服务器配置¶

Incus 服务器可以通过一组键值配置选项进行配置。

键值配置是命名空间的。以下选项可用

核心配置
ACME 配置
集群配置
镜像配置
Loki 配置
其他选项
OpenID Connect 配置
OpenFGA 配置

有关如何设置配置选项的说明，请参阅如何配置 Incus 服务器。

注意

标记有global范围的选项会立即应用于所有集群成员。具有local范围的选项必须在每个成员的基础上设置。

核心配置¶

以下服务器选项控制核心守护进程配置

core.bgp_address

绑定 BGP 服务器的地址

键	`core.bgp_address`
类型	字符串
范围	本地

请参阅如何将 Incus 配置为 BGP 服务器。

core.bgp_asn

本地服务器的 BGP 自治系统编号

键	`core.bgp_asn`
类型	字符串
范围	全局

core.bgp_routerid

BGP 服务器的唯一标识符

键	`core.bgp_routerid`
类型	字符串
范围	本地

标识符必须格式化为 IPv4 地址。

core.debug_address

绑定pprof调试服务器的地址 (HTTP)

键	`core.debug_address`
类型	字符串
范围	本地

core.dns_address

绑定权威 DNS 服务器的地址

键	`core.dns_address`
类型	字符串
范围	本地

请参阅启用内置 DNS 服务器。

core.https_address

绑定远程 API 的地址 (HTTPS)

键	`core.https_address`
类型	字符串
范围	本地

请参阅如何将 Incus 公开到网络。

core.https_allowed_credentials

是否设置Access-Control-Allow-Credentials

键	`core.https_allowed_credentials`
类型	布尔值
默认值	`false`
范围	全局

如果启用，则Access-Control-Allow-Credentials HTTP 标头值将设置为true。

core.https_allowed_headers

Access-Control-Allow-Headers HTTP 标头值

键	`core.https_allowed_headers`
类型	字符串
范围	全局

core.https_allowed_methods

Access-Control-Allow-Methods HTTP 标头值

键	`core.https_allowed_methods`
类型	字符串
范围	全局

core.https_allowed_origin

Access-Control-Allow-Origin HTTP 标头值

键	`core.https_allowed_origin`
类型	字符串
范围	全局

core.https_trusted_proxy

提供客户端地址的可信服务器

键	`core.https_trusted_proxy`
类型	字符串
范围	全局

指定通过代理连接标头提供客户端地址的可信服务器的 IP 地址的逗号分隔列表。

core.metrics_address

绑定指标服务器的地址（HTTPS）

键	`core.metrics_address`
类型	字符串
范围	本地

参见如何监控指标。

core.metrics_authentication

是否在指标端点强制执行身份验证

键	`core.metrics_authentication`
类型	布尔值
默认值	`true`
范围	全局

core.proxy_http

要使用的 HTTP 代理

键	`core.proxy_http`
类型	字符串
范围	全局

如果未指定此选项，守护进程将回退到 HTTP_PROXY 环境变量（如果已设置）。

core.proxy_https

要使用的 HTTPS 代理

键	`core.proxy_https`
类型	字符串
范围	全局

如果未指定此选项，守护进程将回退到 HTTPS_PROXY 环境变量（如果已设置）。

core.proxy_ignore_hosts

不需要代理的主机

键	`core.proxy_ignore_hosts`
类型	字符串
范围	全局

以类似于 NO_PROXY 的格式指定此选项（例如，1.2.3.4,1.2.3.5）

如果未指定此选项，守护进程将回退到 NO_PROXY 环境变量（如果已设置）。

core.remote_token_expiry

远程添加令牌过期的时间

键	`core.remote_token_expiry`
类型	字符串
默认值	永不过期
范围	全局

core.shutdown_timeout

关闭前等待多长时间

键	`core.shutdown_timeout`
类型	整数
默认值	`5`
范围	全局

指定守护进程关闭前等待正在运行的操作完成的分钟数。

core.storage_buckets_address

绑定存储对象服务器的地址（HTTPS）

键	`core.storage_buckets_address`
类型	字符串
范围	本地

参见如何管理存储桶和密钥。

core.syslog_socket

是否启用 syslog unixgram 套接字监听器

键	`core.syslog_socket`
类型	布尔值
默认值	`false`
范围	本地

将此选项设置为 true 以启用 syslog unixgram 套接字，以便从外部进程接收日志消息。

core.trust_ca_certificates

是否自动信任由 CA 签名的客户端

键	`core.trust_ca_certificates`
类型	布尔值
默认值	`false`
范围	全局

ACME 配置¶

以下服务器选项控制 ACME 配置

acme.agree_tos

同意 ACME 服务条款

键	`acme.agree_tos`
类型	布尔值
默认值	`false`
范围	全局

acme.ca_url

ACME 服务目录资源的 URL

键	`acme.ca_url`
类型	字符串
默认值	`https://acme-v02.api.letsencrypt.org/directory`
范围	全局

acme.domain

为其颁发证书的域名

键	`acme.domain`
类型	字符串
范围	全局

acme.email

用于帐户注册的电子邮件地址

键	`acme.email`
类型	字符串
范围	全局

OpenID Connect 配置¶

以下服务器选项通过 OpenID Connect 身份验证配置外部用户身份验证

oidc.audience

应用程序的预期受众值

键	`oidc.audience`
类型	字符串
范围	全局

某些提供商需要此值。

oidc.claim

用作用户名 OpenID Connect 声明

键	`oidc.claim`
类型	字符串
范围	全局

oidc.client.id

OpenID Connect 客户端 ID

键	`oidc.client.id`
类型	字符串
范围	全局

oidc.issuer

提供程序的 OpenID Connect 发现 URL

键	`oidc.issuer`
类型	字符串
范围	全局

oidc.scopes

OpenID Connect 范围的逗号分隔列表

键	`oidc.scopes`
类型	字符串
范围	全局

OpenFGA 配置¶

以下服务器选项通过 Open Fine-Grained Authorization (OpenFGA) 配置外部用户授权

openfga.api.token

OpenFGA 服务器的 API 令牌

键	`openfga.api.token`
类型	字符串
范围	全局

openfga.api.url

OpenFGA 服务器的 URL

键	`openfga.api.url`
类型	字符串
范围	全局

openfga.store.id

OpenFGA 权限存储的 ID

键	`openfga.store.id`
类型	字符串
范围	全局

集群配置¶

以下服务器选项控制集群

cluster.healing_threshold

何时疏散脱机集群成员的阈值

键	`cluster.healing_threshold`
类型	整数
默认值	`0`
范围	全局

指定在脱机集群成员被疏散之前要等待的秒数。要禁用疏散脱机成员，请将此选项设置为 0。

cluster.https_address

用于集群流量的地址

键	`cluster.https_address`
类型	字符串
范围	本地

参见分离 REST API 和集群网络。

cluster.images_minimal_replica

复制映像的集群成员数

键	`cluster.images_minimal_replica`
类型	整数
默认值	`3`
范围	全局

指定保留特定映像副本的集群成员的最小数量。将此选项设置为 1 表示不复制，或设置为 -1 表示在所有成员上复制映像。

cluster.join_token_expiry

集群加入令牌过期的时间

键	`cluster.join_token_expiry`
类型	字符串
默认值	`3H`
范围	全局

cluster.max_standby

数据库备用成员的数量

键	`cluster.max_standby`
类型	整数
默认值	`2`
范围	全局

指定分配数据库备用角色的集群成员的最大数量。这必须是 0 和 5 之间的数字。

cluster.max_voters

数据库投票成员的数量

键	`cluster.max_voters`
类型	整数
默认值	`3`
范围	全局

指定分配数据库投票角色的集群成员的最大数量。这必须是大于或等于 3 的奇数。

cluster.offline_threshold

无响应成员被视为脱机的阈值

键	`cluster.offline_threshold`
类型	整数
默认值	`20`
范围	全局

指定在无响应成员被视为脱机之前要等待的秒数。

映像配置¶

以下服务器选项配置如何处理映像

images.auto_update_cached

是否自动更新缓存的映像

键	`images.auto_update_cached`
类型	布尔值
默认值	`true`
范围	全局

images.auto_update_interval

缓存镜像更新检查间隔

键	`images.auto_update_interval`
类型	整数
默认值	`6`
范围	全局

以小时为单位指定间隔。要禁用缓存镜像的更新检查，请将此选项设置为 0。

images.compression_algorithm

新镜像压缩算法

键	`images.compression_algorithm`
类型	字符串
默认值	`gzip`
范围	全局

可能的值为 bzip2、gzip、lzma、xz 或 none。

images.default_architecture

混合架构集群中使用的默认架构

键	`images.default_architecture`
类型	字符串

images.remote_cache_expiry

未使用缓存的远程镜像何时被清除

键	`images.remote_cache_expiry`
类型	整数
默认值	`10`
范围	全局

指定未使用缓存的镜像过期的天数。

Loki 配置¶

以下服务器选项配置外部日志聚合系统

loki.api.ca_cert

Loki 服务器的 CA 证书

键	`loki.api.ca_cert`
类型	字符串
范围	全局

loki.api.url

Loki 服务器的 URL

键	`loki.api.url`
类型	字符串
范围	全局

指定协议、名称或 IP 和端口。例如 https://loki.example.com:3100。Incus 会自动添加 /loki/api/v1/push 后缀，因此无需在此处添加。

loki.auth.password

用于 Loki 身份验证的密码

键	`loki.auth.password`
类型	字符串
范围	全局

loki.auth.username

用于 Loki 身份验证的用户名

键	`loki.auth.username`
类型	字符串
范围	全局

loki.instance

在 Loki 事件中用作实例字段的名称。

键	`loki.instance`
类型	字符串
默认值	本地服务器主机名或集群成员名称
范围	全局

这允许使用更相关的值（如集群标识符）替换默认实例值（服务器主机名）。

loki.labels

Loki 日志条目的标签

键	`loki.labels`
类型	字符串
范围	全局

指定应作为 Loki 日志条目标签使用的逗号分隔值列表。

loki.loglevel

发送到 Loki 服务器的最低日志级别

键	`loki.loglevel`
类型	字符串
默认值	`info`
范围	全局

loki.types

发送到 Loki 服务器的事件

键	`loki.types`
类型	字符串
默认值	`lifecycle,logging`
范围	全局

指定要发送到 Loki 服务器的事件的逗号分隔列表。这些事件可以是 lifecycle、logging 和 network-acl 的任意组合。

其他选项¶

以下服务器选项配置服务器特定设置，例如实例、OVN 集成、备份和存储

backups.compression_algorithm

备份使用的压缩算法

键	`backups.compression_algorithm`
类型	字符串
默认值	`gzip`
范围	全局

可能的值为 bzip2、gzip、lzma、xz 或 none。

instances.lxcfs.per_instance

是否按实例运行 LXCFS

键	`instances.lxcfs.per_instance`
类型	布尔值
默认值	`false`
范围	全局

LXCFS 用于为反映应用于容器的资源限制的通用 /proc 和 /sys 文件提供覆盖。

它通常通过主机上的单个文件系统挂载进行操作，然后由所有容器共享。这非常有效，但缺点是 LXCFS 崩溃会导致所有容器中断。

使用此选项，现在可以改为为每个容器运行一个 LXCFS 实例，从而使用更多系统资源，但减少崩溃的影响。

instances.nic.host_name

如何设置网卡的主机名

键	`instances.nic.host_name`
类型	字符串
默认值	`random`
范围	全局

可能的值为 random 和 mac。

如果设置为 random，则使用随机主机接口名称作为主机名。如果设置为 mac，则生成格式为 inc<mac_address> 的主机名（不带前两位数字的 MAC）。

instances.placement.scriptlet

用于自动实例放置的实例放置脚本

键	`instances.placement.scriptlet`
类型	字符串
范围	全局

当使用自定义自动实例放置逻辑时，此选项存储脚本。有关更多信息，请参阅实例放置脚本。

network.ovn.ca_cert

OVN SSL 证书颁发机构

键	`network.ovn.ca_cert`
类型	字符串
默认值	如果存在，则为 `/etc/ovn/ovn-central.crt` 的内容
范围	全局

network.ovn.client_cert

OVN SSL 客户端证书

键	`network.ovn.client_cert`
类型	字符串
默认值	如果存在，则为 `/etc/ovn/cert_host` 的内容
范围	全局

network.ovn.client_key

OVN SSL 客户端密钥

键	`network.ovn.client_key`
类型	字符串
默认值	如果存在，则为 `/etc/ovn/key_host` 的内容
范围	全局

network.ovn.integration_bridge

用于 OVN 网络的 OVS 集成桥

键	`network.ovn.integration_bridge`
类型	字符串
默认值	`br-int`
范围	全局

network.ovn.northbound_connection

OVN 北向数据库连接字符串

键	`network.ovn.northbound_connection`
类型	字符串
默认值	`unix:/run/ovn/ovnnb_db.sock`
范围	全局

network.ovs.connection

OVS 套接字路径

键	`network.ovs.connection`
类型	字符串
默认值	`unix:/run/openvswitch/db.sock`
范围	全局

storage.backups_volume

用于存储备份文件的卷

键	`storage.backups_volume`
类型	字符串
范围	本地

使用 POOL/VOLUME 语法指定卷。

storage.images_volume

用于存储镜像文件的卷

键	`storage.images_volume`
类型	字符串
范围	本地

使用 POOL/VOLUME 语法指定卷。

用户选项¶

在 user. 命名空间中可以使用其他用户定义的配置键。请注意，以 user.ui. 开头的键用于 Web UI 配置选项，即使未经身份验证的用户也可以看到这些选项。