12.2. CertificateSigningRequest [certificates.k8s.io/v1]

expirationSeconds

integer

expirationSeconds は、発行された証明書の要求された有効期間です。証明書の署名者は、有効期間が異なる証明書を発行する場合があるため、クライアントは、発行された証明書の notBefore フィールドと notAfter フィールドの間のデルタをチェックして、実際の期間を決定する必要があります。

有名な Kubernetes 署名者の v1.22+ ツリー内実装は、要求された期間が、Kubernetes への --cluster-signing-duration CLI フラグに従って尊重する最大期間を超えない限り、このフィールドを尊重します。コントローラーマネージャー。

証明書の署名者は、さまざまな理由でこのフィールドを尊重しない場合があります。

1.フィールドを認識しない古い署名者 (v1.22 より前のツリー内実装など)2。設定された最大値が要求された期間より短い署名者 3。設定された最小値が要求された期間よりも長い署名者

expirationSeconds の有効な最小値は 600、つまり 10 分です。

extra

object

extra には、CertificateSigningRequest を作成したユーザーの追加属性が含まれます。作成時に API サーバーによって入力され、不変です。

extra{}

array (string)

groups

array (string)

groups には、CertificateSigningRequest を作成したユーザーのグループメンバーシップが含まれます。作成時に API サーバーによって入力され、不変です。

request

string

要求には、"CERTIFICATE REQUEST" PEM ブロックにエンコードされた x509 証明書署名要求が含まれています。JSON または YAML としてシリアル化される場合、データはさらに base64 でエンコードされます。

signerName

string

signerName は、要求された署名者を示し、修飾された名前です。

CertificateSigningRequests のリスト/ウォッチリクエストは、"spec.signerName=NAME" fieldSelector を使用してこのフィールドでフィルタリングできます。

よく知られている Kubernetes 署名者は次のとおりです。1. "kubernetes.io/kube-apiserver-client": kube-apiserver への認証に使用できるクライアント証明書を発行します。この署名者のリクエストは、kube-controller-manager によって自動承認されることはなく、kube-controller-manager の "csrsigning" コントローラーによって発行できます。2. "kubernetes.io/kube-apiserver-client-kubelet": kubelets が kube-apiserver への認証に使用するクライアント証明書を発行します。この署名者のリクエストは、kube-controller-manager の "csrapproving" コントローラーによって自動承認され、kube-controller-manager の "csrsigning" コントローラーによって発行されます。3. "kubernetes.io/kubelet-serving" は、kubelet が TLS エンドポイントを提供するのに使用する証明書の提供を発行します。これは、kube-apiserver が安全に接続できます。この署名者のリクエストは、kube-controller-manager によって自動承認されることはなく、kube-controller-manager の "csrsigning" コントローラーによって発行できます。

詳細は、https://k8s.io/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers を参照してください。

カスタム signerNames も指定できます。署名者は次のように定義します:1。信頼の配布: 信頼 (CA バンドル) の配布方法。2. 許可された対象: および許可されていない対象が要求された場合の動作。3. 要求内の必須、許可、または禁止されている x509 拡張 (subjectAltNames が許可されているかどうか、どのタイプ、許可されている値の制限を含む)、および許可されていない拡張が要求された場合の動作。4. 必須、許可、または禁止されているキーの使用法/拡張キーの使用法。5. 有効期限/証明書の有効期間: 署名者によって修正されたかどうか、管理者によって設定可能かどうか。6. CA 証明書の要求が許可されるかどうか。

uid

string

uid には、CertificateSigningRequest を作成したユーザーの uid が含まれます。作成時に API サーバーによって入力され、不変です。

usages

array (string)

使用法は、発行された証明書で要求された一連の主要な使用法を指定します。

TLS クライアント証明書の要求は通常、"デジタル署名"、"キー暗号化"、"クライアント認証" を要求します。

TLS サービング証明書の要求は通常、"キー暗号化"、"デジタル署名"、"サーバー認証" を要求します。

有効な値は、"signing"、"digital signature"、"content commitment"、"key encipherment"、"key agreement"、"data encipherment"、"cert sign"、"crl sign"、"encipher only"、"decipher only"、"any"、"server auth"、"client auth"、"code signing"、"email protection"、"s/mime"、"ipsec end system"、"ipsec tunnel"、"ipsec user"、"timestamping"、"ocsp signing"、"microsoft sgc"、"netscape sgc" です。

username

string

username には、CertificateSigningRequest を作成したユーザーの名前が含まれます。作成時に API サーバーによって入力され、不変です。

certificate

string

証明書には、承認済み条件が存在した後、署名者によって発行された証明書が入力されます。このフィールドは、/status サブリソースを介して設定されます。一度入力されると、このフィールドは不変です。

証明書署名要求が拒否された場合、タイプ "Denied" の条件が追加され、このフィールドは空のままになります。署名者が証明書を発行できない場合は、タイプ "Failed" の条件が追加され、このフィールドは空のままになります。

検証要件:1. 証明書には 1 つ以上の PEM ブロックが含まれている必要があります。2. すべての PEM ブロックには、"CERTIFICATE" ラベルが付いていて、ヘッダーが含まれていない必要があります。また、エンコードされたデータは、RFC5280 のセクション 4 で説明されている BER エンコードされた ASN.1 証明書構造である必要があります。3. 非 PEM コンテンツは、"CERTIFICATE" PEM ブロックの前または後に表示される場合があり、RFC7468 のセクション 5.2 で説明されている説明テキストを許可するために、検証されていません。

複数の PEM ブロックが存在し、要求された spec.signerName の定義がそれ以外を示さない場合、最初のブロックは発行された証明書であり、後続のブロックは中間証明書として扱われ、TLS ハンドシェイクで提示される必要があります。

証明書は PEM 形式でエンコードされています。

JSON または YAML としてシリアル化される場合、データはさらに base64 でエンコードされるため、次のもので構成されます。

base64( -----BEGIN CERTIFICATE----- …​ -----END CERTIFICATE----- )

conditions

array

リクエストに適用される条件。既知の条件は、"Approved"、"Denied"、および "Failed" です。

conditions[]

object

CertificateSigningRequestCondition は、CertificateSigningRequest オブジェクトの条件を記述します

lastTransitionTime

Time

lastTransitionTime は、ある状態から別の状態に最後に遷移した時間です。設定されていない場合、新しい条件タイプが追加されるか、既存の条件のステータスが変更されると、サーバーはこれを現在の時刻にデフォルト設定します。

lastUpdateTime

Time

lastUpdateTime は、この条件が最後に更新された時刻です。

message

string

メッセージには、リクエストの状態に関する詳細を含む人間が読めるメッセージが含まれています

reason

string

reason は、リクエスト状態の簡単な理由を示します

status

string

条件のステータス、True、False、Unknown のいずれか。承認、拒否、および失敗の条件は、"False" または "Unknown" ではない場合があります。

type

string

条件の型。既知の条件は、"Approved"、"Denied"、および "Failed" です。

"Approved" 条件は /approval サブリソースを介して追加され、要求が承認され、署名者が発行する必要があることを示します。

"Denied" は /approval サブリソースを介して追加され、要求が拒否されたため、署名者が発行してはならないことを示します。

"Failed" 条件が /status サブリソースを介して追加され、署名者が証明書の発行に失敗したことを示します。

承認された条件と拒否された条件は相互に排他的です。承認済み、拒否済み、および失敗した条件は、一度追加すると削除できません。

特定のタイプの条件は 1 つだけ許可されます。

pretty

string

'true' の場合は、出力が整形表示 (Pretty-print) されます。

continue

string

サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で、以前のクエリー結果からの continue 値のみを使用でき、サーバーは認識できない continue 値を拒否する可能性があります。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。必要としない場合、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから取得するため、以前のリストの結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。

watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

fieldSelector

string

返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。

gracePeriodSeconds

integer

オブジェクトが削除されるまでの時間 (秒)。値は負の値ではない整数にする必要があります。値をゼロに指定すると、ただちに削除されます。この値が nil の場合は、指定されたタイプのデフォルトの猶予期間が使用されます。指定しない場合は、デフォルトでオブジェクトごとの値になります。ゼロはすぐに削除することを意味します。

labelSelector

string

返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。

limit

integer

limit は、リスト呼び出しに対して返される応答の最大数です。他にもアイテムが存在する場合は、サーバーは、リストのメタデータ上の `continue` フィールドを、同じ初期クエリーで使用できる値に設定して、次の結果セットを取得します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしない場合もあり、その場合は利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。

サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、limit を使用して非常にサイズの大きい結果が小さめのチャンクに分けて受信することで、考えられるオブジェクトがすべて表示されるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。

orphanDependents

boolean

非推奨。PropagationPolicy を使用してください。このフィールドは 1.7 で非推奨となります。依存オブジェクトが孤立している必要があります。true/false の場合は、"孤立した" ファイナライザーがオブジェクトのファイナライザー一覧で追加/削除されます。このフィールドまたは PropagationPolicy のいずれかを設定できますが、両方を設定することはできません。

propagationPolicy

string

ガベージコレクションが実行されるかどうか、およびその方法。このフィールドまたは OrphanDependents のどちらかを設定できますが、両方を設定できません。デフォルトポリシーは、metadata.finalizers に設定されている既存のファイナライザーとリソース固有のデフォルトポリシーによって決定されます。許容値は次のとおりです。'Orphan' - 依存を削除して孤立させます。'Background' - ガベージコレクターがバックグラウンドで依存関係を削除できるようにします。'Foreground' - フォアグラウンド内のすべての依存関係を削除するカスケードポリシーです。

resourceVersion

string

resourceVersion は、要求を処理できるリソースのバージョンに関する制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。

デフォルトは unset です。

resourceVersionMatch

string

resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。

デフォルトは unset です。

sendInitialEvents

boolean

`sendInitialEvents=true` may be set together with `watch=true`.その場合、監視ストリームは合成イベントで始まり、コレクション内のオブジェクトの現在の状態を生成します。このようなイベントがすべて送信されると、合成的 "Bookmark" イベントが送信されます。ブックマークはオブジェクトのセットに対応する ResourceVersion (RV) を報告し、`"k8s.io/initial-events-end": "true"` アノテーションが付けられます。その後、監視ストリームは通常どおり続行され、(RV に続く) 変更に対応する監視イベントが監視対象のオブジェクトに送信されます。

'sendInitialEvents' オプションが設定されている場合、'resourceVersionMatch' オプションも設定する必要があります。監視リクエストのセマンティクスとして、'resourceVersionMatch' = NotOlderThan は、"最低でも、指定された 'resourceVersion' と同程度に新しいデータ" として解釈され、最低でも状態が ListOptions が指定したものと同程度に新しい 'resourceVersion' に同期される場合にブックバークイベントが送信されます。`resourceVersion` が設定されていない場合、"consistent read" として解釈され、少なくともリクエストの処理が開始された瞬間までの状態が同期されると、ブックマークイベントが送信されます。- `resourceVersionMatch` を他の値に設定するか、未設定にすると、無効なエラーが返されます。

`resourceVersion=""` または `resourceVersion="0"` (下位互換性の目的) の場合、デフォルトは true、それ以外の場合は false です。

timeoutSeconds

integer

リスト/ウォッチ呼び出しのタイムアウト。これにより、アクティビティーの有無に関係なく、呼び出し時間が制限されます。

body

DeleteOptions スキーマ

200 - OK

Status スキーマ

401 - Unauthorized

空白

allowWatchBookmarks

boolean

allowWatchBookmarks は、タイプが "BOOKMARK" の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返される、またはサーバーがセッション中に BOOKMARK イベントを送信すると想定するべきではありません。これが watch でない場合は、このフィールドが無視されます。

continue

string

サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で、以前のクエリー結果からの continue 値のみを使用でき、サーバーは認識できない continue 値を拒否する可能性があります。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。必要としない場合、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから取得するため、以前のリストの結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。

watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。

fieldSelector

string

返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。

labelSelector

string

返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。

limit

integer

limit は、リスト呼び出しに対して返される応答の最大数です。他にもアイテムが存在する場合は、サーバーは、リストのメタデータ上の `continue` フィールドを、同じ初期クエリーで使用できる値に設定して、次の結果セットを取得します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしない場合もあり、その場合は利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。

サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、limit を使用して非常にサイズの大きい結果が小さめのチャンクに分けて受信することで、考えられるオブジェクトがすべて表示されるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。

resourceVersion

string

resourceVersion は、要求を処理できるリソースのバージョンに関する制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。

デフォルトは unset です。

resourceVersionMatch

string

resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。

デフォルトは unset です。

sendInitialEvents

boolean

`sendInitialEvents=true` may be set together with `watch=true`.その場合、監視ストリームは合成イベントで始まり、コレクション内のオブジェクトの現在の状態を生成します。このようなイベントがすべて送信されると、合成的 "Bookmark" イベントが送信されます。ブックマークはオブジェクトのセットに対応する ResourceVersion (RV) を報告し、`"k8s.io/initial-events-end": "true"` アノテーションが付けられます。その後、監視ストリームは通常どおり続行され、(RV に続く) 変更に対応する監視イベントが監視対象のオブジェクトに送信されます。

'sendInitialEvents' オプションが設定されている場合、'resourceVersionMatch' オプションも設定する必要があります。監視リクエストのセマンティクスとして、'resourceVersionMatch' = NotOlderThan は、"最低でも、指定された 'resourceVersion' と同程度に新しいデータ" として解釈され、最低でも状態が ListOptions が指定したものと同程度に新しい 'resourceVersion' に同期される場合にブックバークイベントが送信されます。`resourceVersion` が設定されていない場合、"consistent read" として解釈され、少なくともリクエストの処理が開始された瞬間までの状態が同期されると、ブックマークイベントが送信されます。- `resourceVersionMatch` を他の値に設定するか、未設定にすると、無効なエラーが返されます。

`resourceVersion=""` または `resourceVersion="0"` (下位互換性の目的) の場合、デフォルトは true、それ以外の場合は false です。

timeoutSeconds

integer

リスト/ウォッチ呼び出しのタイムアウト。これにより、アクティビティーの有無に関係なく、呼び出し時間が制限されます。

watch

boolean

記述されたリソースへの変更を監視し、追加、更新、および削除通知のストリームとして返します。resourceVersion を指定します。

200 - OK

CertificateSigningRequestList スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

fieldManager

string

fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

CertificateSigningRequest スキーマ

200 - OK

CertificateSigningRequest スキーマ

201 - Created

CertificateSigningRequest スキーマ

202 - Accepted

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

allowWatchBookmarks

boolean

allowWatchBookmarks は、タイプが "BOOKMARK" の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返される、またはサーバーがセッション中に BOOKMARK イベントを送信すると想定するべきではありません。これが watch でない場合は、このフィールドが無視されます。

continue

string

サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で、以前のクエリー結果からの continue 値のみを使用でき、サーバーは認識できない continue 値を拒否する可能性があります。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。必要としない場合、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから取得するため、以前のリストの結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。

watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。

fieldSelector

string

返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。

labelSelector

string

返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。

limit

integer

limit は、リスト呼び出しに対して返される応答の最大数です。他にもアイテムが存在する場合は、サーバーは、リストのメタデータ上の `continue` フィールドを、同じ初期クエリーで使用できる値に設定して、次の結果セットを取得します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしない場合もあり、その場合は利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。

サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、limit を使用して非常にサイズの大きい結果が小さめのチャンクに分けて受信することで、考えられるオブジェクトがすべて表示されるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。

pretty

string

'true' の場合は、出力が整形表示 (Pretty-print) されます。

resourceVersion

string

resourceVersion は、要求を処理できるリソースのバージョンに関する制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。

デフォルトは unset です。

resourceVersionMatch

string

resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。

デフォルトは unset です。

sendInitialEvents

boolean

`sendInitialEvents=true` may be set together with `watch=true`.その場合、監視ストリームは合成イベントで始まり、コレクション内のオブジェクトの現在の状態を生成します。このようなイベントがすべて送信されると、合成的 "Bookmark" イベントが送信されます。ブックマークはオブジェクトのセットに対応する ResourceVersion (RV) を報告し、`"k8s.io/initial-events-end": "true"` アノテーションが付けられます。その後、監視ストリームは通常どおり続行され、(RV に続く) 変更に対応する監視イベントが監視対象のオブジェクトに送信されます。

'sendInitialEvents' オプションが設定されている場合、'resourceVersionMatch' オプションも設定する必要があります。監視リクエストのセマンティクスとして、'resourceVersionMatch' = NotOlderThan は、"最低でも、指定された 'resourceVersion' と同程度に新しいデータ" として解釈され、最低でも状態が ListOptions が指定したものと同程度に新しい 'resourceVersion' に同期される場合にブックバークイベントが送信されます。`resourceVersion` が設定されていない場合、"consistent read" として解釈され、少なくともリクエストの処理が開始された瞬間までの状態が同期されると、ブックマークイベントが送信されます。- `resourceVersionMatch` を他の値に設定するか、未設定にすると、無効なエラーが返されます。

`resourceVersion=""` または `resourceVersion="0"` (下位互換性の目的) の場合、デフォルトは true、それ以外の場合は false です。

timeoutSeconds

integer

リスト/ウォッチ呼び出しのタイムアウト。これにより、アクティビティーの有無に関係なく、呼び出し時間が制限されます。

watch

boolean

記述されたリソースへの変更を監視し、追加、更新、および削除通知のストリームとして返します。resourceVersion を指定します。

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

CertificateSigningRequest の名前

pretty

string

'true' の場合は、出力が整形表示 (Pretty-print) されます。

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

gracePeriodSeconds

integer

オブジェクトが削除されるまでの時間 (秒)。値は負の値ではない整数にする必要があります。値をゼロに指定すると、ただちに削除されます。この値が nil の場合は、指定されたタイプのデフォルトの猶予期間が使用されます。指定しない場合は、デフォルトでオブジェクトごとの値になります。ゼロはすぐに削除することを意味します。

orphanDependents

boolean

非推奨。PropagationPolicy を使用してください。このフィールドは 1.7 で非推奨となります。依存オブジェクトが孤立している必要があります。true/false の場合は、"孤立した" ファイナライザーがオブジェクトのファイナライザー一覧で追加/削除されます。このフィールドまたは PropagationPolicy のいずれかを設定できますが、両方を設定することはできません。

propagationPolicy

string

ガベージコレクションが実行されるかどうか、およびその方法。このフィールドまたは OrphanDependents のどちらかを設定できますが、両方を設定できません。デフォルトポリシーは、metadata.finalizers に設定されている既存のファイナライザーとリソース固有のデフォルトポリシーによって決定されます。許容値は次のとおりです。'Orphan' - 依存を削除して孤立させます。'Background' - ガベージコレクターがバックグラウンドで依存関係を削除できるようにします。'Foreground' - フォアグラウンド内のすべての依存関係を削除するカスケードポリシーです。

body

DeleteOptions スキーマ

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

fieldManager

string

fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。このフィールドは、apply 要求 (application/apply-patch) の場合は必須ですが、apply 以外のパッチタイプ (JsonPatch、MergePatch、StrategicMergePatch) の場合は任意です。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

force

boolean

"force" は、Apply 要求を強制します。これは、ユーザーが他の人が所有する競合するフィールドを再取得することを意味します。非適用パッチ要求の場合は、強制フラグを設定解除する必要があります。

body

Patch スキーマ

200 - OK

CertificateSigningRequest スキーマ

201 - Created

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

fieldManager

string

fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

CertificateSigningRequest スキーマ

200 - OK

CertificateSigningRequest スキーマ

201 - Created

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

name

string

CertificateSigningRequest の名前

allowWatchBookmarks

boolean

allowWatchBookmarks は、タイプが "BOOKMARK" の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返される、またはサーバーがセッション中に BOOKMARK イベントを送信すると想定するべきではありません。これが watch でない場合は、このフィールドが無視されます。

continue

string

サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で、以前のクエリー結果からの continue 値のみを使用でき、サーバーは認識できない continue 値を拒否する可能性があります。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。必要としない場合、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから取得するため、以前のリストの結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。

watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。

fieldSelector

string

返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。

labelSelector

string

返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。

limit

integer

limit は、リスト呼び出しに対して返される応答の最大数です。他にもアイテムが存在する場合は、サーバーは、リストのメタデータ上の `continue` フィールドを、同じ初期クエリーで使用できる値に設定して、次の結果セットを取得します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしない場合もあり、その場合は利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。

サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、limit を使用して非常にサイズの大きい結果が小さめのチャンクに分けて受信することで、考えられるオブジェクトがすべて表示されるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。

pretty

string

'true' の場合は、出力が整形表示 (Pretty-print) されます。

resourceVersion

string

resourceVersion は、要求を処理できるリソースのバージョンに関する制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。

デフォルトは unset です。

resourceVersionMatch

string

resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。

デフォルトは unset です。

sendInitialEvents

boolean

`sendInitialEvents=true` may be set together with `watch=true`.その場合、監視ストリームは合成イベントで始まり、コレクション内のオブジェクトの現在の状態を生成します。このようなイベントがすべて送信されると、合成的 "Bookmark" イベントが送信されます。ブックマークはオブジェクトのセットに対応する ResourceVersion (RV) を報告し、`"k8s.io/initial-events-end": "true"` アノテーションが付けられます。その後、監視ストリームは通常どおり続行され、(RV に続く) 変更に対応する監視イベントが監視対象のオブジェクトに送信されます。

'sendInitialEvents' オプションが設定されている場合、'resourceVersionMatch' オプションも設定する必要があります。監視リクエストのセマンティクスとして、'resourceVersionMatch' = NotOlderThan は、"最低でも、指定された 'resourceVersion' と同程度に新しいデータ" として解釈され、最低でも状態が ListOptions が指定したものと同程度に新しい 'resourceVersion' に同期される場合にブックバークイベントが送信されます。`resourceVersion` が設定されていない場合、"consistent read" として解釈され、少なくともリクエストの処理が開始された瞬間までの状態が同期されると、ブックマークイベントが送信されます。- `resourceVersionMatch` を他の値に設定するか、未設定にすると、無効なエラーが返されます。

`resourceVersion=""` または `resourceVersion="0"` (下位互換性の目的) の場合、デフォルトは true、それ以外の場合は false です。

timeoutSeconds

integer

リスト/ウォッチ呼び出しのタイムアウト。これにより、アクティビティーの有無に関係なく、呼び出し時間が制限されます。

watch

boolean

記述されたリソースへの変更を監視し、追加、更新、および削除通知のストリームとして返します。resourceVersion を指定します。

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

CertificateSigningRequest の名前

pretty

string

'true' の場合は、出力が整形表示 (Pretty-print) されます。

200 - OK

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

fieldManager

string

fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。このフィールドは、apply 要求 (application/apply-patch) の場合は必須ですが、apply 以外のパッチタイプ (JsonPatch、MergePatch、StrategicMergePatch) の場合は任意です。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

force

boolean

"force" は、Apply 要求を強制します。これは、ユーザーが他の人が所有する競合するフィールドを再取得することを意味します。非適用パッチ要求の場合は、強制フラグを設定解除する必要があります。

body

Patch スキーマ

200 - OK

CertificateSigningRequest スキーマ

201 - Created

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

fieldManager

string

fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

CertificateSigningRequest スキーマ

200 - OK

CertificateSigningRequest スキーマ

201 - Created

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

name

string

CertificateSigningRequest の名前

pretty

string

'true' の場合は、出力が整形表示 (Pretty-print) されます。

200 - OK

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

fieldManager

string

fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。このフィールドは、apply 要求 (application/apply-patch) の場合は必須ですが、apply 以外のパッチタイプ (JsonPatch、MergePatch、StrategicMergePatch) の場合は任意です。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

force

boolean

"force" は、Apply 要求を強制します。これは、ユーザーが他の人が所有する競合するフィールドを再取得することを意味します。非適用パッチ要求の場合は、強制フラグを設定解除する必要があります。

body

Patch スキーマ

200 - OK

CertificateSigningRequest スキーマ

201 - Created

CertificateSigningRequest スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。

fieldManager

string

fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

CertificateSigningRequest スキーマ

200 - OK

CertificateSigningRequest スキーマ

201 - Created

CertificateSigningRequest スキーマ

401 - Unauthorized

空白