信任管理器 API 参考
包
trust.cert-manager.io/v1alpha1
资源类型
Bundle
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| apiVersion | string | trust.cert-manager.io/v1alpha1 | true |
| kind | string | Bundle | true |
| metadata | object | 请参考 Kubernetes API 文档了解 metadata 字段的内容。 | true |
| spec | object | Bundle 资源的期望状态。 | true |
| status | object | Bundle 的状态。这由系统自动设置和管理。 | false |
Bundle.spec
Bundle 资源的期望状态。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| sources | []object | Sources 是指一组数据源的引用,这些数据源的数据将同步到目标位置。 | true |
| target | object | Target 是指所有命名空间中用于同步源数据的目标位置。 | true |
Bundle.spec.sources[index]
BundleSource 是指一组数据源,其数据将被追加并同步到所有命名空间中的 BundleTarget。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| configMap | object | ConfigMap 是指对 ConfigMap 的 | false |
| inLine | string | InLine 是一个简单字符串,用作源数据追加。 | false |
| secret | object | Secret 是指对 Secret 的 | false |
| useDefaultCAs | boolean | UseDefaultCAs 在为 true 时,请求使用默认 CA 捆绑包作为数据源。如果 trust-manager 是通过 Helm 安装的,或者以其他方式配置为使用 "--default-package-location" 标志启动 trust-manager 控制器时包含一个包注入初始化容器,则默认 CA 可用。如果启动时未配置默认 CA,则任何使用默认 CA 的请求都将失败。在 Bundle 的 status 字段中的 defaultCAPackageVersion 字段中存储了用于 Bundle 的默认 CA 包的版本。 | false |
Bundle.spec.sources[index].configMap
ConfigMap 是指对 ConfigMap 的 data 键的引用(按名称),或对使用标签选择器的 ConfigMap 的 data 键的列表的引用,位于 trust 命名空间中。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| key | string | Key 是指对象 | true |
| name | string | Name 是指 trust 命名空间中源对象的名称。当设置了 | false |
| selector | object | Selector 是指用于获取对象列表的标签选择器。当设置了 | false |
Bundle.spec.sources[index].configMap.selector
Selector 是指用于获取对象列表的标签选择器。当设置了 Name 时,不得设置此字段。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| matchExpressions | []object | matchExpressions 是指标签选择器要求的列表。这些要求是使用 AND 连接的。 | false |
| matchLabels | map[string]string | matchLabels 是指键值对的映射。matchLabels 映射中的单个键值等效于 matchExpressions 的一个元素,其 key 字段为 "key",运算符为 "In",values 数组仅包含 "value"。这些要求是使用 AND 连接的。 | false |
Bundle.spec.sources[index].configMap.selector.matchExpressions[index]
标签选择器要求是指包含值、键和将键和值关联在一起的运算符的选择器。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| key | string | key 是指选择器应用于的标签键。 | true |
| operator | string | operator 表示键与一组值的关联关系。有效的运算符包括 In、NotIn、Exists 和 DoesNotExist。 | true |
| values | []string | values 是指字符串值的数组。如果运算符为 In 或 NotIn,则 values 数组必须非空。如果运算符为 Exists 或 DoesNotExist,则 values 数组必须为空。此数组在策略性合并修补期间会被替换。 | false |
Bundle.spec.sources[index].secret
Secret 是指对 Secret 的 data 键的引用(按名称),或对使用标签选择器的 Secret 的 data 键的列表的引用,位于 trust 命名空间中。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| key | string | Key 是指对象 | true |
| name | string | Name 是指 trust 命名空间中源对象的名称。当设置了 | false |
| selector | object | Selector 是指用于获取对象列表的标签选择器。当设置了 | false |
Bundle.spec.sources[index].secret.selector
Selector 是指用于获取对象列表的标签选择器。当设置了 Name 时,不得设置此字段。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| matchExpressions | []object | matchExpressions 是指标签选择器要求的列表。这些要求是使用 AND 连接的。 | false |
| matchLabels | map[string]string | matchLabels 是指键值对的映射。matchLabels 映射中的单个键值等效于 matchExpressions 的一个元素,其 key 字段为 "key",运算符为 "In",values 数组仅包含 "value"。这些要求是使用 AND 连接的。 | false |
Bundle.spec.sources[index].secret.selector.matchExpressions[index]
标签选择器要求是指包含值、键和将键和值关联在一起的运算符的选择器。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| key | string | key 是指选择器应用于的标签键。 | true |
| operator | string | operator 表示键与一组值的关联关系。有效的运算符包括 In、NotIn、Exists 和 DoesNotExist。 | true |
| values | []string | values 是指字符串值的数组。如果运算符为 In 或 NotIn,则 values 数组必须非空。如果运算符为 Exists 或 DoesNotExist,则 values 数组必须为空。此数组在策略性合并修补期间会被替换。 | false |
Bundle.spec.target
Target 是指所有命名空间中用于同步源数据的目标位置。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| additionalFormats | object | AdditionalFormats 指明要写入目标的任何其他格式。 | false |
| configMap | object | ConfigMap 是指所有 Bundle 源数据的同步目标,位于所有命名空间中的目标 ConfigMap。 | false |
| namespaceSelector | object | NamespaceSelector 如果设置,将仅在与选择器匹配的命名空间中同步目标资源。 | false |
| secret | object | Secret 是指所有 Bundle 源数据的同步目标,位于目标 Secret 中。仅当在 trust-manager 启动时启用时,才支持使用 Secrets 作为目标。默认情况下,trust-manager 无法写入秘密,只能读取 trust 命名空间中的秘密。 | false |
Bundle.spec.target.additionalFormats
AdditionalFormats 指明要写入目标的任何其他格式。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| jks | object | JKS 请求将 JKS 格式的二进制信任捆绑包写入目标。捆绑包的默认密码为 "changeit"。有关更多信息,请参阅以下链接 https://cert-manager.k8s.ac.cn/docs/faq/#keystore-passwords | false |
| pkcs12 | object | PKCS12 请求将 PKCS12 格式的二进制信任捆绑包写入目标。默认情况下,捆绑包会在没有密码的情况下创建。 | false |
Bundle.spec.target.additionalFormats.jks
JKS 请求将 JKS 格式的二进制信任捆绑包写入目标。捆绑包的默认密码为 "changeit"。有关更多信息,请参阅以下链接 https://cert-manager.k8s.ac.cn/docs/faq/#keystore-passwords
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| key | string | Key 是指对象 | true |
| password | string | JKS 信任存储的密码 默认: changeit | false |
Bundle.spec.target.additionalFormats.pkcs12
PKCS12 请求将 PKCS12 格式的二进制信任捆绑包写入目标。默认情况下,捆绑包会在没有密码的情况下创建。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| key | string | Key 是指对象 | true |
| password | string | PKCS12 信任存储的密码 默认: | false |
Bundle.spec.target.configMap
ConfigMap 是指所有 Bundle 源数据的同步目标,位于所有命名空间中的目标 ConfigMap。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| key | string | Key 是指对象 | true |
Bundle.spec.target.namespaceSelector
NamespaceSelector 如果设置,将仅在与选择器匹配的命名空间中同步目标资源。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| matchLabels | map[string]string | MatchLabels 匹配必须存在于命名空间中的标签集,以便在其中同步 Bundle 目标。 | false |
Bundle.spec.target.secret
Secret 是指所有 Bundle 源数据的同步目标,位于目标 Secret 中。仅当在 trust-manager 启动时启用时,才支持使用 Secrets 作为目标。默认情况下,trust-manager 无法写入秘密,只能读取 trust 命名空间中的秘密。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| key | string | Key 是指对象 | true |
Bundle.status
Bundle 的状态。这由系统自动设置和管理。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| 条件 | []object | 指示 Bundle 状态的状态条件列表。已知的条件类型为 | false |
| defaultCAVersion | string | 如果设置且非空,则 DefaultCAPackageVersion 表示在捆绑包来源中请求默认 CA 集时检索到的版本信息。 仅当在来源上将 useDefaultCAs 设置为“true”时才应设置此值,并且对于具有相同证书的相同版本的捆绑包,此值将相同。 | false |
Bundle.status.conditions[index]
BundleCondition 包含 Bundle 的条件信息。
| 名称 | 类型 | 描述 | 必需 |
|---|---|---|---|
| lastTransitionTime | string | LastTransitionTime 是与该条件的上次状态更改相对应的 timestamp。 格式: date-time | true |
| reason | string | Reason 是对条件上次转换的简短机器可读解释。该值应为 CamelCase 字符串。此字段不能为空。 | true |
| status | 枚举 | 条件的状态,为 True、False 或 Unknown 之一。 枚举: True, False, Unknown | true |
| type | string | 条件的类型,已知值为 ( | true |
| message | string | Message 是对上次转换的详细信息的人类可读描述,补充了 reason。 | false |
| observedGeneration | 整数 | 如果设置,这表示该条件基于的 .metadata.generation。例如,如果 .metadata.generation 当前为 12,但 .status.condition[x].observedGeneration 为 9,则该条件相对于 Bundle 的当前状态已过时。 格式: int64 | false |
