Kubelet 配置 (v1alpha1)

providers 是 Kubelet 将启用的凭据提供者插件列表。多个提供者可以与单个镜像匹配，在这种情况下，所有提供者的凭据都将返回给 Kubelet。如果为一个镜像调用多个提供者，则结果将合并。如果提供者返回重复的身份认证键，则使用列表中靠前的提供者所返回的值。

name 是凭据提供者的必需名称。它必须与 Kubelet 所见的提供者可执行文件的名称匹配。可执行文件必须位于 Kubelet 的 bin 目录中（由 --image-credential-provider-bin-dir 标志设置）。

matchImages 是一个必需的字符串列表，用于匹配镜像以确定是否应调用此提供者。如果其中一个字符串与 Kubelet 请求的镜像匹配，则会调用插件并让其有机会提供凭据。镜像应包含注册表域名和 URL 路径。

matchImages 中的每个条目都是一种模式，可以选择包含端口和路径。通配符（Glob）可以在域名中使用，但不能在端口或路径中使用。通配符支持子域名，例如 *.k8s.io 或 k8s.*.io，以及顶级域名，例如 k8s.*。还支持匹配部分子域名，例如 app*.k8s.io。每个通配符只能匹配一个子域名片段，因此 *.io 不匹配 *.k8s.io。

当以下所有条件都为真时，镜像与 matchImage 之间存在匹配：

• 两者包含相同数量的域名部分，且每个部分都匹配。
• imageMatch 的 URL 路径必须是目标镜像 URL 路径的前缀。
• 如果 imageMatch 包含端口，则该端口也必须与镜像中的端口匹配。

matchImages 的示例值

• 123456789.dkr.ecr.us-east-1.amazonaws.com
• *.azurecr.io
• gcr.io
• *.*.registry.io
• registry.io:8080/path

defaultCacheDuration 是插件在内存中缓存凭据的默认持续时间，如果插件响应中未提供缓存持续时间，则使用此值。此字段是必需的。

Exec CredentialProviderRequest 的必需输入版本。返回的 CredentialProviderResponse 必须使用与输入相同的编码版本。当前支持的值有：

• credentialprovider.kubelet.k8s.io/v1alpha1

执行命令时传递给命令的参数。

Env 定义了暴露给进程的额外环境变量。这些变量与主机环境变量以及 client-go 用于向插件传递参数的变量合并。