附录：KubeSphere Core 高级配置

更新时间：2025-07-15 02:31:17

KubeSphere Helm Chart 参数

全局配置

参数描述默认值

参数	描述	默认值
`global.imageRegistry`	全局 Docker 镜像仓库地址	`registry.cn-beijing.aliyuncs.com`
`global.tag`	全局 Docker 镜像标签	`""`
`global.imagePullSecrets`	全局 Docker 仓库密钥名称数组	`[]`

global.imageRegistry

全局 Docker 镜像仓库地址

registry.cn-beijing.aliyuncs.com

global.tag

全局 Docker 镜像标签

""

global.imagePullSecrets

全局 Docker 仓库密钥名称数组

[]

通用参数

参数描述默认值

参数	描述	默认值
`nameOverride`	部分覆盖 `common.names.fullname` 的字符串	`""`
`fullnameOverride`	完全覆盖 `common.names.fullname` 的字符串	`""`
`commonLabels`	添加到所有部署对象的标签	`{}`
`commonAnnotations`	添加到所有部署对象的注解	`{}`

nameOverride

部分覆盖 common.names.fullname 的字符串

""

fullnameOverride

完全覆盖 common.names.fullname 的字符串

""

commonLabels

添加到所有部署对象的标签

{}

commonAnnotations

添加到所有部署对象的注解

{}

多集群配置

参数描述默认值

参数	描述	默认值
`multicluster.role`	多集群角色 (host/member)	`""`
`multicluster.hostClusterName`	主集群名称	`""`

multicluster.role

多集群角色 (host/member)

""

multicluster.hostClusterName

主集群名称

""

Portal 配置

参数描述默认值

参数	描述	默认值
`portal.hostname`	`ks-console` 服务的公开入口域名或 IP 地址	`ks-console.kubesphere-system.svc`
`portal.http.port`	`ks-console` 服务通过公开入口暴露的 HTTP 端口号	`30880`

portal.hostname

ks-console 服务的公开入口域名或 IP 地址

ks-console.kubesphere-system.svc

portal.http.port

ks-console 服务通过公开入口暴露的 HTTP 端口号

30880

S3 存储配置

参数描述默认值

参数	描述	默认值
`s3.endpoint`	S3 端点 URL	`""`
`s3.region`	S3 区域	`us-east-1`
`s3.disableSSL`	禁用 S3 SSL	`true`
`s3.forcePathStyle`	强制 S3 路径样式	`true`
`s3.accessKeyID`	S3 访问密钥 ID	`admin`
`s3.secretAccessKey`	S3 访问密钥	`admin`
`s3.bucket`	S3 存储桶名称	`uploads`

s3.endpoint

S3 端点 URL

""

s3.region

S3 区域

us-east-1

s3.disableSSL

禁用 S3 SSL

true

s3.forcePathStyle

强制 S3 路径样式

true

s3.accessKeyID

S3 访问密钥 ID

admin

s3.secretAccessKey

S3 访问密钥

admin

s3.bucket

S3 存储桶名称

uploads

认证配置

参数描述默认值

参数	描述	默认值
`authentication.authenticateRateLimiterMaxTries`	认证最大尝试次数	`10`
`authentication.authenticationRateLimiterDuration`	限流器持续时间	`10m0s`
`authentication.loginHistoryRetentionPeriod`	登录历史保留期限	`168h`
`authentication.enableMultiLogin`	启用多点登录	`true`
`authentication.maxInactivityDuration`	最大不活动持续时间	`0s`
`authentication.adminPassword`	管理员密码	`""`
`authentication.issuer.maximumClockSkew`	JWT 令牌验证时允许的最大时钟偏差	`10s`
`authentication.issuer.jwtSecret`	用于签发 JWT 的密钥	`""`
`authentication.issuer.accessTokenMaxAge`	访问令牌最大有效期	`2h`
`authentication.issuer.accessTokenInactivityTimeout`	JWT 访问令牌的不活跃超时时间	`30m`

authentication.authenticateRateLimiterMaxTries

认证最大尝试次数

10

authentication.authenticationRateLimiterDuration

限流器持续时间

10m0s

authentication.loginHistoryRetentionPeriod

登录历史保留期限

168h

authentication.enableMultiLogin

启用多点登录

true

authentication.maxInactivityDuration

最大不活动持续时间

0s

authentication.adminPassword

管理员密码

""

authentication.issuer.maximumClockSkew

JWT 令牌验证时允许的最大时钟偏差

10s

authentication.issuer.jwtSecret

用于签发 JWT 的密钥

""

authentication.issuer.accessTokenMaxAge

访问令牌最大有效期

2h

authentication.issuer.accessTokenInactivityTimeout

JWT 访问令牌的不活跃超时时间

30m

安全配置

参数描述默认值

参数	描述	默认值
`security.passwordPolicy.expireEnabled`	启用密码过期	`false`
`security.passwordPolicy.maxAgeDays`	密码最大有效期（天）	`90`
`security.passwordPolicy.reminderDays`	密码过期前提醒天数	`7`
`security.passwordPolicy.forceChangeOnExpire`	密码过期时强制用户更改密码	`false`

security.passwordPolicy.expireEnabled

启用密码过期

false

security.passwordPolicy.maxAgeDays

密码最大有效期（天）

90

security.passwordPolicy.reminderDays

密码过期前提醒天数

7

security.passwordPolicy.forceChangeOnExpire

密码过期时强制用户更改密码

false

实验性功能

参数描述默认值

参数	描述	默认值
`experimental.validationDirective`	资源验证模式（严格/忽略/警告）	`""`
`experimental.maintenance.enabled`	启用维护模式	`false`
`experimental.maintenance.platformMaintenance`	启用平台维护	`false`
`experimental.maintenance.description`	平台维护时的描述信息	`""`
`experimental.openAPI.enabled`	启用 OpenAPI	`false`
`experimental.hnc.enabled`	启用 HNC（分层命名空间控制器）	`false`

experimental.validationDirective

资源验证模式（严格/忽略/警告）

""

experimental.maintenance.enabled

启用维护模式

false

experimental.maintenance.platformMaintenance

启用平台维护

false

experimental.maintenance.description

平台维护时的描述信息

""

experimental.openAPI.enabled

启用 OpenAPI

false

experimental.hnc.enabled

启用 HNC（分层命名空间控制器）

false

审计配置

参数描述默认值

参数	描述	默认值
`auditing.enable`	启用审计	`false`
`auditing.auditLevel`	审计级别（元数据/请求/请求响应）	`Metadata`
`auditing.logOptions.path`	审计日志路径	`/etc/audit/audit.log`
`auditing.logOptions.maxAge`	审计日志的最大保留天数	`7`
`auditing.logOptions.maxBackups`	审计日志的最大备份数	`10`
`auditing.logOptions.maxSize`	审计日志文件的最大大小（MB）	`100`

auditing.enable

启用审计

false

auditing.auditLevel

审计级别（元数据/请求/请求响应）

Metadata

auditing.logOptions.path

审计日志路径

/etc/audit/audit.log

auditing.logOptions.maxAge

审计日志的最大保留天数

7

auditing.logOptions.maxBackups

审计日志的最大备份数

10

auditing.logOptions.maxSize

审计日志文件的最大大小（MB）

100

服务账户配置

参数描述默认值

参数	描述	默认值
`serviceAccount.create`	创建服务账户	`true`
`serviceAccount.annotations`	服务账户注解	`{}`
`serviceAccount.name`	服务账户名称	`kubesphere`

serviceAccount.create

创建服务账户

true

serviceAccount.annotations

服务账户注解

{}

serviceAccount.name

服务账户名称

kubesphere

Pod 配置

参数描述默认值

参数	描述	默认值
`tolerations`	Pod 容忍配置	`[]`
`affinity`	Pod 亲和性配置	`{}`
`nodeSelector`	Pod 节点选择器	`{}`
`internalTLS`	启用组件间 TLS 通信	`false`

tolerations

Pod 容忍配置

[]

affinity

Pod 亲和性配置

{}

nodeSelector

Pod 节点选择器

{}

internalTLS

启用组件间 TLS 通信

false

API 服务器配置

参数描述默认值

参数	描述	默认值
`apiserver.image.registry`	ks-apiserver 的镜像注册中心地址	`""`
`apiserver.image.repository`	ks-apiserver 的镜像仓库路径	`kse/ks-apiserver`
`apiserver.image.tag`	ks-apiserver 的镜像标签	`""`
`apiserver.image.digest`	ks-apiserver 的镜像摘要	`""`
`apiserver.image.pullPolicy`	ks-apiserver 的镜像拉取策略	`IfNotPresent`
`apiserver.containerPorts`	ks-apiserver 容器启用的端口列表	`[]`
`apiserver.resources.limits`	ks-apiserver 容器的资源限制	`{}`
`apiserver.resources.requests`	ks-apiserver 容器的资源请求	`{}`
`apiserver.command`	覆盖默认容器命令	`[]`
`apiserver.extraEnvVars`	额外环境变量列表	`[]`
`apiserver.extraVolumeMounts`	额外 volumeMounts 列表	`[]`
`apiserver.extraVolumes`	额外 volumes 列表	`[]`
`apiserver.hardAntiAffinity`	是否启用强反亲和性调度	`false`

apiserver.image.registry

ks-apiserver 的镜像注册中心地址

""

apiserver.image.repository

ks-apiserver 的镜像仓库路径

kse/ks-apiserver

apiserver.image.tag

ks-apiserver 的镜像标签

""

apiserver.image.digest

ks-apiserver 的镜像摘要

""

apiserver.image.pullPolicy

ks-apiserver 的镜像拉取策略

IfNotPresent

apiserver.containerPorts

ks-apiserver 容器启用的端口列表

[]

apiserver.resources.limits

ks-apiserver 容器的资源限制

{}

apiserver.resources.requests

ks-apiserver 容器的资源请求

{}

apiserver.command

覆盖默认容器命令

[]

apiserver.extraEnvVars

额外环境变量列表

[]

apiserver.extraVolumeMounts

额外 volumeMounts 列表

[]

apiserver.extraVolumes

额外 volumes 列表

[]

apiserver.hardAntiAffinity

是否启用强反亲和性调度

false

控制台配置

参数描述默认值

参数	描述	默认值
`console.image.registry`	console 镜像仓库地址	`""`
`console.image.repository`	console 的镜像命名空间	`kse/ks-console`
`console.image.tag`	console 镜像标签	`""`
`console.image.digest`	console 镜像摘要	`""`
`console.image.pullPolicy`	console 镜像拉取策略	`IfNotPresent`
`console.config.enableKubeConfig`	在控制台中启用 kubeconfig	`true`
`console.config.enenableNodeListTerminal`	在控制台中启用节点列表终端	`true`
`console.containerPorts`	ks-console 容器启用的端口列表	`[]`
`console.nodePort`	console 服务的节点端口	`30880`
`console.resources.limits`	ks-console 容器的资源限制	`{}`
`console.resources.requests`	ks-console 容器的资源请求	`{}`
`console.command`	覆盖默认容器命令	`[]`
`console.extraEnvVars`	添加到 ks-console 的额外环境变量数组	`[]`
`console.extraVolumeMounts`	ks-console 容器的额外 volumeMounts 列表	`[]`
`console.extraVolumes`	ks-console Pod 的额外 volumes 列表	`[]`
`console.hardAntiAffinity`	是否强制 ks-console Pod 运行在不同节点上	`false`

console.image.registry

console 镜像仓库地址

""

console.image.repository

console 的镜像命名空间

kse/ks-console

console.image.tag

console 镜像标签

""

console.image.digest

console 镜像摘要

""

console.image.pullPolicy

console 镜像拉取策略

IfNotPresent

console.config.enableKubeConfig

在控制台中启用 kubeconfig

true

console.config.enenableNodeListTerminal

在控制台中启用节点列表终端

true

console.containerPorts

ks-console 容器启用的端口列表

[]

console.nodePort

console 服务的节点端口

30880

console.resources.limits

ks-console 容器的资源限制

{}

console.resources.requests

ks-console 容器的资源请求

{}

console.command

覆盖默认容器命令

[]

console.extraEnvVars

添加到 ks-console 的额外环境变量数组

[]

console.extraVolumeMounts

ks-console 容器的额外 volumeMounts 列表

[]

console.extraVolumes

ks-console Pod 的额外 volumes 列表

[]

console.hardAntiAffinity

是否强制 ks-console Pod 运行在不同节点上

false

控制器配置

参数描述默认值

参数	描述	默认值
`controller.image.registry`	控制器镜像仓库地址	`""`
`controller.image.repository`	控制器的镜像命名空间	`kse/ks-controller-manager`
`controller.image.tag`	控制器镜像标签	`""`
`controller.image.digest`	控制器镜像摘要	`""`
`controller.image.pullPolicy`	控制器镜像拉取策略	`IfNotPresent`
`controller.containerPorts`	ks-controller-manager 容器启用的端口列表	`[]`
`controller.resources.limits`	ks-controller-manager 容器的资源限制	`{}`
`controller.resources.requests`	ks-controller-manager 容器的资源请求	`{}`
`controller.command`	覆盖默认容器命令	`[]`
`controller.extraEnvVars`	添加到 ks-controller-manager 的额外环境变量数组	`[]`
`controller.extraVolumeMounts`	ks-controller-manager 容器的额外 volumeMounts 列表	`[]`
`controller.extraVolumes`	ks-controller-manager Pod 的额外 volumes 列表	`[]`
`controller.hardAntiAffinity`	是否强制 ks-controller-manager Pod 运行在不同节点上	`false`

controller.image.registry

控制器镜像仓库地址

""

controller.image.repository

控制器的镜像命名空间

kse/ks-controller-manager

controller.image.tag

控制器镜像标签

""

controller.image.digest

控制器镜像摘要

""

controller.image.pullPolicy

控制器镜像拉取策略

IfNotPresent

controller.containerPorts

ks-controller-manager 容器启用的端口列表

[]

controller.resources.limits

ks-controller-manager 容器的资源限制

{}

controller.resources.requests

ks-controller-manager 容器的资源请求

{}

controller.command

覆盖默认容器命令

[]

controller.extraEnvVars

添加到 ks-controller-manager 的额外环境变量数组

[]

controller.extraVolumeMounts

ks-controller-manager 容器的额外 volumeMounts 列表

[]

controller.extraVolumes

ks-controller-manager Pod 的额外 volumes 列表

[]

controller.hardAntiAffinity

是否强制 ks-controller-manager Pod 运行在不同节点上

false

代理配置

参数描述默认值

参数	描述	默认值
`agent.replicaCount`	代理副本数量	`1`

agent.replicaCount

代理副本数量

1

Helm 执行器配置

参数描述默认值

参数	描述	默认值
`helmExecutor.timeout`	Helm 执行器超时时间	`10m`
`helmExecutor.historyMax`	Helm 历史记录最大数量	`2`
`helmExecutor.jobTTLAfterFinished`	任务完成后的存活时间	`0s`
`helmExecutor.image.registry`	Helm 执行器的镜像仓库地址	`""`
`helmExecutor.image.repository`	Helm 执行器的镜像命名空间	`kubesphereio/kubectl`
`helmExecutor.image.tag`	Helm 执行器镜像标签	`v1.33.1`
`helmExecutor.image.pullPolicy`	Helm 执行器镜像拉取策略	`IfNotPresent`
`helmExecutor.resources.limits`	Helm 执行器的资源限制	`{}`
`helmExecutor.resources.requests`	Helm 执行器的资源请求	`{}`
`helmExecutor.affinity`	Helm 执行器的亲和性配置	`{}`

helmExecutor.timeout

Helm 执行器超时时间

10m

helmExecutor.historyMax

Helm 历史记录最大数量

2

helmExecutor.jobTTLAfterFinished

任务完成后的存活时间

0s

helmExecutor.image.registry

Helm 执行器的镜像仓库地址

""

helmExecutor.image.repository

Helm 执行器的镜像命名空间

kubesphereio/kubectl

helmExecutor.image.tag

Helm 执行器镜像标签

v1.33.1

helmExecutor.image.pullPolicy

Helm 执行器镜像拉取策略

IfNotPresent

helmExecutor.resources.limits

Helm 执行器的资源限制

{}

helmExecutor.resources.requests

Helm 执行器的资源请求

{}

helmExecutor.affinity

Helm 执行器的亲和性配置

{}

自制应用配置

参数描述默认值

参数	描述	默认值
`composedApp.appSelector`	用于筛选需要协调的 K8s 应用的选择器	`""`

composedApp.appSelector

用于筛选需要协调的 K8s 应用的选择器

""

Kubectl 配置

参数描述默认值

参数	描述	默认值
`kubectl.image.registry`	Kubectl 镜像仓库地址	`""`
`kubectl.image.repository`	Kubectl 的镜像命名空间	`kubesphereio/kubectl`
`kubectl.image.tag`	Kubectl 镜像标签	`v1.33.1`
`kubectl.image.pullPolicy`	Kubectl 镜像拉取策略	`IfNotPresent`

kubectl.image.registry

Kubectl 镜像仓库地址

""

kubectl.image.repository

Kubectl 的镜像命名空间

kubesphereio/kubectl

kubectl.image.tag

Kubectl 镜像标签

v1.33.1

kubectl.image.pullPolicy

Kubectl 镜像拉取策略

IfNotPresent

Ingress 配置

参数描述默认值

参数	描述	默认值
`ingress.enabled`	启用 Ingress	`false`
`ingress.ingressClassName`	Ingress 类名称	`""`
`ingress.tls.enabled`	启用 TLS	`true`
`ingress.tls.source`	TLS 来源 (生成/导入/Let’s Encrypt)	`generation`
`ingress.tls.secretName`	TLS 证书 Secret 名称	`kubesphere-tls-certs`

ingress.enabled

启用 Ingress

false

ingress.ingressClassName

Ingress 类名称

""

ingress.tls.enabled

启用 TLS

true

ingress.tls.source

TLS 来源 (生成/导入/Let’s Encrypt)

generation

ingress.tls.secretName

TLS 证书 Secret 名称

kubesphere-tls-certs

Let’s Encrypt 配置

参数描述默认值

参数	描述	默认值
`letsEncrypt.environment`	Let’s Encrypt 环境 (生产/测试)	`production`

letsEncrypt.environment

Let’s Encrypt 环境 (生产/测试)

production

证书管理器配置

参数描述默认值

参数	描述	默认值
`certmanager.duration`	证书有效期	`2160h`
`certmanager.renewBefore`	证书到期前续订时间	`360h`

certmanager.duration

证书有效期

2160h

certmanager.renewBefore

证书到期前续订时间

360h

终端配置

参数描述默认值

参数	描述	默认值
`terminal.kubectl.enabled`	启用 kubectl 终端	`true`
`terminal.kubectl.image.registry`	kubectl 终端的镜像仓库地址	`""`
`terminal.kubectl.image.repository`	kubectl 终端的镜像命名空间	`kubesphereio/kubectl`
`terminal.kubectl.image.tag`	kubectl 终端的镜像标签	`v1.33.1`
`terminal.kubectl.image.pullPolicy`	kubectl 终端镜像拉取策略	`IfNotPresent`
`terminal.node.enabled`	启用节点终端	`true`
`terminal.node.image.registry` </

terminal.kubectl.enabled

启用 kubectl 终端

true

terminal.kubectl.image.registry

kubectl 终端的镜像仓库地址

""

terminal.kubectl.image.repository

kubectl 终端的镜像命名空间

kubesphereio/kubectl

terminal.kubectl.image.tag

kubectl 终端的镜像标签

v1.33.1

terminal.kubectl.image.pullPolicy

kubectl 终端镜像拉取策略

IfNotPresent

terminal.node.enabled

启用节点终端

true

terminal.node.image.registry