster subnet create`

经典基础结构

在公用或专用 VLAN 上 IBM Cloud 基础架构帐户中创建可移植经典子网，并使其可供集群使用。

可移植公共 IP 地址按月收费。如果在供应集群后除去可移植公共 IP 地址，那么即使只使用了很短的时间，您也仍然必须支付一个月的费用。使子网可供集群使用时，此子网的 IP 地址会用于集群联网。为了避免 IP 地址冲突，请确保一个子网只用于一个集群。不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。如果在多个集群中使用同一子网，那么缺省 Ingress TLS 证书可能会失效。在经典集群中，如果有多个 VLAN 用于集群，有多个子网位于同一 VLAN 上，或有一个多专区经典集群，那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF)，从而使工作程序节点可以在专用网络上相互通信。要启用 VRF，请参阅启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。如果无法或不想启用 VRF，请启用 VLAN 生成。要执行此操作，需要有“网络”>“管理网络 VLAN 跨基础架构”权限，或者可以要求账户所有者启用该权限。要检查 VLAN spanning 是否已启用，请使用 ibmcloud ks vlan spanning get --region <region> 命令。

ibmcloud ks cluster subnet create --cluster CLUSTER --size SIZE --vlan VLAN_ID [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。要列出集群，请使用 ibmcloud ks cluster ls 命令。
--size SIZE: 要在可移植子网中创建的 IP 地址数。接受的值为 8、16、32 或 64。添加子网的可移植 IP 地址时，会使用 3 个 IP 地址来建立集群内部联网。您不能将这三个 IP 地址用于 Ingress 应用程序负载平衡器 (ALB) 或创建网络负载平衡器 (NLB) 服务。例如，如果请求 8 个可移植公共 IP 地址，那么可以使用其中 5 个地址向公众公开应用程序。
--vlan VLAN_ID: 要在其中创建子网的公用或专用 VLAN 的标识。必须选择现有工作程序节点连接到的公用或专用 VLAN。要查看工人节点连接的公用或专用 VLAN，请运行 ibmcloud ks cluster get --cluster <cluster> --show-resources 并在输出中查找子网 VLAN 部分。子网会在 VLAN 所在的区域中进行供应。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster subnet create` 命令

ibmcloud ks cluster subnet create --cluster my_cluster --size 8 --vlan 1764905

`ibmcloud ks cluster subnet detach`

经典基础结构

将 IBM Cloud 基础设施账户中的公共或私有便携式经典子网从群集中分离出来。子网在 IBM Cloud 基础架构帐户中仍然可用。注：除去子网后，部署到该子网中 IP 地址的任何服务仍将保持活动状态。

ibmcloud ks cluster subnet detach --cluster CLUSTER --subnet-id SUBNET_ID [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。要列出集群，请使用 ibmcloud ks cluster ls 命令。
--vlan VLAN_ID: 要拆离的公用或专用子网的标识。要查找子网 ID，首先运行 ibmcloud ks cluster get --cluster <cluster> --show-resources，然后在输出的子网 VLAN 部分查找子网 CIDR。然后，使用子网 CIDR，运行 ibmcloud ks subnets --provider classic 并查找子网 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `cluster subnet detach` 命令

ibmcloud ks cluster subnet detach --cluster my_cluster --subnet-id 1602829

不推荐：`ibmcloud ks cluster user-subnet add`

经典基础结构

将您自己的专用子网置于 IBM Cloud Kubernetes Service 集群中。此专用子网不是 IBM Cloud 基础架构提供的子网。因此，您必须为子网配置任何入站和出站网络流量路由。

不推荐使用该命令。通过运行 ibmcloud ks cluster subnet add 将现有 IBM Cloud 基础架构子网添加到集群。

使子网可供集群使用时，此子网的 IP 地址会用于集群联网。为了避免 IP 地址冲突，请确保一个子网只用于一个集群。不要同时将一个子网用于多个集群或用于 IBM Cloud Kubernetes Service 外部的其他用途。如果在多个集群中使用同一子网，那么缺省 Ingress TLS 证书可能会失效。在经典集群中，如果有多个 VLAN 用于集群，有多个子网位于同一 VLAN 上，或有一个多专区经典集群，那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF)，从而使工作程序节点可以在专用网络上相互通信。要启用 VRF，请参阅启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。如果无法或不想启用 VRF，请启用 VLAN 生成。要执行此操作，需要有“网络”>“管理网络 VLAN 跨基础架构”权限，或者可以要求账户所有者启用该权限。要检查 VLAN spanning 是否已启用，请使用 ibmcloud ks vlan spanning get --region <region> 命令。

ibmcloud ks cluster user-subnet add --cluster CLUSTER --subnet-cidr SUBNET_CIDR --private-vlan PRIVATE_VLAN

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--subnet-cidr SUBNET_CIDR: 子网无类域间路由 (CIDR)。此值是必需的，且不得与 IBM Cloud 基础架构使用的任何子网相冲突。支持的前缀范围从 /30（1 个 IP 地址）到 /24（253 个 IP 地址）。如果将 CIDR 设置为一个前缀长度，而稍后需要对其进行更改，请先添加新的 CIDR，然后除去旧 CIDR。
--private-vlan PRIVATE_VLAN: 必填：专用 VLAN 的 ID。该标识必须用于一个或多个工作程序节点所在的集群中的专用 VLAN。要查看群集中的专用 VLAN，请运行 ibmcloud ks cluster get --cluster <cluster_name_or_ID> --show-resources。在输出的 Subnet VLANs 部分中，查找 Public 值为 false 的 VLAN。

示例 `cluster user-subnet add` 命令

ibmcloud ks cluster user-subnet add --cluster my_cluster --subnet-cidr 169.xx.xxx.xxx/29 --private-vlan 1502175

不推荐：`ibmcloud ks cluster user-subnet rm`

经典基础结构

从指定集群除去您自己的专用子网。除去子网后，部署到您自己专用子网的 IP 地址的任何服务都仍将保持活动状态。

不推荐使用该命令。要改为从集群中除去 IBM Cloud 基础架构子网，请运行 ibmcloud ks cluster subnet detach。

ibmcloud ks cluster user-subnet rm --cluster CLUSTER --subnet-cidr SUBNET_CIDR --private-vlan PRIVATE_VLAN

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--subnet-cidr SUBNET_CIDR: 子网无类域间路由 (CIDR)。此值是必需的，并且必须与 ibmcloud ks cluster user-subnet add 命令设置的 CIDR 匹配。
--private-vlan PRIVATE_VLAN: 专用 VLAN 的标识。此值是必需的，并且必须与 ibmcloud ks cluster user-subnet add 命令设置的 VLAN 标识匹配。

示例 `cluster user-subnet rm` 命令

ibmcloud ks cluster user-subnet rm --cluster my_cluster --subnet-cidr 169.xx.xxx.xxx/29 --private-vlan 1502175

Beta: `dedicated` 命令

查看、创建和除去专用主机或专用主机池。

dedicated 命令以 Beta 版提供。

Beta： `ibmcloud ks dedicated flavors`

虚拟私有云

查看专用主机特色。

ibmcloud ks dedicated flavors --zone ZONE --provider PROVIDER

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

--zone ZONE: 用于搜索专用主机特色的区域。
--provider PROVIDER: 用于搜索专用主机特色的提供程序。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks dedicated flavors --zone us-south-1 --provider myprovider1

Beta： `ibmcloud ks dedicated host create`

虚拟私有云

创建专用主机。

ibmcloud ks dedicated host create --flavor FLAVOR --pool POOL --zone ZONE [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

-- flavor FLAVOR: 专用主机的特色。
-- pool POOL: 在其中添加专用主机的专用主机池的名称。
--zone ZONE: 用于创建专用主机的区域。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks dedicated host create --flavor b3c.4x16 --pool mypool --zone wdc

Beta： `ibmcloud ks dedicated host get`

虚拟私有云

获取专用主机的详细信息。

ibmcloud ks dedicated host get --host HOST --pool POOL [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项：

--host HOST: 专用主机的标识。
--pool POOL: 专用主机所在的专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host get --host myhost  --pool mypool

Beta： `ibmcloud ks dedicated host ls`

虚拟私有云

列出专用主机池中的所有专用主机。

ibmcloud ks dedicated host ls --pool POOL [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项：

--pool POOL: 专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host ls --pool mypool

Beta： `ibmcloud ks dedicated host placement disable`

虚拟私有云

禁用专用主机放置。

ibmcloud ks dedicated host placement disable --host HOST --pool POOL

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--host HOST: 要禁用放置的专用主机的标识。
--pool POOL: 专用主机所在的专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls。
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host placement disable --host myhost --pool mypool

Beta： `ibmcloud ks dedicated host placement enable`

虚拟私有云

启用专用主机放置。

ibmcloud ks dedicated host placement enable --host HOST --pool POOL

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--host HOST: 要为其启用放置的专用主机的标识。
--pool POOL: 专用主机所在的专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls。
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host placement enable --host myhost --pool mypool

Beta： `ibmcloud ks dedicated host rm`

虚拟私有云

删除专用主机。此操作无法撤销。

ibmcloud ks dedicated host rm --host HOST --pool POOL [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--pool POOL: 包含要删除的专用主机的专用主机池 ID。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls。
--output json: 可选：以 JSON 格式打印命令输出。
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated host rm --host myhost --pool mypool

Beta： `ibmcloud ks dedicated pool create`

虚拟私有云

创建专用主机池。

ibmcloud ks dedicated pool create --flavor-class CLASS --metro METRO --name NAME [--output OUTPUT]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--flavor-class CLASS: 专用主机池的 flavor-class。要查看可用选项，请运行 ibmcloud ks flavors。
--metro METRO: 创建专用主机池的都会，如 dal 或 wdc。
--name NAME: 专用主机池的名称。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated pool --flavor-class mb4c.20x64 --metro dal --name mypool

Beta： `ibmcloud ks dedicated pool get`

虚拟私有云

获取专用主机池的详细信息。

ibmcloud ks dedicated pool get --pool POOL [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项：

--pool POOL: 专用主机池的标识。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls。

--output OUTPUT

-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated pool get --pool mypool

Beta： `ibmcloud ks dedicated pool ls`

虚拟私有云

列出所有专用主机池。

ibmcloud ks dedicated pool ls [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 查看者 平台访问角色。

命令选项：

--output json: 可选：以 JSON 格式打印命令输出。
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated pool ls

Beta： `ibmcloud ks dedicated pool rm`

虚拟私有云

删除专用主机池。此操作无法撤销。

ibmcloud ks dedicated pool rm --pool POOL [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 管理员 平台访问角色。

命令选项：

--pool POOL: 要删除的专用主机池的 ID。要列出专用主机池，请运行 ibmcloud ks dedicated pool ls。
--q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks dedicated pool rm --pool mypool

`worker` 命令

查看和修改集群的工作程序节点。

不推荐：`ibmcloud ks worker add`

虚拟私有云经典基础架构

向集群添加独立工作程序节点。

不推荐使用该命令。运行 ibmcloud ks worker-pool create classic 或 ibmcloud ks worker-pool create vpc-gen2 来创建工人池，或通过运行 ibmcloud ks worker-pool resize.

ibmcloud ks worker add --cluster CLUSTER [--hardware HARDWARE] --flavor FLAVOR --workers NUMBER --private-vlan PRIVATE_VLAN --public-vlan PUBLIC_VLAN [--disable-disk-encrypt] [--operating-system SYSTEM] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--hardware HARDWARE: 可选：工作节点的硬件隔离级别。使用 dedicated，以便可用的物理资源仅供您专用，或者使用 shared 以允许物理资源与其他 IBM 客户共享。缺省值为 shared。对于裸机类型模板，请指定 dedicated。
--flavor FLAVOR: 为工作程序节点选择机器类型（或类型模板）。可以将工作程序节点作为虚拟机部署在共享或专用硬件上，也可以作为物理机器部署在裸机上。可用的物理和虚拟机类型随集群的部署专区而变化。有关更多信息，请参阅 ibmcloud ks flavors (machine-types) 命令的文档。
--workers NUMBER: 整数，表示要在集群中创建的工作程序节点数。
--private-vlan PRIVATE_VLAN: 必须填写：创建群集时指定的专用 VLAN。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。
--public-vlan PUBLIC_VLAN: 可选：创建群集时指定的公共 VLAN。如果您希望您的工作节点只存在于专用 VLAN 上，请不要提供公用 VLAN ID。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。如果工人节点只设置了私有 VLAN，则必须通过启用私有云服务端点或配置网关设备，允许工人节点和群集主控进行通信。
--disable-disk-encrypt: 工作程序节点缺省情况下具有 AES 256 位磁盘加密功能；了解更多。要禁用加密，请包括此选项。
--operating-system UBUNTU_20_64|UBUNTU_24_64: 可选。集群中工作程序节点的操作系统。如需按集群版本查看可用操作系统列表，请参阅 Kubernetes 版本信息。如果未指定任何选项，那么将使用与集群版本对应的缺省操作系统。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker add` 命令

ibmcloud ks worker add --cluster my_cluster --workers 3 --public-vlan my_public_VLAN_ID --private-vlan my_private_VLAN_ID --flavor b3c.4x16 --hardware shared

`ibmcloud ks worker get`

虚拟私有云经典基础架构

查看工作程序节点的详细信息。

ibmcloud ks worker get --cluster CLUSTER_NAME_OR_ID --worker WORKER_NODE_ID [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER_NAME_OR_ID: 可选：工作节点群集的名称或 ID。
--worker WORKER_NODE_ID: 必须填写：工作节点的名称。运行 ibmcloud ks worker ls --cluster CLUSTER 查看群集中工作节点的 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker get` 命令

ibmcloud ks worker get --cluster my_cluster --worker kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1

`ibmcloud ks worker ls`

虚拟私有云经典基础架构

列出一个集群中的所有工作程序节点。

ibmcloud ks worker ls --cluster CLUSTER [--worker-pool POOL] [--show-pools] [--show-deleted] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：可用工作节点的群集名称或 ID。
-p, --worker-pool POOL: 可选：只查看属于工人池的工人节点。要列出可用的工人池，请运行 ibmcloud ks worker-pool ls --cluster <cluster_name_or_ID>。
--show-pools: 可选：列出每个工作节点所属的工作池。
--show-deleted: 可选：查看从群集中删除的工作节点，包括删除原因。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker ls` 命令

ibmcloud ks worker ls --cluster my_cluster

`ibmcloud ks worker reboot`

虚拟私有云经典基础架构

重新引导集群中的工作程序节点。

在重新引导期间，工作程序节点的状态不会更改。例如，如果经典 IBM Cloud 基础架构中的工作节点状态为 Powered Off，而您需要打开工作节点，您可能会使用重启。重新引导将清除临时目录，但不会清除整个文件系统或重新格式化磁盘。在执行重新引导操作后，工作程序节点 IP 地址保持不变。

重新引导工作程序节点可能导致工作程序节点上发生数据损坏。请谨慎使用此命令，仅在确信重新引导可以帮助恢复工作程序节点时使用。在其他所有情况下，请改为重新装入工作程序节点。

在重新引导工作程序节点之前，请确保其他工作程序节点中有足够的容量来重新调度工作程序节点上的 pod。重新安排 pod 可避免应用程序宕机或工作节点上的数据损坏。

列出集群中的所有工作程序节点，并记下要除去的工作程序节点的 name。
```
kubectl get nodes
```
此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。在运行 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 命令并查找具有相同私有 IP 地址的工作节点时，您可以找到有关工作节点的更多信息。
强制从工作程序节点中除去 pod，并将其重新安排到集群中的剩余工作程序节点上。工作程序节点也会被封锁，或者标记为不可用于将来的 pod 调度。将 <worker_name> 替换为先前检索的工作程序节点的专用 IP 地址。
```
kubectl drain <worker_name>
```
此过程可能需要几分钟时间。
重新引导工作程序节点。使用 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 命令返回的工人 ID。
```
ibmcloud ks worker reboot --cluster <cluster_name_or_ID> --worker <worker_name_or_ID>
```
等待大约 5 分钟后，才能使工作程序节点可用于 pod 安排，以确保重新引导完成。在重新引导期间，工作程序节点的状态不会更改。工作程序节点的重新引导通常在几秒后完成。
使工作程序节点可用于 pod 安排。请使用从 ** 命令返回的工作程序节点的 **namekubectl get nodes。
```
kubectl uncordon <worker_name>
```

ibmcloud ks worker reboot [--hard] --cluster CLUSTER --worker WORKER_ID [--skip-master-healthcheck] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--hard: 可选：使用此选项可切断工作节点的电源，强制重新启动工作节点。如果工作程序节点无响应或工作程序节点的容器运行时无响应，请使用此选项。
-w, --worker WORKER: 指定工作程序节点标识。要重载多个工作节点，请使用多个选项，如 -w worker1_id -w worker2_id。
--skip-master-healthcheck: 在重新装入或重新引导工作程序节点之前，跳过对主节点的运行状况检查。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker reboot` 命令

ibmcloud ks worker reboot --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

`ibmcloud ks worker reload`

经典基础结构

重新加载经典工作节点的配置。要重新加载 VPC 集群中的工作节点，请使用 ibmcloud ks worker replace 命令。

如果工作程序节点遇到问题（例如，性能降低），或者如果工作程序节点卡在非正常运行状态，那么重新装入会非常有用。在重新装入期间，工作程序节点机器将使用最新映像进行更新，并且如果数据未存储在工作程序节点外部，那么将删除数据。在执行重新装入操作后，工作程序节点公共和专用 IP 地址保持不变。

重新装入工作程序节点会将补丁版本更新应用于工作程序节点，但不会应用主要或次要更新。要查看从一个补丁版本到下一个补丁版本的更改，请查看版本更改日志文档。

在重新装入工作程序节点之前，请确保其他工作程序节点中有足够的容量来重新调度工作程序节点上的 pod。重新安排 pod 可避免应用程序宕机或工作节点上的数据损坏。

列出集群中的所有工作程序节点，并记下要重新装入的工作程序节点的 name。
```
kubectl get nodes
```
此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。在运行 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 命令并查找具有相同私有 IP 地址的工作节点时，您可以找到有关工作节点的更多信息。
重新装入工作程序节点。在重新装入过程中，会将在工作程序节点上运行的 pod 排出并重新调度到集群中的其余工作程序节点上。工作程序节点也会被封锁，或者标记为不可用于将来的 pod 调度。使用 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 命令返回的工作节点 ID。
```
ibmcloud ks worker reload --cluster <cluster_name_or_ID> --worker <worker_name_or_ID>
```
等待重新装入完成。当工作程序节点处于“正常”状态时，该工作程序节点将再次可用于 pod 调度。

ibmcloud ks worker reload --cluster CLUSTER --worker WORKER_ID [--skip-master-healthcheck] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-w, --worker WORKER: 指定工作程序节点标识。要重载多个工作节点，请使用多个选项，如 -w worker1_id -w worker2_id。
--skip-master-healthcheck: 在重新装入或重新引导工作程序节点之前，跳过对主节点的运行状况检查。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker reload` 命令

ibmcloud ks worker reload --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

`ibmcloud ks worker replace`

虚拟私有云经典基础架构

删除工作程序节点，并将其替换为同一工作程序池中的新工作程序节点。

替换的工作节点在同一区域创建，与旧的工作节点具有相同的功能，但可能会分配新的公共或私有 IP 地址。如果无法重新加载或更新工作节点，例如工作节点进入故障状态，则可能需要替换工作节点。

您也可以使用该命令更新工作节点的 Kubernetes 版本，使其与 Kubernetes 主节点的主次版本相匹配，方法是加入 --update 选项。如果不包含 --update 选项，补丁版本更新会应用到工作节点，但不会应用到主要或次要更新。要查看从一个主要版本、次要版本或补丁版本到下一个版本的更改，请查看版本更改日志文档。请记住，工作程序节点最多只能比主版本 (n-2) 落后两个版本。

更换工作程序节点时，请记住以下注意事项。

要更新 Satellite 工作程序节点，请参阅更新分配为支持 Satellite的服务的工作程序节点的主机。

同时更换多个工作程序节点: 如果同时更换多个工作程序节点，那么将同时删除并更换这些节点，而不是逐个更换。在更换工作程序节点之前，请确保集群中有足够的容量来重新调度工作负载。
不会保留Node级别定制: 不会将您在个别工作程序节点级别应用的任何定制标签或污点应用于替换工作程序节点。而是在工作程序池级别应用 labels 或 taints，以便替换工作程序节点获取这些属性。
自动重新平衡: 如果工作程序池未启用自动重新平衡，那么不会创建替换工作程序节点。

开始之前，请确保集群具有足够的其他工作程序节点，以便可以重新调度 pod 并继续运行。

列出集群中的所有工作程序节点，并记下要替换的工作程序节点的 name。
```
kubectl get nodes
```
此命令中返回的 name 是分配给工作程序节点的专用 IP 地址。在运行 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 命令并查找具有相同私有 IP 地址的工作节点时，您可以找到有关工作节点的更多信息。
替换工作程序节点。在替换过程中，会将在工作程序节点上运行的 pod 排出并重新调度到集群中的其余工作程序节点上。工作程序节点也会被封锁，或者标记为不可用于将来的 pod 调度。使用 ibmcloud ks worker ls --cluster <cluster_name_or_ID> 命令返回的工作节点 ID。
```
ibmcloud ks worker replace --cluster <cluster_name_or_ID> --worker <worker_node_ID>
```

验证工作程序节点是否已替换。

ibmcloud ks worker ls --cluster <cluster_name_or_ID>

ibmcloud ks worker replace --cluster CLUSTER_NAME_OR_ID --worker WORKER_ID [--update] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--worker WORKER: 必须填写：工作节点的名称或 ID。
--update: 包含此选项可将工作节点更新为与主节点和最新补丁相同的主次版本。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker replace` 命令

ibmcloud ks worker replace --cluster my_cluster --worker kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1

`ibmcloud ks worker rm`

虚拟私有云经典基础架构

从集群中除去一个或多个工作程序节点。如果除去工作程序节点，那么集群将变得不平衡，并且更换工作程序节点将不再创建更换工作程序节点。在除去工作程序节点后，可以通过运行 ibmcloud ks worker-pool rebalance 命令来自动重新平衡工作程序池。

ibmcloud ks worker rm --cluster CLUSTER --worker WORKER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-w, --worker WORKER: 指定工作程序节点标识。要重载多个工作节点，请使用多个选项，如 -w worker1_id -w worker2_id。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker rm` 命令

ibmcloud ks worker rm --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

`ibmcloud ks worker update`

经典基础结构

更新工作程序节点以将最新的安全性更新和补丁应用于操作系统，并更新 Kubernetes 版本以与 Kubernetes 主节点的版本相匹配。可以使用 ibmcloud ks cluster master update 命令来更新主节点的 Kubernetes 版本。请记住，工作程序节点最多只能比主版本 (n-2) 落后两个版本。更新操作后，工作程序节点 IP 地址保持不变。

要更新 VPC 集群中的工作节点，请使用 ibmcloud ks worker replace 命令。

运行 ibmcloud ks worker update 可能会导致应用程序和服务发生中断。更新期间，所有 pod 都将重新安排到其他工作程序节点，对该工作程序节点重新应用映像，如果数据未存储在 pod 外部，那么将删除数据。为避免发生中断，请确保在所选工作程序节点更新时有足够的工作程序节点来处理工作负载。

要更新 Satellite 工作程序节点，请参阅更新分配为支持 Satellite的服务的工作程序节点的主机。

在更新前，您可能需要更改 YAML 文件以进行部署。请查看此发行说明以了解详细信息。

ibmcloud ks worker update --cluster CLUSTER --worker WORKER_ID [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：列出可用工作节点的群集名称或 ID。
-w, --worker WORKER: 指定工作程序节点标识。要重载多个工作节点，请使用多个选项，如 -w worker1_id -w worker2_id。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker update` 命令

ibmcloud ks worker update --cluster my_cluster -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w1 -w kube-dal10-cr18a61a63a6a94b658596aa93d087aaa9-w2

`worker-pool` 命令

查看和修改集群的工作程序池。

`ibmcloud ks worker-pool create classic`

经典基础结构

可以在集群中创建工作程序池。添加工作程序池时，缺省情况下不会为其分配专区。您可以指定每个专区中需要的工作程序数以及工作程序的类型模板。将为工作程序池提供缺省 Kubernetes 版本。要完成创建工作程序，请向池添加专区。

要在 VPC 集群中创建工作池，请使用 ibmcloud ks worker-pool create vpc-gen2 命令。

ibmcloud ks worker-pool create classic --name POOL_NAME --cluster CLUSTER --flavor FLAVOR --size-per-zone WORKERS_PER_ZONE --hardware ISOLATION [--disable-disk-encrypt] [--label KEY1=VALUE1] [--operating-system SYSTEM]  [-q] [--output json]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

--name POOL_NAME: 要为工作程序池提供的名称。
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--flavor FLAVOR: 选择机器类型（或类型模板）。可以将工作程序节点作为虚拟机部署在共享或专用硬件上，也可以作为物理机器部署在裸机上。可用的物理和虚拟机类型随集群的部署专区而变化。有关更多信息，请参阅 ibmcloud ks flavors (machine-types) 命令的文档。
--size-per-zone WORKERS_PER_ZONE: 要在每个专区中创建的工作程序数。
--hardware ISOLATION: 需要：工作节点的硬件隔离级别。使用 dedicated，以使可用的物理资源仅供您专用，或者使用 shared 以允许物理资源与其他 IBM 客户共享。缺省值为 shared。对于裸机类型模板，请指定 dedicated。
--disable-disk-encrypt: 指定不对磁盘进行加密。缺省值为 false。
-l, --label KEY1=VALUE1: 可选：为工人池中的每个工人节点应用键值标签。要指定多个标签，请使用多个选项，如 -l key1=value1 -l key2=value2。
--operating-system UBUNTU_20_64|UBUNTU_24_64: 可选。集群中工作程序节点的操作系统。如需按集群版本查看可用操作系统列表，请参阅 Kubernetes 版本信息。如果未指定任何选项，那么将使用与集群版本对应的缺省操作系统。
-q: 可选：不显示当天的消息或更新提示。
--output json: 可选：以 JSON 格式打印命令输出。

示例 `worker-pool create classic` 命令

ibmcloud ks worker-pool create classic --name my_pool --cluster my_cluster --flavor b3c.4x16 --size-per-zone 6

`ibmcloud ks worker-pool create vpc-gen2`

虚拟私有云

向 VPC 集群添加工作池。在向工作程序池添加专区之前，不会创建任何工作程序节点。

ibmcloud ks worker-pool create vpc-gen2 --name <worker_pool_name> --cluster <cluster_name_or_ID> --flavor <flavor> --size-per-zone <number_of_workers_per_zone> [--operating-system SYSTEM][--dedicated-host-pool POOL][--vpc-id <VPC ID>] [--label KEY1=VALUE1] [--kms-account-id ID] [--kms-instance KMS_INSTANCE_ID] [--crk ROOT_KEY_ID] [--operating-system SYSTEM] [-q] [--secondary-storage STORAGE] [--security-group GROUP ...] [--output json]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

--name NAME: 必填：设置工人池的名称。
-c, --cluster CLUSTER: 必填：指定群集的名称或 ID。要列出 VPC 群集，请运行 ibmcloud ks cluster ls --provider vpc-gen2。
--size-per-zone NUMBER_WORKERS_PER_ZONE: 指定此工作程序池中每个专区要创建的工作程序节点数。在向工作程序池添加专区之前，不会创建任何工作程序节点。
--operating-system UBUNTU_20_64|UBUNTU_24_64: 可选。集群中工作程序节点的操作系统。如需按集群版本查看可用操作系统列表，请参阅 Kubernetes 版本信息。如果未指定任何选项，那么将使用与集群版本对应的缺省操作系统。
--flavor FLAVOR: 选择工作程序节点的类型模板。可以将多个工作程序节点作为虚拟机部署在共享或专用硬件上。要查看 VPC 区域中可用的风味，请运行 ibmcloud ks flavors --zone <vpc_zone> --provider vpc-gen2。
--dedicated-host-pool POOL: 可选。您要在其中运行工作者的专用主机池的 ID。
--vpc-id VPC_ID: 可选：指定要在其中创建 Worker 池 Worker 节点的 VPC 的 ID。该值必须与集群的 VPC 标识相匹配。要列出群集的 VPC ID，请运行 ibmcloud ks cluster get -c <cluster_name_or_ID>。如果未提供此选项，则工人池默认使用群集中现有工人池的 VPC ID。
-l, --label KEY1=VALUE1: 可选：为工人池中的每个工人节点应用键值标签。要指定多个标签，请使用多个选项，如 -l key1=value1 -l key2=value2。
--kms-account-id ID: 可选项：包含要用于本地磁盘或秘密加密的 KMS 实例的账户 ID。
--kms-instance KMS_INSTANCE_ID: 可选: 包含用于对 default 工作程序池中工作程序节点上的本地磁盘进行加密的密钥管理服务 (KMS) 实例的标识。要列出可用的 KMS 实例，请运行 ibmcloud ks kms instance ls。如果包含该选项，还必须包含 --crk 选项。有关更多信息 (包括要创建的步骤)，请参阅管理集群中工作程序节点的加密。
--crk ROOT_KEY: 可选: 在 KMS 实例中包含用于加密此工作程序池中工作程序节点上的本地磁盘的根密钥的标识。要列出可用的根密钥，请运行 ibmcloud ks kms crk ls --instance-id。如果包含该选项，还必须包含 --kms-instance 选项。必须先创建 KMS 实例并在 IAM 中设置所需的服务授权，然后才能使用 KMS 加密。请参阅管理集群中工作程序节点的加密。
-q: 可选：不显示当天的消息或更新提示。
--secondary-storage STORAGE: 可选: 类型模板的存储选项。例如，900gb.5iops-tier。添加辅助磁盘时，该磁盘用于容器运行时，而主磁盘用于操作系统。要查看类型模板的存储选项，请运行 **ibmcloud ks flavor get --flavor FLAVOR --zone ZONE --provider vpc-gen2 命令。
--security-group GROUP: 可选。请指定一个或多个安全组标识，以应用于集群上所有工作程序。对于 OpenShift V 4.15 和 Kubernetes V 1.30 及更高版本，除了 IBM管理的 kube-clusterID 安全组外，还会应用这些安全组。对于较早的集群版本，请指定 --cluster-security-group cluster 选项以应用 kube-clusterID 安全组。如果未指定任何值，那么将应用包括 kube-clusterID 在内的一组缺省安全组。
--output json: 可选：以 JSON 格式打印命令输出。

示例 `worker-pool create vpc-gen2` 命令

ibmcloud ks worker-pool create vpc-gen2 --name my_pool --cluster my_cluster --flavor bx2.4x16 --size-per-zone 3

`ibmcloud ks worker-pool get`

虚拟私有云经典基础架构

查看工作程序池的详细信息。

ibmcloud ks worker-pool get --worker-pool WORKER_POOL --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-p, --worker-pool WORKER_POOL: 必须填写：要查看详细信息的工作节点池名称。要列出可用的工人池，请运行 ibmcloud ks worker-pool ls --cluster <cluster_name_or_ID>。
-c, --cluster CLUSTER: 必须填写：工人池所在群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool get` 命令

ibmcloud ks worker-pool get --worker-pool pool1 --cluster my_cluster

`ibmcloud ks worker-pool label rm`

虚拟私有云经典基础架构

从工作程序池的所有工作程序节点中移除所有定制 Kubernetes 标签。

无法从工作池中除去单个污点。而是使用 kubectl taint node <worker_privateIP> key:effect- 命令从单个工作程序节点中除去污点。

ibmcloud ks worker-pool label rm --cluster CLUSTER --worker-pool POOL [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：工人池所在群集的名称或 ID。
-p, --worker-pool WORKER_POOL: 必须填写：要查看详细信息的工作节点池名称。要列出可用的工人池，请运行 ibmcloud ks worker-pool ls --cluster <cluster_name_or_ID>。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool label rm` 命令

ibmcloud ks worker-pool label rm --worker-pool pool1 --cluster my_cluster

`ibmcloud ks worker-pool label set`

虚拟私有云经典基础架构

为工人池中的所有工人节点设置格式为 key=value 的自定义 Kubernetes 标签。要保留工人池上现有的自定义标签，必须在此命令中包含这些标签。

ibmcloud ks worker-pool label set --cluster CLUSTER --label LABEL [--label LABEL ...] --worker-pool POOL [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：工人池所在群集的名称或 ID。
--label LABEL: 必需: 要为工作程序池中的所有工作程序节点设置的格式为 key=value 的定制标签。如需多个标签，请重复此选项。要在工人池上保留任何现有的自定义标签，请使用此选项包含这些标签。您可以通过运行 ibmcloud ks worker-pool get -c <cluster_name_or_ID> --worker-pool <pool> 来列出工作程序池中工作程序节点上的现有定制标签。
-p, --worker-pool WORKER_POOL: 必须填写：要查看详细信息的工作节点池名称。要列出可用的工人池，请运行 ibmcloud ks worker-pool ls --cluster <cluster_name_or_ID>。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool label set` 命令

ibmcloud ks worker-pool label set --worker-pool pool1 --cluster my_cluster --label app=dev

`ibmcloud ks worker-pool ls`

虚拟私有云经典基础架构

列出一个集群中的所有工作程序池。

ibmcloud ks worker-pool ls --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER_NAME_OR_ID: 必填：您要列出工作者池的群集名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool ls` 命令

ibmcloud ks worker-pool ls --cluster my_cluster

`ibmcloud ks worker-pool operating-system set`

设置操作系统。设置操作系统后，您必须运行 ibmcloud ks worker update 或 ibmcloud ks worker replace 来更新工人。

ibmcloud ks worker-pool operating-system set --cluster CLUSTER --operating-system SYSTEM --worker-pool POOL [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--operating-system SYSTEM: 指定操作系统的名称。
-q: 不显示每日消息或更新提示。
--worker-pool POOL, -p POOL: 指定工作程序池。

`ibmcloud ks worker-pool rebalance`

虚拟私有云经典基础架构

删除工作程序节点后，重新均衡集群中的工作程序池。运行此命令后，会向工作程序池添加新的工作程序，以便工作程序池的每个专区的节点数与指定值相符。

ibmcloud ks worker-pool rebalance --cluster CLUSTER --worker-pool WORKER_POOL [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-p, --worker-pool WORKER_POOL: 需要：要重新平衡的工人池。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool rebalance` 命令

ibmcloud ks worker-pool rebalance --cluster my_cluster --worker-pool my_pool

`ibmcloud ks worker-pool resize`

虚拟私有云经典基础架构

调整工作程序池的大小，以增大或减小集群的每个专区中的工作程序节点数。

ibmcloud ks worker-pool resize --cluster CLUSTER --worker-pool WORKER_POOL --size-per-zone WORKERS_PER_ZONE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：您要调整工作池大小的群集名称或 ID。
--worker-pool WORKER_POOL: 必须填写：要更新的工作节点池名称。
--size-per-zone WORKERS_PER_ZONE: 要在每个专区中拥有的工作程序数。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool resize` 命令

ibmcloud ks worker-pool resize --cluster my_cluster --worker-pool my_pool --size-per-zone 3

`ibmcloud ks worker-pool rm`

虚拟私有云经典基础架构

从集群中除去工作程序池。这将删除池中的所有工作程序节点。执行删除时，会重新安排 pod。为了避免产生停机时间，请确保您有足够的工作程序来运行工作负载。

ibmcloud ks worker-pool rm --worker-pool WORKER_POOL --cluster CLUSTER [-q] [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-p, --worker-pool WORKER_POOL: 必填：要删除的工作节点池名称。
-c, --cluster CLUSTER: 必填：您要从中删除 Worker 池的群集名称或 ID。
-q: 可选：不显示当天的消息或更新提示。
-f: 可选：强制命令在没有用户提示的情况下运行。

示例 `worker-pool rm` 命令

ibmcloud ks worker-pool rm --cluster my_cluster --worker-pool pool1

`ibmcloud ks worker-pool taint`

设置或删除工人池中所有工人节点的 Kubernetes 污点。设置污点后，没有匹配容错的 pod 无法在工作程序池上运行。您可以使用污点将工作程序池专用于特定类型的工作负载，例如用于联网边缘节点或集群自动缩放器。有关污点和容错如何工作的更多信息，请参阅 Kubernetes 文档。

`ibmcloud ks worker-pool taint set`

虚拟私有云经典基础架构

为工人池中的所有工人节点设置 Kubernetes 污点。标记污点阻止无匹配容差的 pod 在工作程序节点上运行。为工作程序池设置定制污点后，通过获取工作程序节点的专用 IP 地址 (ibmcloud ks worker ls -c <cluster_name_or_ID>) 并运行 kubectl describe node <worker_private_IP> 来确认是否在工作程序节点上设置了这些污点。

为工作程序池设置污点时，将覆盖先前使用此命令设置的任何定制污点。要保留现有定制污点并设置新污点，请检查工作程序池的现有污点并在重新运行此命令时包含这些污点。

ibmcloud ks worker-pool taint set --worker-pool WORKER_POOL --cluster CLUSTER --taint KEY=VALUE:EFFECT [--taint KEY=VALUE2:EFFECT] [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-p, --worker-pool WORKER_POOL: 必须填写：要添加污点的工作节点池名称。要列出可用的工人池，请运行 ibmcloud ks worker-pool ls -c <cluster_name_or_ID>。
-c, --cluster CLUSTER: 必需: 具有要感染的工作程序池的集群的名称或标识。
--taint KEY=VALUE:EFFECT: 必需: 要为工作程序池设置的 Kubernetes 污点的标签和效果。以 key=value:effect 的格式指定污点。 key=value 是一个标签对，如 env=prod，用于管理工人节点污点和匹配 pod 容限。 effect 是描述污点工作方式的 Kubernetes 污点效应，例如 NoSchedule，PreferNoSchedule 或 NoExecute。根据您设置的污点的影响，可能会逐出在工作程序节点上运行的 pod。
-f: 可选：强制命令在没有用户提示的情况下运行。

示例 `worker-pool taint set` 命令

ibmcloud ks worker-pool taint set --cluster my_cluster --worker-pool pool1 --taint env=prod:NoSchedule

`ibmcloud ks worker-pool taint rm`

虚拟私有云经典基础架构

删除工人池中所有工人节点的所有 Kubernetes 污点。要在除去污点之前检查这些污点，请运行 ibmcloud ks worker-pool get -c <cluster_name_or_ID> --worker-pool <worker_pool_name_or_ID>。

除去工作程序池的污点时，将从工作程序池及其工作程序节点中除去所有 Kubernetes 污点。要从所有工作程序节点中除去单个污点，请重新运行 ibmcloud ks worker-pool taint set 命令并仅包含要保留的污点。或者，使用 kubectl taint node <worker_privateIP> key:effect- 命令从单个工作程序节点中除去污点。

ibmcloud ks worker-pool taint rm --worker-pool WORKER_POOL --cluster CLUSTER [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-p, --worker-pool WORKER_POOL: 必须填写：要添加污点的工作节点池名称。要列出可用的工人池，请运行 ibmcloud ks worker-pool ls -c <cluster_name_or_ID>。
-c, --cluster CLUSTER: 必需: 具有要感染的工作程序池的集群的名称或标识。
-f: 可选：强制命令在没有用户提示的情况下运行。

示例 `worker-pool taint rm` 命令

ibmcloud ks worker-pool taint rm --cluster my_cluster --worker-pool pool1

`ibmcloud ks worker-pool zones`

虚拟私有云经典基础架构

查看附加到工人池的区段。

ibmcloud ks worker-pool zones --worker-pool WORKER_POOL --cluster CLUSTER [-q] [-f]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：工人池所在群集的名称或 ID。
-p, --worker-pool WORKER_POOL: 必填：您要查看区域的工作节点池名称。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `worker-pool zones` 命令

ibmcloud ks worker-pool zones --cluster my_cluster --worker-pool pool1

`zone` 命令

`ibmcloud ks zone add classic`

经典基础结构

创建经典群集或工作者池后，就可以添加区域了。添加专区后，会向新专区添加工作程序节点，以匹配为工作程序池指定的每个专区的工作程序数。仅当集群位于多专区大城市中时，才能添加多个专区。

要将区域添加到 VPC 集群中的工作池，请使用 ibmcloud ks zone add vpc-gen2 命令。

ibmcloud ks zone add classic --zone ZONE --cluster CLUSTER --worker-pool WORKER_POOL [--private-vlan PRIVATE_VLAN] [--public-vlan PUBLIC_VLAN] [--private-only] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

--zone ZONE: 需要：要添加的区段。该区域必须是集群区域中的支持多专区的专区。
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-p, --worker-pool WORKER_POOL: 要将专区添加到的工作程序池的名称。要指定多个工人池，请使用多个选项，如 -p pool1 -p pool2。
--private-vlan PRIVATE_VLAN: 专用 VLAN 的标识。此值是有条件的。如果专区中有专用 VLAN，那么此值必须与集群中一个或多个工作程序节点的专用 VLAN 标识相匹配。要查看可用的 VLAN，请运行 ibmcloud ks cluster get --cluster <cluster> --show-resources。新的工作程序节点会添加到指定的 VLAN，但不会更改任何现有工作程序节点的 VLAN。如果该区域中没有专用或公用 VLAN，则不要指定此选项。初始向工作程序池添加专区后，会自动创建专用和公用 VLAN。在经典集群中，如果有多个 VLAN 用于集群，有多个子网位于同一 VLAN 上，或有一个多专区经典集群，那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF)，从而使工作程序节点可以在专用网络上相互通信。要启用 VRF，请参阅启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。如果无法或不想启用 VRF，请启用 VLAN 生成。要执行此操作，需要有“网络”>“管理网络 VLAN 跨基础架构”权限，或者可以要求账户所有者启用该权限。要检查 VLAN spanning 是否已启用，请使用 ibmcloud ks vlan spanning get --region <region> 命令。
--public-vlan PUBLIC_VLAN: 公用 VLAN 的标识。如果要在创建集群之后向公众公开节点上的工作负载，那么此值是必需的。此值必须与集群中该专区的一个或多个工作程序节点的公用 VLAN 标识相匹配。要查看可用的 VLAN，请运行 ibmcloud ks cluster get --cluster <cluster> --show-resources。新的工作程序节点会添加到指定的 VLAN，但不会更改任何现有工作程序节点的 VLAN。如果该区域中没有专用或公用 VLAN，则不要指定此选项。初始向工作程序池添加专区后，会自动创建专用和公用 VLAN。在经典集群中，如果有多个 VLAN 用于集群，有多个子网位于同一 VLAN 上，或有一个多专区经典集群，那么必须针对 IBM Cloud 基础架构帐户启用虚拟路由器功能 (VRF)，从而使工作程序节点可以在专用网络上相互通信。要启用 VRF，请参阅启用 VRF。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。如果无法或不想启用 VRF，请启用 VLAN 生成。要执行此操作，需要有“网络”>“管理网络 VLAN 跨基础架构”权限，或者可以要求账户所有者启用该权限。要检查 VLAN spanning 是否已启用，请使用 ibmcloud ks vlan spanning get --region <region> 命令。
--private-only: 使用此选项可阻止创建公用 VLAN。仅当指定 --private-vlan 选项且不包含 --public-vlan 选项时才需要。如果工人节点只设置了私有 VLAN，则必须启用私有云服务端点或配置网关设备。有关更多信息，请参阅规划专用集群和工作程序节点设置。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `zone add classic` 命令

ibmcloud ks zone add classic --zone dal10 --cluster my_cluster -p pool1 -w pool2 --private-vlan 2294021

`ibmcloud ks zone add vpc-gen2`

虚拟私有云

创建第 2 代 VPC 群集或工作池后，可以添加区域。添加专区后，会向新专区添加工作程序节点，以匹配为工作程序池指定的每个专区的工作程序数。仅当集群位于多专区大城市中时，才能添加多个专区。

ibmcloud ks zone add vpc-gen2 --zone ZONE --subnet-id VPC_SUBNET_ID --cluster CLUSTER --worker-pool WORKER_POOL [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

--zone ZONE: 需要：要添加的区段。这必须是集群区域内的 VPC 专区。要查看可用的 VPC 区域，请运行 ibmcloud ks zone ls --provider vpc-gen2。
--subnet-id SUBNET_ID: 必填：要添加的子网 ID。 VPC 子网必须在指定的 zone 内。要查看可用的 VPC 子网，请运行 ibmcloud ks subnets --provider vpc-gen2 --vpc-id <vpc> --zone <vpc_zone>。 VPC 子网为集群中的工作节点和负载均衡器服务提供 IP 地址，因此请使用具有足够 IP 地址的 VPC 子网（例如 256 个）。
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。要列出 VPC 群集，请运行 ibmcloud ks cluster ls --provider vpc-gen2。
-p, --worker-pool WORKER_POOL: 要将专区添加到的工作程序池的名称。要指定多个工人池，请使用多个选项，如 -p pool1 -p pool2。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `zone add vpc-gen2` 命令

ibmcloud ks zone add vpc-gen2 --zone us-south-3 --cluster my_cluster -p pool1 -w pool2

`ibmcloud ks zone ls`

虚拟私有云经典基础架构 Satellite

查看可在其中创建集群的可用专区的列表。

不推荐使用此命令的 locations 别名。

ibmcloud ks zone ls --provider (classic | satellite | vpc-gen2) [--location LOCATION] [--region-only] [--output json] [-q]

最低许可权：无

命令选项：

--provider (classic | satellite | vpc-gen2): 要列出区域的基础设施提供商类型。此选项是必需的。
-l, --location LOCATION: 按特定位置过滤输出。要查看支持的位置，请运行 ibmcloud ks locations。要指定多个位置，每个位置使用一个选项，如 -l dal -l seo。
--region-only: 可选：仅列出登录区域内的多区。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks zone ls -l ap

`ibmcloud ks zone network-set`

经典基础结构

仅限多专区经典集群：为工作程序池设置网络元数据，以将与先前所用不同的公用或专用 VLAN 用于专区。池中已创建的工作程序节点会继续使用先前的公用或专用 VLAN，但池中的新工作程序节点将使用新的网络数据。

ibmcloud ks zone network-set --zone ZONE --cluster CLUSTER  --private-vlan PRIVATE_VLAN --worker-pool WORKER_POOL [--public-vlan PUBLIC_VLAN] [--private-only] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

--zone ZONE: 需要：要添加的区段。该区域必须是集群区域中的支持多专区的专区。
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-p, --worker-pool WORKER_POOL: 要将专区添加到的工作程序池的名称。要指定多个工人池，请使用多个选项，如 -p pool1 -p pool2。
--private-vlan PRIVATE_VLAN: 专用 VLAN 的标识。此值是必需的，无论要使用的专用 VLAN 与用于其他工作程序节点的专用 VLAN 相同还是不同。新的工作程序节点会添加到指定的 VLAN，但不会更改任何现有工作程序节点的 VLAN。专用 VLAN 和公用 VLAN 必须兼容，这可通过 Router 标识前缀进行确定。
--public-vlan PUBLIC_VLAN: 公用 VLAN 的标识。仅当要更改专区的公用 VLAN 时，此值才是必需的。要更改公用 VLAN，必须始终提供兼容的专用 VLAN。新的工作程序节点会添加到指定的 VLAN，但不会更改任何现有工作程序节点的 VLAN。专用 VLAN 和公用 VLAN 必须兼容，这可通过 Router 标识前缀进行确定。
--private-only: 可选：取消设置公用 VLAN，以便此专区中的工作程序仅连接到专用 VLAN。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

用法：

检查集群中可用的 VLAN。

ibmcloud ks cluster get --cluster <cluster_name_or_ID> --show-resources

示例输出

Subnet VLANs
VLAN ID   Subnet CIDR         Public   User-managed
229xxxx   169.xx.xxx.xxx/29   true     false
229xxxx   10.xxx.xx.x/29      false    false

检查要使用的公用和专用 VLAN 标识是否兼容。要使两者兼容，Router 必须具有相同的 pod 标识。专用 VLAN 路由器始终以 bcr（后端路由器）开头，而公用 VLAN 路由器始终以 fcr（前端路由器）开头。创建集群并指定公用和专用 VLAN 时，在这些前缀之后的数字和字母组合必须匹配。
```
ibmcloud ks vlan ls --zone <zone>
```
在示例输出中，请注意路由器 pod ID 匹配：01a 和 01a。如果一个 pod ID 是 01a，另一个是 02a，则无法为工人池设置这些公用和专用 VLAN ID。
```
ID        Name   Number   Type      Router         Supports Virtual Workers
229xxxx          1234     private   bcr01a.dal12   true
229xxxx          5678     public    fcr01a.dal12   true
```
如果没有任何可用的 VLAN，那么可以订购新的 VLAN。

示例 `zone network-set` 命令

ibmcloud ks zone network-set --zone dal10 -c my_cluster -p pool1 -p pool2 --private-vlan 2294021

`ibmcloud ks zone rm`

虚拟私有云经典基础架构

仅限多区群集：从群集的一个或多个工作池中删除一个区域。这将删除工作程序池中此专区的所有工作程序节点。

在除去专区之前，请确保集群的其他专区中有足够的工作程序节点，以便可以重新安排 pod。重新安排 pod 可避免因工作程序节点上的应用程序或数据损坏而产生的停机时间。

ibmcloud ks zone rm --cluster CLUSTER --zone ZONE --worker-pool WORKER_POOL [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--zone ZONE: 需要：要删除的区段。
-p, --worker-pool WORKER_POOL: 要移除区域的工作池名称。要指定多个工人池，请使用多个选项，如 -p pool1 -p pool2。要从集群中的所有工作程序池中除去专区，请勿包含此选项。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `zone rm` 命令

ibmcloud ks zone rm --zone dal10 --cluster my_cluster

`ingress` 命令

查看和配置 Ingress 应用程序负载均衡器 (ALB)。

在 CLI V 1.0.157 和更高版本中，不推荐使用 ibmcloud ks alb 类别，这些命令现在列示在 ibmcloud ks ingress alb 子类别中。有关更多信息，请参阅 CLI 更改日志。

`ibmcloud ks ingress alb autoscale get`

虚拟私有云经典基础架构

获取 Ingress ALB 自动缩放配置的详细信息和状态。

ibmcloud ks ingress alb autoscale get --alb ALB --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB: 必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。
--output json: 可选：以 JSON 格式打印命令输出。

示例 `ingress alb autoscale get` 命令

ibmcloud ks ingress alb autoscale get --alb myalb123 --cluster mycluster

`ibmcloud ks ingress alb autoscale set`

虚拟私有云经典基础架构

配置自动缩放以根据当前负载自动增加或减少 Ingress ALB pod 数。您可以选择根据 CPU 利用率来缩放 pod，也可以使用指定的定制度量。如果基于 CPU 利用率的自动缩放配置，请指定平均 CPU 利用率以及在任何给定时间要部署的最大和最小 pod 数。如果选择指定用于自动缩放的定制度量值，请传入定制度量值文件的路径。

ibmcloud ks ingress alb autoscale set --alb ALB --cluster CLUSTER --max-replicas REPLICAS --min-replicas REPLICAS [--output OUTPUT] [-q] (--cpu-average-utilization PERCENT | --custom-metrics-file FILE)

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB: 必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--max-replicas REPLICAS: 要随时部署的最大副本数。如果包含 ---cpu-average-utilization 选项，那么此值是必需的。
--min-replicas REPLICAS: 要随时部署的最小副本数。如果包含 ---cpu-average-utilization 选项，那么此值是必需的。
--cpu-average-utilization PERCENTAGE: 用于动态计算副本数的平均利用率阈值。
--custom-metrics-file: 定制度量文件的路径。
-q: 可选：不显示当天的消息或更新提示。
--output json: 可选：以 JSON 格式打印命令输出。

示例 `ingress alb autoscale set` 命令

ibmcloud ks ingress alb autoscale set --alb myalb123 --cluster mycluster --max-replicas 5 --min-replicas 2 --cpu-average-utilization 5

`ibmcloud ks ingress alb autoscale unset`

虚拟私有云经典基础架构

通过删除自动缩放配置从 Ingress ALB 中除去自动缩放。

ibmcloud ks ingress alb autoscale unset --alb ALB --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB: 必需: 要配置自动缩放的 ALB 的名称或标识。
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb autoscale unset` 命令

ibmcloud ks ingress alb autoscale unset --alb myalb123 --cluster mycluster

`ibmcloud ks ingress alb autoupdate disable`

虚拟私有云经典基础架构

禁用集群中所有 Ingress ALB pod 的自动更新。

缺省情况下，将启用 Ingress 应用程序负载均衡器 (ALB) 的自动更新。当有新的镜像版本时，ALB pod 会自动更新。要改为手动更新该附加组件，请使用此命令来禁用自动更新。然后，您可以运行 ibmcloud ks ingress alb update 命令更新 ALB pod。

当您更新群集的主要或次要 Kubernetes 版本时，IBM 会自动对 Ingress 部署进行必要的更改，但不会更改 Ingress ALB 附加组件的映像版本。您应负责检查最新的 Kubernetes 版本和 Ingress ALB 附加组件映像的兼容性。

ibmcloud ks ingress alb autoupdate disable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb autoupdate disable` 命令

ibmcloud ks ingress alb autoupdate disable --cluster mycluster

`ibmcloud ks ingress alb autoupdate enable`

虚拟私有云经典基础架构

启用集群中所有 Ingress ALB pod 的自动更新。

如果禁用了 Ingress ALB 附加组件的自动更新，那么您可以重新启用自动更新。每当下一个映像版本可用时，ALB 就会自动更新到最新版本。

ibmcloud ks ingress alb autoupdate enable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks ingress alb autoupdate get`

虚拟私有云经典基础架构

检查是否启用了 Ingress ALB 插件的自动更新，以及 ALB 是否更新到了最新的映像版本。

ibmcloud ks ingress alb autoupdate get --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks ingress alb create classic`

经典基础结构

在经典集群中创建公共或专用 ALB。缺省情况下，已启用您创建的 ALB。

ibmcloud ks ingress alb create classic --cluster CLUSTER --type (PUBLIC|PRIVATE) --vlan VLAN_ID --zone ZONE [--ip IP] [--version IMAGE_VERSION] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
--type (PUBLIC|PRIVATE): ALB 的类型：public 或 private。此类型必须与 vlan 匹配。
--vlan VLAN_ID: 要在其中创建 ALB 的 VLAN 的标识。该 VLAN 必须与 ALB type 匹配，并且必须与要创建的 ALB 位于同一 zone。
--zone ZONE: 创建 ALB 的区域。
--ip IP: 可选: 要分配给 ALB 的 IP 地址。此 IP 必须位于您指定的 vlan 上，并且必须与要创建的 ALB 位于同一 zone 中。该 IP 地址不得被群集中的其他负载平衡器或 ALB 使用。要查看当前正在使用的 IP 地址，请运行 kubectl get svc --all-namespaces。
--version IMAGE_VERSION: 可选: 您希望 ALB 运行的映像版本。要列出可用版本，请运行 ibmcloud ks ingress alb versions。要指定非缺省版本，必须首先通过运行 ibmcloud ks ingress alb autoupdate disable 命令来禁用自动更新。如果省略此选项，那么 ALB 将运行缺省版本的 Kubernetes Ingress 映像类型。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb create classic` 命令

ibmcloud ks ingress alb create classic --cluster mycluster --type public --vlan 2234945 --zone dal10 --ip 1.1.1.1 --version 1.1.2_2507_iks

`ibmcloud ks ingress alb create vpc-gen2`

虚拟私有云

在 VPC 集群中创建公共或专用 ALB。缺省情况下，已启用您创建的 ALB。

ibmcloud ks ingress alb create vpc-gen2 --cluster CLUSTER --type PUBLIC|PRIVATE --zone ZONE [--version IMAGE_VERSION] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。要查看 VPC 群集，请运行 ibmcloud ks cluster ls --provider vpc-gen2。
--type PUBLIC|PRIVATE: ALB 的类型：public 或 private。
--zone ZONE: 要将 ALB 部署到的 VPC 区域。
--version IMAGE_VERSION: 可选: 您希望 ALB 运行的映像版本。要列出可用版本，请运行 ibmcloud ks ingress alb versions。要指定非缺省版本，必须首先通过运行 ibmcloud ks ingress alb autoupdate disable 命令来禁用自动更新。如果省略此选项，那么 ALB 将运行缺省版本的 Kubernetes Ingress 映像类型。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb create vpc-gen2` 命令

ibmcloud ks ingress alb create vpc-gen2 --cluster mycluster --type public --zone us-south-1 --version 1.1.2_2507_iks

`ibmcloud ks ingress alb disable`

虚拟私有云经典基础架构

在集群中禁用 ALB。 ALB 及其 pod 仍然存在，但停止将流量路由到应用程序。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb configure。

ibmcloud ks ingress alb disable --alb ALB_ID --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB_ID: 必须填写：ALB 的 ID。要查看群集中 ALB 的 ID，请运行 ibmcloud ks ingress alb ls --cluster CLUSTER。
-c, --cluster CLUSTER: 集群的名称或标识。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb disable` 命令

ibmcloud ks ingress alb disable --alb public-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster

`ibmcloud ks ingress alb enable classic`

经典基础结构

在经典群集中启用 ALB。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb configure classic。

可以使用此命令来执行以下操作：

启用缺省专用 ALB。创建集群时，会在具有工作程序和可用专用子网的每个专区中创建缺省专用 ALB，但未启用缺省专用 ALB。但是，将自动启用所有缺省公共 ALB，并且缺省情况下也会启用使用 ibmcloud ks ingress alb create classic 命令创建的任何公共或专用 ALB。
启用先前禁用的 ALB。

ibmcloud ks ingress alb enable classic --alb ALB_ID --cluster CLUSTER [--ip IP_ADDRESS] [--version IMAGE_VERSION] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB_ID: 必须填写：ALB 的 ID。要查看群集中 ALB 的 ID，请运行 ibmcloud ks ingress alb ls --cluster CLUSTER。
-c, --cluster CLUSTER: 集群的名称或标识。
--ip IP_ADDRESS: 可选: 指定在其中创建 ALB 的区域中 VLAN 上的 IP 地址。 ALB 已启用并使用此公共或专用 IP 地址。该 IP 地址不得被群集中的其他负载平衡器或 ALB 使用。如果未提供 IP 地址，ALB 将使用创建群集时自动配置的可移植公网或私有子网中的公网或私有 IP 地址进行部署；如果重新启用以前启用的 ALB，则使用以前分配给 ALB 的公网或私有 IP 地址进行部署。
--version IMAGE_VERSION: 可选: 您希望 ALB 运行的映像版本。要列出可用版本，请运行 ibmcloud ks ingress alb versions。要指定非缺省版本，必须首先通过运行 ibmcloud ks ingress alb autoupdate disable 命令来禁用自动更新。如果省略此选项，那么 ALB 将运行 ALB 先前运行的相同映像的缺省版本: Kubernetes Ingress 映像或 IBM Cloud Kubernetes Service Ingress 映像。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb enable classic` 命令

ibmcloud ks ingress alb enable classic --alb private-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster --ip 169.XX.XXX.XX --version 1.1.2_2507_iks

`ibmcloud ks ingress alb enable vpc-gen2`

虚拟私有云

在 VPC 集群中启用 ALB。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb configure vpc-gen2。

可以使用此命令来执行以下操作：

启用缺省专用 ALB。创建集群时，会在您有工作程序节点的每个专区中创建缺省专用 ALB，但不会启用这些缺省专用 ALB。但是，将自动启用所有缺省公共 ALB，并且缺省情况下也会启用使用 ibmcloud ks ingress alb create vpc-gen2 命令创建的任何公共或专用 ALB。
启用先前禁用的 ALB。

ibmcloud ks ingress alb enable vpc-gen2 --alb ALB_ID --cluster CLUSTER [--version IMAGE_VERSION] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

--alb ALB_ID: 必须填写：ALB 的 ID。要查看群集中 ALB 的 ID，请运行 ibmcloud ks ingress alb ls --cluster CLUSTER。
-c, --cluster CLUSTER: 集群的名称或标识。
--version IMAGE_VERSION: 可选: 您希望 ALB 运行的映像版本。要列出可用版本，请运行 ibmcloud ks ingress alb versions。要指定非缺省版本，必须首先通过运行 ibmcloud ks ingress alb autoupdate disable 命令来禁用自动更新。如果省略此选项，那么 ALB 将运行 ALB 先前运行的相同映像的缺省版本: Kubernetes Ingress 映像或 IBM Cloud Kubernetes Service Ingress 映像。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb enable vpc-gen2` 命令

ibmcloud ks ingress alb enable vpc-gen2 --alb private-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster --version 1.1.2_2507_iks

`ibmcloud ks ingress alb get`

虚拟私有云经典基础架构

查看集群中 Ingress ALB 的详细信息。

ibmcloud ks ingress alb get --alb ALB_ID --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--alb ALB_ID: 必须填写：ALB 的 ID。要查看群集中 ALB 的 ID，请运行 ibmcloud ks ingress alb ls --cluster CLUSTER。
-c, --cluster CLUSTER: 集群的名称或标识。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb get` 命令

ibmcloud ks ingress alb get --alb public-cr18a61a63a6a94b658596aa93a087aaa9-alb1 --cluster mycluster

`ibmcloud ks ingress alb health-checker disable`

虚拟私有云经典基础架构

禁用集群中 Ingress ALB 的运行状况检查程序。

ibmcloud ks ingress alb health-checker disable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb health-checker disable` 命令

ibmcloud ks ingress alb health-checker disable --cluster mycluster

`ibmcloud ks ingress alb health-checker enable`

虚拟私有云经典基础架构

对集群中的 Ingress ALB 启用运行状况检查程序。

ibmcloud ks ingress alb health-checker enable --cluster CLUSTER [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb health-checker enable` 命令

ibmcloud ks ingress alb health-checker enable --cluster mycluster

`ibmcloud ks ingress alb health-checker get`

虚拟私有云经典基础架构

查看集群中 Ingress ALB 的运行状况检查程序的详细信息。

ibmcloud ks ingress alb health-checker get --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb health-checker get` 命令

ibmcloud ks ingress alb health-checker get --cluster mycluster

`ibmcloud ks ingress alb ls`

虚拟私有云经典基础架构

列出集群中的所有 Ingress ALB 标识，并查看 ALB pod 的更新是否可用。

如果未返回任何 ALB 标识，说明集群没有可移植子网。您可以为集群创建或添加子网。之后，将自动为您创建 ALB。

ibmcloud ks ingress alb ls --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

*-c, --cluster *CLUSTER: 必填：您列出可用 ALB 的群集名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress alb ls` 命令

ibmcloud ks ingress alb ls --cluster my_cluster

`ibmcloud ks ingress alb update`

虚拟私有云经典基础架构

强制将集群中各个或所有 Ingress ALB 的 pod 更新到最新或特定版本。

如果禁用了 Ingress ALB 附加组件的自动更新，而您希望更新该附加组件，那么可以强制一次性更新 ALB pod。如果最近更新了 ALB pod，但 ALB 的定制配置受最新构建影响，那么您还可以使用此命令将 ALB pod 回滚到受支持的较早版本。请注意，您可以使用此命令将 ALB 映像更新为其他版本，但不能使用此命令将 ALB 从一种类型的映像更改为另一种类型的映像。强制一次性更新后，自动更新仍处于禁用状态，但可以使用 ibmcloud ks ingress alb autoupdate enable 命令重新启用。

ibmcloud ks ingress alb update --cluster CLUSTER [--alb ALB1_ID --alb ALB2_ID ...] [--version IMAGE_VERSION] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必需: 要更新 ALB 的集群的名称或标识。
--alb CLUSTER: 可选: 要更新的各个 ALB 的标识。要列出 ALB ID，请运行 ibmcloud ks ingress alb ls -c <cluster>。要更新多个 ALB，请使用多个选项，例如 --alb ALB1_ID --alb ALB2_ID。如果省略此选项，那么将更新集群中的所有 ALB。
--version IMAGE_VERSION: 可选: 要将 ALB 更新为的映像版本。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

要更新集群中的所有 ALB pod:

ibmcloud ks ingress alb update -c mycluster --version 1.1.2_2507_iks

要更新一个或多个特定 ALB 的 ALB pod:

ibmcloud ks ingress alb update -c mycluster --version 1.1.2_2507_iks --alb public-crdf253b6025d64944ab99ed63bb4567b6-alb1

`ibmcloud ks ingress alb versions`

虚拟私有云经典基础架构

查看可用的 Ingress ALB 版本。

ibmcloud ks ingress alb versions [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks ingress domain create`

为集群创建 Ingress 域。

ibmcloud ks ingress domain create --cluster CLUSTER [--crn CRN] [--default] [--domain DOMAIN] [--hostname HOSTNAME] [--ip IP] [--output OUTPUT] [--domain-provider PROVIDER] [-q] [--secret-namespace NAMESPACE] [--domain-zone ZONE]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必需: 要在其中创建域的集群的名称或标识。
--crn CRN: 对于 IBM Cloud Internet Services 域是必需的。 IBM Cloud Internet Services 实例的 CRN。
--is-default: 可选。包含此选项可将相关域设置为群集的默认域。
--domain DOMAIN: Ingress 域。您可以指定一个现有域，也可以创建一个新域。有关指定域的特定于提供者的信息，请参阅创建您自己的 Ingress 域。
--hostname HOSTNAME: 可选。对于 VPC 集群。要为域注册的主机名。
--ip IP: 可选。要为域注册的 IP 地址。
--output OUTPUT: 可选：以 JSON 格式打印命令输出。
--domain-provider PROVIDER: 可选。外部 DNS 提供程序类型。可用选项是 cis-ext。如果没有指定提供商，则IBM内部提供商创建域。
--secret-namespace NAMESPACE: 可选。要在其中创建 TLS 私钥的名称空间。如果未指定命名空间，则在 default 命名空间中创建秘密。
--domain-zone ZONE: 可选。 IBM Cloud Internet Services 实例的域标识。这是一个 GUID 值。

示例 `ingress domain create` 命令

此示例命令创建向 IBM Cloud 内部提供程序注册的域。有关使用不同提供程序创建域的示例，请参阅创建您自己的 Ingress 域。

ibmcloud ks ingress domain create --cluster my-cluster --domain exampledomain

`ibmcloud ks ingress domain default replace`

更改集群的缺省 Ingress 域。

ibmcloud ks ingress domain default replace --cluster CLUSTER --domain DOMAIN [-q]

最低必需许可权: IBM Cloud Kubernetes Service中集群的 操作员 平台访问角色。

命令选项：

-c, --cluster CLUSTER: 必须填写：应用域的群集名称或 ID。
--domain DOMAIN: 必需。要指定为集群的新缺省域的域。您必须指定一个现有域。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain default replace` 命令

ibmcloud ks ingress domain default replace --cluster CLUSTER --domain DOMAIN [-q]

`ibmcloud ks ingress domain get`

查看 Ingress 域的详细信息。

ibmcloud ks ingress domain get --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：应用域的群集名称或 ID。
--domain DOMAIN: 必需。要查看其详细信息的域。
--output OUTPUT: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain get` 命令

ibmcloud ks ingress domain get --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]

`ibmcloud ks ingress domain ls`

列出集群的所有 Ingress 域。

ibmcloud ks ingress domain ls --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output OUTPUT: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain ls` 命令

ibmcloud ks ingress domain ls --cluster CLUSTER [--output OUTPUT] [-q]

`ibmcloud ks ingress domain rm`

从集群中移除 Ingress 域。

ibmcloud ks ingress domain rm --cluster CLUSTER --domain DOMAIN [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：应用域的群集名称或 ID。
--domain DOMAIN: 必需。要从集群中除去的域。不能指定缺省域。如果要除去当前设置为集群缺省值的域，那么必须首先将缺省值替换为另一个域。

-f

-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain rm` 命令

ibmcloud ks ingress domain rm --cluster CLUSTER --domain DOMAIN [-f] [-q]

`ibmcloud ks ingress domain secret regenerate`

为 Ingress 域重新生成证书。运行此命令以在 DNS 提供程序中生成新令牌并将其应用于集群

ibmcloud ks ingress domain secret regenerate --cluster CLUSTER --domain DOMAIN [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：应用域的群集名称或 ID。
--domain DOMAIN: 必需。要重新生成的域。
--output OUTPUT: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain secret regenerate` 命令

ibmcloud ks ingress domain secret regenerate --cluster mycluster --domain exampledomain [--output OUTPUT] [-q]

`ibmcloud ks ingress domain secret rm`

删除输入域的密文，并阻止证书续期。

ibmcloud ks ingress domain secret rm --cluster CLUSTER --domain DOMAIN [-f] [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：应用域的群集名称或 ID。
--domain DOMAIN: 必需。要从中除去私钥的域。

-f

--output OUTPUT: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain secret rm` 命令

ibmcloud ks ingress domain secret rm --cluster CLUSTER --domain DOMAIN [-f] [--output OUTPUT] [-q]

`ibmcloud ks ingress domain update`

更新集群的 Ingress 域以更改与该域关联的主机名或 IP 地址。此命令使用指定的 IP 地址或主机名更新集群中的所有资源，并更改应用程序 URL。

ibmcloud ks ingress domain update --cluster CLUSTER --domain DOMAIN [--hostname HOSTNAME] [--ip IP] [--ip IP] [-q]

请注意，添加 IP 地址或主机名时，必须包含当前已向域注册的任何 IP 或主机名。域将使用指定的精确值进行更新，因此如果不包含任何当前 IP 地址或主机名，那么将覆盖这些地址或主机名。例如，如果 52.137.182.166 当前已注册到您的域，并且您要添加 52.137.182.270，那么必须在命令中指定 --ip 52.137.182.166 --ip 52.137.182.270。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：应用域的群集名称或 ID。
--domain DOMAIN: 必需。要更新的域。
--hostname HOSTNAME: 对于 VPC 集群。要为域注册的主机名。
--ip IP: 要为域注册的 IP 地址。传入的 IP 地址将完全替换当前与域关联的 IP 地址。如果要保留当前 IP 地址，那么必须包含这些地址。如果指定此标志而不指定任何值，那么将从域中注销当前 IP 地址。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress domain update` 命令

ibmcloud ks ingress domain update --cluster CLUSTER --domain DOMAIN [--hostname HOSTNAME] [--ip IP] [-q]

`ibmcloud ks ingress instance default set`

虚拟私有云经典基础架构

将已注册的 IBM Cloud Secrets Manager 实例设置为缺省值。如果存在现有缺省实例，那么将从缺省实例取消设置该实例。

当您设置新的缺省 Secrets Manager 实例时，任何不受 IBM Cloud 管理的现有密钥都必须手动更新其证书 CRN 以与新的缺省实例的 CRN 相匹配。要更新 CRN，请使用 ibmcloud ks ingress secret update 命令。如果不更新 CRN，那么这些私钥不会在下一次调度的证书更新时更新。

ibmcloud ks ingress instance default set --cluster CLUSTER --crn CRN --name NAME [-q] [--secret-group GROUP]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--crn: 必需。 IBM Cloud Secret Manager 实例的 CRN。
--name NAME: 必需。秘密管理器实例的名称。
-q: 可选：不显示当天的消息或更新提示。
--secret-group GROUP: 用于持久存储私钥的 IBM Cloud Secret Manager 实例的私钥组标识。要获取私钥组标识，请参阅 Secrets Manager CLI 参考。

示例：

ibmcloud ks ingress instance default set --cluster --cluster a111aaa11a1aaaaaaa1 --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --name my-secret-manager --namespace default --secret-group 90e059dd-d04e-a32b-010f-4d303b9050b8

`ibmcloud ks ingress instance default unset`

虚拟私有云经典基础架构

除去 Secrets Manager 实例作为缺省实例。

如果未设置缺省实例，那么您的私钥仅直接写入集群，而不会写入任何 Secrets Manager 实例。

ibmcloud ks ingress instance default unset --cluster CLUSTER --crn CRN --name NAME [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--crn: 必需。 IBM Cloud Secret Manager 实例的 CRN。
--name NAME: 必需。秘密管理器实例的名称。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks ingress instance default unset --cluster --cluster a111aaa11a1aaaaaaa1 --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --name my-secret-manager --namespace default

`ibmcloud ks ingress instance get`

虚拟私有云经典基础架构

查看 Secrets Manager 实例的详细信息。

ibmcloud ks ingress instance get --cluster CLUSTER --name NAME [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--name NAME: 必需。秘密管理器实例的名称。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks ingress instance get --cluster my-cluster --name my-secrets-manager

`ibmcloud ks ingress instance ls`

虚拟私有云经典基础架构

列出向集群注册的所有 Secrets Manager 实例。

ibmcloud ks ingress instance ls --cluster CLUSTER [--output OUTPUT] [-q] [--show-deleted]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。
--show-deleted: 可选。添加此选项以包含从集群注销的实例。

示例：

ibmcloud ks ingress instance ls --cluster my-cluster --show-deleted

`ibmcloud ks ingress instance register`

虚拟私有云经典基础架构

向集群注册 Secrets Manager 实例。

ibmcloud ks ingress instance register --cluster CLUSTER --crn CRN [--is-default] [--secret-group GROUP] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--crn: 必需。 IBM Cloud Secret Manager 实例的 CRN。
--is-default: 可选。包含此选项还可将已注册的实例设置为存储所有 Ingress 子域证书的缺省 Secrets Manager 实例。如果另一个实例已设置为缺省值，那么将除去该实例。请注意，您必须手动更新任何证书或私钥以将其上载到新的缺省实例。否则，将在下一次调度的私钥更新时间上载这些私钥。
-q: 可选：不显示当天的消息或更新提示。
--secret-group GROUP: 用于持久存储私钥的 IBM Cloud Secret Manager 实例的私钥组标识。要获取私钥组标识，请参阅 Secrets Manager CLI 参考。

示例：

ibmcloud ks ingress instance register --cluster my-cluster --crn crn:v1:staging:public:secrets-manager:eu-gb:a/1a11a1a111aa11aa111aa1a1111aa1a1:1aaa1a1a-aaaa-11aa-1a11-a11aaa1a11a1:secret:a1a11a11-111a-11a1-aa11-11aaa1a11a11 --secret-group 90e059dd-d04e-a32b-010f-4d303b9050b8

`ibmcloud ks ingress instance unregister`

虚拟私有云经典基础架构

从集群中除去 Secrets Manager 实例。

ibmcloud ks ingress instance unregister --cluster CLUSTER --name NAME [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--name: 必需。要删除的 Secrets Manager 实例的名称。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks ingress instance unregister --cluster my-cluster --name my-secrets-manager-instance

`ibmcloud ks ingress lb get`

虚拟私有云经典基础架构

获取在集群中公开 Ingress ALB 的负载均衡器的配置。

例如，如果先前运行了诸如 ibmcloud ks ingress lb proxy-protocol enable 之类的命令，那么可以使用此命令来查看配置更改。

ibmcloud ks ingress lb get --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress lb get` 命令

ibmcloud ks ingress lb get --cluster mycluster

`ibmcloud ks ingress lb proxy-protocol disable`

虚拟私有云

禁用集群中所有 Ingress ALB 前面的负载均衡器的 NGINX PROXY 协议，以便不再将请求头中的客户机连接信息传递到 ALB。

运行此命令后，现有负载平衡器将被删除并重新创建，这可能会导致服务中断。在重新创建负载均衡器期间，两个未使用的 IP 地址必须在每个子网中可用。

ibmcloud ks ingress lb proxy-protocol disable --cluster CLUSTER [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress lb proxy-protocol disable` 命令

ibmcloud ks ingress lb proxy-protocol disable --cluster mycluster

`ibmcloud ks ingress lb proxy-protocol enable`

虚拟私有云

对所有在集群中公开 Ingress ALB 的负载均衡器启用 NGINX PROXY 协议，以便在请求头中将客户机连接信息传递到 ALB。

PROXY 协议使负载均衡器能够将客户机请求的头中包含的客户机连接信息传递到 ALB。此客户机信息可以包含客户机 IP 地址，代理服务器 IP 地址以及两个端口号。

ibmcloud ks ingress lb proxy-protocol enable --cluster CLUSTER [--cidr CIDR ...] [--header-timeout TIMEOUT] [-f] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 操作员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--cidr CIDR: 可选: 负载均衡器 CIDR，ALB 从中处理 PROXY 协议头中的信息。如果包含 PROXY 头的请求源自其他 IP 范围内的负载均衡器，那么 ALB 不会处理头中的信息。只有运行社区 Kubernetes Ingress 映像的 ALB 才支持该选项。缺省值： 0.0.0.0/0
--header-timeout TIMEOUT: 可选: 负载均衡器接收包含客户机连接信息的 PROXY 协议头的超时值 (以秒计)。只有运行社区 Kubernetes Ingress 映像的 ALB 才支持该选项。缺省值： 5
-f: 可选：强制命令在没有用户提示的情况下运行。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress lb proxy-protocol enable` 命令

ibmcloud ks ingress lb proxy-protocol enable --cluster mycluster --cidr 1.1.1.1/16

`ibmcloud ks ingress secret create`

虚拟私有云经典基础架构

在集群中为存储在 IBM Cloud® Secrets Manager中的证书创建 Ingress 私钥。此命令可用于创建 TLS 或非 TLS 私钥。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb cert deploy。在 CLI V 1.0.157 和更高版本中，不推荐使用 ibmcloud ks ingress alb cert 类别，这些命令现在列示在 ibmcloud ks ingress secret 子类别中。有关更多信息，请参阅 CLI 更改日志。

要使用 ibmcloud ks ingress secret create 命令，必须向集群注册缺省 Secrets Manager 实例。如果没有 Secrets Manager 实例，而是将私钥直接写入集群，那么私钥没有必需的 CRN 值，您必须使用 kubectl 命令对其进行管理。

ibmcloud ks ingress secret create --cert-crn CERTIFICATE_CRN --cluster CLUSTER --name SECRET_NAME  [--namespace NAMESPACE] [--field CRN] [--persist] [--type] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--cert-crn CERTIFICATE_CRN

必需: 证书 CRN。

-c, --cluster CLUSTER

必须填写：群集的名称或 ID。

--name SECRET_NAME

必需: 指定私钥的名称。确保不创建与 IBM提供的 Ingress 私钥同名的私钥，您可以通过运行 ibmcloud ks cluster get --cluster <cluster_name_or_ID> | grep Ingress 来找到该私钥。

--field CRN

对于非 TLS 私钥是必需的。为秘密添加一个字段。您可以同时指定多个字段。有关更多信息，请参阅管理非 TLS 私钥字段。 TLS 保密不支持该选项。

要使用私钥类型的缺省字段名称来拉入私钥，请使用缺省字段选项: --field <crn>。此选项可用于所有非 TLS 密钥类型。
要指定字段名称，请使用指定的字段选项: --field name=<crn>。此选项可用于任意和 IAM 凭证密钥类型。
要使用 IBM Cloud Secrets Manager 私钥作为前缀，请使用前缀字段选项: --field prefix=<crn>。此选项可用于 IAM 凭证，用户名和密码以及密钥值私钥类型。

--namespace NAMESPACE

可选: 指定 Ingress 资源要部署到的名称空间。如果 ALB 运行 Kubernetes Ingress 映像，那么需要此值，因为 ALB 只能在与 Ingress 资源相同的名称空间中识别私钥。如果 ALB 运行 IBM Cloud Kubernetes Service Ingress 映像，并且未指定名称空间，那么将在名为 ibm-cert-store 的名称空间中创建证书私钥。然后，将在 default 名称空间中创建对此私钥的引用，任何名称空间中的任何 Ingress 资源都可以对其进行访问。处理请求时，ALB 遵循引用以从 ibm-cert-store 名称空间获取并使用证书私钥。

--persist

可选: 在集群中持久存储私钥数据。如果稍后从 CLI 或 Red Hat OpenShift Web 控制台中删除私钥，那么将在集群中自动重新创建私钥。要永久删除私钥，必须使用 /ingress/v2/secret/deleteSecret API。

--type

可选。私钥的类型。从 tls (对于证书 CRN) 或 opaque (对于非证书 CRN) 中进行选择。对于 tls，最多指定一个 CRN。对于 opaque，可以指定多个 CRN。如果未指定密文类型，则默认应用 tls。

-q

可选：不显示当天的消息或更新提示。

示例 `ingress secret create` 命令

ibmcloud ks ingress secret create --cert-crn crn:v1:staging:public:cloudcerts:us-south:a/06580c923e40314421d3b6cb40c01c68:0db4351b-0ee1-479d-af37-56a4da9ef30f:certificate:4bc35b7e0badb304e60aef00947ae7ff --cluster my_cluster --type tls --name my_alb_secret --namespace demo_ns

`ibmcloud ks ingress secret field add`

虚拟私有云经典基础架构

将非 TLS CRN 字段添加到不透明密钥。有三种方法可指定字段类型。您选择的选项取决于私钥类型以及您希望如何在非 TLS 私钥中命名该字段。有关更多信息，请参阅管理非 TLS 私钥字段。

ibmcloud ks ingress secret field add --cluster CLUSTER --name SECRET_NAME --field CRN --namespace NAMESPACE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER

必需。集群的名称或标识。

--name NAME

必需。要向其添加字段的私钥的名称。

--field CRN

必需。要添加到字段的私钥 CRN。您可以同时指定多个字段。有关更多信息，请参阅管理非 TLS 私钥字段。

要使用私钥类型的缺省字段名称来拉入私钥，请使用缺省字段选项: --field <crn>。此选项可用于所有非 TLS 密钥类型。
要指定字段名称，请使用指定的字段选项: --field name=<crn>。此选项可用于任意和 IAM 凭证密钥类型。
要使用 IBM Cloud Secrets Manager 私钥作为前缀，请使用前缀字段选项: --field prefix=<crn>。此选项可用于 IAM 凭证，用户名和密码以及密钥值私钥类型。

--namespace NAMESPACE

必需。私钥部署到的名称空间。

-q

可选：不显示当天的消息或更新提示。

用于将缺省字段，指定字段和前缀字段添加到一组 IAM 凭证的示例:

ibmcloud ks ingress secret field add --cluster example-cluster --name example-iam-secret --namespace default  --field crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1 --field unique_iam_name=crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1 --field prefix=crn:v1:bluemix:public:secrets-manager:us-south:a/1aa111aa1a11111aaa1a1111aa1aa111:111a1111-11a1

`ibmcloud ks ingress secret field ls`

虚拟私有云经典基础架构

查看输入密文的 CRN 字段。此命令仅适用于不透明密钥。

ibmcloud ks ingress secret field ls --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--name NAME: 必需。要向其添加字段的私钥的名称。
--namespace NAMESPACE: 必需。私钥部署到的名称空间。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret field ls` 命令

ibmcloud ks ingress secret field ls --cluster a11a11a11a111a1a111a --name my-secret --namespace default

`ibmcloud ks ingress secret field rm`

虚拟私有云经典基础架构

ibmcloud ks ingress secret field rm --cluster CLUSTER --name NAME --namespace NAMESPACE [--field-name NAME]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--c, --cluster CLUSTER: 必需。集群的名称或标识。
--name NAME: 必需。要从中除去字段的私钥的名称。
--namespace NAMESPACE: 必需。私钥部署到的名称空间。
--field-name NAME: 要删除的字段名称。要查看字段列表，请运行 ibmcloud ks ingress secret field ls。

示例 `ingress secret field rm` 命令

ibmcloud ks ingress secret field rm --cluster a11a11a11a111a1a111a --name my-secret --namespace default --field-name test-field-name

`ibmcloud ks ingress secret get`

虚拟私有云经典基础架构

查看有关集群中 Ingress 私钥的信息，包括存储在 IBM Cloud® Secrets Manager中的私钥。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb cert get。在 CLI V 1.0.157 和更高版本中，不推荐使用 ibmcloud ks ingress alb cert 类别，这些命令现在列示在 ibmcloud ks ingress secret 子类别中。有关更多信息，请参阅 CLI 更改日志。

ibmcloud ks ingress secret get --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--name SECRET_NAME: 必须填写：密文名称。
--namespace NAMESPACE: 必需: 私钥要部署到的名称空间。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret get` 命令

ibmcloud ks ingress secret get --cluster my_cluster --name my_alb_secret --namespace demo_ns

`ibmcloud ks ingress secret ls`

虚拟私有云经典基础架构

列出集群中的 Ingress 私钥，包括存储在 IBM Cloud® Secrets Manager中的私钥。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb cert ls。

ibmcloud ks ingress secret ls --cluster CLUSTER [--show-deleted] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--show-deleted: 可选：查看从群集中删除的机密。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret ls` 命令

ibmcloud ks ingress secret ls --cluster my_cluster

`ibmcloud ks ingress secret rm`

虚拟私有云经典基础架构

从集群中删除 Ingress 私钥。如果为来自 Secrets Manager的证书创建了私钥，那么将仅删除集群中的私钥，并且该证书将保留在 Secrets Manager 实例中。

不推荐使用此命令的先前别名 ibmcloud ks ingress alb cert rm。在 CLI V 1.0.157 和更高版本中，不推荐使用 ibmcloud ks ingress alb cert 类别，这些命令现在列示在 ibmcloud ks ingress secret 子类别中。有关更多信息，请参阅 CLI 更改日志。

ibmcloud ks ingress secret rm --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--name SECRET_NAME: 必须填写：密文名称。
--namespace NAMESPACE: 必需: 私钥要部署到的名称空间。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret rm` 命令

ibmcloud ks ingress secret rm --cluster my_cluster --name my_alb_secret --namespace demo_ns

`ibmcloud ks ingress secret update`

虚拟私有云经典基础架构

更新未在为集群创建的缺省 Secrets Manager 实例中托管的证书的 Ingress 私钥。

您对集群中缺省 Secrets Manager 实例中的证书进行的任何更改都会自动反映在集群中的私钥中。如果您对集群 Secrets Manager 实例中未托管的证书进行更改，那么必须使用此命令更新集群中的私钥，以获取证书更改。

ibmcloud ks ingress secret update --cluster CLUSTER --name SECRET_NAME --namespace NAMESPACE [--cert-crn CRN] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--name SECRET_NAME: 必须填写：密文名称。要查看可用私钥，请运行 ibmcloud ks ingress secret ls。
--namespace NAMESPACE: 必需: 私钥要部署到的名称空间。要查看私钥名称空间，请运行 ibmcloud ks ingress secret get --cluster cluster_name_or_ID <--name secret_name> --namespace <namespace>。
--cert-crn CERTIFICATE_CRN: 可选: 证书 CRN。要查看私钥 CRN，请运行 ibmcloud ks ingress secret get --cluster <cluster_name_or_ID> --name secret_name> --namespace <namespace>。此选项需要集群中的缺省 Secrets Manager 实例。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress secret update` 命令

虚拟私有云经典基础架构

ibmcloud ks ingress secret update --cluster my_cluster --name my_alb_secret --namespace demo_ns

`ibmcloud ks ingress status-report disable`

虚拟私有云经典基础架构

禁用集群中的 Ingress 组件状态报告。

ibmcloud ks ingress status-report disable --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report disable` 命令

ibmcloud ks ingress status-report disable --cluster mycluster

`ibmcloud ks ingress status-report enable`

虚拟私有云经典基础架构

在集群中启用 Ingress 组件的状态报告。

ibmcloud ks ingress status-report enable --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report enable` 命令

ibmcloud ks ingress status-report enable --cluster mycluster

`ibmcloud ks ingress status-report get`

虚拟私有云经典基础架构

获取集群中的 Ingress 组件状态报告。

ibmcloud ks ingress status-report get --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report get` 命令

ibmcloud ks ingress status-report get --cluster mycluster

`ibmcloud ks ingress status-report ignored-errors add`

虚拟私有云经典基础架构

添加集群的 Ingress 状态要忽略的警告。

ibmcloud ks ingress status-report ignored-errors add --cluster CLUSTER --code CODE [--code CODE ...] [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-code, --code CODE: 必填：要忽略的警告代码。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report ignored-errors add` 命令

ibmcloud ks ingress status-report ignored-errors add --cluster mycluster --code CODE

`ibmcloud ks ingress status-report ignored-errors ls`

虚拟私有云经典基础架构

列出集群的 Ingress 状态当前忽略的警告。

ibmcloud ks ingress status-report ignored-errors ls --cluster CLUSTER [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report ignored-errors ls` 命令

ibmcloud ks ingress status-report ignored-errors ls --cluster mycluster

`ibmcloud ks ingress status-report ignored-errors rm`

虚拟私有云经典基础架构

除去集群的 Ingress 状态当前忽略的警告。除去后，将不再忽略这些警告。

ibmcloud ks ingress status-report ignored-errors rm --cluster CLUSTER --code CODE [--code CODE ...] [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-code, --code CODE: 必需: 要从忽略列表中除去的警告的代码。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `ingress status-report ignored-errors rm` 命令

ibmcloud ks ingress status-report ignored-errors rm --cluster mycluster

`logging` 命令

将日志从集群转发到外部服务器。

`ibmcloud ks logging autoupdate disable`

虚拟私有云经典基础架构

禁用集群中所有 Fluentd pod 的自动更新。

在特定集群中禁用 Fluentd pod 的自动更新。当您更新群集的主要或次要 Kubernetes 版本时，IBM 会自动对 Fluentd ConfigMap, 进行必要的更改，但不会更改 Fluentd 用于日志记录附加组件的映像版本。您应负责检查最新的 Kubernetes 版本和附加组件映像的兼容性。

ibmcloud ks logging autoupdate disable --cluster CLUSTER [-q]

命令选项：

-c, --cluster CLUSTER: 必填：要禁用 Fluentd 附加组件自动更新的群集名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks logging autoupdate enable`

虚拟私有云经典基础架构

在特定集群中启用 Fluentd pod 的自动更新。 Fluentd 当有新的图像版本时，pod 会自动更新。

ibmcloud ks logging autoupdate enable --cluster CLUSTER [-q]

命令选项：

-c, --cluster CLUSTER: 必填：您要为 Fluentd 附加组件启用自动更新的群集名称或 ID。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks logging autoupdate get`

虚拟私有云经典基础架构

查看 Fluentd pod 是否设置为在集群中自动更新。

ibmcloud ks logging autoupdate get --cluster CLUSTER [--output json] [-q]

命令选项：

-c, --cluster CLUSTER: 必填：要检查 Fluentd 附加组件是否启用自动更新的群集名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

`ibmcloud ks logging config create`

虚拟私有云经典基础架构

创建日志记录配置。您可以使用此命令将容器、应用程序、工作程序节点、Kubernetes 集群以及 Ingress 应用程序负载均衡器的日志转发到外部 syslog 服务器。

ibmcloud ks logging config create --cluster CLUSTER --logsource LOG_SOURCE --type syslog [--namespace KUBERNETES_NAMESPACE] [--hostname LOG_SERVER_HOSTNAME_OR_IP] [--port LOG_SERVER_PORT] [--app-containers CONTAINERS] [--app-paths PATHS_TO_LOGS] [--syslog-protocol PROTOCOL] [--skip-validation] [--force-update] [--output json] [-q]

最低必需许可权: 集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 集群的名称或标识。
--logsource LOG_SOURCE: 要对其启用日志转发的日志源。该选项支持以逗号分隔的日志源列表，用于配置。接受的值为 container, application, worker, kubernetes, storage 和 ingress。如果不提供日志源，则会为 container 和 ingress 创建配置。
--type syslog: 输入 syslog 可将日志转发到外部服务器。
-n, --namespace KUBERNETES_NAMESPACE: 要从中转发日志的 Kubernetes 名称空间。 ibm-system 和 kube-system Kubernetes 命名空间不支持日志转发。此值仅对容器日志源有效，并且是可选的。如果不指定名称空间，群集中的所有名称空间都会使用此配置。
--hostname LOG_SERVER_HOSTNAME: 日志收集器服务器的主机名或 IP 地址。
--port LOG_SERVER_PORT: 可选：日志收集器服务器的端口。如果未指定端口，则 syslog 使用标准端口 514，ibm 使用标准端口 9091。
-p, --app-path: 容器上应用程序要将日志记录到的路径。要转发源类型为 application 的日志，必须提供一个路径。可以使用通配符，如 /var/log/*.log，但不能使用递归球，如 /var/log/**/test.log。要指定多个路径，请使用多个选项，如 -p /var/log/myApp1/&ast; -p /var/log/myApp2/&ast;. 日志源 application 需要此值。
--syslog-protocol: 日志类型为 syslog 时使用的传输层协议。支持的值有 tcp、tls 和默认值 udp。使用 udp 协议转发到 rsyslog 服务器时，超过 1 KB 的日志会被截断。
-C, --app-container: 要转发来自应用程序的日志，可以指定包含应用程序的容器的名称。要指定多个容器，请使用多个选项，如 -C /var/log/myApp1/&ast; -C /var/log/myApp2/&ast;。如果没有指定容器，日志将从包含所提供路径的所有容器中转发。该选项仅对日志源 application 有效。
--skip-validation: 可选：当指定 org 和空格名称时，跳过对它们的验证。跳过验证可减少处理时间，但无效的日志记录配置将无法正确转发日志。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须是最新版本才能更改日志配置。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

缺省端口 514 上从 syslog 日志源转发的日志类型 container 的示例：

ibmcloud ks logging config create my_cluster --logsource container --namespace my_namespace  --hostname 169.xx.xxx.xxx --type syslog

非缺省端口上从 syslog 源转发日志的日志类型 ingress 的实例：

ibmcloud ks logging config create --cluster my_cluster --logsource container --hostname 169.xx.xxx.xxx --port 5514 --type syslog

`ibmcloud ks logging config get`

虚拟私有云经典基础架构

查看集群的所有日志转发配置，或基于日志源过滤日志记录配置。

ibmcloud ks logging config get --cluster CLUSTER [--logsource LOG_SOURCE] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--logsource LOG_SOURCE: 可选项：要过滤的日志源类型。仅会返回集群中此日志源的日志记录配置。接受的值为 container, storage, application, worker, kubernetes 和 ingress。
--show-covering-filters: 显示导致先前过滤器过时的日志记录过滤器。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging config get` 命令

ibmcloud ks logging config get --cluster my_cluster --logsource worker

`ibmcloud ks logging config rm`

虚拟私有云经典基础架构

删除集群的一个日志转发配置或所有日志记录配置。删除日志配置会阻止将日志转发到远程 syslog 服务器。

ibmcloud ks logging config rm --cluster CLUSTER (--namespace NAMESPACE --id LOG_CONFIG_ID] [--all] [--force-update] [-q]

最低必需许可权: 集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
-n, --namespace NAMESPACE: 要从中除去日志转发配置的名称空间。如果同一命名空间有多个配置，请使用 --id <logging_configuration_ID> 选项。
--id LOG_CONFIG_ID: 如果要除去单个日志记录配置，此值为日志记录配置标识。
--all: 移除群集中所有日志记录配置的选项。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须是最新版本才能更改日志配置。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging config rm` 命令

ibmcloud ks logging config rm --cluster my_cluster --id f4bc77c0-ee7d-422d-aabf-a4e6b977264e

`ibmcloud ks logging config update`

虚拟私有云经典基础架构

更新日志转发配置的详细信息。

ibmcloud ks logging config update --cluster CLUSTER --id LOG_CONFIG_ID --type LOG_TYPE  [--namespace NAMESPACE] [--hostname LOG_SERVER_HOSTNAME_OR_IP] [--port LOG_SERVER_PORT] [--app-paths PATH] [--app-containers PATH] [--output json] [--skipValidation] [--force-update] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--id LOG_CONFIG_ID: 必须填写：要更新的日志配置 ID。
--type LOG_TYPE: 必填：要使用的日志转发协议。目前支持 syslog 和 ibm。
-n, --namespace NAMESPACE: 要从中转发日志的 Kubernetes 名称空间。 ibm-system 和 kube-system Kubernetes 命名空间不支持日志转发。此值仅对 container 日志源有效。如果不指定名称空间，群集中的所有名称空间都会使用此配置。
--hostname LOG_SERVER_HOSTNAME: 日志收集器服务器的主机名或 IP 地址。
--port LOG_SERVER_PORT: 日志收集器服务器的端口。日志类型为 syslog 时，此值为可选项。如果未指定端口，则 syslog 使用标准端口 514，ibm 使用标准端口 9091。
-p, --app-path: 容器上应用程序要将日志记录到的路径。要转发源类型为 application 的日志，必须提供一个路径。可以使用通配符，如 /var/log/*.log，但不能使用递归球，如 /var/log/**/test.log。要指定多个路径，请使用多个选项，如 -p /var/log/myApp1/&ast; -p /var/log/myApp2/&ast;. 日志源 application 需要此值。
-C, --app-container: 要转发来自应用程序的日志，可以指定包含应用程序的容器的名称。要指定多个容器，请使用多个选项，如 -C /var/log/myApp1/&ast; -C /var/log/myApp2/&ast;。如果没有指定容器，日志将从包含所提供路径的所有容器中转发。该选项仅对日志源 application 有效。
--output json: 可选：以 JSON 格式打印命令输出。
--skipValidation: 可选：当指定 org 和空格名称时，跳过对它们的验证。跳过验证可减少处理时间，但无效的日志记录配置将无法正确转发日志。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须是最新版本才能更改日志配置。
-q: 可选：不显示当天的消息或更新提示。

日志类型 ibm 的示例：

ibmcloud ks logging config update --cluster my_cluster --id f4bc77c0-ee7d-422d-aabf-a4e6b977264e --type ibm

日志类型 syslog 的示例：

ibmcloud ks logging config update --cluster my_cluster --id f4bc77c0-ee7d-422d-aabf-a4e6b977264e --hostname localhost --port 5514 --type syslog

`ibmcloud ks logging filter create`

虚拟私有云经典基础架构

过滤掉根据日志记录配置转发的日志。

ibmcloud ks logging filter create --cluster CLUSTER --type LOG_TYPE [--logging-config CONFIG] [--namespace KUBERNETES_NAMESPACE] [--container CONTAINER_NAME] [--level LOGGING_LEVEL] [--message MESSAGE] [--regex-message MESSAGE] [--force-update] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：要为其创建日志过滤器的群集名称或 ID。
--type LOG_TYPE: 要应用过滤器的日志的类型。目前支持 all、container 和 host。
-lc, --logging-config CONFIG: 可选：日志配置 ID。如果未提供，过滤器将应用于传递给过滤器的所有群集日志记录配置。使用 --show-matching-configs 命令选项，可以查看与过滤器匹配的日志配置。要指定多个 ID，请使用多个选项，如 -lc id1 -lc id2。
-n, --namespace KUBERNETES_NAMESPACE: 可选：想要从其中过滤日志的 Kubernetes 名称空间。
--container CONTAINER_NAME: 可选：想要从其中过滤掉日志的容器的名称。该选项仅适用于使用日志类型 container 时。
--level LOGGING_LEVEL: 可选：过滤掉处于指定级别及更低级别的日志。可接受的值按其规范顺序排列为 fatal, error, warn/warning, info, debug 和 trace。例如，如果您过滤了 info 级别的日志，那么 debug，和 trace 也会被过滤。注意：只有当日志信息是 JSON 格式且包含级别字段时，才能使用此选项。示例输出 {"log": "hello", "level": "info"}
--message MESSAGE: 可选：过滤掉日志中的任何地方包含了指定消息的任何日志。例如信息 "Hello"、"!"和 "Hello, World!"适用于日志 "Hello, World!"。
--regex-message MESSAGE: 可选：过滤掉任何包含指定信息的日志，该信息以正则表达式的形式写在日志的任何位置。例如模式 "hello [0-9] "适用于 "hello 1"、"hello 2 "和 "hello 9"。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须是最新版本才能更改日志配置。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

此示例过滤掉满足以下条件的所有日志：从缺省名称空间中名称为 test-container 的容器转发，处于 debug 级别或更低级别，并且具有包含“GET request”的日志消息。

ibmcloud ks logging filter create --cluster example-cluster --type container --namespace default --container test-container --level debug --message "GET request"

此示例可过滤掉从特定群集转发的所有日志，级别为 info 或更低。输出会作为 JSON 返回。

ibmcloud ks logging filter create --cluster example-cluster --type all --level info --output json

`ibmcloud ks logging filter get`

虚拟私有云经典基础架构

查看日志记录过滤器配置。

ibmcloud ks logging filter get --cluster CLUSTER [--id FILTER_ID] [--show-matching-configs] [--show-covering-filters] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：要查看筛选器的群集名称或 ID。
--id FILTER_ID: 要查看的日志过滤器的标识。
--show-matching-configs: 可选：显示与您正在查看的配置匹配的日志配置。
--show-covering-filters: 可选：显示使先前过滤器呈现为已废弃的日志记录过滤器。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging filter get` 命令

ibmcloud ks logging filter get --cluster mycluster --id 885732 --show-matching-configs

`ibmcloud ks logging filter rm`

虚拟私有云经典基础架构

删除日志记录过滤器。

ibmcloud ks logging filter rm --cluster CLUSTER [--id FILTER_ID] [--all] [--force-update] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 要删除其中过滤器的集群的名称或标识。
--id FILTER_ID: 要删除的日志过滤器的标识。
--all: 可选：删除所有日志转发过滤器。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须是最新版本才能更改日志配置。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging filter rm` 命令

ibmcloud ks logging filter rm --cluster mycluster --id 885732

`ibmcloud ks logging filter update`

虚拟私有云经典基础架构

更新日志记录过滤器。

ibmcloud ks logging filter update --cluster CLUSTER --id FILTER_ID --type LOG_TYPE [--logging-config CONFIG] [--namespace KUBERNETES_NAMESPACE] [--container CONTAINER_NAME] [--level LOGGING_LEVEL] [--message MESSAGE] [--regex-message MESSAGE] [--force-update] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必填：您要更新日志过滤器的群集名称或 ID。
--id FILTER_ID: 要更新的日志过滤器的标识。
--type LOG_TYPE: 要应用过滤器的日志的类型。目前支持 all、container 和 host。
-lc, --logging-config CONFIG: 可选：日志配置 ID。如果未提供，过滤器将应用于传递给过滤器的所有群集日志记录配置。使用 --show-matching-configs 命令选项，可以查看与过滤器匹配的日志配置。要指定多个 ID，请使用多个选项，如 -lc id1 -lc id2。
-n, --namespace KUBERNETES_NAMESPACE: 可选：想要从其中过滤日志的 Kubernetes 名称空间。
--container CONTAINER_NAME: 可选：想要从其中过滤掉日志的容器的名称。该选项仅适用于使用日志类型 container 时。
--level LOGGING_LEVEL: 可选：过滤掉处于指定级别及更低级别的日志。可接受的值按其规范顺序排列为 fatal, error, warn/warning, info, debug 和 trace。例如，如果您过滤了 info 级别的日志，那么 debug，和 trace 也会被过滤。注意：只有当日志信息是 JSON 格式且包含级别字段时，才能使用此选项。示例输出 {"log": "hello", "level": "info"}
--message MESSAGE: 可选：过滤掉日志中的任何地方包含了指定消息的任何日志。例如信息 "Hello"、"!"和 "Hello, World!"适用于日志 "Hello, World!"。
--regex-message MESSAGE: 可选：过滤掉任何包含指定信息的日志，该信息以正则表达式的形式写在日志的任何位置。例如模式 "hello [0-9] "适用于 "hello 1"、"hello 2 "和 "hello 9"
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须是最新版本才能更改日志配置。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks logging filter update --cluster example-cluster --id 885274 --type container --namespace default --container test-container --level debug --message "GET request"

此示例可过滤掉从特定群集转发的所有日志，级别为 info 或更低。输出会作为 JSON 返回。

ibmcloud ks logging filter update --cluster example-cluster --id 274885 --type all --level info --output json

`ibmcloud ks logging refresh`

虚拟私有云经典基础架构

刷新集群的日志记录配置。此操作将刷新转发到集群中空间级别的任何日志记录配置的日志记录令牌。

不推荐使用此命令的 logging config refresh 别名。

ibmcloud ks logging refresh --cluster CLUSTER [--force-update] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--force-update: 强制 Fluentd pod 更新到最新版本。 Fluentd 必须是最新版本才能更改日志配置。
-q: 可选：不显示当天的消息或更新提示。

示例 `logging refresh` 命令

ibmcloud ks logging refresh --cluster my_cluster

`nlb-dns` 命令

创建和管理网络负载均衡器 (NLB) IP 地址的子域以及用于这些子域的运行状况检查监视器。有关更多信息，请参阅注册负载均衡器子域。

DNS 微服务更新是异步的，可能需要几分钟才能应用。请注意，如果运行 ibmcloud ks nlb-dns 命令并接收到 200 确认消息，那么可能仍需要等待实现更改。要检查子域的状态，请运行 ibmcloud ks nlb-dns ls 并在输出中找到 Status 列。

`ibmcloud ks nlb-dns add`

经典基础结构

在使用 ibmcloud ks nlb-dns create 命令创建的现有子域中添加一个或多个网络负载平衡器 (NLB) IP 地址。

例如，在多区经典集群中，您可以在每个区创建一个 NLB，以公开一个应用程序。通过运行 ibmcloud ks nlb-dns create classic 可向子域注册 NLB IP。日后，可将另一个专区添加到集群，并为该专区添加另一个 NLB。可以使用此命令将新的 NLB IP 添加到此现有子域。用户访问应用程序子域时，客户机会随机访问其中一个 IP，并且会向相应的 NLB 发送请求。

ibmcloud ks nlb-dns add --cluster CLUSTER --ip NLB_IP [--ip NLB2_IP2 --ip NLB3_IP ...] --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--ip NLB_IP: 要添加到子域的 NLB IP 地址。要查看 NLB IP，请运行 kubectl get svc。要指定多个 IP 地址，请使用多个 --ip 选项。
--nlb-host SUBDOMAIN: 要向其添加 IP 的子域。要查看现有子域，请运行 ibmcloud ks nlb-dns ls。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns add` 命令

ibmcloud ks nlb-dns add --cluster mycluster --ip 1.1.1.1 --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns create classic`

经典基础结构

通过创建 DNS 子域来注册网络负载均衡器 (NLB) IP，可采用公共方式公开应用程序。

ibmcloud ks nlb-dns create classic --cluster CLUSTER --ip NLB_IP [--ip NLB2_IP --ip NLB3_IP ...] [--secret-namespace NAMESPACE] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--ip IP: 要注册的网络负载均衡器 IP 地址。要查看 NLB IP 地址，请运行 kubectl get svc。要指定多个 IP 地址，请使用多个 --ip 选项。
--secret-namespace NAMESPACE: 要在其中创建 Kubernetes 私钥（用于保存 NLB 的 SSL 证书信息）的 Kubernetes 名称空间。如果不指定命名空间，秘密会自动在 default 命名空间中创建。
--type public: 子域类型。目前只支持 public。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns create classic` 命令

ibmcloud ks nlb-dns create classic --cluster mycluster --ip 1.1.1.1

`ibmcloud ks nlb-dns create vpc-gen2`

虚拟私有云

为 Network Load Balancer for VPC 或 Application Load Balancer for VPC创建 DNS 记录。

创建 Network Load Balancer for VPC时，将为集群中的每个专区分配负载均衡器外部 IP 地址。创建 Application Load Balancer for VPC时，会为负载均衡器分配主机名。如果需要具有 TLS 终止的应用程序子域，那么可以使用 ibmcloud ks nlb-dns create vpc-gen2 命令为 IP 地址或主机名创建 DNS 记录。IBM Cloud 负责为您生成和维护子域的通配符 SSL 证书。您可以为公共和专用 VPC 负载均衡器创建子域。

ibmcloud ks nlb-dns create vpc-gen2 --cluster CLUSTER (--lb-host VPC_ALB_HOSTNAME | --ip VPC_NLB_IP) [--secret-namespace NAMESPACE] [--type (public|private)] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--lb-host VPC_ALB_HOSTNAME | --ip VPC_NLB_IP: 对于 VPC 应用程序负载均衡器，这是负载均衡器主机名。要查看负载平衡器主机名，请运行 kubectl get svc -o wide。对于 VPC 网络负载均衡器，外部 IP 地址。要指定多个 IP 地址，请使用多个 --ip 选项。要查看负载平衡器 IP 地址，请运行 kubectl get svc -o wide。
--secret-namespace NAMESPACE: 要在其中创建 Kubernetes 私钥（用于保存 NLB 的 SSL 证书信息）的 Kubernetes 名称空间。如果不指定命名空间，秘密会自动在 default 命名空间中创建。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns create vpc-gen2` 命令

ibmcloud ks nlb-dns create vpc-gen2 --cluster mycluster --lb-host 1234abcd-us-south.lb.appdomain.cloud --type public

`ibmcloud ks nlb-dns get`

虚拟私有云经典基础架构

查看集群中注册的 NLB 主机名的详细信息。

ibmcloud ks nlb-dns get --cluster CLUSTER --nlb-subdomain SUBDOMAIN [--output OUTPUT] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色
-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--nlb-subdomain SUBDOMAIN: 注册网络负载均衡器 (NLB) IP 地址的 DNS 子域。要列出 NLB，请运行 ibmcloud ks nlb-dns ls --cluster mycluster。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns get` 命令

虚拟私有云经典基础架构

ibmcloud ks nlb-dns get --cluster mycluster --nlb-subdomain subDomain1

`ibmcloud ks nlb-dns ls`

在经典集群中，列出向 DNS 子域注册的网络负载均衡器 (NLB) IP 地址。在 VPC 集群中，列出向 DNS 子域注册的 VPC 负载均衡器主机名。

ibmcloud ks nlb-dns ls --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns ls` 命令

ibmcloud ks nlb-dns ls --cluster mycluster

`ibmcloud ks nlb-dns monitor configure`

经典基础结构

为集群中的现有 NLB 子域配置运行状况检查监视器，并可选择启用该监视器。为子域启用监视器后，监视器会对每个专区中的 NLB IP 执行运行状况检查，并根据这些运行状况检查使 DNS 查找结果保持更新。

您可以使用此命令创建并启用健康检查监控程序，或更新现有健康检查监控程序的设置。要创建新的监视器，请在 --enable 选项中包含要配置的所有设置的选项。

要更新现有监视器，必须包含所需设置的所有选项，包括现有设置。

ibmcloud ks nlb-dns monitor configure --cluster CLUSTER --nlb-host SUBDOMAIN [--enable] [--description DESCRIPTION] [--type TYPE] [--method METHOD] [--path PATH] [--timeout TIMEOUT] [--retries RETRIES] [--interval INTERVAL] [--port PORT] [--header HEADER] [--expected-body BODY STRING] [--expected-codes HTTP CODES] [--follows-redirects TRUE] [--allows-insecure TRUE] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 向其注册子域的集群的名称或标识。
--nlb-host SUBDOMAIN: 要为其配置运行状况检查监视器的子域。要列出子域，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER。
--enable: 包含此选项可为子域启用新的健康检查监控器。
--description DESCRIPTION: 运行状况监视器的描述。
--type TYPE: 用于健康检查的协议：HTTP, HTTPS，或 TCP。缺省值： HTTP
--method METHOD: 要用于运行状况检查的方法。 type HTTP 和 HTTPS 的默认值：GET。 type TCP 的默认值：connection_established。
--path PATH: 当 type 为 HTTPS 时：要进行健康检查的端点路径。缺省值： /
--timeout TIMEOUT: 超时（以秒为单位），在此时间后 IP 会被视为不可访问。运行状况检查会等待 interval 参数中指定的秒数，然后重试访问该 IP。此值必须是 1-15 范围内的整数。缺省值： 5
--retries RETRIES: 超时发生时，在不可访问的 IP 被视为运行状况欠佳之前重试的次数。重试会立即尝试执行。此值必须是 1-5 范围内的整数。缺省值： 2
--interval INTERVAL: 各个运行状况检查之间的时间间隔（以秒为单位）。较短的时间间隔可能会缩短故障转移时间，但会增加 IP 上的负载。此值必须是 10-3600 范围内的整数，并且必须大于 (RETRIES + 1) * TIMEOUT。缺省值： 60
--port PORT: 进行运行状况检查时要连接到的端口号。当 type 为 TCP 时，需要使用该参数。当 type 为 HTTP 或 HTTPS 时，只有在 HTTP 使用 80 以外的端口或 HTTPS 使用 443 以外的端口时，才定义端口。 TCP 的默认值：0。 HTTP 默认：80。 HTTPS 的默认值：443。
--header HEADER: type 为 HTTP 或 HTTPS 时必需：HTTP 在健康检查中要发送的请求标头，如 Host 标头。 User-Agent 头信息无法覆盖。该选项仅对类型 " HTTP "或 " HTTPS "有效。要在请求中添加多个标头，请多次指定该选项。该选项接受以下格式的数值：--header Header-Name=value。更新监视器时，指定的头将替换现有头。要删除所有现有标题，请在该选项中指定一个空值 --header ""。
--expected-body BODY STRING: 当 type 为 HTTP 或 HTTPS 时：健康检查在响应正文中查找的不区分大小写的子字符串。如果找不到此字符串，那么会认为该 IP 运行状况不佳。
--expected-codes HTTP CODES: 当 type 为 HTTP 或 HTTPS 时：HTTP 健康检查在响应中查找的代码。如果找不到 HTTP 代码，那么 IP 会被视为运行状况欠佳。缺省值： 2xx
--allows-insecure TRUE: 当 type 为 HTTP 或 HTTPS：设置为 true 则不验证证书。
--follows-redirects TRUE: 当 type 为 HTTP 或 HTTPS：设置为 true，以跟踪 IP 返回的任何重定向。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor configure` 命令

ibmcloud ks nlb-dns monitor configure --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud --enable --description "Login page monitor" --type HTTPS --method GET --path / --timeout 5 --retries 2 --interval 60  --expected-body "healthy" --expected-codes 2xx --follows-redirects true

`ibmcloud ks nlb-dns monitor disable`

经典基础结构

对集群中的子域禁用现有运行状况检查监视器。

ibmcloud ks nlb-dns monitor disable --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--nlb-host SUBDOMAIN: 监视器对其执行运行状况检查的子域。要列出子域，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor disable` 命令

ibmcloud ks nlb-dns monitor disable --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns monitor enable`

经典基础结构

启用配置的运行状况检查监视器。

首次创建运行状况检查监视器时，必须使用 ibmcloud ks nlb-dns monitor configure 命令来配置并启用该监视器。使用 ibmcloud ks nlb-dns monitor enable 命令仅可启用已配置但尚未启用的监视器，或者重新启用先前禁用的监视器。

ibmcloud ks nlb-dns monitor enable --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--nlb-host SUBDOMAIN: 监视器对其执行运行状况检查的子域。要列出子域，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor enable` 命令

ibmcloud ks nlb-dns monitor enable --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns monitor get`

经典基础结构

查看现有运行状况检查监视器的设置。

ibmcloud ks nlb-dns monitor get --cluster CLUSTER --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--nlb-host SUBDOMAIN: 监视器对其执行运行状况检查的子域。要列出子域，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor get` 命令

ibmcloud ks nlb-dns monitor get --cluster mycluster --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns monitor ls`

经典基础结构

列出集群中每个 NLB 子域的运行状况检查监视器设置。

ibmcloud ks nlb-dns monitor ls --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns monitor ls` 命令

ibmcloud ks nlb-dns monitor ls --cluster mycluster

`ibmcloud ks nlb-dns replace`

虚拟私有云

替换已向 DNS 子域注册的负载均衡器主机名。例如，如果您为应用程序创建了一个新的 VPC 负载平衡器，但不想创建一个新的 DNS 子域供用户访问应用程序，您可以用新负载平衡器的主机名替换旧负载平衡器的主机名。

ibmcloud ks nlb-dns replace --cluster CLUSTER --lb-host NEW_LB_HOSTNAME --nlb-subdomain SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--lb-host NEW_LB_HOSTNAME: 用于更新子域的新 VPC 负载均衡器的主机名。要查看 VPC 负载均衡器主机名，请运行 kubectl get svc -o wide。
nlb-subdomain SUBDOMAIN: 要替换负载均衡器主机名的 DNS 子域。要查看现有子域，请运行 ibmcloud ks nlb-dns ls --cluster <cluster>。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns replace` 命令

ibmcloud ks nlb-dns replace --cluster mycluster --lb-host 1234abcd-us-south.lb.appdomain.cloud nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns rm classic`

经典基础结构

从子域中除去网络负载均衡器 (NLB) IP 地址。如果从子域中除去所有 IP，该子域仍然会存在，但没有与之关联的 IP。注意：必须为每个要删除的 IP 地址运行此命令。

ibmcloud ks nlb-dns rm classic --cluster CLUSTER --ip IP --nlb-host SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--ip IP: 要除去的 NLB IP。要查看每个子域注册的 IP，请运行 ibmcloud ks nlb-dns ls --cluster <cluster>。
--nlb-host SUBDOMAIN: 要从中除去 IP 的子域。要查看现有子域，请运行 ibmcloud ks nlb-dns ls。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns rm classic` 命令

ibmcloud ks nlb-dns rm classic --cluster mycluster --ip 1.1.1.1 --nlb-host mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks nlb-dns rm vpc-gen2`

虚拟私有云

从该负载均衡器的 DNS 记录中除去负载均衡器主机名 (VPC 应用程序负载均衡器) 或 IP 地址 (VPC 网络负载均衡器)。

删除主机名或 IP 地址后，DNS 子域仍然存在，但没有负载平衡器注册。

ibmcloud ks nlb-dns rm vpc-gen2 --cluster CLUSTER --nlb-subdomain SUBDOMAIN [ --ip IP] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--nlb-subdomain SUBDOMAIN: 要与 VPC 负载平衡器主机名解除关联的子域。要查看现有子域，请运行 ibmcloud ks nlb-dns ls --cluster <cluster>。
--ip IP: 对于 VPC 网络负载均衡器，这是要除去的 IP 地址。要查看每个子域注册的 IP，请运行 ibmcloud ks nlb-dns ls --cluster <cluster>。请注意，必须为每个要删除的 IP 地址重复执行此命令。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns rm vpc-gen2` 命令

ibmcloud ks nlb-dns rm vpc-gen2 --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

实验: `ibmcloud ks nlb-dns secret regenerate`

虚拟私有云经典基础架构

重新生成 NLB 子域的证书和密钥。密钥重新生成不会造成中断，并且在密钥重新生成时流量会继续流动。

如果在私钥重新生成期间 Let 's Encrypt 证书创建失败，那么必须经过 10 分钟的等待时间，然后再自动尝试重新生成。重新生成私钥需要另外 5 分钟才能完成，因此在完成此过程之前总共需要 15 分钟时间。

要避免 Let 's Encrypt 速率限制，请勿每天重新生成超过 5 次的私钥。

ibmcloud ks nlb-dns secret regenerate --cluster CLUSTER --nlb-subdomain SUBDOMAIN [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--nlb-subdomain SUBDOMAIN: 要为其重新生成私钥的子域。要列出子域，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns secret regenerate` 命令

ibmcloud ks nlb-dns secret regenerate --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

实验: `ibmcloud ks nlb-dns secret rm`

虚拟私有云经典基础架构

从 NLB 子域中删除密钥，并阻止证书的未来续订。

如果不再使用 NLB 子域，或者该子域的所有者离开您的组织，那么可以删除该子域的私钥。

ibmcloud ks nlb-dns secret rm --cluster CLUSTER --nlb-subdomain SUBDOMAIN [-f] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--nlb-subdomain SUBDOMAIN: 要删除其私钥的子域。要列出子域，请运行 ibmcloud ks nlb-dns ls --cluster CLUSTER。
-f: 可选：强制命令在没有用户提示的情况下运行。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `nlb-dns secret rm` 命令

ibmcloud ks nlb-dns secret rm --cluster mycluster --nlb-subdomain mycluster-a1b2cdef345678g9hi012j3kl4567890-0001.us-south.containers.appdomain.cloud

`ibmcloud ks vpc secure-by-default enable`

为使用传统安全组的 VPC 群集启用“默认情况下的安全 VPC 网络”。

ibmcloud ks vpc secure-by-default enable --cluster CLUSTER [--disable-outbound-traffic-protection] [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--disable-outbound-traffic-protection: 包含此选项以允许来自集群工作程序的公共出站访问。默认情况下，会阻止公共向外访问。
-f: 强制此命令运行，而不显示用户提示。
-q: 不显示每日消息或更新提示。

`webhook-create` 命令

虚拟私有云经典基础架构

ibmcloud ks webhook-create --cluster CLUSTER --level LEVEL --type slack --url URL  [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--level LEVEL: 可选: 通知级别 (例如 Normal 或 Warning)。Warning 是缺省值。
--type slack: 必需 :webhook 类型。目前支持 Slack。
--url URL: 必须填写：网络钩子的 URL。
-q: 可选：不显示当天的消息或更新提示。

示例 `webhook-create` 命令

ibmcloud ks webhook-create --cluster my_cluster --level Normal --type slack --url http://github.com/mywebhook

`api-key` 命令

查看有关集群的 API 密钥的信息或将其重置为新密钥。

`ibmcloud ks api-key info`

虚拟私有云经典基础架构

查看 IBM Cloud Identity and Access Management (IAM) API 密钥的所有者的名称和电子邮件地址，IBM Cloud Kubernetes Service 使用此 API 密钥来认证某些请求，例如区域和资源组中的基础结构。

要为资源组和区域创建不同的 API 密钥，请使用 ibmcloud ks api-key reset 命令。

如果使用 ibmcloud ks credential set 命令手动设置 IBM Cloud 基础架构凭证，那么此命令中返回的 API 密钥不会用于基础架构许可权。

ibmcloud ks api-key info --cluster CLUSTER [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

-c, --cluster CLUSTER: 必须填写：群集的名称或 ID。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `api-key info` 命令

ibmcloud ks api-key info --cluster my_cluster

`ibmcloud ks api-key reset`

虚拟私有云经典基础架构

创建 IBM Cloud IAM API 密钥，以模拟用户的许可权来认证当前资源组和区域中所有集群的请求。

如果在集群中使用 Block Storage for VPC 或集群自动缩放器附加组件，那么必须在重置 API 密钥后重新创建附加组件控制器 pod。有关更多信息，请参阅 Block Storage for VPC PVC 创建在 API 密钥重置后失败和 API 密钥重置后自动缩放失败。

使用该命令前，请确保运行该命令的用户拥有所需的 IBM Cloud Kubernetes Service 和 IBM Cloud 基础架构权限。将要为其设置 API 密钥的资源组和区域设定为目标。重置 API 密钥时，先前用于区域和资源组的 API 密钥 (如果有) 现在已过时。然后，可以从 API 密钥列表中删除旧 API 密钥。重置 API 密钥之前，请检查是否有其他服务使用现有 API 密钥，例如密钥管理服务(KMS)提供程序或 Secrets Manager。

ibmcloud ks api-key reset --region REGION [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
-q: 可选：不显示当天的消息或更新提示。

示例 `api-key reset` 命令

ibmcloud ks api-key reset --region us-south

`credential` 命令

设置和取消设置可让您通过 IBM Cloud 账户访问经典 IBM Cloud 基础设施组合的凭据。

仅对于经典集群，可以手动将基础架构凭证设置为其他帐户，但此操作不适用于 VPC 集群。

`ibmcloud ks credential get`

经典基础结构

如果您将 IBM Cloud 账户设置为使用不同凭据访问 IBM Cloud 基础设施组合，请获取当前目标区域和资源组的基础设施用户名。

ibmcloud ks credential get --region REGION [-q] [--output json]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `credential get` 命令

ibmcloud ks credential get --region us-south

`ibmcloud ks credential set classic`

经典基础结构

为资源组和区域设置凭证，以便可以通过 IBM Cloud 帐户访问 IBM Cloud 基础架构产品服务组合。

如果您有 IBM Cloud 现收现付帐户，那么缺省情况下您有权访问 IBM Cloud 基础架构产品服务组合。但是，您可能希望使用不同的现有 IBM Cloud 基础架构帐户来订购基础架构。您可以使用此命令将此基础架构帐户链接到 IBM Cloud 帐户。

如果为某个区域和资源组手动设置了 IBM Cloud 基础架构凭证，那么这些凭证会用于为该资源组中该区域内的所有集群订购基础架构。这些凭证用于确定基础架构许可权，即使已存在该资源组和区域的 IBM CloudIAM API 密钥也不例外。如果存储了其凭证的用户没有必需的许可权来订购基础架构，那么与基础架构相关的操作（例如，创建集群或重新装入工作程序节点）可能会失败。

不能为同一个 IBM Cloud Kubernetes Service 资源组和区域设置多个证书。

使用此命令之前，请确保使用其凭证的用户具有必需的 IBM Cloud Kubernetes Service 和 IBM Cloud 基础架构许可权。

ibmcloud ks credential set classic --infrastructure-api-key API_KEY --infrastructure-username USERNAME --region REGION [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--infrastructure-username USERNAME: 必填：IBM Cloud 基础设施账户 API 用户名。基础架构 API 用户名与 IBM 标识不同。要查看基础架构 API 用户名，请参阅管理经典基础架构 API 密钥。
--infrastructure-api-key API_KEY: 需要：IBM Cloud 基础设施账户 API 密钥。要查看或生成基础架构 API 密钥，请参阅管理经典基础架构 API 密钥。
--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
-q: 可选：不显示当天的消息或更新提示。

示例 `credential set classic` 命令

ibmcloud ks credential set classic --infrastructure-api-key <api_key> --infrastructure-username dbmanager --region us-south

`ibmcloud ks credential unset`

经典基础结构

除去资源组和区域的凭证，以除去通过 IBM Cloud 帐户对 IBM Cloud 基础架构产品服务组合的访问权。

除去凭证后，将使用 IBM CloudIAM API 密钥来订购 IBM Cloud 基础架构中的资源。

ibmcloud ks credential unset --region REGION [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
-q: 可选：不显示当天的消息或更新提示。

示例 `credential unset` 命令

ibmcloud ks credential unset --region us-south

`infra-permissions` 命令

检查 IBM Cloud Kubernetes Service中使用的经典 IBM Cloud 基础架构许可权。

ibmcloud ks infra-permissions 命令仅检查经典 IBM Cloud 基础架构，而不检查 VPC 许可权。

`ibmcloud ks infra-permissions get`

经典基础结构

检查允许访问 IBM Cloud 基础架构产品服务组合（对于目标资源组和区域）的凭证是否缺少建议或必需的基础架构许可权。

如果区域和资源组的基础架构凭证缺少任何许可权，那么此命令的输出会返回required和suggested许可权的列表。

必需：成功订购和管理基础架构资源（例如，工作程序节点）需要这些许可权。如果基础架构凭证缺少其中某个许可权，那么对区域和资源组中的所有集群执行的 worker reload 等常见操作会失败。
建议：将这些许可权包含在基础架构许可权中会非常有用，并且在某些用例中这些许可权可能是必需的。例如，Add Compute with Public Network Port基础架构许可权是建议许可权，因为如果需要公用网络，那么会需要此许可权。但是，如果用例是位于仅专用 VLAN 上的集群，那么无需此许可权，因此不会将其视为required。

有关按许可权列出的常见用例的列表，请参阅基础架构角色。

如果在控制台或基础架构角色表中找不到某个基础架构权限，该怎么办？: Support Case许可权和基础架构许可权是在控制台的不同部分中进行管理的。请参阅定制基础架构许可权。
我要分配哪些基础架构权限？: 如果您公司的许可权策略很严格，那么可能需要限制集群用例的suggested许可权。否则，请确保区域和资源组的基础架构凭证包含所有required和suggested许可权。

对于大多数用例，请使用相应的基础架构许可权为区域和资源组设置 API 密钥。如果需要使用不同于当前帐户的其他基础架构帐户，请设置手动凭证。

如何控制用户可以执行的操作？: 基础架构凭证设置完成后，您可以通过为用户分配 IBM Cloud IAM 平台访问角色来控制用户可以执行的操作。

ibmcloud ks infra-permissions get --region REGION [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

命令选项：

--region REGION: 必需: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `infra-permissions get` 命令

ibmcloud ks infra-permissions get --region us-south

示例输出

Missing Virtual Worker Permissions

Add Server                    suggested
Cancel Server                 suggested
View Virtual Server Details   required

Missing Physical Worker Permissions

No changes are suggested or required.

Missing Network Permissions

No changes are suggested or required.

Missing Storage Permissions

Add Storage       required
Manage Storage    required

`kms` 命令

在集群中启用密钥管理服务(KMS)提供程序，以使用您控制的根密钥对 etcd 组件和 Kubernetes 私钥进行加密。

`ibmcloud ks kms crk ls`

虚拟私有云经典基础架构

列出密钥管理服务实例中可用的客户根密钥 (CRK)。根密钥打包并解包集群用于加密其密钥的本地数据加密密钥 (DEK)。有关更多信息，请参阅了解密钥管理服务(KMS)提供程序。

请勿删除 KMS 实例中的根密钥，即使轮换使用新密钥也是如此。如果删除群集使用的根密钥，群集将无法使用，丢失所有数据，并且无法恢复。

ibmcloud ks kms crk ls --instance-id KMS_INSTANCE_ID [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中的 查看者 平台访问角色

命令选项：

--instance-id KMS_INSTANCE_ID: 要列出其根密钥的密钥管理服务实例的标识。要列出可用的 KMS 实例，请运行 ibmcloud ks kms instance ls。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `kms crk ls` 命令

ibmcloud ks kms crk ls --instance-id 1aa1a111-1111-1111-a111-a1aaaa1a1a1a

`ibmcloud ks kms enable`

虚拟私有云经典基础架构

在集群中启用密钥管理服务（KMS）提供商，加密 Kubernetes 秘密。要使用现有密钥加密在集群中轮换密钥，请使用新的根密钥标识重新运行此命令。

请勿删除 KMS 实例中的根密钥，即使轮换使用新密钥也是如此。如果删除群集使用的根密钥，群集将无法使用，丢失所有数据，并且无法恢复。当您轮换根密钥时，不能对同一集群复用先前的根密钥。

ibmcloud ks kms enable --cluster CLUSTER_NAME_OR_ID --instance-id KMS_INSTANCE_ID --crk ROOT_KEY_ID [--kms-account-id ID] [--public-endpoint] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 管理员 平台访问角色

命令选项：

--container, -c CLUSTER_NAME_OR_ID: 集群的名称或标识。
--instance-id KMS_INSTANCE_ID: 要用于对集群中的私钥进行加密的 KMS 实例的标识。要列出可用的 KMS 实例，请运行 ibmcloud ks kms instance ls。
--crk ROOT_KEY_ID: 要用于打包集群中本地存储的数据加密密钥 (DEK) 的 KMS 实例中客户根密钥 (CRK) 的标识。要列出可用的根密钥，请运行 ibmcloud ks kms crk ls --instance-id <kms_instance_id>。
--kms-account-id ID: 可选项：包含要用于本地磁盘或秘密加密的 KMS 实例的账户 ID。
--public-endpoint: 可选：指定此选项可使用 KMS 公共云服务端点。如果不包含此选项，那么缺省情况下将使用私有云服务端点。
-q: 可选：不显示当天的消息或更新提示。

示例 `kms enable` 命令

ibmcloud ks kms enable -c mycluster --instance-id a11aa11a-bbb2-3333-d444-e5e555e5ee5 --crk 1a111a1a-bb22-3c3c-4d44-55e555e55e55

`ibmcloud ks kms instance ls`

虚拟私有云经典基础架构

列出您可以选择在集群中启用的 IBM Cloud 帐户中可用的密钥管理服务(KMS)实例。

ibmcloud ks kms instance ls [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 中的 查看者 平台访问角色

命令选项：

--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks kms instance ls

`quota` 命令

`ibmcloud ks quota ls`

虚拟私有云经典基础架构

列出 IBM Cloud 账户中与群集相关资源的所有配额和限制。

ibmcloud ks quota ls [--provider PROVIDER] [--output json]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

--provider (classic | vpc-gen2): 要列出配额和限制的基础架构提供者类型。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks quota ls

`subnets` 命令

虚拟私有云经典基础架构

列出 IBM Cloud 基础架构帐户中所有资源组中的可用子网。

ibmcloud ks subnets [--provider (classic | vpc-gen2)] [--vpc-id <VPC_ID> --zone <VPC_ZONE>] [--location LOCATION] [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

--provider (classic | vpc-gen2): 要列出子网的基础设施提供商类型。要列出 VPC 子网，必须使用该选项。
--vpc-id VPC_ID: 要列出其子网的 VPC 的标识。指定 vpc-gen2 提供商类型时需要使用该选项。要列出 VPC 标识，请运行 ibmcloud ks vpcs。
--zone VPC_ZONE: 要列出其 VPC 子网的专区。指定 VPC 提供程序类型时需要使用该选项。
-l, --location LOCATION: 按特定位置过滤输出。要查看支持的位置，请运行 ibmcloud ks locations。要指定多个位置，每个位置使用一个选项，如 -l dal -l seo。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks subnets -l ams03 -l wdc -l ap

`vlan` 命令

经典基础结构

列出专区的公用和专用 VLAN，并查看 VLAN 生成状态。

`ibmcloud ks vlan ls`

经典基础结构

列出可用于经典 IBM Cloud 基础架构帐户中专区的公用和专用 VLAN。要列出可用 VLAN，您必须具有付费帐户。

ibmcloud ks vlan ls --zone ZONE [--all] [--output json] [-q]

最低必需许可权：

要查看群集在区域中连接的 VLAN，请执行以下操作中群集的查看器平台访问角色 IBM Cloud Kubernetes Service
要列出区域中所有可用的 VLAN，请执行以下操作中区域的查看器平台访问角色 IBM Cloud Kubernetes Service

命令选项：

--zone ZONE: 需要：输入要列出专用和公用 VLAN 的区域。要查看可用专区，请运行 ibmcloud ks zone ls。
--all: 列出所有可用的 VLAN。缺省情况下，会对 VLAN 进行过滤，以仅显示有效的 VLAN。要使 VLAN 有效，必须将 VLAN 与可使用本地磁盘存储来托管工作程序的基础架构相关联。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `vlan ls` 命令

ibmcloud ks vlan ls --zone dal10

`ibmcloud ks vlan spanning get`

经典基础结构

查看 IBM Cloud 基础架构帐户的 VLAN 生成状态。 VLAN 生成支持帐户中的所有设备通过专用网络相互通信，而不管设备分配给哪个 VLAN。

对于在启用 VRF 的帐户中创建的集群，已禁用 VLAN 生成选项。启用 VRF 时，帐户中的所有 VLAN 都可以通过专用网络自动相互通信。要检查是否已启用 VRF，请使用 ibmcloud account show 命令。有关更多信息，请参阅规划集群网络设置：工作程序到工作程序的通信。

ibmcloud ks vlan spanning get --region REGION [--output json] [-q]

最低必需许可权: IBM Cloud Kubernetes Service 的 查看者 平台访问角色

命令选项：

--region REGION: 在 IBM Cloud Kubernetes Service中指定区域: jp-osa，jp-tok，au-syd，eu-de，eu-gb，us-east 或 us-south。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `vlan spanning get` 命令

ibmcloud ks vlan spanning get --region us-south

`ibmcloud ks vpc ls`

列出目标资源组中的所有 VPC。如果没有针对资源组，则会列出账户中的所有 VPC。

ibmcloud ks vpc ls [--output OUTPUT] [--provider PROVIDER] [-q]

命令选项

--output OUTPUT: 以提供的格式打印命令输出。接受的值： json --provider PROVIDER; VPC 基础结构提供程序类型。支持的值为 vpc-classic 和 vpc-gen2。缺省情况下，将返回所有提供程序类型的 VPC。
-q: 不显示每日消息或更新提示。

`ibmcloud ks vpc outbound-traffic-protection disable`

对缺省情况下的安全 VPC 集群禁用出站流量保护。

ibmcloud ks vpc outbound-traffic-protection disable --cluster CLUSTER [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
-f: 强制此命令运行，而不显示用户提示。
-q: 不显示每日消息或更新提示。

`ibmcloud ks vpc outbound-traffic-protection enable`

对缺省情况下的安全 VPC 集群启用出站流量保护。

ibmcloud ks vpc outbound-traffic-protection enable --cluster CLUSTER [-f] [-q]

命令选项

--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
-f: 强制此命令运行，而不显示用户提示。
-q: 不显示每日消息或更新提示。

`flavor` 命令

每种类型模板都包含集群中每个工作程序节点的虚拟 CPU 量、内存量和磁盘空间量。

缺省情况下，存储所有容器数据的辅助存储器磁盘目录将使用 LUKS 加密进行加密。如果在创建集群期间包含了 disable-disk-encrypt 选项，那么不会加密主机的容器运行时数据。了解有关加密的更多信息。

可以将工作程序节点作为虚拟机在共享或专用硬件上进行供应，也可以作为物理机器在裸机上进行供应（仅适用于经典集群）。

`flavor get` 命令

虚拟私有云经典基础架构

获取区域和提供者的类型模板信息。

ibmcloud ks flavor get --flavor FLAVOR --provider PROVIDER --zone ZONE [--output OUTPUT] [-q]

最低必需许可权: 无

命令选项：

--flavor FLAVOR: 要获取其信息的类型模板。类型将确定可供每个工作程序节点使用的虚拟 CPU、内存和磁盘空间。
--provider PROVIDER: 要获取其类型模板信息的基础结构提供程序。可用的选项有 classic, vpc-classic 和 vpc-gen2。
--zone ZONE: 要获取其类型模板信息的区域。要查看经典集群的可用专区，请运行 ibmcloud ks zone ls。要查看 VPC 集群的可用区域，请运行 ibmcloud ks zone ls --provider vpc-gen2 for Generation 2 计算。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `flavor get` 命令

虚拟私有云经典基础架构

ibmcloud ks flavor get --zone us-south-1 --provider vpc-gen2 --flavor bx2d.48x192.900gb

`flavor ls` 命令

虚拟私有云经典基础架构

列出某个区域的可用类型。

ibmcloud ks flavor ls --zone ZONE [--output OUTPUT] [--provider PROVIDER] [-q] [--show-os] [--show-storage]

最低必需许可权: 无

命令选项：

--zone ZONE: 要获取其类型模板信息的区域。要查看经典集群的可用专区，请运行 ibmcloud ks zone ls。要查看 VPC 集群的可用区域，请运行 ibmcloud ks zone ls --provider vpc-gen2 for Generation 2 计算。
--provider PROVIDER: 可选: 要获取其类型模板信息的基础结构提供程序。可用的选项有 classic, vpc-classic 和 vpc-gen2。
--show-os: 可选：列出支持的操作系统。
--show-storage: 可选: 显示可用于 SDS 工作程序节点类型模板的其他原始磁盘。有关更多信息，请参阅软件定义的存储器(SDS)机器。在各都市区部分的表格中，SDS 味道位于 Bare Metal 选项卡中，并以 .ssd 结尾。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例 `flavor ls` 命令

ibmcloud ks flavor ls --zone us-south-1 --provider vpc-gen2 --show-os --show-storage

`messages` 命令

虚拟私有云经典基础架构

查看来自 IBM 标识用户的 IBM Cloud Kubernetes Service CLI 插件的当前消息。

ibmcloud ks messages

最低必需许可权: 无

命令选项：无

locations 命令

虚拟私有云经典基础架构

列出 IBM Cloud Kubernetes Service 支持的位置。有关返回的位置的更多信息，请参阅 IBM Cloud Kubernetes Service 位置。

ibmcloud ks locations [--output json]

最低必需许可权: 无

命令选项：

--output json: 可选：以 JSON 格式打印命令输出。

`versions` 命令

虚拟私有云经典基础架构

列出可用于 IBM Cloud Kubernetes Service 集群的所有容器平台版本。将集群主节点和工作程序节点更新到缺省版本以获取最新的稳定功能。

不推荐使用此命令的 kube-versions 别名。

ibmcloud ks versions [--show-version (KUBERNETES|OPENSHIFT)] [--output json] [-q]

最低必需许可权: 无

命令选项：

--show-version (KUBERNETES|OPENSHIFT): 仅显示指定容器平台的版本。支持的值为 kubernetes 或 openshift。
--output json: 可选：以 JSON 格式打印命令输出。
-q: 可选：不显示当天的消息或更新提示。

示例：

ibmcloud ks versions

`api` 命令

虚拟私有云经典基础架构

将 IBM Cloud Kubernetes Service 的 API 端点设定为目标。如果没有指定端点，则可以查看当前目标端点的信息。

不推荐使用特定于区域的端点。改用全局端点。

如果只需要列出和使用一个区域中的资源，那么可以使用 ibmcloud ks api 命令将区域端点而不是全局端点设定为目标。

达拉斯（美国南部，us-south）：https://us-south.containers.cloud.ibm.com
法兰克福（欧洲中部，eu-de）：https://eu-de.containers.cloud.ibm.com
伦敦（英国南部，eu-gb）：https://eu-gb.containers.cloud.ibm.com
大坂 (jp-osa): https://jp-osa.containers.cloud.ibm.com
圣保罗 (br-sao): https://br-sao.containers.cloud.ibm.com
悉尼（亚太地区南部，au-syd）：https://au-syd.containers.cloud.ibm.com
东京（亚太地区北部，jp-tok）：https://jp-tok.containers.cloud.ibm.com
多伦多 (ca-tor): https://ca-tor.containers.cloud.ibm.com
华盛顿，D.C。(美国东部，美国东部): https://us-east.containers.cloud.ibm.com

要使用全局功能，可以再次使用 ibmcloud ks api 命令将全局端点 https://containers.cloud.ibm.com 设定为目标。

ibmcloud ks api --endpoint ENDPOINT [--insecure] [--skip-ssl-validation] [--api-version VALUE] [-q]

最低必需许可权: 无

命令选项：

--endpoint ENDPOINT

IBM Cloud Kubernetes Service API 端点。 **注意**：该端点与 IBM Cloud 端点不同。 需要此值来设置 API 端点。

--insecure

允许不安全的 HTTP 连接。此选项是可选的。

--skip-ssl-validation

允许不安全的 SSL 证书。此选项是可选的。

--api-version VALUE

可选：指定要使用的服务的 API 版本。

-q

可选：不显示当天的消息或更新提示。

示例：查看有关设定为目标的当前 API 端点的信息。

ibmcloud ks api

API Endpoint:          https://containers.cloud.ibm.com
API Version:           v1
Skip SSL Validation:   false
Region:                us-south

`init` 命令

虚拟私有云经典基础架构

初始化 IBM Cloud Kubernetes Service 插件或指定要在其中创建或访问 Kubernetes 集群的区域。

不推荐使用特定于区域的端点。改用全局端点。

如果只需要列出和使用一个区域中的资源，那么可以使用 ibmcloud ks init 命令将区域端点而不是全局端点设定为目标。

达拉斯（美国南部，us-south）：https://us-south.containers.cloud.ibm.com
法兰克福（欧洲中部，eu-de）：https://eu-de.containers.cloud.ibm.com
伦敦（英国南部，eu-gb）：https://eu-gb.containers.cloud.ibm.com
大坂 (jp-osa): https://jp-osa.containers.cloud.ibm.com
圣保罗 (br-sao): https://br-sao.containers.cloud.ibm.com
悉尼（亚太地区南部，au-syd）：https://au-syd.containers.cloud.ibm.com
东京（亚太地区北部，jp-tok）：https://jp-tok.containers.cloud.ibm.com
多伦多 (ca-tor): https://ca-tor.containers.cloud.ibm.com
华盛顿，D.C。(美国东部，美国东部): https://us-east.containers.cloud.ibm.com

要使用全局功能，可以再次使用 ibmcloud ks init 命令将全局端点 https://containers.cloud.ibm.com 设定为目标。

ibmcloud ks init [--host HOST] [--insecure] [-p] [-u] [-q]

最低必需许可权: 无

命令选项：

--host HOST: 可选: 要使用的 IBM Cloud Kubernetes Service API 端点。
--insecure: 允许不安全的 HTTP 连接。
-p: 您的 IBM Cloud 密码。
-u: 您的 IBM Cloud 用户名。
-q: 可选：不显示当天的消息或更新提示。

示例：

将美国南部区域端点设定为目标的示例：

ibmcloud ks init --host https://us-south.containers.cloud.ibm.com

将全局端点重新设定为目标的示例：

ibmcloud ks init --host https://containers.cloud.ibm.com

`script` 命令

`ibmcloud ks script update`

虚拟私有云经典基础架构

重写调用 kubernetes-service 命令的脚本。将旧结构的命令替换为 Beta 结构的命令。

V1.0 中的大部分命令行为和语法都有更改。这些更改与先前版本不兼容。更新脚本之后，必须在脚本中或运行脚本的环境中继续使用 V1.0 插件。不要将 IKS_BETA_VERSION 环境变量更改为其他版本。

ibmcloud ks script update [--in-place] FILE [FILE ...]

最低必需许可权: 无

命令选项：

--in-place: 可选：使用更新的命令结构来重写源文件。如果未指定此选项，则可在 STDOUT 中看到脚本文件的更改摘要。
FILE [FILE ...]: 包含要更新的脚本的文件。

要使用此命令为 IBM Cloud Kubernetes Service V1.0 插件发行版准备自动化脚本，请执行以下操作：

在不带 --in-place 选项的测试脚本上运行该命令。
```
ibmcloud ks script update ./mytestscript.sh
```

查看命令行 STDOUT 中显示的脚本修改建议。示例输出

--- a/script-test-2
+++ b/script-test-2
@@ -1,5 +1,5 @@
-ibmcloud ks logging-config-get --cluster mycluster
-ibmcloud ks logging-config-update --cluster mycluster --id myconfig --logsource application --type ibm --app-containers app1,app2,app3 --app-paths /var/log/path/
-ibmcloud ks logging-config-update --cluster mycluster --id myconfig --logsource application --type ibm --app-paths=/var/log/path/,/var/log/other/path/
-ibmcloud ks clusters -s --locations dal09,dal12 --output json
-ibmcloud ks subnets --locations sao01
+ibmcloud ks logging config get --cluster mycluster
+ibmcloud ks logging config update --cluster mycluster --id myconfig --logsource application --type ibm -C app1 -C app2 -C app3 -p /var/log/path/
+ibmcloud ks logging config update --cluster mycluster --id myconfig --logsource application --type ibm -p /var/log/path/ -p /var/log/other/path/
+ibmcloud ks clusters -s -l dal09 -l dal12 --output json
+ibmcloud ks subnets -l sao01

要根据建议的更新重写脚本，请使用 --in-place 选项再次运行该命令。
```
ibmcloud ks script update ./mytestscript.sh --in-place
```
搜索并解决脚本中标记有 # WARNING 消息的所有命令。例如，有些命令已经过时，没有替代命令。
在脚本中或运行脚本的环境中，将 IKS_BETA_VERSION 环境变量设置为 1.0。
```
export IKS_BETA_VERSION=1.0
```
使用更新的脚本测试自动化。请注意，如果自动化包含创建集群，那么可能会产生费用。
更新所有脚本。

将 CLI 插件更新为 V 1.0。

ibmcloud plugin update kubernetes-service

`security-group` 命令

虚拟私有云经典基础架构

将安全组重置或同步到缺省交通规则。

`ibmcloud ks security-group ls`

列出与集群关联的所有安全组。

ibmcloud ks security-group ls --cluster CLUSTER [--attached-to ATTACHED] [--managed-by MANAGER] [--output OUTPUT] [-q] [--scope SCOPE]

命令选项

--attached-to ATTACHED: 按安全组所连接的组件对安全组进行过滤。接受的值: cluster，load-balancer，vpc，vpe-gateway 和 worker-pool
--cluster CLUSTER, -c CLUSTER: 指定集群名称或标识。
--managed-by MANAGER: 指定 user 以返回用户创建的安全组。指定 ibm 以仅返回由 IBM管理的安全组。接受的值: ibm，user
--output OUTPUT: 以提供的格式打印命令输出。接受的值： json
-q: 不显示每日消息或更新提示。
--scope SCOPE: 指定 cluster 以返回作用域限定为集群的安全组。指定 vpc 以返回作用域限定为整个 VPC 的安全组。接受的值: cluster，vpc

`ibmcloud ks security-group reset`

虚拟私有云经典基础架构

删除所有现有安全组规则并重新应用缺省规则。

ibmcloud ks security-group reset --cluster CLUSTER --security-group GROUP [-f] [-q]

最低必需许可权: 无

命令选项：

--cluster CLUSTER: 必填：指定群集名称或 ID。要列出可用的群集，请运行 ibmcloud ks cluster ls。
--security-group GROUP_ID: 必需: 指定安全组标识。

示例：

ibmcloud ks security-group reset --cluster mycluster --security-group mygroup

`ibmcloud ks security-group sync`

虚拟私有云经典基础架构

重新应用缺省安全组规则以添加任何缺少的规则。不会删除已有规则。

ibmcloud ks security-group sync --cluster CLUSTER --security-group GROUP [-q]

最低必需许可权: 无

命令选项：

--cluster CLUSTER: 必填：指定群集名称或 ID。要列出可用的群集，请运行 ibmcloud ks cluster ls。
--security-group GROUP_ID: 必需: 指定安全组标识。

示例：

ibmcloud ks security-group sync --cluster mycluster --security-group mygroup

Beta: `storage` 命令

虚拟私有云经典基础架构

创建，获取，列示或除去存储卷连接。

storage 命令以 Beta 版提供。

`ibmcloud ks storage attachment create`

虚拟私有云

将存储卷连接到集群中的工作程序节点。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

ibmcloud ks storage attachment create --cluster CLUSTER_ID --volume VOLUME --worker WORKER [--output json]

命令选项：

--cluster CLUSTER_ID: 必填：指定群集 ID。要列出可用的群集，请运行 ibmcloud ks cluster ls。
--volume VOLUME: 需要：指定卷 ID。要列出可用的工人名单，请运行 ibmcloud ks storage volume ls。
--worker WORKER: 必须填写：指定工人 ID。要列出可用的工人名单，请运行 ibmcloud ks worker ls。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage attachment create --cluster aa1111aa11aaaaa11aa1 --volume 111111111 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

`ibmcloud ks storage attachment get`

虚拟私有云

获取群集中存储卷附件的详细信息。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

ibmcloud ks storage attachment get --cluster CLUSTER_ID --attachment ATTACHMENT --worker WORKER [--output json]

--cluster CLUSTER_ID: 必填：指定群集 ID。要列出可用的群集，请运行 ibmcloud ks cluster ls。
--attachment ATTACHMENT: 必填：指定卷附件 ID。要列出可用附件，请运行 ibmcloud ks storage attachment ls。
--worker WORKER: 必须填写：指定工人 ID。要列出可用的工人名单，请运行 ibmcloud ks worker ls。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage attachment get --cluster aa1111aa11aaaaa11aa1 --attachment 0111-1a111aaa-1111-1111-111a-aaa1a1a11a11 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

`ibmcloud ks storage attachment ls`

虚拟私有云

列出集群中工作程序节点的存储卷连接。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

ibmcloud ks storage attachment ls --cluster CLUSTER_ID --worker WORKER [--output json]

--cluster CLUSTER_ID: 必填：指定群集 ID。要列出可用的群集，请运行 ibmcloud ks cluster ls。
--worker WORKER: 必须填写：指定工人 ID。要列出可用的工人名单，请运行 ibmcloud ks worker ls。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage attachment ls --cluster aa1111aa11aaaaa11aa1 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

`ibmcloud ks storage attachment rm`

虚拟私有云

从集群中的工作程序节点除去存储卷。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

ibmcloud ks storage attachment rm --cluster CLUSTER_ID --attachment ATTACHMENT --worker WORKER [--output json]

命令选项：

--cluster CLUSTER_ID: 必填：指定群集 ID。要列出可用的群集，请运行 ibmcloud ks cluster ls。
--attachment ATTACHMENT: 必填：指定卷附件 ID。要列出可用附件，请运行 ibmcloud ks storage attachment ls。
--worker WORKER: 必须填写：指定工人 ID。要列出可用的工人名单，请运行 ibmcloud ks worker ls。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage attachment rm --cluster aa1111aa11aaaaa11aa1 --attachment 0111-1a111aaa-1111-1111-111a-aaa1a1a11a11 --worker kube-aa1111aa11aaaaa11aa1-my_cluster-default-00000110 [--output json]

`ibmcloud ks storage volume get`

虚拟私有云经典基础架构

列出经典集群的存储卷。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 查看者 平台访问角色

ibmcloud ks storage volume get --volume VOLUME

命令选项：

--volume VOLUME: 需要：指定卷 ID。要列出可用卷，请运行 ibmcloud ks storage volume ls。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage volume get --volume 111111111

`ibmcloud ks storage volume ls`

虚拟私有云经典基础架构

获取存储卷列表。

最低必需许可权: IBM Cloud Kubernetes Service 中集群的 编辑者 平台访问角色

ibmcloud ks storage volume ls [--cluster CLUSTER_ID] [--provider PROVIDER] [--zone ZONE] [--output json]

命令选项：

--cluster CLUSTER_ID: 可选：指定群集 ID。要列出可用的群集，请运行 ibmcloud ks cluster ls。
--provider PROVIDER: 可选: 指定提供程序。支持的值为 classic 和 vpc-gen2。
--zone ZONE: 可选: 指定区域。要列出可用区段，请运行 ibmcloud ks locations。
--output json: 可选：以 JSON 格式打印命令输出。

示例：

ibmcloud ks storage volume ls --cluster aa1111aa11aaaaa11aa1

IBM Cloud Kubernetes Service CLI 参考

IBM Cloud Kubernetes Service 命令

cluster 命令

ibmcloud ks cluster addon disable

ibmcloud ks cluster addon disable alb-oauth-proxy

示例 addon disable alb-oauth-proxy 命令

ibmcloud ks cluster addon disable debug-tool

ibmcloud ks cluster addon disable istio

ibmcloud ks cluster addon disable istio-extras

ibmcloud ks cluster addon disable istio-sample-bookinfo

ibmcloud ks cluster addon disable kube-terminal

ibmcloud ks cluster addon disable static-route

ibmcloud ks cluster addon disable vpc-block-csi-driver

ibmcloud ks cluster addon enable

ibmcloud ks cluster addon enable alb-oauth-proxy

示例 addon enable alb-oauth-proxy 命令

ibmcloud ks cluster addon enable debug-tool

示例 addon enable debug-tool 命令

ibmcloud ks cluster addon enable istio

ibmcloud ks cluster addon enable static-route

ibmcloud ks cluster addon enable vpc-block-csi-driver

ibmcloud ks cluster addon get

ibmcloud ks cluster addon ls

ibmcloud ks cluster addon options

ibmcloud ks cluster addon update

ibmcloud ks cluster addon versions

示例 addon versions 命令

ibmcloud ks cluster ca create

示例 cluster ca create 命令

ibmcloud ks cluster ca get

示例 cluster ca get 命令

ibmcloud ks cluster ca rotate

示例 cluster ca rotate 命令

ibmcloud ks cluster ca status

示例 cluster ca status 命令

ibmcloud ks cluster config

示例 cluster config 命令

ibmcloud ks cluster create classic

示例 cluster create classic 命令

ibmcloud ks cluster create vpc-gen2

示例 cluster create vpc-gen2 命令

ibmcloud ks cluster get

示例 cluster get 命令

ibmcloud ks cluster image-security disable

示例 cluster image-security disable 命令

ibmcloud ks cluster image-security enable

示例 cluster image-security enable 命令

ibmcloud ks cluster ls

示例 cluster ls 命令

ibmcloud ks cluster master audit-webhook

ibmcloud ks cluster master audit-webhook get

示例 cluster master audit-webhook get 命令

ibmcloud ks cluster master audit-webhook set

示例 cluster master audit-webhook set 命令

ibmcloud ks cluster master audit-webhook unset

ibmcloud ks cluster master console-oauth-access get

命令选项

ibmcloud ks cluster master console-oauth-access set

命令选项

ibmcloud ks cluster master pod-security get

示例 cluster master pod-security get 命令

ibmcloud ks cluster master pod-security policy disable

示例 cluster master pod-security policy disable 命令

ibmcloud ks cluster master pod-security policy enable

示例 cluster master pod-security policy enable 命令

ibmcloud ks cluster master pod-security policy get

示例 cluster master pod-security policy get 命令

ibmcloud ks cluster master pod-security set

示例 cluster master pod-security set 命令

ibmcloud ks cluster master pod-security unset

示例 cluster master pod-security unset 命令

ibmcloud ks cluster master private-service-endpoint allowlist

ibmcloud ks cluster master private-service-endpoint allowlist add

示例 cluster master private-service-endpoint allowlist add 命令

ibmcloud ks cluster master private-service-endpoint allowlist disable

示例 cluster master private-service-endpoint allowlist disable 命令

ibmcloud ks cluster master private-service-endpoint allowlist enable

示例 cluster master private-service-endpoint allowlist enable 命令

ibmcloud ks cluster master private-service-endpoint allowlist get

示例 cluster master private-service-endpoint allowlist get 命令

`cluster` 命令

`ibmcloud ks cluster addon disable`

`ibmcloud ks cluster addon disable alb-oauth-proxy`

示例 `addon disable alb-oauth-proxy` 命令

`ibmcloud ks cluster addon disable debug-tool`

`ibmcloud ks cluster addon disable istio`

`ibmcloud ks cluster addon disable istio-extras`

`ibmcloud ks cluster addon disable istio-sample-bookinfo`

`ibmcloud ks cluster addon disable kube-terminal`

`ibmcloud ks cluster addon disable static-route`

`ibmcloud ks cluster addon disable vpc-block-csi-driver`

`ibmcloud ks cluster addon enable`

`ibmcloud ks cluster addon enable alb-oauth-proxy`

示例 `addon enable alb-oauth-proxy` 命令

`ibmcloud ks cluster addon enable debug-tool`

示例 `addon enable debug-tool` 命令

`ibmcloud ks cluster addon enable istio`

`ibmcloud ks cluster addon enable static-route`

`ibmcloud ks cluster addon enable vpc-block-csi-driver`

`ibmcloud ks cluster addon get`

`ibmcloud ks cluster addon ls`

`ibmcloud ks cluster addon options`

`ibmcloud ks cluster addon update`

`ibmcloud ks cluster addon versions`

示例 `addon versions` 命令

`ibmcloud ks cluster ca create`

示例 `cluster ca create` 命令

`ibmcloud ks cluster ca get`

示例 `cluster ca get` 命令

`ibmcloud ks cluster ca rotate`

示例 `cluster ca rotate` 命令

`ibmcloud ks cluster ca status`

示例 `cluster ca status` 命令

`ibmcloud ks cluster config`

示例 `cluster config` 命令

`ibmcloud ks cluster create classic`

示例 `cluster create classic` 命令

`ibmcloud ks cluster create vpc-gen2`

示例 `cluster create vpc-gen2` 命令

`ibmcloud ks cluster get`

示例 `cluster get` 命令

`ibmcloud ks cluster image-security disable`

示例 `cluster image-security disable` 命令

`ibmcloud ks cluster image-security enable`

示例 `cluster image-security enable` 命令

`ibmcloud ks cluster ls`

示例 `cluster ls` 命令

`ibmcloud ks cluster master audit-webhook`

`ibmcloud ks cluster master audit-webhook get`

示例 `cluster master audit-webhook get` 命令

`ibmcloud ks cluster master audit-webhook set`

示例 `cluster master audit-webhook set` 命令

`ibmcloud ks cluster master audit-webhook unset`

`ibmcloud ks cluster master console-oauth-access get`

`ibmcloud ks cluster master console-oauth-access set`

`ibmcloud ks cluster master pod-security get`

示例 `cluster master pod-security get` 命令

`ibmcloud ks cluster master pod-security policy disable`

示例 `cluster master pod-security policy disable` 命令

`ibmcloud ks cluster master pod-security policy enable`

示例 `cluster master pod-security policy enable` 命令

`ibmcloud ks cluster master pod-security policy get`

示例 `cluster master pod-security policy get` 命令

`ibmcloud ks cluster master pod-security set`

示例 `cluster master pod-security set` 命令

`ibmcloud ks cluster master pod-security unset`

示例 `cluster master pod-security unset` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist`

`ibmcloud ks cluster master private-service-endpoint allowlist add`

示例 `cluster master private-service-endpoint allowlist add` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist disable`

示例 `cluster master private-service-endpoint allowlist disable` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist enable`

示例 `cluster master private-service-endpoint allowlist enable` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist get`

示例 `cluster master private-service-endpoint allowlist get` 命令

`ibmcloud ks cluster master private-service-endpoint allowlist rm`

示例 `cluster master private-service-endpoint allowlist rm` 命令

`ibmcloud ks cluster master private-service-endpoint disable`

示例 `cluster master private-service-endpoint disable` 命令