Kubernetes托管版本如何修改apiserver配置？

代理和防火墙规则 此外，在某些配置文件中有一个代理（nginx）作为API Server进程运行在同一台机器上。该代理是HTTPS服务，认证端口是443，访问API Server是本地主机8080端口。在这些配置文件里，Secure Port通常设置为6443。 防火墙规则，通常配置运行外部HTTPS通过443端口访问。 上面的都是默认配置，反应了Kubernetes使用kube-up.sh如何部署到Google ComputeEngine。其它的云提供商可能会有所不同。 用例和IP:Ports 有关服务端口，有三种不同的配置，有各自的应用场景。 1. Kubernetes集群之外的客户端，例如在台式机上运行kubectl命令的人员。目前，通过运行在kubernetes-master机器上面的代理（nginx）访问本地主机端口。该代理可以使用证书认证或者Token认证方式。 2. 运行在Kuvernetes的Container里面的进程需要从API Server中读取。目前，这些进程都是用Service Account 3. 调度器和Controller管理进程，需要对API做读写操作。目前，这些都必须运行在APIServer同样的主机上面，使用本地主机。未来，这些进程将会使用Service Account服务，避免共存的必要。 4. Kubelets，需要对API做读写操作，并且同API Server相比，它必须运行在不同的机器上面。Kubelet使用Secure Port获取Pod，发现Pod可以看到的服务，并且记录这些事件。在集群启动事件内，分布设置Kubelet凭证。Kubelet和Kube-proxy可以使用证书认证和Token认证方式。 预期变化 Policy会限制Kubelet通过身份认证端口实行的一些操作。 调度器和Controller管理也会使用Secure Port。他们可以运行在不同的机器上。