-e, --engine
+ |
+ "engine": "lcr"
+ |
+ iSulad的运行时,默认是lcr
+ |
+ 无
+ |
+
+ -G, --group
+ |
+ "group": "isulad"
+ |
+ socket所属组
+ |
+ 无
+ |
+
+ --hook-spec
+ |
+ "hook-spec": "/etc/default/isulad/hooks/default.json"
+ |
+ 针对所有容器的默认钩子配置文件
+ |
+ 无
+ |
+
+ -H, --host
+ |
+ "hosts": "unix:///var/run/isulad.sock"
+ |
+ 通信方式
+ |
+ 除本地socket外,还支持tcp://ip:port方式,port范围(0-65535,排除被占用端口)
+ |
+
+ --log-driver
+ |
+ "log-driver": "file"
+ |
+ 日志驱动配置
+ |
+ 无
+ |
+
+ -l, --log-level
+ |
+ "log-level": "ERROR"
+ |
+ 设置日志输出级别
+ |
+ 无
+ |
+
+ --log-opt
+ |
+ "log-opts": {
+ "log-file-mode": "0600",
+ "log-path": "/var/lib/isulad",
+ "max-file": "1",
+ "max-size": "30KB"
+ }
+ |
+ 日志相关的配置
+ |
+ 可以指定max-file,max-size,log-path。max-file指日志文件个数;max-size指日志触发防爆的阈值,若max-file为1,max-size失效;log-path指定日志文件存储路径;log-file-mode用于设置日志文件的读写权限,格式要求必须为八进制格式,如0666。
+ |
+
+ --container-log-driver
+ |
+ "container-log": {
+ "driver": "json-file"
+ }
+ |
+ 容器串口日志驱动默认配置
+ |
+ 指定所有容器的默认串口日志的驱动
+ |
+
+ --start-timeout
+ |
+ "start-timeout": "2m"
+ |
+ 启动容器的耗时
+ |
+ 无
+ |
+
+ 无
+ |
+ "default-runtime": "lcr"
+ |
+ 创建容器时的runtime运行时,默认是lcr
+ |
+ 当命令行和配置文件均未指定时,默认为lcr,runtime的三种指定方式优先级:命令行>配置文件>默认lcr,当前支持lcr、kata-runtime。
+ |
+
+ 无
+ |
+ "runtimes": {
+ "kata-runtime": {
+ "path": "/usr/bin/kata-runtime",
+ "runtime-args": [
+ "--kata-config",
+ "/usr/share/defaults/kata-containers/configuration.toml"
+ ]
+ }
+ }
+ |
+ 启动容器时,通过此字段指定多runtimes配置,在此集合中的元素均为有效的启动容器的runtime运行时。
+ |
+ 容器的runtime白名单,在此集合中的自定义runtime才是有效的。示例为以kata-runtime为例的配置。
+ |
+
+ -p, --pidfile
+ |
+ "pidfile": "/var/run/isulad.pid"
+ |
+ 保存pid的文件
+ |
+ 当启动一个容器引擎的时候不需要配置,当需要启动两个以上的容器引擎时才需要配置。
+ |
+
+ -g, --graph
+ |
+ "graph": "/var/lib/isulad"
+ |
+ iSulad运行时的根目录
+ |
+
+ -S, --state
+ |
+ "state": "/var/run/isulad"
+ |
+ 执行文件的根目录
+ |
+
+ --storage-driver
+ |
+ "storage-driver": "overlay2"
+ |
+ 镜像存储驱动,默认为overlay2
+ |
+ 当前只支持overlay2
+ |
+
+ -s, --storage-opt
+ |
+ "storage-opts": [ "overlay2.override_kernel_check=true" ]
+ |
+ 镜像存储驱动配置选项
+ |
+ 可使用的选项为:
+ overlay2.override_kernel_check=true # 忽略内核版本检查
+ overlay2.size=${size} # 设置rootfs quota限额为${size}大小
+ overlay2.basesize=${size} #等价于overlay2.size
+ |
+
+ --registry-mirrors
+ |
+ "registry-mirrors": [ "docker.io" ]
+ |
+ 镜像仓库地址
+ |
+ 无
+ |
+
+ --insecure-registry
+ |
+ "insecure-registries": [ ]
+ |
+ 不使用TLS校验的镜像仓库
+ |
+ 无
+ |
+
+ --native.umask
+ |
+ "native.umask": "secure"
+ |
+ 容器umask策略,默认"secure",normal为不安全配置
+ |
+ 设置容器umask值。
+ 支持配置空字符(使用缺省值0027)、"normal"、"secure":
+ normal # 启动的容器umask值为0022
+ secure # 启动的容器umask值为0027(缺省值)
+ |
+
+ --pod-sandbox-image
+ |
+ "pod-sandbox-image": "rnd-dockerhub.huawei.com/library/pause-aarch64:3.0"
+ |
+ pod默认使用镜像,默认为"rnd-dockerhub.huawei.com/library/pause-${machine}:3.0"
+ |
+ 无
+ |
+
+ --network-plugin
+ |
+ "network-plugin": ""
+ |
+ 指定网络插件,默认为空字符,表示无网络配置,创建的sandbox只有loop网卡。
+ |
+ 支持cni和空字符,其他非法值会导致isulad启动失败。
+ |
+
+ --cni-bin-dir
+ |
+ "cni-bin-dir": ""
+ |
+ 指定cni插件依赖的二进制的存储位置
+ |
+ 默认为/opt/cni/bin
+ |
+
+ --cni-conf-dir
+ |
+ "cni-conf-dir": ""
+ |
+ 指定cni网络配置文件的存储位置
+ |
+ 默认为/etc/cni/net.d
+ |
+
+ --image-layer-check=false
+ |
+ "image-layer-check": false
+ |
+ 开启镜像层完整性检查功能,设置为true;关闭该功能,设置为false。默认为关闭。
+ |
+ isulad启动时会检查镜像层的完整性,如果镜像层被破坏,则相关的镜像不可用。isulad进行镜像完整性校验时,无法校验内容为空的文件和目录,以及链接文件。因此若镜像因掉电导致上述类型文件丢失,isulad的镜像数据完整性校验可能无法识别。isulad版本变更时需要检查是否支持该参数,如果不支持,需要从配置文件中删除。
+ |
+
+ --insecure-skip-verify-enforce=false
+ |
+ "insecure-skip-verify-enforce": false
+ |
+ Bool类型,是否强制跳过证书的主机名/域名验证,默认为false。当设置为true时,为不安全配置,会跳过证书的主机名/域名验证
+ |
+ 默认为false(不跳过),注意:因isulad使用的yajl json 解析库限制,若在/etc/isulad/daemon.json配置文件中配置非Bool类型的其他符合json格式的值时,isulad将使用缺省值false。
+ |
+
+ --use-decrypted-key=true
+ |
+ "use-decrypted-key": true
+ |
+ Bool类型,指定是否使用不加密的私钥。指定为true,表示使用不加密的私钥;指定为false,表示使用的为加密后的私钥,即需要进行双向认证。
+ |
+ 默认配置为true(使用不加密的私钥),注意:因isulad使用的yajl json 解析库限制,若在/etc/isulad/daemon.json配置文件中配置非Bool类型的其他符合json格式的值时,isulad将使用缺省值true。
+ |
+
+ --tls
+ |
+ "tls":false
+ |
+ Bool类型,是否使用TLS
+ |
+ 缺省值为false, 仅用于-H tcp://IP:PORT方式
+ |
+
+ --tlsverify
+ |
+ "tlsverify":false
+ |
+ Bool类型,是否使用TLS,并验证远程访问
+ |
+ 仅用于-H tcp://IP:PORT方式
+ |
+
+ --tlscacert
+ --tlscert
+ --tlskey
+ |
+ "tls-config": {
+ "CAFile": "/root/.iSulad/ca.pem",
+ "CertFile": "/root/.iSulad/server-cert.pem",
+ "KeyFile":"/root/.iSulad/server-key.pem"
+ }
+ |
+ TLS证书相关的配置
+ |
+ 仅用于-H tcp://IP:PORT方式
+ |
+
+ --authorization-plugin
+ |
+ "authorization-plugin": "authz-broker"
+ |
+ 用户权限认证插件
+ |
+ 当前只支持authz-broker
+ |
+
+ --cgroup-parent
+ |
+ "cgroup-parent": "lxc/mycgroup"
+ |
+ 字符串类型,容器默认cgroup父路径
+ |
+ 指定daemon端容器默认的cgroup父路径,如果客户端指定了--cgroup-parent,以客户端参数为准。
+ 注意:如果启了一个容器A,然后启一个容器B,容器B的cgroup父路径指定为容器A的cgroup路径,在删除容器的时候需要先删除容器B再删除容器A,否则会导致cgroup资源残留。
+ |
+
+ --default-ulimits
+ |
+ "default-ulimits": {
+ "nofile": {
+ "Name": "nofile",
+ "Hard": 6400,
+ "Soft": 3200
+ }
+ }
+ |
+ ulimit指定限制的类型,soft值及hard值
+ |
+ 指定限制的资源类型,如“nofile”。两个字段名字必须相同,即都为nofile,否则会报错。Hard指定的值需要大于等于Soft'。如果Hard字段或者Soft字段未设置,则默认该字段默认为0。
+ |
+
+ --websocket-server-listening-port
+ |
+ "websocket-server-listening-port": 10350
+ |
+ 设置CRI websocket流式服务侦听端口,默认端口号10350
+ |
+ 指定CRI websocket流式服务侦听端,如果客户端指定了
+ --websocket-server-listening-port,以客户端参数为准。端口范围1024-49151
+ |
+
+ 无
+ |
+ "cri-runtimes": {
+ "kata": "io.containerd.kata.v2"
+ }
+ |
+ 自定义cri runtimes的映射
+ |
+ isulad通过自定义的cri runtimes映射,可以将runtimeclass转换为对应的runtime。
+ |
+
+
+