在搭建Kubernetes(k8s)集群时，如何配置和优化Kubernetes(k8s)的API Server？

Question

Accepted Answer

安全配置优化：
- 启用双向TLS认证（mTLS）：在kube-apiserver配置中添加--client-ca-file和--tls-cert-file/--tls-private-key-file参数
- 限制匿名访问：设置--anonymous-auth=false，关闭不需要的HTTP端口
- 启用RBAC授权模式：通过--authorization-mode=RBAC强制角色访问控制
性能参数调优：
- 调整请求超时：设置--request-timeout=300s避免大规模集群请求超时
- 增加并发量：配置--max-mutating-requests-inflight=600和--max-requests-inflight=1200
- 优化etcd连接：添加--etcd-compaction-interval=5m和--etcd-count-metric-poll-period=5s
高可用配置：
- 使用--apiserver-count=3声明集群API Server数量
- 配置--endpoint-reconciler-type=lease保证端点更新效率
- 通过--service-cluster-ip-range合理规划Service IP段
审计日志配置：
- 启用审计策略文件：--audit-policy-file=/etc/kubernetes/audit/audit.yaml
- 配置日志轮转：设置--audit-log-maxage=7和--audit-log-maxsize=100
运行时保护：
- 启用--enable-admission-plugins=PodSecurityPolicy,NodeRestriction
- 限制--service-account-lookup=true防止SA令牌滥用
监控配置：
- 暴露--bind-address=0.0.0.0和--secure-port=6443监控端口
- 配置--profiling=false关闭生产环境性能分析
证书管理：
- 设置--service-account-key-file指定SA公钥
- 定期轮换--service-account-signing-key密钥