ClusterTrustBundle v1beta1
apiVersion: certificates.k8s.io/v1beta1
import "k8s.io/api/certificates/v1beta1"
ClusterTrustBundle
ClusterTrustBundle 是一个集群范围的容器,用于存放 X.509 信任锚(根证书)。
集群中的任何已认证用户都可以读取 ClusterTrustBundle 对象,因为它们可以使用 clusterTrustBundle 投射方式被 Pod 挂载。默认情况下,所有 ServiceAccount 都拥有对 ClusterTrustBundle 的读取访问权限。只有集群命名空间级别访问权限的用户可以通过模拟他们有权访问的 ServiceAccount 来读取 ClusterTrustBundle。
它可以选择性地关联到特定的签名者(assigner),在这种情况下,它包含该签名者的一组有效信任锚。签名者可以关联多个 ClusterTrustBundle;每个都是该签名者独立的一组信任锚。准入控制用于强制规定只有对签名者拥有权限的用户才能创建或修改相应的捆绑包。
apiVersion: certificates.k8s.io/v1beta1
kind: ClusterTrustBundle
metadata (ObjectMeta)
metadata 包含对象元数据。
spec (ClusterTrustBundleSpec),必需
spec 包含签名者(如果存在)和信任锚。
ClusterTrustBundleSpec
ClusterTrustBundleSpec 包含签名者和信任锚。
trustBundle (string),必需
trustBundle 包含此捆绑包的单个 X.509 信任锚,为 PEM 格式的 PEM 捆绑包,其中包含 DER 格式的 X.509 证书。
数据必须仅包含可解析为有效 X.509 证书的 PEM 证书块。每个证书必须包含一个设置了 CA 位的基本约束扩展。API 服务器将拒绝包含重复证书或使用 PEM 块头的对象。
ClusterTrustBundle 的使用者(包括 Kubelet)可以根据自己的逻辑自由地重新排序和去重此文件中的证书块,也可以丢弃 PEM 块头和块间数据。
signerName (string)
signerName 表示关联的签名者,如果存在的话。
为了创建或更新设置了 signerName 的 ClusterTrustBundle,你必须拥有以下集群范围的权限:group=certificates.k8s.io resource=signers resourceName=<签名者名称> verb=attest。
如果 signerName 不为空,则 ClusterTrustBundle 对象的名称必须以签名者名称作为前缀(将斜杠转换为冒号)。例如,对于签名者名称
example.com/foo,有效的 ClusterTrustBundle 对象名称包括example.com:foo:abc和example.com:foo:v1。如果 signerName 为空,则 ClusterTrustBundle 对象的名称不得具有此类前缀。
对 ClusterTrustBundle 的列表/监听请求可以使用
spec.signerName=NAME字段选择器对此字段进行过滤。
ClusterTrustBundleList
ClusterTrustBundleList 是 ClusterTrustBundle 对象的集合
apiVersion: certificates.k8s.io/v1beta1
kind: ClusterTrustBundleList
metadata (ListMeta)
metadata 包含列表元数据。
items ([]ClusterTrustBundle),必需
items 是 ClusterTrustBundle 对象的集合
操作
get 读取指定的 ClusterTrustBundle
HTTP 请求
GET /apis/certificates.k8s.io/v1beta1/clustertrustbundles/{name}
参数
name (在路径中):string,必需
ClusterTrustBundle 的名称
pretty (在查询中):string
响应
200 (ClusterTrustBundle):成功
401:未授权
list 列出或监听 ClusterTrustBundle 类型的对象
HTTP 请求
GET /apis/certificates.k8s.io/v1beta1/clustertrustbundles
参数
allowWatchBookmarks (在查询中):boolean
continue (在查询中):string
fieldSelector (在查询中):string
labelSelector (在查询中):string
limit (在查询中):integer
pretty (在查询中):string
resourceVersion (在查询中):string
resourceVersionMatch (在查询中):string
sendInitialEvents (在查询中):boolean
timeoutSeconds (在查询中):integer
watch (在查询中):boolean
响应
200 (ClusterTrustBundleList):成功
401:未授权
create 创建一个 ClusterTrustBundle
HTTP 请求
POST /apis/certificates.k8s.io/v1beta1/clustertrustbundles
参数
body: ClusterTrustBundle,必需
dryRun (在查询中):string
fieldManager (在查询中):string
fieldValidation (在查询中):string
pretty (在查询中):string
响应
200 (ClusterTrustBundle):成功
201 (ClusterTrustBundle):已创建
202 (ClusterTrustBundle):已接受
401:未授权
update 替换指定的 ClusterTrustBundle
HTTP 请求
PUT /apis/certificates.k8s.io/v1beta1/clustertrustbundles/{name}
参数
name (在路径中):string,必需
ClusterTrustBundle 的名称
body: ClusterTrustBundle,必需
dryRun (在查询中):string
fieldManager (在查询中):string
fieldValidation (在查询中):string
pretty (在查询中):string
响应
200 (ClusterTrustBundle):成功
201 (ClusterTrustBundle):已创建
401:未授权
patch 部分更新指定的 ClusterTrustBundle
HTTP 请求
PATCH /apis/certificates.k8s.io/v1beta1/clustertrustbundles/{name}
参数
name (在路径中):string,必需
ClusterTrustBundle 的名称
body: Patch,必需
dryRun (在查询中):string
fieldManager (在查询中):string
fieldValidation (在查询中):string
force (在查询中):boolean
pretty (在查询中):string
响应
200 (ClusterTrustBundle):成功
201 (ClusterTrustBundle):已创建
401:未授权
delete 删除一个 ClusterTrustBundle
HTTP 请求
DELETE /apis/certificates.k8s.io/v1beta1/clustertrustbundles/{name}
参数
name (在路径中):string,必需
ClusterTrustBundle 的名称
body: DeleteOptions
dryRun (在查询中):string
gracePeriodSeconds (在查询中):integer
ignoreStoreReadErrorWithClusterBreakingPotential (在查询中):boolean
pretty (在查询中):string
propagationPolicy (在查询中):string
响应
200 (Status):成功
202 (Status):已接受
401:未授权
deletecollection 删除 ClusterTrustBundle 的集合
HTTP 请求
DELETE /apis/certificates.k8s.io/v1beta1/clustertrustbundles
参数
body: DeleteOptions
continue (在查询中):string
dryRun (在查询中):string
fieldSelector (在查询中):string
gracePeriodSeconds (在查询中):integer
ignoreStoreReadErrorWithClusterBreakingPotential (在查询中):boolean
labelSelector (在查询中):string
limit (在查询中):integer
pretty (在查询中):string
propagationPolicy (在查询中):string
resourceVersion (在查询中):string
resourceVersionMatch (在查询中):string
sendInitialEvents (在查询中):boolean
timeoutSeconds (在查询中):integer
响应
200 (Status):成功
401:未授权
本页面是自动生成的。
如果你计划报告本页面存在的问题,请在问题描述中注明本页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。