pilot-discovery
Istio Pilot 在 Istio 服务网格中提供网格范围的流量管理、安全和策略功能。
| 标志 | 描述 |
|---|---|
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
pilot-discovery completion
为指定 shell 生成 pilot-discovery 的自动完成脚本。有关如何使用生成的脚本的详细信息,请参阅每个子命令的帮助。
| 标志 | 描述 |
|---|---|
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
pilot-discovery completion bash
为 bash shell 生成自动完成脚本。
此脚本依赖于 'bash-completion' 包。如果尚未安装,则可以通过操作系统的包管理器安装。
要在当前 shell 会话中加载完成
source <(pilot-discovery completion bash)要在每个新会话中加载完成,请执行一次
Linux
pilot-discovery completion bash > /etc/bash_completion.d/pilot-discoverymacOS
pilot-discovery completion bash > /usr/local/etc/bash_completion.d/pilot-discovery你需要启动一个新的 shell 以使此设置生效。
pilot-discovery completion bash
| 标志 | 描述 |
|---|---|
--no-descriptions | 禁用完成描述 |
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
pilot-discovery completion fish
为 fish shell 生成自动完成脚本。
要在当前 shell 会话中加载完成
pilot-discovery completion fish | source要在每个新会话中加载完成,请执行一次
pilot-discovery completion bash > ~/.config/fish/completions/pilot-discovery.fish你需要启动一个新的 shell 以使此设置生效。
pilot-discovery completion fish [flags]
| 标志 | 描述 |
|---|---|
--no-descriptions | 禁用完成描述 |
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
pilot-discovery completion powershell
为 PowerShell 生成自动完成脚本。
要在当前 shell 会话中加载完成
pilot-discovery completion powershell | Out-String | Invoke-Expression要在每个新会话中加载完成,请将上述命令的输出添加到 powershell 配置文件中。
pilot-discovery completion powershell [flags]
| 标志 | 描述 |
|---|---|
--no-descriptions | 禁用完成描述 |
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
pilot-discovery completion zsh
为 zsh shell 生成自动完成脚本。
如果 shell 完成尚未在你的环境中启用,你需要启用它。你可以执行一次以下操作
echo "autoload -U compinit; compinit" >> ~/.zshrc要在当前 shell 会话中加载完成
source <(pilot-discovery completion zsh)要在每个新会话中加载完成,请执行一次
Linux
pilot-discovery completion zsh > "${fpath[1]}/_pilot-discovery"macOS
pilot-discovery completion zsh > $(brew --prefix)/share/zsh/site-functions/_pilot-discovery你需要启动一个新的 shell 以使此设置生效。
pilot-discovery completion zsh [flags]
| 标志 | 描述 |
|---|---|
--no-descriptions | 禁用完成描述 |
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
pilot-discovery discovery
启动 Istio 代理发现服务。
pilot-discovery discovery [flags]
| 标志 | 缩写 | 描述 |
|---|---|---|
--caCertFile <string> | 包含 x509 服务器 CA 证书的文件(默认值为 ``) | |
--clusterAliases <stringToString> | 集群的别名(默认值为 `[]`) | |
--clusterID <string> | 此 Istiod 实例所在的集群的 ID(默认值为 `Kubernetes`) | |
--clusterRegistriesNamespace <string> | 存储集群配置的 ConfigMap 命名空间(默认值:`istio-system`) | |
--cniNamespace <string> | 选择 istio-cni 所在的命名空间。如果未设置,则使用 ${POD_NAMESPACE} 环境变量(默认值:`istio-system`) | |
--configDir <string> | 要监视以获取配置 yaml 文件更新的目录。如果指定,则这些文件将用作配置的来源,而不是 CRD 客户端。(默认值:``) | |
--ctrlz_address <string> | 用于监听 ControlZ 自省功能的 IP 地址。使用 '*' 表示所有地址。(默认值:`localhost`) | |
--ctrlz_port <uint16> | 用于 ControlZ 自省功能的 IP 端口(默认值:`9876`) | |
--domain <string> | DNS 域名后缀(默认值:`cluster.local`) | |
--grpcAddr <string> | 发现服务 gRPC 地址(默认值:`:15010`) | |
--httpAddr <string> | 发现服务 HTTP 地址(默认值:`:8080`) | |
--httpsAddr <string> | 注入和验证服务 HTTPS 地址(默认值:`:15017`) | |
--keepaliveInterval <duration> | 如果连接上没有活动,则 ping 对端以查看传输是否还活着的时间间隔(默认值:`30s`) | |
--keepaliveMaxServerConnectionAge <duration> | 连接在服务器上保持打开状态的最长时间,之后将进行优雅关闭。(默认值:`2562047h47m16.854775807s`) | |
--keepaliveTimeout <duration> | 在 ping 进行保活检查后,客户端/服务器等待 keepaliveTimeout 的持续时间,如果在那之后仍未看到任何活动,则关闭连接。(默认值:`10s`) | |
--kubeconfig <string> | 使用 Kubernetes 配置文件而不是集群内配置(默认值:``) | |
--kubernetesApiBurst <int> | 与 Kubernetes API 通信时,节流的最大突发量(默认值:`160`) | |
--kubernetesApiQPS <float32> | 与 Kubernetes API 通信时的最大 QPS(默认值:`80`) | |
--log_as_json | 是否将输出格式化为 JSON 或以纯控制台友好格式。 | |
--log_caller <string> | 要包含调用者信息的范围的逗号分隔列表,范围可以是以下任何一个:[ads, adsc, all, analysis, authn, authorization, ca, controllers, default, delta, deltaadsc, file, fullpush, gateway, grpc, grpcgen, ingress status, ip-autoallocate, klog, krt, kube, model, monitor, monitoring, pkica, pkira, processing, retry, rootcertrotator, secretcontroller, security, serverca, serviceentry, spiffe, status, trustBundle, untaint, validation, validationController, validationServer, wasm, wle](默认值:``) | |
--log_output_level <string> | 要输出的消息的逗号分隔的每个范围的最小日志记录级别,形式为 <scope>:<level>,<scope>:<level>,... 其中范围可以是以下任何一个:[ads, adsc, all, analysis, authn, authorization, ca, controllers, default, delta, deltaadsc, file, fullpush, gateway, grpc, grpcgen, ingress status, ip-autoallocate, klog, krt, kube, model, monitor, monitoring, pkica, pkira, processing, retry, rootcertrotator, secretcontroller, security, serverca, serviceentry, spiffe, status, trustBundle, untaint, validation, validationController, validationServer, wasm, wle],而级别可以是以下任何一个:[debug, info, warn, error, fatal, none](默认值:``) | |
--log_stacktrace_level <string> | 逗号分隔的每个范围的最小日志记录级别,在此级别上捕获堆栈跟踪,形式为 <scope>:<level>,<scope:level>,... 其中范围可以是以下任何一个:[ads, adsc, all, analysis, authn, authorization, ca, controllers, default, delta, deltaadsc, file, fullpush, gateway, grpc, grpcgen, ingress status, ip-autoallocate, klog, krt, kube, model, monitor, monitoring, pkica, pkira, processing, retry, rootcertrotator, secretcontroller, security, serverca, serviceentry, spiffe, status, trustBundle, untaint, validation, validationController, validationServer, wasm, wle],而级别可以是以下任何一个:[debug, info, warn, error, fatal, none](默认值:`default:none`) | |
--log_target <stringArray> | 输出日志的路径集。这可以是任何路径,也可以是特殊值 stdout 和 stderr(默认值:`[stdout]`) | |
--meshConfig <string> | Istio 网格配置的文件名。如果未指定,将使用默认网格。(默认值:`./etc/istio/config/mesh`) | |
--monitoringAddr <string> | 用于 pilot 的自监控信息的 HTTP 地址(默认值:`:15014`) | |
--namespace <string> | -n | 选择控制器所在的命名空间。如果未设置,则使用 ${POD_NAMESPACE} 环境变量(默认值:`istio-system`) |
--networksConfig <string> | Istio 网格网络配置的文件名。如果未指定,将使用默认网格网络。(默认值:`./etc/istio/config/meshNetworks`) | |
--profile | 通过 Web 界面 host:port/debug/pprof 启用分析 | |
--registries <stringSlice> | 要从中读取的平台服务注册表的逗号分隔列表(从 {Kubernetes, Mock} 中选择一个或多个)(默认值:`[Kubernetes]`) | |
--secureGRPCAddr <string> | 发现服务安全 gRPC 地址(默认值:`:15012`) | |
--shutdownDuration <duration> | 发现服务器需要正常终止的持续时间(默认值:`10s`) | |
--tls-cipher-suites <stringSlice> | istiod TLS 服务器的密码套件的逗号分隔列表。如果省略,将使用默认的 Go 密码套件。首选值:TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256。不安全的值:TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_RC4_128_SHA。(默认值:`[]`) | |
--tlsCertFile <string> | 包含 x509 服务器证书的文件(默认值:``) | |
--tlsKeyFile <string> | 包含与 --tlsCertFile 匹配的 x509 私钥的文件(默认值:``) | |
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
pilot-discovery 请求
向 Pilot metrics/debug 端点发出 HTTP 请求
pilot-discovery request <method> <path> [<body>] [flags]
| 标志 | 描述 |
|---|---|
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
pilot-discovery 版本
打印出构建版本信息
pilot-discovery version [flags]
| 标志 | 缩写 | 描述 |
|---|---|---|
--output <string> | -o | 以下之一:'yaml' 或 'json'。(默认值:``) |
--short | -s | 使用 --short=false 生成完整的版本信息 |
--vklog <Level> | 日志级别详细程度的数字。就像 -v 标志。例如:--vklog=9(默认值为 `0`) |
环境变量
这些环境变量会影响pilot-discovery 命令的行为。| 变量名称 | 类型 | 默认值 | 描述 |
|---|---|---|---|
AMBIENT_ENABLE_STATUS | 布尔值 | false | 如果启用,环境模式的状态消息将写入资源。目前,这不会执行领导者选举,因此在启用多个副本的情况下启用可能不安全。 |
AUDIENCE | 字符串 | | 令牌中预期的受众。 |
BYPASS_OVERLOAD_MANAGER_FOR_STATIC_LISTENERS | 布尔值 | true | 如果启用,负载管理器将不会应用于静态侦听器 |
CA_TRUSTED_NODE_ACCOUNTS | 字符串 | | 如果设置,则允许使用节点身份验证来进行 CSR 的服务帐户列表。节点身份验证允许身份代表其他身份创建 CSR,但前提是同一节点上运行着一个具有该身份的 pod。这旨在与节点代理一起使用。 |
CERT_SIGNER_DOMAIN | 字符串 | | 证书签名者域名信息 |
CITADEL_ENABLE_JITTER_FOR_ROOT_CERT_ROTATOR | 布尔值 | true | 如果为真,则设置抖动以启动根证书轮换器。抖动选择一个以秒为单位的回退时间来启动根证书轮换器,并且回退时间低于根证书检查间隔。 |
CITADEL_SELF_SIGNED_CA_CERT_TTL | 时间持续时间 | 87600h0m0s | 自签名 CA 根证书的 TTL。 |
CITADEL_SELF_SIGNED_CA_RSA_KEY_SIZE | 整数 | 2048 | 指定用于自签名 Istio CA 证书的 RSA 密钥大小。 |
CITADEL_SELF_SIGNED_ROOT_CERT_CHECK_INTERVAL | 时间持续时间 | 1h0m0s | 自签名 CA 检查其根证书到期时间并轮换根证书的间隔。将此间隔设置为零或负值将禁用自动根证书检查和轮换。建议此间隔大于 10 分钟。 |
CITADEL_SELF_SIGNED_ROOT_CERT_GRACE_PERIOD_PERCENTILE | 整数 | 20 | 自签名根证书的宽限期百分比。 |
CLOUD_PLATFORM | 字符串 | | 代理正在运行的云平台,如果未指定,Istio 将尝试发现平台。有效的平台值是 aws、azure、gcp、none |
CLUSTER_ID | 字符串 | Kubernetes | 定义此 Istiod 实例所属的集群和服务注册表 |
COMPLIANCE_POLICY | 字符串 | | 如果设置,则对所有现有的 TLS 设置应用特定于策略的限制,包括网内 mTLS 和外部 TLS。有效值为:* '' 或未设置不添加任何其他限制。* 'fips-140-2' 强制执行 TLS 协议的版本以及对所有运行时组件(包括 Envoy、gRPC Go SDK 和 gRPC C++ SDK)的密码套件子集,覆盖任何用户首选项或默认设置。警告:在控制平面中设置合规性策略是实现合规性的必要条件,但不是充分条件。要声明合规性,还需要执行其他步骤,包括使用经过验证的密码模块(请参阅 https://envoy.k8s.ac.cn/docs/envoy/latest/intro/arch_overview/security/ssl#fips-140-2)。 |
DEFAULT_WORKLOAD_CERT_TTL | 时间持续时间 | 24h0m0s | 已颁发的工作负载证书的默认 TTL。当客户端在 CSR 中设置非正 TTL 时应用。 |
ENABLE_100_CONTINUE_HEADERS | 布尔值 | true | 如果启用,istiod 将按原样代理 100-continue 标头 |
ENABLE_AUTO_SNI | 布尔值 | true | 如果启用,当 `DestinationRules` 未指定相同内容时,会自动设置 SNI |
ENABLE_CA_SERVER | 布尔值 | true | 如果将其设置为 false,将不会在 istiod 中创建 CA 服务器。 |
ENABLE_DEBUG_ON_HTTP | 布尔值 | true | 如果将其设置为 false,则不会启用调试接口,建议在生产环境中使用 |
ENABLE_DEFERRED_CLUSTER_CREATION | 布尔值 | true | 如果启用,Istio 仅在有请求时才会创建集群。这将在存在大量非活动集群且 > 1 个工作线程的情况下节省内存和 CPU 循环 |
ENABLE_DEFERRED_STATS_CREATION | 布尔值 | true | 如果启用,Istio 将延迟初始化统计数据子集 |
ENABLE_DELIMITED_STATS_TAG_REGEX | 布尔值 | true | 如果为 true,则 pilot 将使用新的分隔的统计标签正则表达式来生成 Envoy 统计标签。 |
ENABLE_ENHANCED_DESTINATIONRULE_MERGE | 布尔值 | true | 如果启用,Istio 会考虑其 exportTo 字段合并目标规则,如果 exportTo 不相等,则它们将保留为独立规则。 |
ENABLE_ENHANCED_RESOURCE_SCOPING | 布尔值 | true | 如果启用,meshConfig.discoverySelectors 将限制 pilot 可以处理的自定义资源配置(如 Gateway、VirtualService、DestinationRule、Ingress 等)。这还将限制根 CA 证书分发。 |
ENABLE_HCM_INTERNAL_NETWORKS | 布尔值 | false | 如果启用,网格网络中定义的端点将在 Http Connection Manager 中配置为内部地址 |
ENABLE_INBOUND_RETRY_POLICY | 布尔值 | true | 如果为 true,则为入站路由启用重试策略,该策略会自动重试在到达服务之前被重置的请求。 |
ENABLE_INGRESS_WAYPOINT_ROUTING | 布尔值 | false | 如果为 true,则如果服务上设置了 'istio.io/ingress-use-waypoint' 标签,网关将调用服务路径点。 |
ENABLE_LEADER_ELECTION | 布尔值 | true | 如果启用(默认值),则启动领导者选举客户端并在执行控制器之前获得领导权。如果为 false,则假定仅运行了一个 istiod 实例,并跳过领导者选举。 |
ENABLE_LOCALITY_WEIGHTED_LB_CONFIG | 布尔值 | false | 如果启用,则始终为集群设置 LocalityWeightedLbConfig,否则仅在 DestinationRule 为服务指定了本地性负载均衡时应用它 |
ENABLE_MCS_AUTO_EXPORT | 布尔值 | false | 如果启用,istiod 将会自动为网格中的每个服务生成 Kubernetes 多集群服务 (MCS) ServiceExport 资源。在 MeshConfig 中定义为集群本地的服务将被排除在外。 |
ENABLE_MCS_CLUSTER_LOCAL | 布尔值 | false | 如果启用,istiod 将会根据 Kubernetes 多集群服务 (MCS) 规范处理主机 `<svc>.<namespace>.svc.cluster.local`。在这种模式下,对 `cluster.local` 的请求将仅路由到与客户端位于同一集群中的那些端点。要求同时启用 ENABLE_MCS_SERVICE_DISCOVERY 和 ENABLE_MCS_HOST。 |
ENABLE_MCS_HOST | 布尔值 | false | 如果启用,istiod 将会为每个在至少一个集群中导出(通过 ServiceExport)的服务配置 Kubernetes 多集群服务 (MCS) 主机(<svc>.<namespace>.svc.clusterset.local)。但是,客户端必须能够成功查找这些 DNS 主机。这意味着必须启用 Istio DNS 拦截或使用 MCS 控制器。要求同时启用 ENABLE_MCS_SERVICE_DISCOVERY。 |
ENABLE_MCS_SERVICE_DISCOVERY | 布尔值 | false | 如果启用,istiod 将会启用 Kubernetes 多集群服务 (MCS) 服务发现模式。在这种模式下,集群中的服务端点只能在同一集群中被发现,除非通过 ServiceExport 明确导出。 |
ENABLE_MULTICLUSTER_HEADLESS | 布尔值 | true | 如果为真,则无头服务的 DNS 名称表将解析为任何集群中的同网络端点。 |
ENABLE_NATIVE_SIDECARS | 布尔值 | false | 如果设置,则使用 Kubernetes 原生 Sidecar 容器支持。要求 SidecarContainer 功能标志。 |
ENABLE_PROBE_KEEPALIVE_CONNECTIONS | 布尔值 | false | 如果启用,就绪探针将使 pilot-agent 与应用程序的连接保持活动状态。这反映了旧版本的 Istio 的行为,但不是 kubelet 的行为。 |
ENABLE_RESOLUTION_NONE_TARGET_PORT | 布尔值 | true | 如果启用,则 targetPort 将支持 resolution=NONE ServiceEntry |
ENABLE_SELECTOR_BASED_K8S_GATEWAY_POLICY | 布尔值 | true | 如果禁用,Gateway API 网关将忽略 workloadSelector 策略,只应用选择具有 targetRef 的网关的策略。 |
ENABLE_TLS_ON_SIDECAR_INGRESS | 布尔值 | false | 如果启用,Sidecar.ingress 上的 TLS 配置将生效 |
ENABLE_VTPROTOBUF | 布尔值 | true | 如果为真,将使用优化的基于 vtprotobuf 的序列化。要求使用 -tags=vtprotobuf 构建。 |
EXCLUDE_UNSAFE_503_FROM_DEFAULT_RETRY | 布尔值 | true | 如果为真,则从默认重试策略中排除对 503 的不安全重试。 |
EXTERNAL_CA | 字符串 | | 外部 CA 集成类型。允许的值是 ISTIOD_RA_KUBERNETES_API。 |
EXTERNAL_ISTIOD | 布尔值 | false | 如果将其设置为 true,则一个 Istiod 将控制远程集群,包括 CA。 |
GCP_METADATA | 字符串 | | 以管道分隔的 GCP 元数据,方案为 PROJECT_ID|PROJECT_NUMBER|CLUSTER_NAME|CLUSTER_ZONE |
GCP_QUOTA_PROJECT | 字符串 | | 允许指定在向 GCP API 发出请求时使用的配额项目。 |
GRPC_KEEPALIVE_INTERVAL | 时间持续时间 | 30s | gRPC 保持活动状态间隔 |
GRPC_KEEPALIVE_TIMEOUT | 时间持续时间 | 10s | gRPC 保持活动状态超时 |
HTTP_STRIP_FRAGMENT_FROM_PATH_UNSAFE_IF_DISABLED | 布尔值 | true | |
INBOUND_INTERCEPTION_MODE | 字符串 | | 用于将入站连接重定向到 Envoy 的模式,可以是 "REDIRECT" 或 "TPROXY" |
INBOUND_TPROXY_MARK | 字符串 | | |
INJECTION_WEBHOOK_CONFIG_NAME | 字符串 | istio-sidecar-injector | 要修补的 mutatingwebhookconfiguration 的名称,如果未使用 istioctl。 |
INJECT_ENABLED | 布尔值 | true | 启用 mutating webhook 处理程序。 |
ISTIOD_CUSTOM_HOST | 字符串 | | istiod 的自定义主机名,istiod 使用该主机名签署服务器证书。支持多个自定义主机名,多个值用逗号分隔。 |
ISTIO_AGENT_ENABLE_WASM_REMOTE_LOAD_CONVERSION | 布尔值 | true | 如果启用,Istio 代理将拦截 ECDS 资源更新,下载 Wasm 模块,并将 Wasm 模块远程加载替换为下载的本地模块文件。 |
ISTIO_BOOTSTRAP | 字符串 | | |
ISTIO_DELTA_XDS | 布尔值 | true | 如果启用,pilot 将只发送增量配置,而不是在资源请求上发送世界状态。此功能使用增量 xds api,但目前不发送实际的增量。 |
ISTIO_DUAL_STACK | 布尔值 | false | 如果为真,Istio 将启用双堆栈功能。 |
ISTIO_ENABLE_CONTROLLER_QUEUE_METRICS | 布尔值 | false | 如果启用,则发布队列深度、延迟和处理时间的指标。 |
ISTIO_ENABLE_HTTP2_PROBING | 布尔值 | true | 如果启用,则将为 HTTPS 探针启用 HTTP2 探针,遵循 Kubernetes |
ISTIO_ENABLE_IPV4_OUTBOUND_LISTENER_FOR_IPV6_CLUSTERS | 布尔值 | false | 如果为真,pilot 将为 IPv6 仅集群(例如 AWS EKS IPv6 仅集群)中的出站流量配置一个额外的 IPv4 监听器。 |
ISTIO_GPRC_MAXRECVMSGSIZE | 整数 | 4194304 | 设置 gRPC 流的接收缓冲区最大大小(以字节为单位)。 |
ISTIO_GPRC_MAXSTREAMS | 整数 | 100000 | 设置并发 grpc 流的最大数量。 |
ISTIO_KUBE_CLIENT_CONTENT_TYPE | 字符串 | protobuf | 要用于 Kubernetes 客户端的内容类型。默认为 protobuf。有效选项: [protobuf, json] |
ISTIO_MULTIROOT_MESH | 布尔值 | false | 如果启用,网格将支持由多个信任锚签署的证书,用于 ISTIO_MUTUAL mTLS |
ISTIO_OUTBOUND_IPV4_LOOPBACK_CIDR | 字符串 | 127.0.0.1/32 | 用于识别打算用于应用程序容器的环回接口上的出站流量的 IPv4 CIDR 范围 |
ISTIO_OUTBOUND_OWNER_GROUPS | 字符串 | * | 以逗号分隔的组列表,其出站流量将被重定向到 Envoy。可以按名称或数字 GID 指定组。可以使用通配符字符 "*" 配置来自所有组的流量的重定向。 |
ISTIO_OUTBOUND_OWNER_GROUPS_EXCLUDE | 字符串 | | 以逗号分隔的组列表,其出站流量将被排除在重定向到 Envoy 之外。可以按名称或数字 GID 指定组。仅适用于来自所有组(即 "*")的流量被重定向到 Envoy 的情况。 |
ISTIO_PROMETHEUS_ANNOTATIONS | 字符串 | | |
ISTIO_WATCH_NAMESPACE | 字符串 | | 如果设置,则将 Kubernetes 观察限制为单个命名空间。警告:只能设置单个命名空间。 |
ISTIO_WORKLOAD_ENTRY_VALIDATE_IDENTITY | 布尔值 | true | 如果启用,将验证工作负载的身份是否与其关联的 WorkloadEntry 的身份匹配,用于健康检查和自动注册。此标志仅为向后兼容性添加,将在将来的版本中删除 |
JWKS_RESOLVER_INSECURE_SKIP_VERIFY | 布尔值 | false | 如果启用,istiod 将跳过验证 JWKS 服务器的证书。 |
JWT_RULE | 字符串 | | istiod 身份验证使用的 JWT 规则 |
K8S_INGRESS_NS | 字符串 | istio-system | ingress 控制器运行的命名空间,默认情况下为 istio-system |
K8S_SIGNER | 字符串 | | Kubernetes CA 签名程序类型。从 Kubernetes 1.18 开始有效 |
KUBERNETES_SERVICE_HOST | 字符串 | | Kubernetes 服务主机,在集群内运行时自动设置 |
K_REVISION | 字符串 | | Knative 修订版,如果在 knative 中运行,则设置 |
LABEL_CANONICAL_SERVICES_FOR_MESH_EXTERNAL_SERVICE_ENTRIES | 布尔值 | false | 如果启用,则表示位置为 mesh_external 的 ServiceEntry 资源的规范服务的元数据将填充到那些端点的集群元数据中。 |
LOCAL_CLUSTER_SECRET_WATCHER | 布尔值 | false | 如果启用,集群秘密观察程序将观察外部集群的命名空间,而不是配置集群 |
MAX_WORKLOAD_CERT_TTL | 时间持续时间 | 2160h0m0s | 颁发的工作负载证书的最高 TTL。 |
MCS_API_GROUP | 字符串 | multicluster.x-k8s.io | 要用于 Kubernetes 多集群服务 (MCS) API 的组。 |
MCS_API_VERSION | 字符串 | v1alpha1 | 要用于 Kubernetes 多集群服务 (MCS) API 的版本。 |
METRICS_LOCALHOST_ACCESS_ONLY | 布尔值 | false | 这将禁用来自 pod 外部的指标端点,只允许本地主机访问。 |
METRIC_GRACEFUL_DELETION_INTERVAL | 时间持续时间 | 5m0s | 指标过期优雅删除间隔。如果禁用了 METRIC_ROTATION_INTERVAL,则为无操作。 |
METRIC_ROTATION_INTERVAL | 时间持续时间 | 0s | 指标范围轮换间隔,设置为 0 以禁用指标范围轮换 |
MUTEX_PROFILE_FRACTION | 整数 | 1000 | 如果设置为非零值,则以 1/MUTEX_PROFILE_FRACTION 事件的速率启用互斥体分析。例如,'1000' 将记录 0.1% 的事件。设置为 0 以完全禁用。 |
PILOT_ALLOW_SIDECAR_SERVICE_INBOUND_LISTENER_MERGE | 布尔值 | false | 如果设置,则允许为服务端口和 sidecar 入站监听器创建入站监听器 |
PILOT_ANALYSIS_INTERVAL | 时间持续时间 | 10s | 如果启用分析,pilot 将使用此值(以秒为单位)运行 istio 分析器,用于 Istio 资源 |
PILOT_AUTO_ALLOW_WAYPOINT_POLICY | 布尔值 | false | 如果启用,zTunnel 将为每个工作负载接收合成授权策略,以允许 Waypoint 的身份。除非创建其他 ALLOW 策略,否则这将有效地拒绝不通过 Waypoint 的流量。 |
PILOT_CERT_PROVIDER | 字符串 | istiod | Pilot DNS 证书的提供者。K8S RA 将用于 k8s.io/NAME。'istiod' 值将使用 Istio 内置的 CA 进行签名。其他值不会生成 TLS 证书,但仍然会分发 ./etc/certs/root-cert.pem。仅在未安装自定义证书时使用。 |
PILOT_CONVERT_SIDECAR_SCOPE_CONCURRENCY | 整数 | 1 | 用于调整 SidecarScope 转换的并发性。当 istiod 部署在多核 CPU 服务器上时,增加此值将有助于使用 CPU 加速配置推送,但这也意味着 istiod 将消耗更多 CPU 资源。 |
PILOT_DEBOUNCE_AFTER | 时间持续时间 | 100ms | 添加到配置/注册表事件以进行去抖的延迟。这将至少延迟推送此间隔。如果在此期间内未检测到任何更改,则将进行推送,否则我们将继续延迟,直到情况稳定,最多延迟到 PILOT_DEBOUNCE_MAX。 |
PILOT_DEBOUNCE_MAX | 时间持续时间 | 10s | 在去抖期间等待事件的最长时间。如果事件不断出现且没有中断,我们将触发推送。 |
PILOT_DISABLE_MX_ALPN | 布尔值 | false | 如果为真,pilot 不会将 istio-peer-exchange ALPN 放入 TLS 握手配置中。 |
PILOT_DRAINING_LABEL | 字符串 | istio.io/draining | 如果非空,则具有该标签值的端点将被发送到 DRAINING 状态。 |
PILOT_ENABLE_ALPHA_GATEWAY_API | 布尔值 | false | 如果将其设置为 true,将启用对 Kubernetes gateway-api(github.com/kubernetes-sigs/gateway-api)中 alpha API 的支持。除了启用此选项之外,还需要安装 gateway-api CRD。 |
PILOT_ENABLE_ALPN_FILTER | 布尔值 | true | 如果为真,pilot 将添加 Istio ALPN 过滤器,这对于正确协议嗅探是必需的。 |
PILOT_ENABLE_AMBIENT | 布尔值 | false | 如果启用,则可以使用环境模式。各个标志配置细粒度启用;对于任何环境功能,这必须启用。 |
PILOT_ENABLE_AMBIENT_WAYPOINTS | 布尔值 | false | 如果启用,则环境模式所需的控制器将运行。这是运行环境模式网格所需的。 |
PILOT_ENABLE_ANALYSIS | 布尔值 | false | 如果启用,pilot 将运行 istio 分析器并将分析错误写入任何 Istio 资源的状态字段 |
PILOT_ENABLE_CDS_CACHE | 布尔值 | true | 如果为真,Pilot 将缓存 CDS 响应。注意:这取决于 PILOT_ENABLE_XDS_CACHE。 |
PILOT_ENABLE_CROSS_CLUSTER_WORKLOAD_ENTRY | 布尔值 | true | 如果启用,Pilot 将从其他集群读取 WorkloadEntry,可由该集群中的服务选择。 |
PILOT_ENABLE_EDS_DEBOUNCE | 布尔值 | true | 如果启用,Pilot 将将 EDS 推送包含在推送去抖动中,由 PILOT_DEBOUNCE_AFTER 和 PILOT_DEBOUNCE_MAX 配置。EDS 推送可能会延迟,但推送次数会更少。默认情况下启用此功能。 |
PILOT_ENABLE_EDS_FOR_HEADLESS_SERVICES | 布尔值 | false | 如果启用,对于 Kubernetes 中的无头服务,Pilot 将通过 EDS 发送端点,允许 sidecar 在无头服务中的 Pod 之间进行负载均衡。如果应用程序通过 sidecar 中的 HTTP 代理端口显式访问所有服务,则应启用此功能。 |
PILOT_ENABLE_GATEWAY_API | 布尔值 | true | 如果此设置为 true,将启用对 Kubernetes 网关 API(github.com/kubernetes-sigs/gateway-api)的支持。除了启用此功能之外,还需要安装网关 API CRD。 |
PILOT_ENABLE_GATEWAY_API_DEPLOYMENT_CONTROLLER | 布尔值 | true | 如果此设置为 true,网关 API 资源将在集群部署、服务等中自动配置。 |
PILOT_ENABLE_GATEWAY_API_GATEWAYCLASS_CONTROLLER | 布尔值 | true | 如果此设置为 true,istiod 将创建并管理其默认 GatewayClass。 |
PILOT_ENABLE_GATEWAY_API_STATUS | 布尔值 | true | 如果此设置为 true,网关 API 资源将写入状态。 |
PILOT_ENABLE_IP_AUTOALLOCATE | 布尔值 | false | 如果启用,Pilot 将启动一个控制器,该控制器将为没有用户提供的 IP 的 ServiceEntry 分配 IP 地址。这与 DNS 捕获结合使用,可以实现发送到 ServiceEntry 的流量的 TCP 路由。 |
PILOT_ENABLE_K8S_SELECT_WORKLOAD_ENTRIES | 布尔值 | true | 如果启用,具有选择器的 Kubernetes 服务将选择具有匹配标签的负载条目。如果您非常确定不需要此功能,可以安全地禁用它。 |
PILOT_ENABLE_METADATA_EXCHANGE | 布尔值 | true | 如果为真,Pilot 将添加元数据交换过滤器,这些过滤器将被遥测过滤器使用。 |
PILOT_ENABLE_MONGO_FILTER | 布尔值 | true | EnableMongoFilter 启用在过滤器链中注入 `envoy.filters.network.mongo_proxy`。 |
PILOT_ENABLE_MYSQL_FILTER | 布尔值 | false | EnableMysqlFilter 启用在过滤器链中注入 `envoy.filters.network.mysql_proxy`。 |
PILOT_ENABLE_NODE_UNTAINT_CONTROLLERS | 布尔值 | false | 如果启用,将运行一个控制器,该控制器将取消标记具有 cni Pod 准备好的节点。如果您禁用了环境初始化容器,则应启用此功能。 |
PILOT_ENABLE_PERSISTENT_SESSION_FILTER | 布尔值 | false | 如果启用,Istiod 为侦听器设置持久会话过滤器,如果服务已设置 `PILOT_PERSISTENT_SESSION_LABEL`。 |
PILOT_ENABLE_QUIC_LISTENERS | 布尔值 | false | 如果为真,将在存在侦听器终止网关上的 TLS 的地方生成 QUIC 侦听器,如果网关服务公开具有相同编号的 UDP 端口(例如 443/TCP 和 443/UDP)。 |
PILOT_ENABLE_RDS_CACHE | 布尔值 | true | 如果为真,Pilot 将缓存 RDS 响应。注意:这取决于 PILOT_ENABLE_XDS_CACHE。 |
PILOT_ENABLE_REDIS_FILTER | 布尔值 | false | EnableRedisFilter 启用在过滤器链中注入 `envoy.filters.network.redis_proxy`。 |
PILOT_ENABLE_ROUTE_COLLAPSE_OPTIMIZATION | 布尔值 | true | 如果为真,Pilot 将将具有相同路由的虚拟主机合并为单个虚拟主机,作为优化。 |
PILOT_ENABLE_SENDING_HBONE | 布尔值 | false | 如果启用,将允许在发送到目标时使用 HBONE。 |
PILOT_ENABLE_SERVICEENTRY_SELECT_PODS | 布尔值 | true | 如果启用,具有选择器的服务条目将从集群中选择 Pod。如果您非常确定不需要此功能,可以安全地禁用它。 |
PILOT_ENABLE_SIDECAR_LISTENING_HBONE | 布尔值 | false | 如果启用,可以为代理配置 HBONE 支持。 |
PILOT_ENABLE_TELEMETRY_LABEL | 布尔值 | true | 如果为真,Pilot 将向集群和端点资源添加与遥测相关的元数据,这些元数据将被遥测过滤器使用。 |
PILOT_ENABLE_WORKLOAD_ENTRY_AUTOREGISTRATION | 布尔值 | true | 启用基于关联的负载组在工作负载通过 XDS 连接时自动注册负载条目。 |
PILOT_ENABLE_WORKLOAD_ENTRY_HEALTHCHECKS | 布尔值 | true | 启用基于关联负载组中提供的配置对负载条目执行自动运行状况检查。 |
PILOT_ENABLE_XDS_CACHE | 布尔值 | true | 如果为真,Pilot 将缓存 XDS 响应。 |
PILOT_ENABLE_XDS_IDENTITY_CHECK | 布尔值 | true | 如果启用,Pilot 将授权 XDS 客户端,以确保它们仅以其具有权限的命名空间执行操作。 |
PILOT_ENDPOINT_TELEMETRY_LABEL | 布尔值 | true | 如果为真,Pilot 将向端点资源添加与遥测相关的元数据,这些元数据将被遥测过滤器使用。 |
PILOT_ENVOY_FILTER_STATS | 布尔值 | false | 如果为真,Pilot 将收集 Envoy 过滤器操作的指标。 |
PILOT_FILTER_GATEWAY_CLUSTER_CONFIG | 布尔值 | false | 如果启用,Pilot 将仅发送网关中引用的集群,这些集群在附加到网关的网关虚拟服务中引用。 |
PILOT_GATEWAY_API_CONTROLLER_NAME | 字符串 | istio.io/gateway-controller | 网关 API 控制器名称。istiod 将仅协调引用具有此控制器名称的 GatewayClass 的网关 API 资源。 |
PILOT_GATEWAY_API_DEFAULT_GATEWAYCLASS_NAME | 字符串 | istio | 默认 GatewayClass 的名称。 |
PILOT_HTTP10 | 布尔值 | false | 启用在出站 HTTP 侦听器中使用 HTTP 1.0,以支持旧版应用程序。 |
PILOT_INSECURE_MULTICLUSTER_KUBECONFIG_OPTIONS | 字符串 | | 允许用于多集群身份验证的潜在不安全的 kubeconfig 身份验证选项的逗号分隔列表。支持的值:所有身份验证提供程序(`gcp`、`azure`、`exec`、`openstack`)、`clientKey`、`clientCertificate`、`tokenFile` 和 `exec`。 |
PILOT_JWT_ENABLE_REMOTE_JWKS | 字符串 | false | 从 RequestAuthentication 中的 JwksUri 获取 JWK 的模式。支持的值:istiod、false、hybrid、true、envoy。获取 JWK 的客户端如下:istiod/false - Istiod;hybrid/true - Envoy 并回退到 Istiod 如果 JWK 服务器是外部的;envoy - Envoy。 |
PILOT_JWT_PUB_KEY_REFRESH_INTERVAL | 时间持续时间 | 20m0s | istiod 获取 jwks 公钥的 jwks_uri 的间隔。 |
PILOT_MAX_REQUESTS_PER_SECOND | 浮点数 | 0 | 限制每秒传入的 XDS 请求数量。在较大的机器上,可以增加此值以同时处理更多代理。如果设置为 0 或未设置,则最大值将根据机器大小自动确定。 |
PILOT_MULTI_NETWORK_DISCOVER_GATEWAY_API | 布尔值 | true | 如果为真,Pilot 将发现标记的 Kubernetes 网关对象作为多网络网关。 |
PILOT_PERSISTENT_SESSION_HEADER_LABEL | 字符串 | istio.io/persistent-session-header | 如果非空,具有此标签的服务将使用基于标头的持久会话。 |
PILOT_PERSISTENT_SESSION_LABEL | 字符串 | istio.io/persistent-session | 如果非空,具有此标签的服务将使用基于 cookie 的持久会话。 |
PILOT_PREFER_SENDING_HBONE | 布尔值 | false | 如果启用,将优先使用 HBONE 发送到目标。 |
PILOT_PUSH_THROTTLE | 整数 | 0 | 限制允许的并发推送数量。在较大的机器上,可以增加此值以实现更快的推送。如果设置为 0 或未设置,则最大值将根据机器大小自动确定。 |
PILOT_REMOTE_CLUSTER_TIMEOUT | 时间持续时间 | 30s | 在该超时到期后,Pilot 可以准备好而无需同步来自通过远程机密添加的集群的数据。将超时设置为 0 将禁用此行为。 |
PILOT_SCOPE_GATEWAY_TO_NAMESPACE | 布尔值 | false | 如果启用,网关工作负载只能选择同一命名空间中的网关资源。不同命名空间中具有相同选择器的网关将不可用。 |
PILOT_SEND_UNHEALTHY_ENDPOINTS | 布尔值 | false | 如果启用,Pilot 将在 EDS 推送中包含不健康的端点,即使发送给 Envoy,Envoy 也不会将它们用于负载均衡。为了避免将流量发送到非就绪的端点,启用此标志将禁用 Envoy 中的恐慌阈值,即即使健康主机百分比低于最小健康百分比(恐慌阈值),Envoy 也不会将请求负载均衡到不健康/非就绪的主机。 |
PILOT_SIDECAR_USE_REMOTE_ADDRESS | 布尔值 | false | UseRemoteAddress 将 sidecar 出站侦听器的 useRemoteAddress 设置为 true。 |
PILOT_SKIP_VALIDATE_TRUST_DOMAIN | 布尔值 | false | 在身份验证策略中启用 mTLS 时,跳过验证对等方是否来自相同的信任域。 |
PILOT_STATUS_BURST | 整数 | 500 | 如果启用了状态,则控制更新状态的突发速率。请参阅 https://godoc.org/k8s.io/client-go/rest#Config Burst。 |
PILOT_STATUS_MAX_WORKERS | 整数 | 100 | Pilot 将用于保持配置状态更新的工作程序的最大数量。较小的数字将导致更高的状态延迟,但较大的数字可能会影响高规模环境中的 CPU。 |
PILOT_STATUS_QPS | 整数 | 100 | 如果启用了状态,则控制更新状态的 QPS。请参阅 https://godoc.org/k8s.io/client-go/rest#Config QPS。 |
PILOT_STATUS_UPDATE_INTERVAL | 时间持续时间 | 500ms | 更新 XDS 分发状态的间隔。 |
PILOT_TRACE_SAMPLING | 浮点数 | 1 | 设置网格范围的跟踪抽样百分比。应为 0.0 - 100.0。精确到 0.01。默认值为 1.0。 |
PILOT_UNIFIED_SIDECAR_SCOPE | 布尔值 | true | 如果为真,将使用统一的 SidecarScope 创建。这仅旨在作为向后兼容性的临时功能标志。 |
PILOT_WORKLOAD_ENTRY_GRACE_PERIOD | 时间持续时间 | 10s | 自动注册的工作负载可以在与所有 Pilot 实例断开连接之前保持断开连接的时间,然后再清理关联的负载条目。 |
PILOT_XDS_CACHE_INDEX_CLEAR_INTERVAL | 时间持续时间 | 5s | xds 缓存索引清除的间隔。 |
PILOT_XDS_CACHE_SIZE | 整数 | 60000 | XDS 缓存的缓存条目最大数量。 |
PILOT_XDS_CACHE_STATS | 布尔值 | false | 如果为真,Pilot 将收集 XDS 缓存效率的指标。 |
PLATFORM | 字符串 | | 部署 Istio 的平台。可能的值是 "openshift" 和 "gcp" |
POD_NAME | 字符串 | | |
POD_NAMESPACE | 字符串 | istio-system | |
PREFER_DESTINATIONRULE_TLS_FOR_EXTERNAL_SERVICES | 布尔值 | true | 如果为真,外部服务将优先使用 DestinationRules 中的 TLS 设置,而不是元数据 TLS 设置。 |
RESOLVE_HOSTNAME_GATEWAYS | 布尔值 | true | 如果为真,将解析服务 LoadBalancer 地址中的主机名,以便在控制平面中用于跨网络网关。 |
REVISION | 字符串 | | |
REWRITE_PROBE_LEGACY_LOCALHOST_DESTINATION | 布尔值 | false | 如果启用,就绪探测将发送到 'localhost'。否则,它们将发送到 Pod 的 IP,匹配 Kubernetes 的行为。 |
ROOT_CA_DIR | 字符串 | ./etc/cacerts | 本地或挂载的 CA 根目录的位置。 |
SHARED_MESH_CONFIG | 字符串 | | 要为共享 MeshConfig 设置加载的附加配置映射。标准网格配置将优先于此。 |
TOKEN_AUDIENCES | 字符串 | istio-ca | 在颁发证书之前,要在 JWT 令牌中检查的逗号分隔的受众列表。如果令牌与其中一个受众匹配,则接受该令牌。 |
TOKEN_ISSUER | 字符串 | | OIDC 令牌颁发者。如果设置,将用于检查令牌。 |
TRUSTED_GATEWAY_CIDR | 字符串 | | 如果设置,来自网关到 Istiod 的任何具有此 CIDR 范围的连接将被视为可信的,以使用身份验证机制(如 XFCC)。这只能在 Istiod 和进行身份验证的网关运行在可信/安全网络中的情况下使用。 |
UNSAFE_ENABLE_ADMIN_ENDPOINTS | 布尔值 | false | 如果此设置为 true,将公开调试界面上的危险管理端点。不建议用于生产环境。 |
UNSAFE_PILOT_ENABLE_DELTA_TEST | 布尔值 | false | 如果启用,将添加用于 Delta XDS 效率的附加运行时测试。这些检查非常昂贵,因此应仅用于测试,而不是生产环境。 |
UNSAFE_PILOT_ENABLE_RUNTIME_ASSERTIONS | 布尔值 | false | 如果启用,将执行附加运行时断言。这些检查既昂贵又会在失败时引发 panic。因此,应仅将其用于测试。 |
USE_CACERTS_FOR_SELF_SIGNED_CA | 布尔值 | false | 如果启用,istiod 将使用名为 cacerts 的秘密来存储其自签名的 istio 生成的根证书。 |
USE_REMOTE_CERTS | 布尔值 | false | 是否尝试从配置的 Kubernetes 集群加载 CA 证书。用于外部 Istiod。 |
VALIDATION_WEBHOOK_CONFIG_NAME | 字符串 | istio-istio-system | 如果非空,控制器将在 CA 证书更改时自动修补验证 Webhook 配置。仅在 kubernetes 环境中有效。 |
XDS_AUTH | 布尔值 | true | 如果为真,将验证 XDS 客户端。 |
XDS_AUTH_PLAINTEXT | 布尔值 | false | 验证纯文本请求 - 如果 Istiod 运行在安全/可信网络中,则使用此方法。 |
导出指标
| 指标名称 | 类型 | 描述 |
|---|---|---|
auto_registration_deletes_total | 总计 | 通过定期计时器清理的自动注册总数。 |
auto_registration_errors_total | 总计 | 自动注册错误总数。 |
auto_registration_success_total | 总计 | 成功自动注册总数。 |
auto_registration_unregister_total | 总计 | 注销总数。 |
auto_registration_updates_total | 总计 | 自动注册更新的总数。 |
citadel_server_authentication_failure_count | 总计 | 身份验证失败次数。 |
citadel_server_cert_chain_expiry_seconds | LastValue | Istio 生成的证书链过期前剩余的时间(以秒为单位)。负值表示证书已过期。 |
citadel_server_cert_chain_expiry_timestamp | LastValue | Istio 生成的证书链过期时的 Unix 时间戳(以秒为单位)。 |
citadel_server_csr_count | 总计 | Citadel 服务器收到的 CSR 数量。 |
citadel_server_csr_parsing_err_count | 总计 | 解析 CSR 时发生的错误数量。 |
citadel_server_csr_sign_err_count | 总计 | 签署 CSR 时发生的错误数量。 |
citadel_server_id_extraction_err_count | 总计 | 从 CSR 中提取 ID 时发生的错误数量。 |
citadel_server_root_cert_expiry_seconds | LastValue | 根证书过期前剩余的时间(以秒为单位)。负值表示证书已过期。 |
citadel_server_root_cert_expiry_timestamp | LastValue | 根证书过期时的 Unix 时间戳(以秒为单位)。 |
citadel_server_success_cert_issuance_count | 总计 | 成功颁发的证书数量。 |
controller_sync_errors_total | 总计 | 同步控制器时发生的错误总数。 |
endpoint_no_pod | LastValue | 没有关联 Pod 的 Endpoint。 |
galley_validation_config_load_error | 总计 | k8s Webhook 配置(重新)加载错误。 |
galley_validation_config_update_error | 总计 | k8s Webhook 配置更新错误。 |
galley_validation_config_updates | 总计 | k8s Webhook 配置更新。 |
galley_validation_failed | 总计 | 资源验证失败。 |
galley_validation_http_error | 总计 | 资源验证 HTTP 服务错误。 |
galley_validation_passed | 总计 | 资源有效。 |
istio_build | LastValue | Istio 组件构建信息。 |
istiod_managed_clusters | LastValue | Istiod 管理的集群数量。 |
istiod_uptime_seconds | LastValue | 当前 Istiod 服务器正常运行时间(以秒为单位)。 |
num_outgoing_retries | 总计 | 传出重试请求的数量(例如,到令牌交换服务器、CA 等)。 |
pilot_conflict_inbound_listener | LastValue | 冲突的入站监听器数量。 |
pilot_conflict_outbound_listener_tcp_over_current_tcp | LastValue | 与当前 TCP 监听器冲突的 TCP 监听器数量。 |
pilot_debounce_time | Distribution | 第一个配置进入去抖动和合并的推送请求被推入推送队列之间延迟的秒数。 |
pilot_destrule_subsets | LastValue | 同一主机上的目标规则的重复子集。 |
pilot_dns_cluster_without_endpoints | LastValue | 由于 STRICT_DNS 类型集群中的 endpoint 字段未设置或相应的子集无法选择任何 endpoint,导致没有 endpoint 的 DNS 集群。 |
pilot_duplicate_envoy_clusters | LastValue | 由于具有相同主机名的服务条目导致的重复 Envoy 集群。 |
pilot_eds_no_instances | LastValue | 没有实例的集群数量。 |
pilot_endpoint_not_ready | LastValue | 在未就绪状态下找到 Endpoint。 |
pilot_envoy_filter_status | LastValue | Envoy 过滤器是否已应用或出错的状态。 |
pilot_inbound_updates | 总计 | Pilot 收到的更新总数。 |
pilot_info | LastValue | Pilot 版本和构建信息。 |
pilot_jwks_resolver_network_fetch_fail_total | 总计 | Pilot JWKS 解析器网络获取失败总数。 |
pilot_jwks_resolver_network_fetch_success_total | 总计 | Pilot JWKS 解析器网络获取成功总数。 |
pilot_k8s_cfg_events | 总计 | 来自 k8s 配置的事件。 |
pilot_k8s_endpoints_pending_pod | LastValue | 目前没有对应 Pod 的 Endpoint 数量。 |
pilot_k8s_endpoints_with_no_pods | 总计 | 没有对应 Pod 的 Endpoint。 |
pilot_k8s_reg_events | 总计 | 来自 k8s 注册表的事件。 |
pilot_no_ip | LastValue | 在 Endpoint 表中找不到 Pod,可能无效。 |
pilot_proxy_convergence_time | Distribution | 配置更改和代理收到所有必需配置之间延迟的秒数。 |
pilot_proxy_queue_time | Distribution | 代理在从推送队列中出队之前的秒数。 |
pilot_push_triggers | 总计 | 触发推送的次数总数,按推送的原因进行标记。 |
pilot_pushcontext_init_seconds | Distribution | Pilot 初始化 pushContext 所花费的总时间(以秒为单位)。 |
pilot_sds_certificate_errors_total | 总计 | 获取 SDS 密钥和证书失败的总数。 |
pilot_services | LastValue | Pilot 已知的服务总数。 |
pilot_total_rejected_configs | 总计 | Pilot 必须拒绝或忽略的配置总数。 |
pilot_total_xds_internal_errors | 总计 | Pilot 中的 XDS 内部错误总数。 |
pilot_total_xds_rejects | 总计 | 代理拒绝的 Pilot XDS 响应总数。 |
pilot_virt_services | LastValue | Pilot 已知的虚拟服务总数。 |
pilot_vservice_dup_domain | LastValue | 具有重复域的虚拟服务。 |
pilot_worker_queue_depth | LastValue | 控制器队列的深度。 |
pilot_worker_queue_duration | Distribution | 处理一项所需的时间。 |
pilot_worker_queue_latency | Distribution | 处理项目之前的延迟。 |
pilot_xds | LastValue | 使用 XDS 连接到此 Pilot 的 Endpoint 数量。 |
pilot_xds_cds_reject | LastValue | Pilot 拒绝的 CDS 配置。 |
pilot_xds_config_size_bytes | Distribution | 推送到客户端的配置大小的分布。 |
pilot_xds_eds_reject | LastValue | Pilot 拒绝的 EDS。 |
pilot_xds_expired_nonce | 总计 | 具有过期 nonce 的 XDS 请求总数。 |
pilot_xds_lds_reject | LastValue | Pilot 拒绝的 LDS。 |
pilot_xds_push_context_errors | 总计 | 启动推送上下文时发生的错误(超时)数。 |
pilot_xds_push_time | Distribution | Pilot 推送 lds、rds、cds 和 eds 所花费的总时间(以秒为单位)。 |
pilot_xds_pushes | 总计 | Pilot 针对 lds、rds、cds 和 eds 的构建和发送错误。 |
pilot_xds_rds_reject | LastValue | Pilot 拒绝的 RDS。 |
pilot_xds_send_time | Distribution | Pilot 发送生成的配置所花费的总时间(以秒为单位)。 |
pilot_xds_write_timeout | 总计 | Pilot XDS 响应写入超时。 |
provider_lookup_cluster_failures | 总计 | 集群查找失败的次数。 |
remote_cluster_sync_timeouts_total | 总计 | 远程集群同步花费的时间过长,导致启动缓慢,这将排除远程集群。 |
scrape_failures_total | 总计 | 抓取失败的总数。 |
scrapes_total | 总计 | 抓取的总数。 |
sidecar_injection_failure_total | 总计 | Sidecar 注射请求失败的总数。 |
sidecar_injection_requests_total | 总计 | Sidecar 注射请求的总数。 |
sidecar_injection_skip_total | 总计 | 跳过的 Sidecar 注射请求的总数。 |
sidecar_injection_success_total | 总计 | Sidecar 注射请求成功的总数。 |
sidecar_injection_time_seconds | Distribution | 注入所花费的总时间(以秒为单位)。 |
startup_duration_seconds | LastValue | 从进程启动到标记为准备就绪的时间。 |
wasm_cache_entries | LastValue | Wasm 远程获取缓存条目的数量。 |
wasm_cache_lookup_count | 总计 | Wasm 远程获取缓存查找次数。 |
wasm_config_conversion_count | 总计 | Wasm 配置转换计数和结果的数量,包括成功、没有远程加载、编组失败、远程获取失败、错过远程获取提示。 |
wasm_config_conversion_duration | Distribution | istio-agent 用于转换 Wasm 配置中的远程加载的总时间(以毫秒为单位)。 |
wasm_remote_fetch_count | 总计 | Wasm 远程获取的数量和结果,包括成功、下载失败和校验和不匹配。 |
webhook_patch_attempts_total | 总计 | Webhook 修补尝试次数。 |
webhook_patch_failures_total | 总计 | Webhook 修补总失败次数。 |
webhook_patch_retries_total | 总计 | Webhook 修补重试次数。 |
xds_cache_dependent_config_size | LastValue | 依赖配置的当前大小。 |
xds_cache_evictions | 总计 | xds 缓存驱逐的总数。 |
xds_cache_reads | 总计 | xds 缓存 xdsCacheReads 的总数。 |
xds_cache_size | LastValue | xds 缓存的当前大小。 |