ClusterTrustBundle v1alpha1
apiVersion: certificates.k8s.io/v1alpha1
import "k8s.io/api/certificates/v1alpha1"
ClusterTrustBundle
ClusterTrustBundle 是 X.509 信任锚(根证书)的集群范围容器。
ClusterTrustBundle 对象被认为对集群中任何已认证的用户都是可读的,因为它们可以使用 clusterTrustBundle
投影由 Pod 挂载。默认情况下,所有服务帐户都具有对 ClusterTrustBundle 的读取权限。仅具有命名空间级别集群访问权限的用户可以通过模拟他们有权访问的服务帐户来读取 ClusterTrustBundle。
它可以选择性地与特定的分配器关联,在这种情况下,它包含该签名者的一个有效的信任锚集。签名者可以有多个关联的 ClusterTrustBundle;每个都是该签名者的独立信任锚集。准入控制用于强制只有具有签名者权限的用户才能创建或修改相应的捆绑包。
apiVersion: certificates.k8s.io/v1alpha1
kind: ClusterTrustBundle
metadata (ObjectMeta)
metadata 包含对象元数据。
spec (ClusterTrustBundleSpec),必需
spec 包含签名者(如果有)和信任锚。
ClusterTrustBundleSpec
ClusterTrustBundleSpec 包含签名者和信任锚。
trustBundle (string),必需
trustBundle 包含此捆绑包的各个 X.509 信任锚,作为 PEM 包装的、DER 格式的 X.509 证书的 PEM 捆绑包。
数据必须仅由解析为有效的 X.509 证书的 PEM 证书块组成。每个证书必须包含设置了 CA 位的基本约束扩展。API 服务器将拒绝包含重复证书或使用 PEM 块头的对象。
ClusterTrustBundle 的用户(包括 Kubelet)可以自由地根据自己的逻辑重新排序和删除此文件中的证书块,以及删除 PEM 块头和块间数据。
signerName (string)
signerName 指示关联的签名者(如果有)。
为了创建或更新设置了 signerName 的 ClusterTrustBundle,您必须具有以下集群范围的权限:group=certificates.k8s.io resource=signers resourceName=<签名者名称> verb=attest。
如果 signerName 不为空,则 ClusterTrustBundle 对象必须以签名者名称作为前缀命名(将斜杠转换为冒号)。例如,对于签名者名称
example.com/foo
,有效的 ClusterTrustBundle 对象名称包括example.com:foo:abc
和example.com:foo:v1
。如果 signerName 为空,则 ClusterTrustBundle 对象名称不能有这样的前缀。
ClusterTrustBundle 的列表/监视请求可以使用
spec.signerName=NAME
字段选择器对此字段进行筛选。
ClusterTrustBundleList
ClusterTrustBundleList 是 ClusterTrustBundle 对象的集合
apiVersion: certificates.k8s.io/v1alpha1
kind: ClusterTrustBundleList
metadata (ListMeta)
metadata 包含列表元数据。
items ([]ClusterTrustBundle),必需
items 是 ClusterTrustBundle 对象的集合
操作
get
读取指定的 ClusterTrustBundle
HTTP 请求
GET /apis/certificates.k8s.io/v1alpha1/clustertrustbundles/{name}
参数
name (路径中): string,必需
ClusterTrustBundle 的名称
pretty (查询中): string
响应
200 (ClusterTrustBundle): OK
401: 未授权
list
列出或监视 ClusterTrustBundle 类型的对象
HTTP 请求
GET /apis/certificates.k8s.io/v1alpha1/clustertrustbundles
参数
allowWatchBookmarks (查询中): boolean
continue (查询中): string
fieldSelector (查询中): string
labelSelector (查询中): string
limit (查询中): integer
pretty (查询中): string
resourceVersion (查询中): string
resourceVersionMatch (查询中): string
sendInitialEvents (查询中): boolean
timeoutSeconds (查询中): integer
watch (查询中): boolean
响应
200 (ClusterTrustBundleList): OK
401: 未授权
create
创建一个 ClusterTrustBundle
HTTP 请求
POST /apis/certificates.k8s.io/v1alpha1/clustertrustbundles
参数
body: ClusterTrustBundle,必需
dryRun (查询中): string
fieldManager (查询中): string
fieldValidation (查询中): string
pretty (查询中): string
响应
200 (ClusterTrustBundle): OK
201 (ClusterTrustBundle): 已创建
202 (ClusterTrustBundle): 已接受
401: 未授权
update
替换指定的 ClusterTrustBundle
HTTP 请求
PUT /apis/certificates.k8s.io/v1alpha1/clustertrustbundles/{name}
参数
name (路径中): string,必需
ClusterTrustBundle 的名称
body: ClusterTrustBundle,必需
dryRun (查询中): string
fieldManager (查询中): string
fieldValidation (查询中): string
pretty (查询中): string
响应
200 (ClusterTrustBundle): OK
201 (ClusterTrustBundle): 已创建
401: 未授权
patch
部分更新指定的 ClusterTrustBundle
HTTP 请求
PATCH /apis/certificates.k8s.io/v1alpha1/clustertrustbundles/{name}
参数
name (路径中): string,必需
ClusterTrustBundle 的名称
body: Patch,必需
dryRun (查询中): string
fieldManager (查询中): string
fieldValidation (查询中): string
force (查询中): boolean
pretty (查询中): string
响应
200 (ClusterTrustBundle): OK
201 (ClusterTrustBundle): 已创建
401: 未授权
delete
删除 ClusterTrustBundle
HTTP 请求
DELETE /apis/certificates.k8s.io/v1alpha1/clustertrustbundles/{name}
参数
name (路径中): string,必需
ClusterTrustBundle 的名称
body: DeleteOptions
dryRun (查询中): string
gracePeriodSeconds (查询中): integer
pretty (查询中): string
propagationPolicy (查询中): string
响应
200 (Status): OK
202 (Status): 已接受
401: 未授权
deletecollection
删除 ClusterTrustBundle 的集合
HTTP 请求
DELETE /apis/certificates.k8s.io/v1alpha1/clustertrustbundles
参数
body: DeleteOptions
continue (查询中): string
dryRun (查询中): string
fieldSelector (查询中): string
gracePeriodSeconds (查询中): integer
labelSelector (查询中): string
limit (查询中): integer
pretty (查询中): string
propagationPolicy (查询中): string
resourceVersion (查询中): string
resourceVersionMatch (查询中): string
sendInitialEvents (查询中): boolean
timeoutSeconds (查询中): integer
响应
200 (Status): OK
401: 未授权
此页面是自动生成的。
如果您计划报告此页面的问题,请在您的问题描述中提到该页面是自动生成的。修复可能需要在 Kubernetes 项目中的其他地方进行。