ClusterTrustBundle v1beta1

apiVersion: certificates.k8s.io/v1beta1

import "k8s.io/api/certificates/v1beta1"

ClusterTrustBundle

ClusterTrustBundle 是一個叢集範圍的容器，用於存放 X.509 信任錨（根證書）。

ClusterTrustBundle 物件被認為是叢集中任何經過身份驗證的使用者都可以讀取的，因為 Pod 可以透過 `clusterTrustBundle` 投影來掛載它們。預設情況下，所有服務帳戶都對 ClusterTrustBundles 具有讀取許可權。只有名稱空間級別訪問許可權的使用者可以透過冒充他們有權訪問的服務帳戶來讀取 ClusterTrustBundles。

它可以選擇性地與特定的簽名者關聯，在這種情況下，它包含該簽名者的一個有效信任錨集。簽名者可以有多個關聯的 ClusterTrustBundles；每個都是該簽名者的一個獨立信任錨集。Admission Control 用於強制只有擁有簽名者許可權的使用者才能建立或修改相應的 bundle。

• apiVersion: certificates.k8s.io/v1beta1

• kind: ClusterTrustBundle

• metadata (ObjectMeta)

  metadata 包含物件元資料。

• spec (ClusterTrustBundleSpec), required

  spec 包含簽名者（如果存在）和信任錨。

ClusterTrustBundleSpec

ClusterTrustBundleSpec 包含簽名者和信任錨。

• trustBundle (string), required

  trustBundle 包含此 bundle 的各個 X.509 信任錨，格式為 PEM bundle，其中包含 PEM 包裝的 DER 格式的 X.509 證書。

  資料必須只包含可以解析為有效 X.509 證書的 PEM 證書塊。每個證書必須包含一個 basic constraints 擴充套件，其中 CA 位已設定。API 伺服器將拒絕包含重複證書或使用 PEM 塊頭的物件。

  ClusterTrustBundles 的使用者，包括 Kubelet，可以根據自己的邏輯自由地重新排序和去重此檔案中的證書塊，也可以刪除 PEM 塊頭和塊間資料。

• signerName (string)

  signerName 指示關聯的簽名者（如果存在）。

  要建立或更新設定了 signerName 的 ClusterTrustBundle，您必須具有以下叢集範圍的許可權：group=certificates.k8s.io resource=signers resourceName=<簽名者名稱> verb=attest。

  如果 signerName 非空，則 ClusterTrustBundle 物件必須以簽名者名稱作為字首命名（將斜槓翻譯為冒號）。例如，對於簽名者名稱 `example.com/foo`，有效的 ClusterTrustBundle 物件名稱包括 `example.com:foo:abc` 和 `example.com:foo:v1`。

  如果 signerName 為空，則 ClusterTrustBundle 物件名稱不應有此類字首。

  對 ClusterTrustBundles 的列表/監視請求可以使用 `spec.signerName=NAME` 欄位選擇器在此欄位上進行過濾。

ClusterTrustBundleList

ClusterTrustBundleList 是 ClusterTrustBundle 物件的集合

• apiVersion: certificates.k8s.io/v1beta1

• kind: ClusterTrustBundleList

• metadata (ListMeta)

  metadata 包含列表元資料。

• items ([]ClusterTrustBundle), required

  items 是 ClusterTrustBundle 物件的集合

操作

get 讀取指定的 ClusterTrustBundle

HTTP 請求

GET /apis/certificates.k8s.io/v1beta1/clustertrustbundles/{name}

引數

• name (在路徑中): string，必填

  ClusterTrustBundle 的名稱

• pretty (在查詢中): string

  pretty

響應

200 (ClusterTrustBundle): OK

401: 未授權

list 列出或監視 ClusterTrustBundle 型別的物件

HTTP 請求

GET /apis/certificates.k8s.io/v1beta1/clustertrustbundles

引數

• allowWatchBookmarks (在查詢中): boolean

  allowWatchBookmarks

• continue (在查詢中): string

  continue

• fieldSelector (在查詢中): string

  fieldSelector

• labelSelector (在查詢中): string

  labelSelector

• limit (在查詢中): integer

  limit

• pretty (在查詢中): string

  pretty

• resourceVersion (在查詢中): string

  resourceVersion

• resourceVersionMatch (在查詢中): string

  resourceVersionMatch

• sendInitialEvents (在查詢中): boolean

  sendInitialEvents

• timeoutSeconds (在查詢中): integer

  timeoutSeconds

• watch (在查詢中): boolean

  watch

響應

200 (ClusterTrustBundleList): OK

401: 未授權

create 建立一個 ClusterTrustBundle

HTTP 請求

POST /apis/certificates.k8s.io/v1beta1/clustertrustbundles

引數

• body: ClusterTrustBundle, required

• dryRun (在查詢中): string

  dryRun

• fieldManager (在查詢中): string

  fieldManager

• fieldValidation (在查詢中): string

  fieldValidation

• pretty (在查詢中): string

  pretty

響應

200 (ClusterTrustBundle): OK

201 (ClusterTrustBundle): Created

202 (ClusterTrustBundle): Accepted

401: 未授權

update 替換指定的 ClusterTrustBundle

HTTP 請求

PUT /apis/certificates.k8s.io/v1beta1/clustertrustbundles/{name}

引數

• name (在路徑中): string，必填

  ClusterTrustBundle 的名稱

• body: ClusterTrustBundle, required

• dryRun (在查詢中): string

  dryRun

• fieldManager (在查詢中): string

  fieldManager

• fieldValidation (在查詢中): string

  fieldValidation

• pretty (在查詢中): string

  pretty

響應

200 (ClusterTrustBundle): OK

201 (ClusterTrustBundle): Created

401: 未授權

patch 部分更新指定的 ClusterTrustBundle

HTTP 請求

PATCH /apis/certificates.k8s.io/v1beta1/clustertrustbundles/{name}

引數

• name (在路徑中): string，必填

  ClusterTrustBundle 的名稱

• body: Patch，必需

• dryRun (在查詢中): string

  dryRun

• fieldManager (在查詢中): string

  fieldManager

• fieldValidation (在查詢中): string

  fieldValidation

• force (在查詢中): boolean

  force

• pretty (在查詢中): string

  pretty

響應

200 (ClusterTrustBundle): OK

201 (ClusterTrustBundle): Created

401: 未授權

delete 刪除一個 ClusterTrustBundle

HTTP 請求

DELETE /apis/certificates.k8s.io/v1beta1/clustertrustbundles/{name}

引數

• name (在路徑中): string，必填

  ClusterTrustBundle 的名稱

• body: DeleteOptions

• dryRun (在查詢中): string

  dryRun

• gracePeriodSeconds (在查詢中): integer

  gracePeriodSeconds

• ignoreStoreReadErrorWithClusterBreakingPotential (在查詢中): boolean

  ignoreStoreReadErrorWithClusterBreakingPotential

• pretty (在查詢中): string

  pretty

• propagationPolicy (在查詢中): string

  propagationPolicy

響應

200 (Status): OK

202 (Status): 已接受

401: 未授權

deletecollection 刪除 ClusterTrustBundle 的集合

HTTP 請求

DELETE /apis/certificates.k8s.io/v1beta1/clustertrustbundles

引數

• body: DeleteOptions

• continue (在查詢中): string

  continue

• dryRun (在查詢中): string

  dryRun

• fieldSelector (在查詢中): string

  fieldSelector

• gracePeriodSeconds (在查詢中): integer

  gracePeriodSeconds

• ignoreStoreReadErrorWithClusterBreakingPotential (在查詢中): boolean

  ignoreStoreReadErrorWithClusterBreakingPotential

• labelSelector (在查詢中): string

  labelSelector

• limit (在查詢中): integer

  limit

• pretty (在查詢中): string

  pretty

• propagationPolicy (在查詢中): string

  propagationPolicy

• resourceVersion (在查詢中): string

  resourceVersion

• resourceVersionMatch (在查詢中): string

  resourceVersionMatch

• sendInitialEvents (在查詢中): boolean

  sendInitialEvents

• timeoutSeconds (在查詢中): integer

  timeoutSeconds

響應

200 (Status): OK

401: 未授權