ClusterTrustBundle v1alpha1

ClusterTrustBundle 是 X.509 的集群范围容器。

apiVersion: certificates.k8s.io/v1alpha1

import "k8s.io/api/certificates/v1alpha1"

ClusterTrustBundle

ClusterTrustBundle 是 X.509 信任锚(根证书)的集群范围容器。

ClusterTrustBundle 对象被认为对集群中任何已认证的用户都是可读的,因为它们可以使用 clusterTrustBundle 投影由 Pod 挂载。默认情况下,所有服务帐户都具有对 ClusterTrustBundle 的读取权限。仅具有命名空间级别集群访问权限的用户可以通过模拟他们有权访问的服务帐户来读取 ClusterTrustBundle。

它可以选择性地与特定的分配器关联,在这种情况下,它包含该签名者的一个有效的信任锚集。签名者可以有多个关联的 ClusterTrustBundle;每个都是该签名者的独立信任锚集。准入控制用于强制只有具有签名者权限的用户才能创建或修改相应的捆绑包。


  • apiVersion: certificates.k8s.io/v1alpha1

  • kind: ClusterTrustBundle

  • metadata (ObjectMeta)

    metadata 包含对象元数据。

  • spec (ClusterTrustBundleSpec),必需

    spec 包含签名者(如果有)和信任锚。

ClusterTrustBundleSpec

ClusterTrustBundleSpec 包含签名者和信任锚。


  • trustBundle (string),必需

    trustBundle 包含此捆绑包的各个 X.509 信任锚,作为 PEM 包装的、DER 格式的 X.509 证书的 PEM 捆绑包。

    数据必须仅由解析为有效的 X.509 证书的 PEM 证书块组成。每个证书必须包含设置了 CA 位的基本约束扩展。API 服务器将拒绝包含重复证书或使用 PEM 块头的对象。

    ClusterTrustBundle 的用户(包括 Kubelet)可以自由地根据自己的逻辑重新排序和删除此文件中的证书块,以及删除 PEM 块头和块间数据。

  • signerName (string)

    signerName 指示关联的签名者(如果有)。

    为了创建或更新设置了 signerName 的 ClusterTrustBundle,您必须具有以下集群范围的权限:group=certificates.k8s.io resource=signers resourceName=<签名者名称> verb=attest。

    如果 signerName 不为空,则 ClusterTrustBundle 对象必须以签名者名称作为前缀命名(将斜杠转换为冒号)。例如,对于签名者名称 example.com/foo,有效的 ClusterTrustBundle 对象名称包括 example.com:foo:abcexample.com:foo:v1

    如果 signerName 为空,则 ClusterTrustBundle 对象名称不能有这样的前缀。

    ClusterTrustBundle 的列表/监视请求可以使用 spec.signerName=NAME 字段选择器对此字段进行筛选。

ClusterTrustBundleList

ClusterTrustBundleList 是 ClusterTrustBundle 对象的集合


  • apiVersion: certificates.k8s.io/v1alpha1

  • kind: ClusterTrustBundleList

  • metadata (ListMeta)

    metadata 包含列表元数据。

  • items ([]ClusterTrustBundle),必需

    items 是 ClusterTrustBundle 对象的集合

操作


get 读取指定的 ClusterTrustBundle

HTTP 请求

GET /apis/certificates.k8s.io/v1alpha1/clustertrustbundles/{name}

参数

  • name (路径中): string,必需

    ClusterTrustBundle 的名称

  • pretty (查询中): string

    pretty

响应

200 (ClusterTrustBundle): OK

401: 未授权

list 列出或监视 ClusterTrustBundle 类型的对象

HTTP 请求

GET /apis/certificates.k8s.io/v1alpha1/clustertrustbundles

参数

响应

200 (ClusterTrustBundleList): OK

401: 未授权

create 创建一个 ClusterTrustBundle

HTTP 请求

POST /apis/certificates.k8s.io/v1alpha1/clustertrustbundles

参数

响应

200 (ClusterTrustBundle): OK

201 (ClusterTrustBundle): 已创建

202 (ClusterTrustBundle): 已接受

401: 未授权

update 替换指定的 ClusterTrustBundle

HTTP 请求

PUT /apis/certificates.k8s.io/v1alpha1/clustertrustbundles/{name}

参数

响应

200 (ClusterTrustBundle): OK

201 (ClusterTrustBundle): 已创建

401: 未授权

patch 部分更新指定的 ClusterTrustBundle

HTTP 请求

PATCH /apis/certificates.k8s.io/v1alpha1/clustertrustbundles/{name}

参数

  • name (路径中): string,必需

    ClusterTrustBundle 的名称

  • body: Patch,必需

  • dryRun (查询中): string

    dryRun

  • fieldManager (查询中): string

    fieldManager

  • fieldValidation (查询中): string

    fieldValidation

  • force (查询中): boolean

    force

  • pretty (查询中): string

    pretty

响应

200 (ClusterTrustBundle): OK

201 (ClusterTrustBundle): 已创建

401: 未授权

delete 删除 ClusterTrustBundle

HTTP 请求

DELETE /apis/certificates.k8s.io/v1alpha1/clustertrustbundles/{name}

参数

响应

200 (Status): OK

202 (Status): 已接受

401: 未授权

deletecollection 删除 ClusterTrustBundle 的集合

HTTP 请求

DELETE /apis/certificates.k8s.io/v1alpha1/clustertrustbundles

参数

响应

200 (Status): OK

401: 未授权

此页面是自动生成的。

如果您计划报告此页面的问题,请在您的问题描述中提到该页面是自动生成的。修复可能需要在 Kubernetes 项目中的其他地方进行。

上次修改时间为太平洋标准时间 2024 年 8 月 28 日下午 6:01: 更新 v1.31 的生成 API 参考 (8ba98c79c1)