設定 API

additionalCORSAllowedOrigins

array (string)

additionalCORSAllowedOrigins は、API サーバーが CORS ヘッダーを使用してアクセスを許可するホストを記述する追加のユーザー定義の正規表現をリスト表示します。これは、JavaScript アプリケーションから API および統合 OAuth サーバーにアクセスするために必要になる場合があります。値は、Golang 正規表現言語に対応する正規表現です。

audit

object

audit は、クラスター内のすべての OpenShift 提供の API サーバーに適用される監査設定の設定を指定します。

clientCA

object

clientCA は、Operator が管理する署名者に加えて、着信クライアント証明書で認識される署名者の証明書バンドルを含む ConfigMap を参照します。これが空の場合、Operator が管理する署名者のみが有効です。通常、これを設定する必要があるのは、クライアント証明書を尊重したい独自の PKI がある場合のみです。ConfigMap は、openshift-config 名前空間に存在し、以下の必須フィールドを含む必要があります。- ConfigMap.Data["ca-bundle.crt"] - CA バンドル。

暗号化

object

暗号化により、データストア層でのリソースの暗号化を設定できます。

servingCerts

object

servingCert は、安全なトラフィックを提供するための TLS 証明書情報です。指定しない場合、Operator が管理する証明書は、安全なトラフィックを提供するために使用されます。

tlsSecurityProfile

object

tlsSecurityProfile は、外部に公開されたサーバーの TLS 接続の設定を指定します。

設定されていない場合、デフォルト (リリース間で変更される可能性があります) が選択されます。現在サポートされているのは Old、Intermediate、および Custom プロファイルのみであり、使用可能な minTLSVersion の最大バージョンは VersionTLS12 であることに注意してください。

customRules

array

customRules は、グループごとのプロファイルを指定します。これらのプロファイルは、該当する場合、最上位のプロファイルフィールドよりも優先されます。それらは上から下への評価であり、最初に一致するものが適用されます。

customRules[]

object

AuditCustomRule は、最上位プロファイルよりも優先される監査プロファイルのカスタムルールを記述します。

profile

string

profile は、クラスター内の OpenShift が提供する API サーバー (kube-apiserver、openshift-apiserver、oauth-apiserver) のいずれかに送信されるすべてのリクエストに適用される、目的のトップレベル監査プロファイルの名前を指定します。1 つ以上の customRules に一致するリクエスト。

次のプロファイルが提供されます。- デフォルト: デフォルトのポリシー。これは、イベント (まったくログに記録されない)、oauthaccesstokens、および oauthauthorizetokens (両方とも RequestBody レベルでログに記録される) を除く MetaData レベルのログを意味します。- WriteRequestBodies: 'デフォルト' と同様ですが、書き込みリクエスト (作成、更新、パッチ) のリクエストとレスポンスの HTTP ペイロードをログに記録します。- AllRequestBodies: 'WriteRequestBodies' と同様ですが、読み取りリクエスト (get、list) のリクエストおよびレスポンス HTTP ペイロードもログに記録します。- None: oauthaccesstokens や oauthauthorizetokens も含め、リクエストはいっさいログに記録されません。

警告: 問題のトラブルシューティング時に有用なデータが記録されないリスクを完全に理解していない限り、None プロファイルを使用して監査ロギングを無効にすることは推奨していません。監査ロギングを無効にしてサポートが必要な状況が生じた場合は、適切にトラブルシューティングを行うために監査ロギングを有効にし、問題を再現する必要がある場合があります。

設定されていない場合、'Default' プロファイルがデフォルトとして使用されます。

group

string

group は、このプロファイルを適用するためにリクエストユーザーがメンバーである必要があるグループの名前です。

profile

string

プロファイルは、クラスター内のすべての OpenShift 提供の API サーバーにデプロイする必要のある監査ポリシー設定の名前を指定します。

次のプロファイルが提供されています。- デフォルト: 既存のデフォルトポリシー。- WriteRequestBodies: 'デフォルト' と同様ですが、書き込みリクエスト (作成、更新、パッチ) のリクエストとレスポンスの HTTP ペイロードをログに記録します。- AllRequestBodies: 'WriteRequestBodies' と同様ですが、読み取りリクエスト (get、list) のリクエストとレスポンス HTTP ペイロードもログに記録します。- None: oauthaccesstokens や oauthauthorizetokens を含め、リクエストはまったくログに記録されません。

設定されていない場合、'Default' プロファイルがデフォルトとして使用されます。

name

string

name は、参照される設定マップの metadata.name です。

type

string

type は、データストア層でリソースを暗号化するために使用する暗号化タイプを定義します。このフィールドが設定されていない場合 (つまり、空の文字列に設定されている場合)、ID が暗黙指定されます。unset の動作は、時間の経過とともに変化する可能性があります。暗号化がデフォルトで有効になっている場合でも、ベストプラクティスの変更に基づいて、未設定の意味が別の暗号化タイプに変更される場合があります。

暗号化を有効にすると、プラットフォームに付属するすべての機密リソースが暗号化されます。この機密リソースのリストは、時間の経過とともに変化する可能性があります。現在の正式なリストは次のとおりです。

1. シークレット 2. configmaps 3. routes.route.openshift.io 4. oauthaccesstokens.oauth.openshift.io 5. oauthauthorizetokens.oauth.openshift.io

namedCertificates

array

namedCertificates は、特定のホスト名に安全なトラフィックを提供するための TLS 証明書情報を含むシークレットを参照します。名前付き証明書が提供されていない場合、またはクライアントが理解できるようにサーバー名と一致する名前付き証明書がない場合は、defaultServingCertificate が使用されます。

namedCertificates[]

object

APIServerNamedServingCert は、クライアントが理解できるように、サーバーの DNS 名を証明書にマップします。

names

array (string)

names は、安全なトラフィックを提供するためにこの証明書を使用する必要がある明示的な DNS 名 (先頭のワイルドカードを許可) のオプションのリストです。名前が指定されていない場合、暗黙の名前が証明書から抽出されます。正確な名前はワイルドカード名よりも優先されます。ここで定義された明示的な名前は、抽出された暗黙的な名前よりも優先されます。

servingCertificate

object

servingCertificate は、安全なトラフィックを提供するための TLS 証明書情報を含む kubernetes.io/tls タイプシークレットを参照します。シークレットは openshift-config 名前空間に存在し、以下の必須フィールドを含む必要があります。- Secret.Data["tls.key"] - TLS private key - Secret.Data["tls.crt"] - TLS certificate

name

string

name は、参照されるシークレットの metadata.name です。

custom

``

custom は、ユーザー定義の TLS セキュリティープロファイルです。無効な設定は壊滅的である可能性があるため、カスタムプロファイルの使用には細心の注意を払ってください。カスタムプロファイルの例は次のようになります。

暗号化:

- ECDHE-ECDSA-CHACHA20-POLY1305

- ECDHE-RSA-CHACHA20-POLY1305

- ECDHE-RSA-AES128-GCM-SHA256

- ECDHE-ECDSA-AES128-GCM-SHA256

minTLSVersion: VersionTLS11

intermediate

``

intermediate は、以下に基づく TLS セキュリティープロファイルです。

https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29

以下のようになります (yaml):

暗号化:

- TLS_AES_128_GCM_SHA256

- TLS_AES_256_GCM_SHA384

- TLS_CHACHA20_POLY1305_SHA256

- ECDHE-ECDSA-AES128-GCM-SHA256

- ECDHE-RSA-AES128-GCM-SHA256

- ECDHE-ECDSA-AES256-GCM-SHA384

- ECDHE-RSA-AES256-GCM-SHA384

- ECDHE-ECDSA-CHACHA20-POLY1305

- ECDHE-RSA-CHACHA20-POLY1305

- DHE-RSA-AES128-GCM-SHA256

- DHE-RSA-AES256-GCM-SHA384

minTLSVersion: VersionTLS12

modern

``

modern は、以下に基づく TLS セキュリティープロファイルです。

https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility

以下のようになります (yaml):

暗号化:

- TLS_AES_128_GCM_SHA256

- TLS_AES_256_GCM_SHA384

- TLS_CHACHA20_POLY1305_SHA256

minTLSVersion: VersionTLS13

old

``

old は、以下に基づく TLS セキュリティープロファイルです。

https://wiki.mozilla.org/Security/Server_Side_TLS#Old_backward_compatibility

以下のようになります (yaml):

暗号化:

- TLS_AES_128_GCM_SHA256

- TLS_AES_256_GCM_SHA384

- TLS_CHACHA20_POLY1305_SHA256

- ECDHE-ECDSA-AES128-GCM-SHA256

- ECDHE-RSA-AES128-GCM-SHA256

- ECDHE-ECDSA-AES256-GCM-SHA384

- ECDHE-RSA-AES256-GCM-SHA384

- ECDHE-ECDSA-CHACHA20-POLY1305

- ECDHE-RSA-CHACHA20-POLY1305

- DHE-RSA-AES128-GCM-SHA256

- DHE-RSA-AES256-GCM-SHA384

- DHE-RSA-CHACHA20-POLY1305

- ECDHE-ECDSA-AES128-SHA256

- ECDHE-RSA-AES128-SHA256

- ECDHE-ECDSA-AES128-SHA

- ECDHE-RSA-AES128-SHA

- ECDHE-ECDSA-AES256-SHA384

- ECDHE-RSA-AES256-SHA384

- ECDHE-ECDSA-AES256-SHA

- ECDHE-RSA-AES256-SHA

- DHE-RSA-AES128-SHA256

- DHE-RSA-AES256-SHA256

- AES128-GCM-SHA256

- AES256-GCM-SHA384

- AES128-SHA256

- AES256-SHA256

- AES128-SHA

- AES256-SHA

- DES-CBC3-SHA

minTLSVersion: VersionTLS10

type

string

type は、Old、Intermediate、Modern、または Custom のいずれかです。カスタムは、個々の TLS セキュリティープロファイルパラメーターを指定する機能を提供します。Old、Intermediate、Modern は、以下に基づく TLS セキュリティープロファイルです。

https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations

プロファイルは意図に基づいているため、時間の経過とともに新しい暗号が開発され、既存の暗号が安全でないことが判明すると、変更される可能性があります。プロセスで使用できる暗号の正確さに応じて、リストが削減される場合があります。

Modern プロファイルは、一般的なソフトウェアライブラリーでまだ十分に採用されていないため、現在サポートされていないことに注意してください。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

APIServerList スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIServer スキーマ

200 - OK

APIServer スキーマ

201 - Created

APIServer スキーマ

202 - Accepted

APIServer スキーマ

401 - Unauthorized

空白

name

string

APIServer の名前

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

APIServer スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

APIServer スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIServer スキーマ

200 - OK

APIServer スキーマ

201 - Created

APIServer スキーマ

401 - Unauthorized

空白

name

string

APIServer の名前

200 - OK

APIServer スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

APIServer スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIServer スキーマ

200 - OK

APIServer スキーマ

201 - Created

APIServer スキーマ

401 - Unauthorized

空白

oauthMetadata

object

oauthMetadata には、外部 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から参照することができます: oc get --raw '/.well-known/oauth-authorization-server'。詳細は、IETF ドラフトを参照してください。https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 oauthMetadata.name が空でない場合、この値は status に格納されているどのメタデータ参照よりも優先されます。キー "oauthMetadata" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config です。

serviceAccountIssuer

string

serviceAccountIssuer は、バインドされたサービスアカウントトークン発行者の識別子です。デフォルトは https://kubernetes.default.svc です。警告: このフィールドを更新しても、以前の発行者値を持つ、バインドされたすべてのトークンがすぐに無効になるわけではありません。代わりに、以前のサービスアカウント発行者が発行したトークンが、プラットフォームによって選択された期間 (現在は 24h に設定) にわたり引き続き信頼されます。この期間は、時間の経過とともに変更される可能性があります。これにより、内部コンポーネントはサービスを中断することなく、新しいサービスアカウント発行者を使用するように移行できます。

type

string

type は、使用中のクラスター管理のユーザー向け認証モードを識別します。具体的には、ログイン試行に応答するコンポーネントを管理します。デフォルトは IntegratedOAuth です。

webhookTokenAuthenticator

object

webhookTokenAuthenticator は、リモートトークンレビューアーを設定します。これらのリモート認証 Webhook は、tokenreviews.authentication.k8s.io REST API. API を介してベアラトークンを検証するために使用できます。これは、外部認証サービスによってプロビジョニングされたベアラトークンを尊重するために必要です。

"Type" が "None"に設定されている場合にのみ設定できます。

webhookTokenAuthenticators

array

webhookTokenAuthenticators は非推奨であり、設定しても効果はありません。

webhookTokenAuthenticators[]

object

deprecatedWebhookTokenAuthenticator は、リモートトークンオーセンティケーターに必要な設定オプションを保持します。WebhookTokenAuthenticator と同じですが、KubeConfig フィールドの 'required' 検証がありません。

name

string

name は、参照される設定マップの metadata.name です。

kubeConfig

object

kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。

詳細は、以下を参照してください。

https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication

キー "kubeConfig" はデータを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

name

string

name は、参照されるシークレットの metadata.name です。

kubeConfig

object

kubeConfig には、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータが含まれています。詳細は、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー "kubeConfig" を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。このシークレットの名前空間は、使用場所によって決まります。

name

string

name は、参照されるシークレットの metadata.name です。

integratedOAuthMetadata

object

integratedOAuthMetadata には、クラスター内統合 OAuth サーバーの OAuth 2.0 認証サーバー Metadata の検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所 (oc get --raw '/.well-known/oauth-authorization-server') から表示できます。詳細は、IETF ドラフト (https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2) を参照してください。これには、クラスターの状態に基づく観測値が含まれます。spec.oauthMetadata に明示的に設定された値は、このフィールドよりも優先されます。認証 spec.type が IntegratedOAuth に設定されていない場合、このフィールドは意味がありません。キー "oauthMetadata" は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config-managed です。

name

string

name は、参照される設定マップの metadata.name です。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

AuthenticationList スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Authentication スキーマ

200 - OK

Authentication スキーマ

201 - Created

Authentication スキーマ

202 - Accepted

Authentication スキーマ

401 - Unauthorized

空白

name

string

認証の名前

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

Authentication スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

Authentication スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Authentication スキーマ

200 - OK

Authentication スキーマ

201 - Created

Authentication スキーマ

401 - Unauthorized

空白

name

string

認証の名前

200 - OK

Authentication スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

Authentication スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Authentication スキーマ

200 - OK

Authentication スキーマ

201 - Created

Authentication スキーマ

401 - Unauthorized

空白

additionalTrustedCA

object

additionalTrustedCA は、ビルド中のイメージのプッシュとプルで信頼される必要がある追加の CA を含む ConfigMap への参照です。この設定マップの namespace は openshift-config です。

非推奨: イメージのプルおよびプッシュ用の追加の CA は、代わりに image.config.openshift.io/cluster に設定する必要があります。

buildDefaults

object

buildDefaults ビルドのデフォルト情報を制御します。

buildOverrides

object

buildOverrides ビルドの上書き設定を制御します。

name

string

name は、参照される設定マップの metadata.name です。

defaultProxy

object

defaultProxy には、イメージのプル/プッシュやソースのダウンロードなど、すべてのビルド操作のデフォルトのプロキシー設定が含まれています。

ビルド設定の戦略で HTTP_PROXY、HTTPS_PROXY、および NO_PROXY 環境変数を設定することにより、値を上書きできます。

env

array

env は、指定された変数がビルドに存在しない場合にビルドに適用されるデフォルトの環境変数のセットです。

env[]

object

EnvVar は、コンテナーに存在する環境変数を表します。

gitProxy

object

gitProxy には、git 操作専用のプロキシー設定が含まれています。設定されている場合、これは git clone などのすべての git コマンドのプロキシー設定を上書きします。

ここで設定されていない値は、DefaultProxy から継承されます。

imageLabels

array

imageLabels は、結果のイメージに適用される Docker ラベルのリストです。ユーザーは、Build/BuildConfig で同じ名前のラベルを指定することにより、デフォルトのラベルを上書きできます。

imageLabels[]

object

resources

object

resources ビルドを実行するためのリソース要件を定義します。

httpProxy

string

httpProxy は、HTTP リクエストのプロキシーの URL です。空は未設定を意味し、env 変数にはなりません。

httpsProxy

string

httpsProxy は、HTTPS リクエストのプロキシーの URL です。空は未設定を意味し、env 変数にはなりません。

noProxy

string

noProxy は、プロキシーを使用してはならないホスト名や CIDR、IP のコンマ区切りのリストです。空は未設定を意味し、env 変数にはなりません。

readinessEndpoints

array (string)

readinessEndpoints は、プロキシーの準備ができていることを確認するために使用されるエンドポイントのリストです。

trustedCA

object

trustedCA は、CA 証明書バンドルを含む ConfigMap への参照です。trustedCA フィールドは、プロキシーバリデーターによってのみ使用される必要があります。バリデーターは、必要なキー "ca-bundle.crt" から証明書バンドルを読み取り、それをシステムのデフォルトのトラストバンドルとマージし、マージされたトラストバンドルを "openshift-config-managed" namespace の "trusted-ca-bundle" という名前の ConfigMap に書き込むロールを担います。プロキシー接続を期待するクライアントは、プロキシーへのすべての HTTPS 要求に trusted-ca-bundle を使用する必要があり、非プロキシー HTTPS 要求にも trusted-ca-bundle を使用できます。

trustedCA が参照する ConfigMap の namespace は "openshift-config" です。以下は ConfigMap の例です (yaml 形式)。

apiVersion: v1 kind: ConfigMap metadata: name: user-ca-bundle namespace: openshift-config data: ca-bundle.crt: | -----BEGIN CERTIFICATE----- Custom CA certificate bundle. -----END CERTIFICATE-----

name

string

name は、参照される設定マップの metadata.name です。

name

string

環境変数の名前。C_IDENTIFIER でなければなりません。

value

string

変数参照 $(VAR_NAME) は、コンテナー内で以前に定義された環境変数と任意のサービス環境変数を使用してデプロイメントされます。変数を解決できない場合、入力文字列の参照は変更されません。Double は単一の $ に削減されます。これにより、$(VAR_NAME) 構文をエスケープできます。つまり、"(VAR_NAME)" は文字列リテラル "$(VAR_NAME)" を生成します。変数が存在するかどうかにかかわらず、エスケープされた参照は拡張されません。デフォルトは "" です。

valueFrom

object

環境変数の値のソースです。値が空でない場合は使用できません。

configMapKeyRef

object

ConfigMap のキーを選択します。

fieldRef

object

Pod のフィールドを選択します。metadata.name、metadata.namespace、metadata.labels['<KEY>']、metadata.annotations['<KEY>']、spec.nodeName、spec.serviceAccountName、status.hostIP、status.podIP、status.podIPs がサポートされています。

resourceFieldRef

object

コンテナーのリソースを選択します。現在、リソースの制限とリクエスト (limits.cpu、limits.memory、limits.ephemeral-storage、requests.cpu、requests.memory、requests.ephemeral-storage) のみがサポートされています。

secretKeyRef

object

Pod の namespace でシークレットのキーを選択します

key

string

選択するキー。

name

string

参照先の名前。このフィールドは実質的には必須ですが、下位互換性のため空でもかまいません。ここで空の値を持つこの型のインスタンスは、ほぼ間違いなく間違っています。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names

optional

boolean

ConfigMap かそのキーを定義する必要があるかどうかを指定します。

apiVersion

string

FieldPath が記述されているスキーマのバージョン。デフォルトは "v1" です。

fieldPath

string

指定された API バージョンで選択するフィールドのパス。

containerName

string

コンテナー名: ボリュームには必須、env 変数にはオプション

divisor

integer-or-string

公開されたリソースの出力形式を指定します。デフォルトは "1" です。

resource

string

必須: 選択するリソース

key

string

選択するシークレットのキー。有効な秘密鍵でなければなりません。

name

string

参照先の名前。このフィールドは実質的には必須ですが、下位互換性のため空でもかまいません。ここで空の値を持つこの型のインスタンスは、ほぼ間違いなく間違っています。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names

optional

boolean

シークレットかそのキーを定義する必要があるかどうかを指定します。

httpProxy

string

httpProxy は、HTTP リクエストのプロキシーの URL です。空は未設定を意味し、env 変数にはなりません。

httpsProxy

string

httpsProxy は、HTTPS リクエストのプロキシーの URL です。空は未設定を意味し、env 変数にはなりません。

noProxy

string

noProxy は、プロキシーを使用してはならないホスト名や CIDR、IP のコンマ区切りのリストです。空は未設定を意味し、env 変数にはなりません。

readinessEndpoints

array (string)

readinessEndpoints は、プロキシーの準備ができていることを確認するために使用されるエンドポイントのリストです。

trustedCA

object

trustedCA は、CA 証明書バンドルを含む ConfigMap への参照です。trustedCA フィールドは、プロキシーバリデーターによってのみ使用される必要があります。バリデーターは、必要なキー "ca-bundle.crt" から証明書バンドルを読み取り、それをシステムのデフォルトのトラストバンドルとマージし、マージされたトラストバンドルを "openshift-config-managed" namespace の "trusted-ca-bundle" という名前の ConfigMap に書き込むロールを担います。プロキシー接続を期待するクライアントは、プロキシーへのすべての HTTPS 要求に trusted-ca-bundle を使用する必要があり、非プロキシー HTTPS 要求にも trusted-ca-bundle を使用できます。

trustedCA が参照する ConfigMap の namespace は "openshift-config" です。以下は ConfigMap の例です (yaml 形式)。

apiVersion: v1 kind: ConfigMap metadata: name: user-ca-bundle namespace: openshift-config data: ca-bundle.crt: | -----BEGIN CERTIFICATE----- Custom CA certificate bundle. -----END CERTIFICATE-----

name

string

name は、参照される設定マップの metadata.name です。

name

string

name は、ラベルの名前を定義します。ゼロ以外の長さを持つ必要があります。

value

string

値は、ラベルのリテラル値を定義します。

claims

array

Claims には、spec.resourceClaims で定義され、このコンテナーによって使用されるリソースの名前がリストされます。

これはアルファフィールドであり、DynamicResourceAllocation フィーチャーゲートを有効にする必要があります。

このフィールドは変更不可能です。これはコンテナーにのみ設定できます。

claims[]

object

ResourceClaim は、PodSpec.ResourceClaims 内の 1 つのエントリーを参照します。

limits

integer-or-string

limits は、許可されるコンピュートリソースの最大量を示します。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

requests

integer-or-string

requests は、必要なコンピュートリソースの最小量を示します。コンテナーで Requests が省略される場合、明示的に指定される場合にデフォルトで Limits に設定されます。指定しない場合は、実装定義の値に設定されます。リクエストは制限を超えることはできません。詳細は、https://kubernetes.io/docs/concepts/configuration/manage-resources-containers/ を参照してください。

name

string

name は、このフィールドが使用される Pod の pod.spec.resourceClaims に含まれる、1 つのエントリーの名前と一致する必要があります。これにより、そのリソースがコンテナー内で利用可能になります。

request

string

request は、参照されるクレーム内のリクエストに対して選択された名前です。空の場合、クレームからのすべてのものが利用可能になり、それ以外の場合はこの request の結果のみが利用可能になります。

forcePull

boolean

forcePull は、設定されている場合、ビルド内の同等の値をオーバーライドします。つまり、false はすべてのビルドの強制プルを無効にし、true は、各ビルドがそれ自体を指定する内容に関係なく、すべてのビルドの強制プルを有効にします。

imageLabels

array

imageLabels は、結果のイメージに適用される Docker ラベルのリストです。ユーザーが Build/BuildConfig でこのリストにあるものと同じ名前のラベルを指定した場合、ユーザーのラベルは上書きされます。

imageLabels[]

object

nodeSelector

object (string)

nodeSelector は、ビルド Pod がノードに適合するために true である必要があるセレクターです。

tolerations

array

tolerations は、ビルド Pod に設定されている既存の許容値を上書きする許容値のリストです。

tolerations[]

object

この toleration が割り当てられる Pod は、マッチング Operator <operator> を使用してトリプル <key,value,effect> と一致する taint を許容します。

name

string

name は、ラベルの名前を定義します。ゼロ以外の長さを持つ必要があります。

value

string

値は、ラベルのリテラル値を定義します。

effect

string

effect は、照合するテイントの効果を示します。空の場合は、すべてのテイント効果に一致します。指定されている場合、許可される値は NoSchedule、PreferNoSchedule、および NoExecute です。

key

string

key は toleration が適用されるテイントキーです。空の場合は、すべてのテイントキーに一致します。キーが空の場合、Operator は Exists である必要があります。この組み合わせは、すべての値とすべてのキーに一致することを意味します。

operator

string

Operator はキーと値の関係を表します。有効な Operator は Exists および Equal です。デフォルトは Equal です。Exists は、値のワイルドカードと同等であるため、Pod は特定のカテゴリーのすべてのテイントに耐えることができます。

tolerationSeconds

integer

tolerationSeconds は、toleration (effect は NoExecute でなければならず、NoExecute 以外の場合このフィールドは無視されます) が taint を許容する期間を表します。デフォルトでは設定されていません。つまり、テイントを永久に許容します (エビクトしないでください)。ゼロ値と負の値は、システムによって 0 (すぐにエビクト) として扱われます。

value

string

value は、toleration が一致するテイントの値です。Operator が Exists の場合、値は空である必要があります。それ以外の場合は、通常の文字列のみになります。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

BuildList スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Build スキーマ

200 - OK

Build スキーマ

201 - Created

Build スキーマ

202 - Accepted

Build スキーマ

401 - Unauthorized

空白

name

string

ビルドの名前

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

Build スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

Build スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Build スキーマ

200 - OK

Build スキーマ

201 - Created

Build スキーマ

401 - Unauthorized

空白

name

string

ビルドの名前

200 - OK

Build スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

Build スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Build スキーマ

200 - OK

Build スキーマ

201 - Created

Build スキーマ

401 - Unauthorized

空白

policy

object

policy は、スコープの検証をできるようにするための設定が含まれ、検証ポリシーに一致しないイメージの処理方法を定義する必須フィールドです。

scopes

array (string)

scopes は、ポリシーに割り当てられるイメージアイデンティティーのリストを定義する必須フィールドです。各項目は、「Docker Registry HTTP API V2」を実装するレジストリー内のスコープを参照します。個々のイメージに一致するスコープは、タグまたはダイジェストを使用して完全に展開された形式で Docker 参照に名前が付けられます。たとえば、docker.io/library/busybox:latest (busybox:latest ではありません)。より一般的なスコープは、個々のイメージスコープの接頭辞です。このようなをスコープは、リポジトリー (タグまたはダイジェストを省略)、リポジトリー namespace、またはレジストリーホスト (ホスト名とポート番号のみを指定)、あるいはすべてのサブドメイン (ポート番号は含まない) に一致する *. で始まるワイルドカード式を指定します。ワイルドカードはサブドメインの照合でのみサポートされており、ホスト名の途中の部分では使用できません。つまり、*.example.com は有効ですが、example*.*.com は有効ではありません。1 つのオブジェクトで最大 256 個のスコープがサポートされます。複数のスコープが特定のイメージに一致する場合、最も具体的に一致するスコープのポリシー要件のみが適用されます。より広範なスコープのポリシー要件は無視されます。独自にデプロイしたアプリケーションに適したポリシーを設定することに加えて、OpenShift イメージリポジトリー quay.io/openshift-release-dev/ocp-release、quay.io/openshift-release-dev/ocp-v4.0-art-dev (またはより広範なスコープ) のポリシーで、クラスター操作に必要な OpenShift イメージのデプロイメントが許可されていることを確認します。ClusterImagePolicy と ImagePolicy の両方にスコープが設定されている場合、または ImagePolicy のスコープが ClusterImagePolicy のいずれかのスコープにネストされている場合は、ClusterImagePolicy のポリシーのみが適用されます。フォーマットの詳細は、docker トランスポートフィールドについて説明しているドキュメントを参照してください。このドキュメントは、https://github.com/containers/image/blob/main/docs/containers-policy.json.5.md#docker にあります。

rootOfTrust

object

rootOfTrust は、取得中にイメージ署名を検証するための信頼のルートを定義する必須フィールドです。これにより、イメージのコンシューマーは、ポリシーが生成された方法に合わせて、policyType と対応するポリシー設定を指定できます。

signedIdentity

object

signedIdentity は、署名がイメージについて主張するイメージ ID を指定するためのオプションフィールドです。これは、署名内のイメージアイデンティティーが元のイメージ仕様と異なる場合に役立ちます。たとえば、ミラーレジストリーがイメージスコープ用に設定されている場合、ミラーレジストリーからの署名には元のスコープではなくミラーのイメージ ID が含まれます。必須の matchPolicy フィールドは、署名のアイデンティティーと実際のイメージアイデンティティーを検証するプロセスで使用されるアプローチを指定します。デフォルトの matchPolicy は "MatchRepoDigestOrExact" です。

fulcioCAWithRekor

object

fulcioCAWithRekor は、Fulcio 証明書と Rekor 公開鍵に基づいて信頼のルート設定を定義します。fulcioCAWithRekor は、policyType が FulcioCAWithRekor の場合に必須であり、それ以外の場合は禁止されています。Fulcio と Rekor の詳細は、https://github.com/sigstore/fulcio および https://github.com/sigstore/rekor のドキュメントを参照してください。

policyType

string

policyType は検証のポリシーの種類を指定する必須フィールドです。このフィールドは、ポリシーの生成方法と一致する必要があります。使用可能な値は、"PublicKey"、"FulcioCAWithRekor"、および "PKI".です。"PublicKey" に設定すると、ポリシーは sigstore publicKey に依存し、オプションで Rekor 検証を使用する場合があります。"FulcioCAWithRekor" に設定すると、ポリシーは Fulcio 認証に基づき、Rekor 検証が組み込まれます。"PKI" に設定すると、ポリシーは Bring Your Own 公開鍵基盤 (BYOPKI) からの証明書をベースにします。この値は、SigstoreImageVerificationPKI フィーチャーゲートをオンにすることで有効になります。

publicKey

object

publicKey は、sigstore 公開鍵に基づいて信頼のルート設定を定義します。必要に応じて、Rekor 検証用の Rekor 公開鍵を含めます。policyType が PublicKey の場合、publicKey は必須であり、それ以外の場合は禁止されます。

fulcioCAData

string

fulcioCAData は、PEM 形式の fulcio CA のインライン base64 エンコードデータが含まれる必須フィールドです。fulcioCAData は 8192 文字以下にする必要があります。

fulcioSubject

object

fulcioSubject は、OIDC 発行者と Fulcio 認証設定のメールを指定する必須フィールドです。

rekorKeyData

string

rekorKeyData は必須フィールドであり、Rekor 公開鍵からの PEM 形式のインライン base64 エンコードデータが含まれます。rekorKeyData は 8192 文字以下にする必要があります。

oidcIssuer

string

oidcIssuer は、予想される OIDC 発行者が含まれる必須フィールドです。oidcIssuer は有効な URL であり、最大長 2048 文字にする必要があります。Fulcio が発行した証明書に、この OIDC 発行者 URL を指す (Fulcio 定義の) 証明書拡張機能が含まれていることが検証されます。Fulcio が証明書を発行すると、クライアントが提供した ID トークン内に URL に基づく値が含まれます。例: "https://expected.OIDC.issuer/"

signedEmail

string

signedEmail は、Fulcio 証明書の発行対象となるメールアドレスを保持する必須フィールドです。signedEmail は有効なメールアドレスであり、最大長は 320 文字にする必要があります。例: "expected-signing-user@example.com"

keyData

string

keyData は必須フィールドであり、PEM 形式の公開鍵の base64 でエンコードされたインラインデータが含まれます。keyData は 8192 文字以下にする必要があります。

rekorKeyData

string

rekorKeyData は、Rekor 公開鍵からの PEM 形式のインライン base64 エンコードデータを格納する任意のフィールドです。rekorKeyData は 8192 文字以下にする必要があります。

exactRepository

object

exactRepository は、署名内のアイデンティティーと完全一致する必要があるリポジトリーを指定します。matchPolicy が "ExactRepository" に設定されている場合は、exactRepository が必須です。これは、署名が元のイメージアイデンティティーではなく、このリポジトリーと完全一致するアイデンティティーを要求していることを確認するために使用されます。

matchPolicy

string

matchPolicy は必須フィールドで、署名内のイメージアイデンティティーをイメージスコープに対して検証するためのマッチングストラテジーを指定します。使用可能な値は、"MatchRepoDigestOrExact"、"MatchRepository"、"ExactRepository"、"RemapIdentity" です。省略した場合、デフォルト値は "MatchRepoDigestOrExact" です。"MatchRepoDigestOrExact" に設定すると、イメージアイデンティティーがダイジェストによって参照される場合、署名内のアイデンティティーはイメージアイデンティティーと同じリポジトリーに存在する必要があります。それ以外の場合、署名内のアイデンティティーはイメージアイデンティティーと同じである必要があります。"MatchRepository" に設定すると、署名内のアイデンティティーはイメージアイデンティティーと同じリポジトリーに存在する必要があります。"ExactRepository" に設定する場合、exactRepository を指定する必要があります。署名内のアイデンティティーは、"repository" で指定された特定のアイデンティティーと同じリポジトリーに存在する必要があります。"RemapIdentity" に設定する場合、remapIdentity を指定する必要があります。署名は、再マップされたイメージアイデンティティーと同じである必要があります。イメージ ID が指定された remapPrefix と一致する場合、"prefix" を指定された “signedPrefix” に置き換えることによって、再マップされたイメージアイデンティティーが取得されます。

remapIdentity

object

remapIdentity は、イメージアイデンティティーを検証するための接頭辞再マッピングルールを指定します。matchPolicy が "RemapIdentity" に設定されている場合は、remapIdentity が必須です。これは、署名が元のイメージとは異なるレジストリー/リポジトリー接頭辞を要求していることを確認するために使用されます。

repository

string

repository は、一致させるイメージアイデンティティーの参照です。matchPolicy が "ExactRepository" に設定されている場合は、repository is が必須です。値は、"Docker Registry HTTP API V2" を実装するレジストリー内のリポジトリー名 (タグまたはダイジェストを省略) である必要があります。例: docker.io/library/busybox

prefix

string

matchPolicy が "RemapIdentity" に設定されている場合は、prefix は必須です。prefix は、一致させるイメージ ID の接頭辞です。イメージアイデンティティーが指定された接頭辞と一致する場合、その接頭辞は指定された “signedPrefix” に置き換えられます (それ以外の場合は変更されずに使用され、再マッピングは行われません)。これは、ベンダーのリポジトリー構造を保持する他のリポジトリー namespace のミラーの署名を検証する場合に役立ちます。prefix と signedPrefix の値は、host[:port] 値 (host[:port] 文字列に完全一致)、リポジトリー namespace、またはリポジトリー (タグ/ダイジェストを含んではならない) のいずれかであり、完全に展開された形式の接頭辞として一致します。たとえば、単一のリポジトリーを指定するには docker.io/library/busybox (busybox だけ指定しない) とし、docker.io/library/busybox の親 namespace を指定するには docker.io/library (空の文字列を指定しない) とします。

signedPrefix

string

matchPolicy が "RemapIdentity" に設定されている場合、signedPrefix の指定が必須です。signedPrefix は、署名の照合時に一致させるイメージ ID の接頭辞を表します。形式は "prefix" と同じです。値は、host[:port] 値 (host[:port] 文字列に完全一致)、リポジトリー namespace、またはリポジトリー (タグ/ダイジェストを含んではならない) のいずれかであり、完全に展開された形式の接頭辞として一致します。たとえば、単一のリポジトリーを指定するには docker.io/library/busybox (busybox だけ指定しない) とし、docker.io/library/busybox の親 namespace を指定するには docker.io/library (空の文字列を指定しない) とします。

conditions

array

conditions は、この API リソースのステータスの詳細を提供します。

conditions[]

object

condition には、この API Resource の現在の状態のある側面の詳細が含まれます。

lastTransitionTime

string

lastTransitionTime は、ある状態から別の状態に最後に遷移した時間です。これは、基本的な条件が変更された時点となります。不明な場合には、API フィールドが変更された時点を使用することも可能です。

message

string

message は、遷移の詳細を示す人が判読できるメッセージです。空の文字列の場合もあります。

observedGeneration

integer

observedGeneration は、それをベースに条件が設定された .metadata.generation を表します。たとえば、.metadata.generation が現在 12 で、.status.conditions[x].observedGeneration が 9 の場合、インスタンスの現在の状態に対して条件が古くなっています。

reason

string

reason には、条件の最後の遷移の理由を示すプログラムによる識別子が含まれます。特定の条件タイプのプロデューサーは、このフィールドの期待値と意味、および値が保証された API と見なされるかどうかを定義できます。値は CamelCase 文字列である必要があります。このフィールドには空白を指定できません。

status

string

条件のステータス、True、False、Unknown のいずれか。

type

string

CamelCase または foo.example.com/CamelCase の条件のタイプ。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

ClusterImagePolicyList スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ClusterImagePolicy スキーマ

200 - OK

ClusterImagePolicy スキーマ

201 - Created

ClusterImagePolicy スキーマ

202 - Accepted

ClusterImagePolicy スキーマ

401 - Unauthorized

空白

name

string

ClusterImagePolicy の名前

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

ClusterImagePolicy スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

ClusterImagePolicy スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ClusterImagePolicy スキーマ

200 - OK

ClusterImagePolicy スキーマ

201 - Created

ClusterImagePolicy スキーマ

401 - Unauthorized

空白

name

string

ClusterImagePolicy の名前

200 - OK

ClusterImagePolicy スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

ClusterImagePolicy スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ClusterImagePolicy スキーマ

200 - OK

ClusterImagePolicy スキーマ

201 - Created

ClusterImagePolicy スキーマ

401 - Unauthorized

空白