設定 API

additionalCORSAllowedOrigins

array (string)

additionalCORSAllowedOrigins は、API サーバーが CORS ヘッダーを使用してアクセスを許可するホストを記述する追加のユーザー定義の正規表現をリスト表示します。これは、JavaScript アプリケーションから API および統合 OAuth サーバーにアクセスするために必要になる場合があります。値は、Golang 正規表現言語に対応する正規表現です。

audit

object

audit は、クラスター内のすべての OpenShift 提供の API サーバーに適用される監査設定の設定を指定します。

clientCA

object

clientCA は、Operator が管理する署名者に加えて、着信クライアント証明書で認識される署名者の証明書バンドルを含む ConfigMap を参照します。これが空の場合、Operator が管理する署名者のみが有効です。通常、これを設定する必要があるのは、クライアント証明書を尊重したい独自の PKI がある場合のみです。ConfigMap は、openshift-config 名前空間に存在し、以下の必須フィールドを含む必要があります。- ConfigMap.Data["ca-bundle.crt"] - CA バンドル。

暗号化

object

暗号化により、データストア層でのリソースの暗号化を設定できます。

servingCerts

object

servingCert は、安全なトラフィックを提供するための TLS 証明書情報です。指定しない場合、Operator が管理する証明書は、安全なトラフィックを提供するために使用されます。

tlsSecurityProfile

object

tlsSecurityProfile は、外部に公開されたサーバーの TLS 接続の設定を指定します。

省略すると、指定なしとみなされ、プラットフォームによって適切なデフォルトが選択されます。デフォルトは、今後変更される可能性があります。現在のデフォルト設定は中級プロファイルです。

customRules

array

customRules は、グループごとのプロファイルを指定します。これらのプロファイルは、該当する場合、最上位のプロファイルフィールドよりも優先されます。それらは上から下への評価であり、最初に一致するものが適用されます。

customRules[]

object

AuditCustomRule は、最上位プロファイルよりも優先される監査プロファイルのカスタムルールを記述します。

profile

string

profile は、クラスター内の OpenShift が提供する API サーバー (kube-apiserver、openshift-apiserver、oauth-apiserver) のいずれかに送信されるすべてのリクエストに適用される、目的のトップレベル監査プロファイルの名前を指定します。1 つ以上の customRules に一致するリクエスト。

次のプロファイルが提供されます。- デフォルト: デフォルトのポリシー。これは、イベント (まったくログに記録されない)、oauthaccesstokens、および oauthauthorizetokens (両方とも RequestBody レベルでログに記録される) を除く MetaData レベルのログを意味します。- WriteRequestBodies: 'デフォルト' と同様ですが、書き込みリクエスト (作成、更新、パッチ) のリクエストとレスポンスの HTTP ペイロードをログに記録します。- AllRequestBodies: 'WriteRequestBodies' と同様ですが、読み取りリクエスト (get、list) のリクエストおよびレスポンス HTTP ペイロードもログに記録します。- None: oauthaccesstokens や oauthauthorizetokens も含め、リクエストはいっさいログに記録されません。

警告: 問題のトラブルシューティング時に有用なデータが記録されないリスクを完全に理解していない限り、None プロファイルを使用して監査ロギングを無効にすることは推奨していません。監査ロギングを無効にしてサポートが必要な状況が生じた場合は、適切にトラブルシューティングを行うために監査ロギングを有効にし、問題を再現する必要がある場合があります。

設定されていない場合、'Default' プロファイルがデフォルトとして使用されます。

group

string

group は、このプロファイルを適用するためにリクエストユーザーがメンバーである必要があるグループの名前です。

profile

string

プロファイルは、クラスター内のすべての OpenShift 提供の API サーバーにデプロイする必要のある監査ポリシー設定の名前を指定します。

次のプロファイルが提供されています。- デフォルト: 既存のデフォルトポリシー。- WriteRequestBodies: 'デフォルト' と同様ですが、書き込みリクエスト (作成、更新、パッチ) のリクエストとレスポンスの HTTP ペイロードをログに記録します。- AllRequestBodies: 'WriteRequestBodies' と同様ですが、読み取りリクエスト (get、list) のリクエストとレスポンス HTTP ペイロードもログに記録します。- None: oauthaccesstokens や oauthauthorizetokens を含め、リクエストはまったくログに記録されません。

設定されていない場合、'Default' プロファイルがデフォルトとして使用されます。

name

string

name は、参照される設定マップの metadata.name です。

kms

object

kms は、暗号鍵を管理する外部 KMS インスタンスの設定を定義します。KMS 暗号化が有効になっている場合、機密性の高いリソースは、外部で設定された KMS インスタンスによって管理されるキーを使用して暗号化されます。

キー管理サービス (KMS) インスタンスは対称暗号化を提供し、制御プレーンの外部で暗号化キーのライフサイクルを管理する役割を担います。これにより、外部プロバイダーとの連携が可能になり、データ暗号化キーを安全に管理できます。

type

string

type は、データストア層でリソースを暗号化するために使用する暗号化タイプを定義します。このフィールドが設定されていない場合 (つまり、空の文字列に設定されている場合)、ID が暗黙指定されます。unset の動作は、時間の経過とともに変化する可能性があります。暗号化がデフォルトで有効になっている場合でも、ベストプラクティスの変更に基づいて、未設定の意味が別の暗号化タイプに変更される場合があります。

暗号化を有効にすると、プラットフォームに付属するすべての機密リソースが暗号化されます。この機密リソースのリストは、時間の経過とともに変化する可能性があります。現在の正式なリストは次のとおりです。

1. シークレット 2. configmaps 3. routes.route.openshift.io 4. oauthaccesstokens.oauth.openshift.io 5. oauthauthorizetokens.oauth.openshift.io

aws

object

aws は、暗号化に AWS KMS インスタンスを使用するためのキー設定を定義します。AWS KMS インスタンスは、コントロールプレーンの管轄外でユーザーによって管理されます。

type

string

type は、KMS プロバイダーのプラットフォームの種類を定義します。利用可能なプロバイダーの種類は AWS のみです。

keyARN

string

keyARN は、暗号化に使用される AWS KMS キーの Amazon Resource Name (ARN) を指定します。値は arn:aws:kms:<region>:<account_id>:key/<key_id> の 形式に従う必要があります。ここで、- <region> は小文字の英字とハイフンで設定される AWS リージョンで、その後に数字が続きます。- <account_id> は AWS アカウントの 12 桁の数値識別子です。- <key_id> は KMS キーの一意の識別子で、小文字の 16 進数とハイフンで設定されます。

region

string

リージョンは KMS インスタンスが存在する AWS リージョンを指定し、<region-prefix>-<region-name>-<number> の 形式に従います。例: us-east-1。小文字の英字と、ハイフンに続く数字のみが許可されます。

namedCertificates

array

namedCertificates は、特定のホスト名に安全なトラフィックを提供するための TLS 証明書情報を含むシークレットを参照します。名前付き証明書が提供されていない場合、またはクライアントが理解できるようにサーバー名と一致する名前付き証明書がない場合は、defaultServingCertificate が使用されます。

namedCertificates[]

object

APIServerNamedServingCert は、クライアントが理解できるように、サーバーの DNS 名を証明書にマップします。

names

array (string)

names は、安全なトラフィックを提供するためにこの証明書を使用する必要がある明示的な DNS 名 (先頭のワイルドカードを許可) のオプションのリストです。名前が指定されていない場合、暗黙の名前が証明書から抽出されます。正確な名前はワイルドカード名よりも優先されます。ここで定義された明示的な名前は、抽出された暗黙的な名前よりも優先されます。

servingCertificate

object

servingCertificate は、安全なトラフィックを提供するための TLS 証明書情報を含む kubernetes.io/tls タイプシークレットを参照します。シークレットは openshift-config 名前空間に存在し、以下の必須フィールドを含む必要があります。- Secret.Data["tls.key"] - TLS private key - Secret.Data["tls.crt"] - TLS certificate

name

string

name は、参照されるシークレットの metadata.name です。

custom

``

custom は、ユーザー定義の TLS セキュリティープロファイルです。無効な設定は壊滅的である可能性があるため、カスタムプロファイルの使用には細心の注意を払ってください。カスタムプロファイルの例は次のようになります。

暗号化:

- ECDHE-ECDSA-CHACHA20-POLY1305

- ECDHE-RSA-CHACHA20-POLY1305

- ECDHE-RSA-AES128-GCM-SHA256

- ECDHE-ECDSA-AES128-GCM-SHA256

minTLSVersion: VersionTLS11

intermediate

``

intermediate は、以下に基づく TLS セキュリティープロファイルです。

https://wiki.mozilla.org/Security/Server_Side_TLS#Intermediate_compatibility_.28recommended.29

以下のようになります (yaml):

暗号化:

- TLS_AES_128_GCM_SHA256

- TLS_AES_256_GCM_SHA384

- TLS_CHACHA20_POLY1305_SHA256

- ECDHE-ECDSA-AES128-GCM-SHA256

- ECDHE-RSA-AES128-GCM-SHA256

- ECDHE-ECDSA-AES256-GCM-SHA384

- ECDHE-RSA-AES256-GCM-SHA384

- ECDHE-ECDSA-CHACHA20-POLY1305

- ECDHE-RSA-CHACHA20-POLY1305

- DHE-RSA-AES128-GCM-SHA256

- DHE-RSA-AES256-GCM-SHA384

minTLSVersion: VersionTLS12

modern

``

modern は、以下に基づく TLS セキュリティープロファイルです。

https://wiki.mozilla.org/Security/Server_Side_TLS#Modern_compatibility

以下のようになります (yaml):

暗号化:

- TLS_AES_128_GCM_SHA256

- TLS_AES_256_GCM_SHA384

- TLS_CHACHA20_POLY1305_SHA256

minTLSVersion: VersionTLS13

old

``

old は、以下に基づく TLS セキュリティープロファイルです。

https://wiki.mozilla.org/Security/Server_Side_TLS#Old_backward_compatibility

以下のようになります (yaml):

暗号化:

- TLS_AES_128_GCM_SHA256

- TLS_AES_256_GCM_SHA384

- TLS_CHACHA20_POLY1305_SHA256

- ECDHE-ECDSA-AES128-GCM-SHA256

- ECDHE-RSA-AES128-GCM-SHA256

- ECDHE-ECDSA-AES256-GCM-SHA384

- ECDHE-RSA-AES256-GCM-SHA384

- ECDHE-ECDSA-CHACHA20-POLY1305

- ECDHE-RSA-CHACHA20-POLY1305

- DHE-RSA-AES128-GCM-SHA256

- DHE-RSA-AES256-GCM-SHA384

- DHE-RSA-CHACHA20-POLY1305

- ECDHE-ECDSA-AES128-SHA256

- ECDHE-RSA-AES128-SHA256

- ECDHE-ECDSA-AES128-SHA

- ECDHE-RSA-AES128-SHA

- ECDHE-ECDSA-AES256-SHA384

- ECDHE-RSA-AES256-SHA384

- ECDHE-ECDSA-AES256-SHA

- ECDHE-RSA-AES256-SHA

- DHE-RSA-AES128-SHA256

- DHE-RSA-AES256-SHA256

- AES128-GCM-SHA256

- AES256-GCM-SHA384

- AES128-SHA256

- AES256-SHA256

- AES128-SHA

- AES256-SHA

- DES-CBC3-SHA

minTLSVersion: VersionTLS10

type

string

type は、Old、Intermediate、Modern、または Custom のいずれかです。カスタムは、個々の TLS セキュリティープロファイルパラメーターを指定する機能を提供します。Old、Intermediate、Modern は、以下に基づく TLS セキュリティープロファイルです。

https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations

プロファイルは意図に基づいているため、時間の経過とともに新しい暗号が開発され、既存の暗号がセキュアでないことが判明すると、変更される可能性があります。プロセスで使用できる暗号の正確さに応じて、リストが削減される場合があります。

Modern プロファイルは、一般的なソフトウェアライブラリーでまだ十分に採用されていないため、現在サポートされていないことに注意してください。

200 - OK

ステータス スキーマ

401 - Unauthorized

空白

200 - OK

APIServerList スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIServer スキーマ

200 - OK

APIServer スキーマ

201 - Created

APIServer スキーマ

202 - Accepted

APIServer スキーマ

401 - Unauthorized

空白

name

string

APIServer の名前

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

ステータス スキーマ

202 - Accepted

ステータス スキーマ

401 - Unauthorized

空白

200 - OK

APIServer スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

APIServer スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIServer スキーマ

200 - OK

APIServer スキーマ

201 - Created

APIServer スキーマ

401 - Unauthorized

空白

name

string

APIServer の名前

200 - OK

APIServer スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

APIServer スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIServer スキーマ

200 - OK

APIServer スキーマ

201 - Created

APIServer スキーマ

401 - Unauthorized

空白

oauthMetadata

object

oauthMetadata には、外部 OAuth サーバーの OAuth 2.0 認証サーバーメタデータの検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所から参照することができます: oc get --raw '/.well-known/oauth-authorization-server'。詳細は、IETF ドラフトを参照してください。https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2 oauthMetadata.name が空でない場合、この値は status に格納されているどのメタデータ参照よりも優先されます。キー "oauthMetadata" は、データを見つけるために使用されます。指定され、設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config です。

oidc プロバイダー

array

oidcProviders は、このクラスターのトークンを発行できる OIDC アイデンティティープロバイダーです。Type が OIDC に設定されている場合にのみ設定できます。

設定できるプロバイダーは最大で 1 つです。

oidcProviders[]

object

serviceAccountIssuer

string

serviceAccountIssuer は、バインドされたサービスアカウントトークン発行者の識別子です。デフォルトは https://kubernetes.default.svc です。警告: このフィールドを更新しても、以前の発行者値を持つ、バインドされたすべてのトークンがすぐに無効になるわけではありません。代わりに、以前のサービスアカウント発行者が発行したトークンが、プラットフォームによって選択された期間 (現在は 24h に設定) にわたり引き続き信頼されます。この期間は、時間の経過とともに変更される可能性があります。これにより、内部コンポーネントはサービスを中断することなく、新しいサービスアカウント発行者を使用するように移行できます。

type

string

type は、使用中のクラスター管理のユーザー向け認証モードを識別します。具体的には、ログイン試行に応答するコンポーネントを管理します。デフォルトは IntegratedOAuth です。

webhookTokenAuthenticator

object

webhookTokenAuthenticator は、リモートトークンレビューアーを設定します。これらのリモート認証 Webhook は、tokenreviews.authentication.k8s.io REST API. API を介してベアラトークンを検証するために使用できます。これは、外部認証サービスによってプロビジョニングされたベアラトークンを尊重するために必要です。

"Type" が "None"に設定されている場合にのみ設定できます。

webhookTokenAuthenticators

array

webhookTokenAuthenticators は非推奨であり、設定しても効果はありません。

webhookTokenAuthenticators[]

object

deprecatedWebhookTokenAuthenticator は、リモートトークンオーセンティケーターに必要な設定オプションを保持します。WebhookTokenAuthenticator と同じですが、KubeConfig フィールドの 'required' 検証がありません。

name

string

name は、参照される config map の metadata.name です

claimMappings

object

claimMappings は必須フィールドで、アイデンティティープロバイダーによって発行された JWT トークン内のクレームをクラスターアイデンティティーに変換するために Kubernetes API サーバーが使用するルールを設定します。

claimValidationRules

array

claimValidationRules はオプションのフィールドで、アイデンティティープロバイダーが発行した JWT トークン内のクレームを検証するために Kubernetes API サーバーが使用するルールを設定します。

検証ルールは AND 演算によって結合されます。

claimValidationRules[]

object

issuer

object

発行者は必須フィールドであり、プラットフォームがアイデンティティープロバイダーとどのように連携するか、およびアイデンティティープロバイダーから発行されたトークンが Kubernetes API サーバーによってどのように評価されるかを設定します。

name

string

name は必須項目であり、アイデンティティープロバイダーに関連付けられた一意の人間が判読可能な識別子を設定します。複数のアイデンティティープロバイダーを区別するために使用され、トークンの検証や認証メカニズムには影響しません。

名前は空文字列 ("") であってはなりません。

oidcClients

array

oidcClients は、クラスター上のプラットフォームクライアントがアイデンティティープロバイダーからトークンを要求する方法を設定するオプションのフィールドです。oidcClients には 20 個のエントリーを含めることはできません。また、エントリーには一意の名前空間と名前のペアが必要です。

oidcClients[]

object

OIDCClientConfig は、プラットフォームクライアントが認証方法としてアイデンティティープロバイダーとどのようにやり取りするかを設定します。

extra

array

extra は、クラスターアイデンティティーの extra 属性を構築するために使用されるマッピングを設定するためのオプションのフィールドです。省略した場合、クラスターアイデンティティーには追加の属性は存在しません。追加マッピングのキー値は一意である必要があります。最大 32 個の追加属性マッピングを提供できます。

余分な []

object

ExtraMapping を使用すると、キーと CEL 式を指定して、キーの値を評価することができます。これは、提供された認証トークンからクラスターアイデンティティーに追加される追加のマッピングと属性を作成するために使用されます。

groups

object

groups はオプションのフィールドで、アイデンティティープロバイダーによって発行された JWT トークン内のクレームからクラスターアイデンティティーのグループをどのように構築するかを設定します。クレームを参照する場合、そのクレームが JWT トークンに含まれている場合は、その値はコンマ (',') で区切られたグループのリストである必要があります。たとえば、"example"、"exampleOne、"exampleTwo、"exampleThree" は有効なクレーム値です。

uid

object

uid は、クラスターアイデンティティーの uid を構築するために使用されるクレームマッピングを設定するためのオプションフィールドです。

uid.claim を使用してクレームを指定する場合、それは単一の文字列値でなければなりません。uid.expression を使用する場合、式は単一の文字列値を返す必要があります。

省略すると、ユーザーによる指定なしとみなされ、プラットフォームによってデフォルトが選択されます。デフォルトは、今後変更される可能性があります。現在のデフォルト設定では、sub クレームが使用されます。

username

object

username は必須フィールドであり、アイデンティティープロバイダーによって発行された JWT トークン内のクレームからクラスターアイデンティティーのユーザー名をどのように構築するかを設定します。

key

string

key は必須項目であり、追加属性キーとして使用する文字列を指定します。

キーはドメインプレフィックスパス (例:example.org/foo) である必要があります。キーの長さは 510 文字を超えてはなりません。キーには、ドメインとパスの文字を区切る/文字が含まれている必要があります。キーは空であってはなりません。

キーのドメイン部分 (スラッシュ記号/より前の文字列) は、有効な RFC1123 サブドメインでなければなりません。長さは 253 文字以内にする必要があります。英数字で開始および終了する必要があります。小文字の英数字と - または.のみを含める必要があります。予約済みのドメイン kubernetes.io、k8s.io、openshift.io を使用したり、これらのドメインのサブドメインを使用したりしてはなりません。

キーのパス部分 ('/' の後の文字列) は空であってはならず、少なくとも 1 つの英数字、パーセントエンコードされたオクテット、'-'、'.'、'_'、'~'、'!'、'$'、'&'、'''、'('、')'、'*'、'+'、','、';'、'='、および ':' で設定されている必要があります。文字数は 256 文字を超えてはなりません。

valueExpression

string

valueExpression は、JWT トークンのクレームから追加属性値を抽出するための CEL 式を指定する必須フィールドです。valueExpression は文字列または文字列配列の値を生成する必要があります。、[]、null は、追加マッピングが存在しないものとして扱われます。配列内の空の文字列値はフィルタリングされます。

CEL 式は、CEL 変数 claims を介してトークンクレームにアクセスできます。claims は、クレーム名とクレーム値のマッピングです。たとえば、sub クレーム値には claims.sub としてアクセスできます。ネストされたクレームには、ドット表記 ('claims.foo.bar') を使用してアクセスできます。

valueExpression は 1024 文字を超えてはなりません。valueExpression は空であってはなりません。

claim

string

claim は必須フィールドであり、JWT トークンのクレームを設定します。このクレームの値は、このマッピングに関連付けられたクラスターアイデンティティーフィールドに割り当てられます。

prefix

string

prefix はオプションのフィールドで、JWT クレームをクラスターアイデンティティー属性にマッピングするプロセス中に、クラスターアイデンティティー属性に適用されるプレフィックスを設定します。

省略した場合 ("")、クラスターアイデンティティー属性に接頭辞は適用されません。

例: プレフィックス が myoidc: に設定され、JWT の クレーム に文字列 a、b、c の配列が含まれている場合、マッピングの結果は文字列 myoidc:a、myoidc:b、myoidc:c の配列になります。

claim

string

claim は、マッピングで使用される JWT トークンクレームを指定するためのオプションフィールドです。このクレームの値は、このマッピングが関連付けられているフィールドに割り当てられます。

クレームまたは式のいずれか一方のみを設定する必要があります。式を設定する場合は、クレームを指定してはいけません。指定されている場合、クレームは少なくとも 1 文字以上 256 文字以下でなければなりません。

expression

string

expression は、JWT トークンのクレームから文字列値を生成する CEL 式を指定するためのオプションのフィールドです。

CEL 式は、CEL 変数 claims を介してトークンクレームにアクセスできます。claims は、クレーム名とクレーム値のマッピングです。たとえば、sub クレーム値には claims.sub としてアクセスできます。ネストされたクレームには、ドット表記 ('claims.foo.bar') を使用してアクセスできます。

クレームまたは式のいずれか一方のみを設定する必要があります。クレームを設定する場合は、式を指定してはいけません。指定する場合、式は少なくとも 1 文字以上 1024 文字以下でなければなりません。

claim

string

claim は必須フィールドであり、JWT トークンのクレームを設定します。このクレームの値は、このマッピングに関連付けられたクラスターアイデンティティーフィールドに割り当てられます。

クレームは空文字列 ("") であってはならず、256 文字を超えてはなりません。

prefix

object

prefix は、JWT クレームの値の前に付加するプレフィックスを設定します。

prefixPolicy が Prefix に設定されている場合は prefix を設定する必要があり、それ以外の場合は設定を解除する必要があります。

接頭辞ポリシー

string

prefixPolicy はオプションのフィールドで、'claim' フィールドで指定された JWT クレームの値にプレフィックスを適用する方法を設定します。

許可される値は、Prefix、NoPrefix、および省略 (指定されていないか、空の文字列) です。

プレフィックスに設定すると、プレフィックスフィールドで指定された値が JWT クレームの値の先頭に追加されます。prefixPolicy が Prefix の場合、prefix フィールドを設定する必要があります。

NoPrefix に設定すると、JWT クレームの値にプレフィックスは付加されません。

省略すると、指定なしとみなされ、プラットフォームによって選択された接頭辞が適用されます。ただし、これは今後変更される可能性があります。現在、プラットフォームは、JWT クレームが email でない場合、JWT クレームの値の前に {issuerURL}# を追加します。例として、次のシナリオを考えてみましょう。プレフィックス は未設定、issuerURL は https://myoidc.tld に設定、JWT クレームには username:userA と email: userA@myoidc.tld が含まれ、クレームは 次のように設定されます。- username: マップされた値は https://myoidc.tld#userA - email: マップされた値は userA@myoidc.tld

接頭辞文字列

string

prefixString は必須フィールドであり、JWT クレームをクラスターアイデンティティー属性にマッピングするプロセス中に、クラスターアイデンティティーユーザー名属性に適用されるプレフィックスを設定します。

prefixString は空文字列 ("") であってはなりません。

必須クレーム

object

requiredClaim はオプションのフィールドで、Kubernetes API サーバーが受信した JWT がこのアイデンティティープロバイダーに対して有効かどうかを検証するために使用する、必須のクレームと値を設定します。

type

string

type は、検証ルールのタイプを設定するオプションのフィールドです。

許可される値は RequiredClaim と省略 (指定されていないか、空の文字列) です。

RequiredClaim に設定すると、Kubernetes API サーバーは、受信した JWT に必須クレームが含まれていること、およびその値が必須値と一致することを検証するように設定されます。

デフォルトは RequiredClaim です。

claim

string

claim は必須項目であり、必須クレームの名前を設定します。JWT クレームから取得する場合、クレームは文字列値でなければなりません。

クレームは空文字列 ("") であってはなりません。

必須値

string

requiredValue は必須フィールドであり、受信した JWT クレームから取得される claim が持つべき値を設定します。JWT クレーム内の値が一致しない場合、トークンは認証のために拒否されます。

requiredValue は空文字列 ("") であってはなりません。

audiences

array (string)

audiences は必須フィールドであり、アイデンティティープロバイダーによって発行される JWT トークンが発行される対象となるオーディエンスを設定します。少なくとも 1 つのエントリーは、JWT トークン内の aud クレームと一致する必要があります。

各審査対象作品には最低 1 点、最大 10 点の応募作品を含める必要があります。

発行者認証局

object

issuerCertificateAuthority はオプションのフィールドで、Kubernetes API サーバーが検出情報を取得する際にアイデンティティープロバイダーへの接続を検証するために使用する認証局を設定します。

指定しない場合は、システム信頼が使用されます。

指定する場合、それは openshift-config 名前空間内の ConfigMap を参照する必要があり、その ConfigMap のデータフィールドにある ca-bundle.crt キーの下に、PEM エンコードされた CA 証明書が含まれている必要があります。

発行者 URL

string

issuerURL は必須項目であり、アイデンティティープロバイダーがトークンを発行する際に使用する URL を設定します。Kubernetes API サーバーは、JWT 内の iss クレームを、設定済みのアイデンティティープロバイダーの issuerURL と照合することにより、認証トークンの処理方法を決定します。

文字数は 1 文字以上 512 文字以下でなければなりません。有効な URL である必要があり、URL は https スキームを使用し、クエリー、フラグメント、またはユーザーを含まないものでなければなりません。

name

string

name は、参照される config map の metadata.name です

clientID

string

clientID は必須フィールドであり、プラットフォームコンポーネントがアイデンティティープロバイダーに対して行う認証要求に使用する、アイデンティティープロバイダーからのクライアント識別子を設定します。プラットフォームコンポーネントがアイデンティティープロバイダーを認証モードとして使用するためには、アイデンティティープロバイダーがこの識別子を受け入れる必要があります。

clientID は空文字列 ("") であってはなりません。

clientSecret

object

clientSecret はオプションのフィールドで、プラットフォームコンポーネントがアイデンティティープロバイダーに認証要求を行う際に使用するクライアントシークレットを設定します。

指定がない場合、アイデンティティープロバイダーへの認証要求を行う際にクライアントシークレットは使用されません。

clientSecret が指定されている場合、'openshift-config' 名前空間内の Secret を参照します。この Secret には、'.data' フィールドの 'clientSecret' キーにクライアントシークレットが含まれています。クライアントシークレットは、アイデンティティープロバイダーへの認証リクエストを行う際に使用されます。

パブリッククライアントはクライアントシークレットを必要としませんが、プライベートクライアントはアイデンティティープロバイダーと連携するためにクライアントシークレットを必要とします。

componentName

string

componentName は必須フィールドであり、アイデンティティープロバイダーを認証モードとして使用するように設定するプラットフォームコンポーネントの名前を指定します。これは、一意の識別子として componentNamespace と組み合わせて使用されます。

componentName は空文字列 ("") であってはならず、長さは 256 文字を超えてはなりません。

コンポーネント名空間

string

componentNamespace は必須フィールドであり、アイデンティティープロバイダーを認証モードとして使用するように設定されているプラットフォームコンポーネントが実行されている名前空間を指定します。これは、コンポーネント名と組み合わせて一意の識別子として使用されます。

componentNamespace は空文字列 ("") であってはならず、長さは 63 文字を超えてはなりません。

extraScopes

array (string)

extraScopes はオプションのフィールドで、プラットフォームコンポーネントがアイデンティティープロバイダーに認証リクエストを行う際に要求すべき追加スコープを設定します。これは、標準の OIDC スコープを超えて特定のスコープを要求する必要があるクレームマッピングを設定している場合に役立ちます。

省略すると、追加のスコープは要求されません。

name

string

name は、参照されるシークレットの metadata.name です。

kubeConfig

object

kubeConfig は、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータを含むシークレットを参照します。参照されるシークレットのネームスペースは openshift-config です。

詳細は、以下を参照してください。

https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication

キー "kubeConfig" はデータを見つけるために使用されます。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。

name

string

name は、参照されるシークレットの metadata.name です。

kubeConfig

object

kubeConfig には、リモート Webhook サービスにアクセスする方法を説明する kube 設定ファイルデータが含まれています。詳細は、https://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication を参照してください。キー "kubeConfig" を使用してデータを検索します。シークレットキーまたは期待されるキーが見つからない場合、Webhook は受け入れられません。指定された kube 設定データが無効な場合、Webhook は受け入れられません。このシークレットの名前空間は、使用場所によって決まります。

name

string

name は、参照されるシークレットの metadata.name です。

integratedOAuthMetadata

object

integratedOAuthMetadata には、クラスター内統合 OAuth サーバーの OAuth 2.0 認証サーバー Metadata の検出エンドポイントデータが含まれています。この検出ドキュメントは、提供された場所 (oc get --raw '/.well-known/oauth-authorization-server') から表示できます。詳細は、IETF ドラフト (https://tools.ietf.org/html/draft-ietf-oauth-discovery-04#section-2) を参照してください。これには、クラスターの状態に基づく観測値が含まれます。spec.oauthMetadata に明示的に設定された値は、このフィールドよりも優先されます。認証 spec.type が IntegratedOAuth に設定されていない場合、このフィールドは意味がありません。キー "oauthMetadata" は、データを見つけるために使用されます。設定マップまたは予期されるキーが見つからない場合、メタデータは提供されません。指定されたメタデータが有効でない場合、メタデータは提供されません。この設定マップの namespace は openshift-config-managed です。

oidcClients

array

oidcClients は、参加オペレーターが、cluster-admin によってカスタマイズ可能な OIDC クライアントの現在の OIDC クライアントステータスを配置する場所です。

oidcClients[]

object

OIDCClientStatus は、プラットフォームコンポーネントの現在の状態と、それらが設定済みのアイデンティティープロバイダーとどのように連携するかを表します。

name

string

name は、参照される config map の metadata.name です

componentName

string

componentName は必須フィールドであり、アイデンティティープロバイダーを認証モードとして使用するプラットフォームコンポーネントの名前を指定します。これは、一意の識別子として componentNamespace と組み合わせて使用されます。

componentName は空文字列 ("") であってはならず、長さは 256 文字を超えてはなりません。

コンポーネント名空間

string

componentNamespace は必須フィールドであり、アイデンティティープロバイダーを認証モードとして使用するプラットフォームコンポーネントが実行されている名前空間を指定します。これは、コンポーネント名と組み合わせて一意の識別子として使用されます。

componentNamespace は空文字列 ("") であってはならず、長さは 63 文字を超えてはなりません。

conditions

array

条件は、oidcClients エントリーの状態を伝えるために使用されます。

サポートされている条件には、Available、Degraded、および Progressing が含まれます。

Available が true の場合、コンポーネントは設定済みのクライアントを正常に使用しています。Degraded が true の場合、クライアント設定の処理中に何らかの問題が発生したことを意味します。Progressing が true の場合、コンポーネントが oidcClients エントリーに関連する何らかのアクションを実行していることを意味します。

conditions[]

object

condition には、この API Resource の現在の状態のある側面の詳細が含まれます。

consumingUsers

array (string)

consumingUsers は、clientSecret シークレットに対する読み取り権限を必要とする ServiceAccount のオプションのリストです。

消費するユーザーは 5 件を超えてはなりません。

現在の OIDC クライアント

array

currentOIDCClients は、コンポーネントが現在使用しているクライアントのオプションのリストです。エントリーには、一意の発行者 URL/クライアント ID の組み合わせが必要です。

currentOIDCClients[]

object

OIDCClientReference は、プラットフォームコンポーネントのクライアント設定への参照です。

lastTransitionTime

string

lastTransitionTime は、ある状態から別の状態に最後に遷移した時間です。これは、基本的な条件が変更された時点となります。不明な場合には、API フィールドが変更された時点を使用することも可能です。

message

string

message は、遷移の詳細を示す人が判読できるメッセージです。空の文字列の場合もあります。

observedGeneration

integer

observedGeneration は、それをベースに条件が設定された .metadata.generation を表します。たとえば、.metadata.generation が現在 12 で、.status.conditions[x].observedGeneration が 9 の場合、インスタンスの現在の状態に対して条件が古くなっています。

reason

string

reason には、条件の最後の遷移の理由を示すプログラムによる識別子が含まれます。特定の条件タイプのプロデューサーは、このフィールドの期待値と意味、および値が保証された API と見なされるかどうかを定義できます。値は CamelCase 文字列である必要があります。このフィールドには空白を指定できません。

status

string

条件のステータス、True、False、Unknown のいずれか。

type

string

CamelCase または foo.example.com/CamelCase の条件のタイプ。

clientID

string

clientID は必須フィールドであり、プラットフォームコンポーネントがアイデンティティープロバイダーに対して行う認証要求に使用する、アイデンティティープロバイダーからのクライアント識別子を指定します。

clientID は空であってはなりません。

発行者 URL

string

issuerURL は必須フィールドであり、このクライアントがリクエストを行うように設定されているアイデンティティープロバイダーの URL を指定します。

発行者 URL は https スキームを使用する必要があります。

oidcProviderName

string

oidcProviderName は、このクライアントに関連付けられている 'oidcProviders' で設定されたアイデンティティープロバイダーの名前への必須の参照です。

oidcProviderName は空文字列 ("") であってはなりません。

200 - OK

ステータス スキーマ

401 - Unauthorized

空白

200 - OK

認証リスト スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Authentication スキーマ

200 - OK

Authentication スキーマ

201 - Created

Authentication スキーマ

202 - Accepted

Authentication スキーマ

401 - Unauthorized

空白

name

string

認証の名前

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

ステータス スキーマ

202 - Accepted

ステータス スキーマ

401 - Unauthorized

空白

200 - OK

Authentication スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

Authentication スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Authentication スキーマ

200 - OK

Authentication スキーマ

201 - Created

Authentication スキーマ

401 - Unauthorized

空白

name

string

認証の名前

200 - OK

Authentication スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

Authentication スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

Authentication スキーマ

200 - OK

Authentication スキーマ

201 - Created

Authentication スキーマ

401 - Unauthorized

空白

etcd

object

etcd は、etcd クラスターの定期バックアップの設定を指定します。

PVC 名

string

pvcName は、etcd バックアップファイルが保存される PersistentVolume にバインドする PersistentVolumeClaim (PVC) の名前を指定します。PVC 自体は常に openshift-etcd 名前空間に作成する必要があります。PVC が指定されていない場合、プラットフォームはバックアップを保存する適切なデフォルトの場所を選択します。将来的には、これは制御プレーンのマスターノード全体にバックアップとして保存されることになるだろう。

retentionPolicy

object

retentionPolicy は、既存のバックアップを保持および削除するための保持ポリシーを定義します。

schedule

string

schedule は、2 時間ごとに Cron 形式で定期的なバックアップスケジュールを定義します: 0 */2 * * * 毎日午前 3 時: 0 3 * * * 空の文字列は、意見がないことを意味し、プラットフォームが合理的なデフォルト値を選択しますが、これは予告なく変更される場合があります。現在のデフォルト設定はバックアップなしですが、将来的には変更される予定です。

timeZone

string

指定されたスケジュールのタイムゾーン名は、https://en.wikipedia.org/wiki/List_of_tz_database_time_zones を参照してください。指定しない場合、デフォルトで kube-controller-manager プロセスのタイムゾーンが使用されます。詳細は 、https://kubernetes.io/docs/concepts/workloads/controllers/cron-jobs/#time-zones を参照してください。

保持番号

object

retentionNumber は、バックアップの数に基づいて保持ポリシーを設定します。

retentionSize

object

retentionSize は、バックアップのサイズに基づいて保持ポリシーを設定します。

保持タイプ

string

retentionType は、保持ポリシーの種類を設定します。現在有効なポリシーは、バックアップ数による保持 (RetentionNumber) とバックアップサイズによる保持 (RetentionSize) のみです。今後、さらに多くの保険商品や種類が追加される可能性があります。空の文字列は意見がないことを意味し、プラットフォームは合理的なデフォルト値を選択しますが、そのデフォルト値は予告なく変更される場合があります。現在のデフォルト設定は RetentionNumber で、15 個のバックアップが保持されます。

maxNumberOfBackups

integer

maxNumberOfBackups は、保持するバックアップの最大数を定義します。保存されているバックアップの数が最大バックアップ数 (MaxNumberOfBackups) と等しい場合、新しいバックアップが開始される前に、最も古いバックアップが削除されます。

maxSizeOfBackupsGb

integer

maxSizeOfBackupsGb は、保持するバックアップの合計サイズを GB 単位で定義します。現在のバックアップの合計サイズが MaxSizeOfBackupsGb を超えた場合、新しいバックアップが開始される前に、最も古いバックアップが削除されます。

200 - OK

ステータス スキーマ

401 - Unauthorized

空白

200 - OK

BackupList スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

バックアップ スキーマ

200 - OK

バックアップ スキーマ

201 - Created

バックアップ スキーマ

202 - Accepted

バックアップ スキーマ

401 - Unauthorized

空白

name

string

バックアップの名前

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

ステータス スキーマ

202 - Accepted

ステータス スキーマ

401 - Unauthorized

空白

200 - OK

バックアップ スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

バックアップ スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

バックアップ スキーマ

200 - OK

バックアップ スキーマ

201 - Created

バックアップ スキーマ

401 - Unauthorized

空白

name

string

バックアップの名前

200 - OK

バックアップ スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

バックアップ スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

バックアップ スキーマ

200 - OK

バックアップ スキーマ

201 - Created

バックアップ スキーマ

401 - Unauthorized

空白

additionalTrustedCA

object

additionalTrustedCA は、ビルド中のイメージのプッシュとプルで信頼される必要がある追加の CA を含む ConfigMap への参照です。この設定マップの namespace は openshift-config です。

非推奨: イメージのプルおよびプッシュ用の追加の CA は、代わりに image.config.openshift.io/cluster に設定する必要があります。

buildDefaults

object

buildDefaults ビルドのデフォルト情報を制御します。

buildOverrides

object

buildOverrides ビルドの上書き設定を制御します。

name

string

name は、参照される設定マップの metadata.name です。

defaultProxy

object

defaultProxy には、イメージのプル/プッシュやソースのダウンロードなど、すべてのビルド操作のデフォルトのプロキシー設定が含まれています。

ビルド設定の戦略で HTTP_PROXY、HTTPS_PROXY、および NO_PROXY 環境変数を設定することにより、値を上書きできます。

env

array

env は、指定された変数がビルドに存在しない場合にビルドに適用されるデフォルトの環境変数のセットです。

env[]

object

EnvVar は、コンテナーに存在する環境変数を表します。

gitProxy

object

gitProxy には、git 操作専用のプロキシー設定が含まれています。設定されている場合、これは git clone などのすべての git コマンドのプロキシー設定を上書きします。

ここで設定されていない値は、DefaultProxy から継承されます。

imageLabels

array

imageLabels は、結果のイメージに適用される Docker ラベルのリストです。ユーザーは、Build/BuildConfig で同じ名前のラベルを指定することにより、デフォルトのラベルを上書きできます。

imageLabels[]

object

resources

object

resources ビルドを実行するためのリソース要件を定義します。

httpProxy

string

httpProxy は、HTTP リクエストのプロキシーの URL です。空は未設定を意味し、env 変数にはなりません。

httpsProxy

string

httpsProxy は、HTTPS リクエストのプロキシーの URL です。空は未設定を意味し、env 変数にはなりません。

noProxy

string

noProxy は、プロキシーを使用してはならないホスト名や CIDR、IP のコンマ区切りのリストです。空は未設定を意味し、env 変数にはなりません。

readinessEndpoints

array (string)

readinessEndpoints は、プロキシーの準備ができていることを確認するために使用されるエンドポイントのリストです。

trustedCA

object

trustedCA は、CA 証明書バンドルを含む ConfigMap への参照です。trustedCA フィールドは、プロキシーバリデーターによってのみ使用される必要があります。バリデーターは、必要なキー "ca-bundle.crt" から証明書バンドルを読み取り、それをシステムのデフォルトのトラストバンドルとマージし、マージされたトラストバンドルを "openshift-config-managed" namespace の "trusted-ca-bundle" という名前の ConfigMap に書き込むロールを担います。プロキシー接続を期待するクライアントは、プロキシーへのすべての HTTPS 要求に trusted-ca-bundle を使用する必要があり、非プロキシー HTTPS 要求にも trusted-ca-bundle を使用できます。

trustedCA が参照する ConfigMap の namespace は "openshift-config" です。以下は ConfigMap の例です (yaml 形式)。

apiVersion: v1 kind: ConfigMap metadata: name: user-ca-bundle namespace: openshift-config data: ca-bundle.crt: | -----BEGIN CERTIFICATE----- Custom CA certificate bundle. -----END CERTIFICATE-----

name

string

name は、参照される設定マップの metadata.name です。

name

string

環境変数の名前。'=' を除く、印刷可能な ASCII 文字であれば何でも使用できます。

value

string

変数参照 $(VAR_NAME) は、コンテナー内で以前に定義された環境変数と任意のサービス環境変数を使用して展開されます。変数を解決できない場合、入力文字列の参照は変更されません。Double は単一の $ に削減されます。これにより、$(VAR_NAME) 構文をエスケープできます。つまり、"(VAR_NAME)" は文字列リテラル "$(VAR_NAME)" を生成します。変数が存在するかどうかにかかわらず、エスケープされた参照は拡張されません。デフォルトは "" です。

valueFrom

object

環境変数の値のソースです。値が空でない場合は使用できません。

configMapKeyRef

object

ConfigMap のキーを選択します。

fieldRef

object

Pod のフィールドを選択します。metadata.name、metadata.namespace、metadata.labels['<KEY>']、metadata.annotations['<KEY>']、spec.nodeName、spec.serviceAccountName、status.hostIP、status.podIP、status.podIPs がサポートされています。

fileKeyRef

object

FileKeyRef は env ファイル内のキーを選択します。EnvFiles フィーチャーゲートが有効になっている必要があります。

resourceFieldRef

object

コンテナーのリソースを選択します。現在、リソースの制限とリクエスト (limits.cpu、limits.memory、limits.ephemeral-storage、requests.cpu、requests.memory、requests.ephemeral-storage) のみがサポートされています。

secretKeyRef

object

Pod の namespace でシークレットのキーを選択します

key

string

選択するキー。

name

string

参照先の名前。このフィールドは実質的には必須ですが、下位互換性のため空でもかまいません。ここで空の値を持つこの型のインスタンスは、ほぼ間違いなく間違っています。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names

optional

boolean

ConfigMap かそのキーを定義する必要があるかどうかを指定します。

apiVersion

string

FieldPath が記述されているスキーマのバージョン。デフォルトは "v1" です。

fieldPath

string

指定された API バージョンで選択するフィールドのパス。

key

string

env ファイル内のキー。無効なキーを使用すると、Pod が起動しません。ソース内で定義されるキーは、=を除く任意の印刷可能な ASCII 文字で設定できます。EnvFiles フィーチャーゲートのアルファ段階では、キーのサイズは 128 文字に制限されています。

optional

boolean

ファイルまたはキーのどちらを定義する必要があるかを指定します。ファイルまたはキーが存在しない場合、環境変数は公開されません。optional が true に設定されていて、指定されたキーが存在しない場合、環境変数は Pod のコンテナーに設定されません。

optional が false に設定されていて、指定されたキーが存在しない場合、Pod の作成中にエラーが返されます。

path

string

ファイルを選択するボリューム内のパス。相対パスである必要があり、..パスを含めたり、..で始めたりすることはできません。

volumeName

string

env ファイルを含むボリュームマウントの名前。

containerName

string

コンテナー名: ボリュームには必須、env 変数にはオプション

divisor

integer-or-string

公開されたリソースの出力形式を指定します。デフォルトは "1" です。

resource

string

必須: 選択するリソース

key

string

選択するシークレットのキー。有効な秘密鍵でなければなりません。

name

string

参照先の名前。このフィールドは実質的には必須ですが、下位互換性のため空でもかまいません。ここで空の値を持つこの型のインスタンスは、ほぼ間違いなく間違っています。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names

optional

boolean

シークレットかそのキーを定義する必要があるかどうかを指定します。

httpProxy

string

httpProxy は、HTTP リクエストのプロキシーの URL です。空は未設定を意味し、env 変数にはなりません。

httpsProxy

string

httpsProxy は、HTTPS リクエストのプロキシーの URL です。空は未設定を意味し、env 変数にはなりません。

noProxy

string

noProxy は、プロキシーを使用してはならないホスト名や CIDR、IP のコンマ区切りのリストです。空は未設定を意味し、env 変数にはなりません。

readinessEndpoints

array (string)

readinessEndpoints は、プロキシーの準備ができていることを確認するために使用されるエンドポイントのリストです。

trustedCA

object

trustedCA は、CA 証明書バンドルを含む ConfigMap への参照です。trustedCA フィールドは、プロキシーバリデーターによってのみ使用される必要があります。バリデーターは、必要なキー "ca-bundle.crt" から証明書バンドルを読み取り、それをシステムのデフォルトのトラストバンドルとマージし、マージされたトラストバンドルを "openshift-config-managed" namespace の "trusted-ca-bundle" という名前の ConfigMap に書き込むロールを担います。プロキシー接続を期待するクライアントは、プロキシーへのすべての HTTPS 要求に trusted-ca-bundle を使用する必要があり、非プロキシー HTTPS 要求にも trusted-ca-bundle を使用できます。

trustedCA が参照する ConfigMap の namespace は "openshift-config" です。以下は ConfigMap の例です (yaml 形式)。

apiVersion: v1 kind: ConfigMap metadata: name: user-ca-bundle namespace: openshift-config data: ca-bundle.crt: | -----BEGIN CERTIFICATE----- Custom CA certificate bundle. -----END CERTIFICATE-----

name

string

name は、参照される設定マップの metadata.name です。