主页
产品
Red Hat Quay
3.2
测试 REST
26.2. CertificateSigningRequest [certificates.k8s.io/v1]

26.2. CertificateSigningRequest [certificates.k8s.io/v1]

描述

CertificateSigningRequest 对象提供了一种机制，可通过提交证书签名请求来获取 x509 证书，并使其异步批准和发布。

kubelet 使用此 API 获取：1。客户端证书向 kube-apiserver 进行身份验证（使用 "kubernetes.io/kube-apiserver-client-kubelet" signerName）。2. 为 TLS 端点 kube-apiserver 提供证书可以安全地连接到（使用 "kubernetes.io/kubelet-serving" signerName）。

此 API 可以用来请求客户端证书来向 kube-apiserver 进行身份验证（使用 "kubernetes.io/kube-apiserver-client" signerName），或者从自定义非 Kubernetes 签名证书获取证书。

类型

对象

必填

spec

26.2.1. 规格
复制链接

Expand

属性	类型	描述
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`
`spec`	`对象`	CertificateSigningRequestSpec 包含证书请求。
`status`	`对象`	CertificateSigningRequestStatus 包含用于指示请求的批准/密度/失败状态和发布的证书的条件。

26.2.1.1. .spec
复制链接

描述

CertificateSigningRequestSpec 包含证书请求。

类型

对象

必填

Request
signerName

Expand

属性	类型	描述
`expirationSeconds`	`整数`	expirationSeconds 是发布的证书的有效性持续时间。证书签名者可能会发布具有不同有效期的证书，因此客户端必须在发布的证书中的 notBefore 和 notAfter 字段之间检查 delta，以确定实际持续时间。只要请求的持续时间不超过 Kubernetes 控制器管理器的 --cluster-signing-duration CLI 标志，则只要请求的 Kubernetes 签名者的 v1.22+ in-tree 实现将满足此字段。由于各种原因，证书签名请求可能无法满足此字段： 1. 不感知字段的旧签名程序（如 v1.22 之前的树内实现）。配置的最大值小于请求的持续时间 3 的签名者。配置最小值的发布者超过请求的持续时间 expirationSeconds 的最小有效值为 600，即 10 分钟。从 v1.22 开始，此字段为 beta，通过 CSRDuration 功能门控制。
`extra`	`对象`	额外包含创建 CertificateSigningRequest 的用户的额外属性。API 服务器在创建和不可变时填充。
`extra{}`	`数组（字符串）`
`groups`	`数组（字符串）`	组包含创建 CertificateSigningRequest 的用户的组成员资格。API 服务器在创建和不可变时填充。
`Request`	`字符串`	Request 包含在 "CERTIFICATE REQUEST" PEM 块中编码的 x509 证书签名请求。当以 JSON 或 YAML 序列化时，数据也会被 base64 编码。
`signerName`	`字符串`	signerName 表示请求的签名者，且是一个合格的名称。 CertificateSigningRequests 的 list/watch 请求可以使用 "spec.signerName=NAME" fieldSelector 在此字段上过滤。已知的 Kubernetes 签名者为：1. "kubernetes.io/kube-apiserver-client": 发布可用于向 kube-apiserver 进行身份验证的客户端证书。kube-controller-manager 中，kube-controller-manager 不会自动批准此签名者的请求，可由 kube-controller-manager 中的 "csrsigning" 控制器发出。2. "Kubernetes.io/kube-apiserver-client-kubelet": 发出 kubelet 用来向 kube-apiserver 进行身份验证的客户端证书。对这个签名者的请求可以由 kube-controller-manager 中的 "csrapproving" 控制器自动批准，并可由 kube-controller-manager 中的 "csrsigning" 控制器发出。3. "Kubernetes.io/kubelet-serving" 问题提供 kubelet 用来提供 TLS 端点的证书，kube-apiserver 可以安全地连接到它。对这个签名者的请求不会由 kube-controller-manager 自动批准，并可由 kube-controller-manager 中的 "csrsigning" 控制器发出。更多详情请参阅 https://k8s.io/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers 也可以指定自定义 signerNames。签名者定义：1。信任分发：信任(CA 捆绑包)是如何分布的。2.允许的主题：以及请求禁止的主题时的行为。3.请求中需要、允许或禁止 x509 扩展（包括是否允许 subjectAltNames、哪些类型、允许的值的限制）以及请求禁止扩展时的行为。4.必需、允许或禁止密钥使用/扩展密钥使用。5.expiration/certificate 生命周期： signer 是否可以修复它，由 admin 配置。6.是否允许 CA 证书请求。
`uid`	`字符串`	UID 包含创建 CertificateSigningRequest 的用户的 uid。API 服务器在创建和不可变时填充。
`usages`	`数组（字符串）`	usages 指定发布证书中请求的一组密钥使用。对 TLS 客户端证书的请求通常会请求："数字签名", "key encipherment", "client auth"。对 TLS 服务证书的请求通常会请求："key encipherment", "digital signature", "server auth"。有效值为："signing", "digital signature", "content Pro", "key encipherment", "key agreement", "key encipherment", "cert sign", "crl sign", "encipher only", "decipher only", "any", "server auth", "code signature", "code signature", "电子邮件保护", "s/mime", "ipsec end system", "ipsec tunnel", "ipsec user", "timestamping", "ocsp signed", "microsoft sgc", "netscape sgc"
`username`	`字符串`	username 包含创建 CertificateSigningRequest 的用户的名称。API 服务器在创建和不可变时填充。

26.2.1.2. .spec.extra
复制链接

描述: 额外包含创建 CertificateSigningRequest 的用户的额外属性。API 服务器在创建和不可变时填充。
类型: 对象

26.2.1.3. .status
复制链接

描述: CertificateSigningRequestStatus 包含用于指示请求的批准/密度/失败状态和发布的证书的条件。
类型: 对象

Expand

属性类型描述

属性	类型	描述
`certificate`	`字符串`	在存在批准条件后，签名者会使用发布的证书填充证书。此字段通过 /status 子资源设置。填充后，此字段不可变。如果证书签名请求被拒绝，则添加类型为"Denied"条件，且此字段为空。如果 signer 无法发布证书，则添加类型为 "Failed" 的条件，且此字段为空。验证要求：1。证书必须包含一个或多个 PEM 块。2.所有 PEM 块都必须具有"CERTIFICATE"标签，不包含标头，编码的数据必须是 BER 编码的 ASN.1 证书结构，如 RFC5280 的第 4 节中所述。3.非PEM 内容可能会在"CERTIFICATE" PEM 块且未验证之前或之后出现，以允许预期的文本，如 RFC7468 的 5.2 所述。如果存在多个 PEM 块，并且请求的 spec.signerName 的定义不表示，则第一个块是发布的证书，后续块应被视为中间证书，并在 TLS 握手中显示。证书以 PEM 格式编码。当以 JSON 或 YAML 序列化时，数据也被 base64 编码，因此它由以下几项组成： base64( -----BEGIN CERTIFICATE----- … -----END CERTIFICATE----- )
`conditions`	`array`	应用到请求的条件。已知的条件为 "Approved"、"Denied" 和 "Failed"。
`conditions[]`	`对象`	CertificateSigningRequestCondition 描述了 CertificateSigningRequest 对象的条件

certificate

字符串

在存在批准条件后，签名者会使用发布的证书填充证书。此字段通过 /status 子资源设置。填充后，此字段不可变。

如果证书签名请求被拒绝，则添加类型为"Denied"条件，且此字段为空。如果 signer 无法发布证书，则添加类型为 "Failed" 的条件，且此字段为空。

验证要求：1。证书必须包含一个或多个 PEM 块。2.所有 PEM 块都必须具有"CERTIFICATE"标签，不包含标头，编码的数据必须是 BER 编码的 ASN.1 证书结构，如 RFC5280 的第 4 节中所述。3.非PEM 内容可能会在"CERTIFICATE" PEM 块且未验证之前或之后出现，以允许预期的文本，如 RFC7468 的 5.2 所述。

如果存在多个 PEM 块，并且请求的 spec.signerName 的定义不表示，则第一个块是发布的证书，后续块应被视为中间证书，并在 TLS 握手中显示。

证书以 PEM 格式编码。

当以 JSON 或 YAML 序列化时，数据也被 base64 编码，因此它由以下几项组成：

base64( -----BEGIN CERTIFICATE----- … -----END CERTIFICATE----- )

conditions

array

应用到请求的条件。已知的条件为 "Approved"、"Denied" 和 "Failed"。

conditions[]

对象

CertificateSigningRequestCondition 描述了 CertificateSigningRequest 对象的条件

26.2.1.4. .status.conditions
复制链接

描述: 应用到请求的条件。已知的条件为 "Approved"、"Denied" 和 "Failed"。
类型: array

26.2.1.5. .status.conditions[]
复制链接

描述

CertificateSigningRequestCondition 描述了 CertificateSigningRequest 对象的条件

类型

对象

必填

type
status

Expand

属性	类型	描述
`lastTransitionTime`	`time`	lastTransitionTime 是条件最后一次从一个状态转换到另一个状态的时间。如果未设置，当添加新条件类型或现有条件的状态改变时，服务器会默认使用当前时间。
`lastUpdateTime`	`time`	lastUpdateTime 是对此条件最后一次更新的时间
`message`	`字符串`	消息包含一个人类可读的消息，其中包含有关请求状态的详细信息
`reason`	`字符串`	reason 表示请求状态的最简单原因
`status`	`字符串`	条件的状态，True, False, Unknown 之一。已批准、拒绝和失败条件可能无法"False"或"Unknown"。
`type`	`字符串`	条件的类型。已知的条件为 "Approved"、"Denied" 和 "Failed"。通过 /approval 子资源添加了一个 "Approved" 条件，表示请求已被批准并应由签名者发出。通过 /approval 子资源添加了一个"Denied"条件，表示请求被拒绝，不应由签名者发出。通过 /status 子资源添加了一个 "Failed" 条件，表示签名者无法发布证书。批准和拒绝条件是互斥的。添加后无法删除已批准、拒绝和失败条件。只允许给定类型的一个条件。

26.2.2. API 端点
复制链接

可用的 API 端点如下：

/apis/certificates.k8s.io/v1/certificatesigningrequests
- DELETE ：删除证书发布请求的集合
- GET: 列出或监视类型为 CertificateSigningRequest 的对象
- POST ：创建一个 CertificateSigningRequest
/apis/certificates.k8s.io/v1/watch/certificatesigningrequests
- GET: 观察对 CertificateSigningRequest 列表的各个更改。已弃用：将 'watch' 参数与列表操作一起使用。
/apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
- DELETE ：删除 CertificateSigningRequest
- GET ：读取指定的 CertificateSigningRequest
- PATCH ：部分更新指定的 CertificateSigningRequest
- PUT ：替换指定的 CertificateSigningRequest
/apis/certificates.k8s.io/v1/watch/certificatesigningrequests/{name}
- GET: 观察对类型为 CertificateSigningRequest 的对象的更改。已弃用：使用带有列表操作的 'watch' 参数，而是过滤到带有 'fieldSelector' 参数的单个项目。
/apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status
- GET ：指定 CertificateSigningRequest 的读取状态
- PATCH ：部分更新指定 CertificateSigningRequest 的状态
- PUT: 替换指定 CertificateSigningRequest 的状态
/apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval
- GET ：读取指定 CertificateSigningRequest 的批准
- PATCH ：部分更新指定 CertificateSigningRequest 的批准
- PUT ：替换指定 CertificateSigningRequest 的批准

26.2.2.1. /apis/certificates.k8s.io/v1/certificatesigningrequests
复制链接

Expand

表 26.1. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果 'true'，则输出被用户友善。

HTTP 方法: DELETE
描述: 删除 CertificateSigningRequest 集合

Expand

表 26.2. 查询参数
参数	类型	描述
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须在没有 continue 字段的情况下重启其列表。否则，客户端可能会发送另一个列表请求，并带有 410 错误收到的令牌，服务器将通过从下一个密钥开始的列表进行响应，但从最新的快照（从最后一个列表结果中不一致） - 在第一个列表请求后创建、修改或删除的对象将包含在响应中，只要其密钥在"next key"后。当 watch 为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值启动监视，而不丢失任何修改。
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldSelector`	`字符串`	用于限制返回的对象列表的选择器。默认为任何内容。
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值零表示立即删除。如果这个值是 nil，则使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`labelSelector`	`字符串`	通过标签限制返回的对象列表的选择器。默认为任何内容。
`limit`	`整数`	限制是列表调用要返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的"continue"字段设置为可用于同一初始查询的值，以检索下一个结果集。在过滤所有请求的对象时，设置限制可能会返回比请求的项目数量少（最多为零项），客户端应只使用 continue 字段的存在来确定是否有更多结果可用。服务器可以选择不支持限制参数，并将返回所有可用的结果。如果指定了限制，并且 continue 字段为空，客户端可能会假设没有更多可用的结果。如果 watch 为 true，则不支持此字段。服务器保证在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后不会创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制的客户端接收一个非常大的结果较小的块可以确保它们看到所有可能的对象。如果在块列出期间更新对象，则返回第一次列表结果时存在的对象版本。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中被弃用。应该依赖的对象被孤立。如果为 true/false，"orphan"终结器将从对象的终结器列表添加到/删除。可以设置此字段或 PropagationPolicy，但不能同时设置两者。
`propagationPolicy`	`字符串`	是否以及是否执行垃圾回收。此字段或 OrphanDependents 可以设置，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值为： 'Orphan' - 孤立依赖; 'Background' - 允许垃圾收集器在后台删除依赖的依赖关系； 'Foreground' - 一个删除前台所有依赖的级联策略。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定 resourceVersion 如何应用到列出调用。强烈建议您为设置了 resourceVersion 的列表调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	list/watch 调用的超时。这限制了调用的时间，无论任何活动或不活跃。

Expand

表 26.3. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 26.4. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 CertificateSigningRequest 的对象

Expand

表 26.5. 查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须在没有 continue 字段的情况下重启其列表。否则，客户端可能会发送另一个列表请求，并带有 410 错误收到的令牌，服务器将通过从下一个密钥开始的列表进行响应，但从最新的快照（从最后一个列表结果中不一致） - 在第一个列表请求后创建、修改或删除的对象将包含在响应中，只要其密钥在"next key"后。当 watch 为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值启动监视，而不丢失任何修改。
`fieldSelector`	`字符串`	用于限制返回的对象列表的选择器。默认为任何内容。
`labelSelector`	`字符串`	通过标签限制返回的对象列表的选择器。默认为任何内容。
`limit`	`整数`	限制是列表调用要返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的"continue"字段设置为可用于同一初始查询的值，以检索下一个结果集。在过滤所有请求的对象时，设置限制可能会返回比请求的项目数量少（最多为零项），客户端应只使用 continue 字段的存在来确定是否有更多结果可用。服务器可以选择不支持限制参数，并将返回所有可用的结果。如果指定了限制，并且 continue 字段为空，客户端可能会假设没有更多可用的结果。如果 watch 为 true，则不支持此字段。服务器保证在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后不会创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制的客户端接收一个非常大的结果较小的块可以确保它们看到所有可能的对象。如果在块列出期间更新对象，则返回第一次列表结果时存在的对象版本。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定 resourceVersion 如何应用到列出调用。强烈建议您为设置了 resourceVersion 的列表调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	list/watch 调用的超时。这限制了调用的时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对描述的资源的更改，并将其作为添加、更新和删除通知流返回。指定 resourceVersion。

Expand

表 26.6. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequestList` schema
401 - Unauthorized	空

HTTP 方法: POST
描述: create a CertificateSigningRequest

Expand

表 26.7. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。

Expand

表 26.8. 主体参数
参数	类型	描述
`正文（body）`	`CertificateSigningRequest` schema

Expand

表 26.9. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
201 - Created	`CertificateSigningRequest` schema
202 - Accepted	`CertificateSigningRequest` schema
401 - Unauthorized	空

26.2.2.2. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests
复制链接

Expand

表 26.10. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须在没有 continue 字段的情况下重启其列表。否则，客户端可能会发送另一个列表请求，并带有 410 错误收到的令牌，服务器将通过从下一个密钥开始的列表进行响应，但从最新的快照（从最后一个列表结果中不一致） - 在第一个列表请求后创建、修改或删除的对象将包含在响应中，只要其密钥在"next key"后。当 watch 为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值启动监视，而不丢失任何修改。
`fieldSelector`	`字符串`	用于限制返回的对象列表的选择器。默认为任何内容。
`labelSelector`	`字符串`	通过标签限制返回的对象列表的选择器。默认为任何内容。
`limit`	`整数`	限制是列表调用要返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的"continue"字段设置为可用于同一初始查询的值，以检索下一个结果集。在过滤所有请求的对象时，设置限制可能会返回比请求的项目数量少（最多为零项），客户端应只使用 continue 字段的存在来确定是否有更多结果可用。服务器可以选择不支持限制参数，并将返回所有可用的结果。如果指定了限制，并且 continue 字段为空，客户端可能会假设没有更多可用的结果。如果 watch 为 true，则不支持此字段。服务器保证在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后不会创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制的客户端接收一个非常大的结果较小的块可以确保它们看到所有可能的对象。如果在块列出期间更新对象，则返回第一次列表结果时存在的对象版本。
`pretty`	`字符串`	如果 'true'，则输出被用户友善。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定 resourceVersion 如何应用到列出调用。强烈建议您为设置了 resourceVersion 的列表调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	list/watch 调用的超时。这限制了调用的时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对描述的资源的更改，并将其作为添加、更新和删除通知流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察对 CertificateSigningRequest 列表的各个更改。已弃用：将 'watch' 参数与列表操作一起使用。

Expand

表 26.11. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

26.2.2.3. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
复制链接

Expand

表 26.12. 全局路径参数
参数	类型	描述
`name`	`字符串`	CertificateSigningRequest 的名称

Expand

表 26.13. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果 'true'，则输出被用户友善。

HTTP 方法: DELETE
描述: delete a CertificateSigningRequest

Expand

表 26.14. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值零表示立即删除。如果这个值是 nil，则使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中被弃用。应该依赖的对象被孤立。如果为 true/false，"orphan"终结器将从对象的终结器列表添加到/删除。可以设置此字段或 PropagationPolicy，但不能同时设置两者。
`propagationPolicy`	`字符串`	是否以及是否执行垃圾回收。此字段或 OrphanDependents 可以设置，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值为： 'Orphan' - 孤立依赖; 'Background' - 允许垃圾收集器在后台删除依赖的依赖关系； 'Foreground' - 一个删除前台所有依赖的级联策略。

Expand

表 26.15. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 26.16. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 阅读指定的 CertificateSigningRequest

Expand

表 26.17. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的 CertificateSigningRequest

Expand

表 26.18. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求(application/apply-patch)需要此字段，但对于非应用补丁类型(JsonPatch、MergePatch、OptMergePatch)是可选的。
`force`	`布尔值`	强制将"强制"应用请求。这意味着用户会重新清空由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

Expand

表 26.19. 主体参数
参数	类型	描述
`正文（body）`	`Patch` 模式

Expand

表 26.20. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
201 - Created	`CertificateSigningRequest` schema
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的 CertificateSigningRequest

Expand

表 26.21. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。

Expand

表 26.22. 主体参数
参数	类型	描述
`正文（body）`	`CertificateSigningRequest` schema

Expand

表 26.23. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
201 - Created	`CertificateSigningRequest` schema
401 - Unauthorized	空

26.2.2.4. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests/{name}
复制链接

Expand

表 26.24. 全局路径参数
参数	类型	描述
`name`	`字符串`	CertificateSigningRequest 的名称

Expand

表 26.25. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须在没有 continue 字段的情况下重启其列表。否则，客户端可能会发送另一个列表请求，并带有 410 错误收到的令牌，服务器将通过从下一个密钥开始的列表进行响应，但从最新的快照（从最后一个列表结果中不一致） - 在第一个列表请求后创建、修改或删除的对象将包含在响应中，只要其密钥在"next key"后。当 watch 为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值启动监视，而不丢失任何修改。
`fieldSelector`	`字符串`	用于限制返回的对象列表的选择器。默认为任何内容。
`labelSelector`	`字符串`	通过标签限制返回的对象列表的选择器。默认为任何内容。
`limit`	`整数`	限制是列表调用要返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的"continue"字段设置为可用于同一初始查询的值，以检索下一个结果集。在过滤所有请求的对象时，设置限制可能会返回比请求的项目数量少（最多为零项），客户端应只使用 continue 字段的存在来确定是否有更多结果可用。服务器可以选择不支持限制参数，并将返回所有可用的结果。如果指定了限制，并且 continue 字段为空，客户端可能会假设没有更多可用的结果。如果 watch 为 true，则不支持此字段。服务器保证在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后不会创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制的客户端接收一个非常大的结果较小的块可以确保它们看到所有可能的对象。如果在块列出期间更新对象，则返回第一次列表结果时存在的对象版本。
`pretty`	`字符串`	如果 'true'，则输出被用户友善。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定 resourceVersion 如何应用到列出调用。强烈建议您为设置了 resourceVersion 的列表调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	list/watch 调用的超时。这限制了调用的时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对描述的资源的更改，并将其作为添加、更新和删除通知流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察对类型为 CertificateSigningRequest 的对象的更改。已弃用：使用带有列表操作的 'watch' 参数，而是过滤到带有 'fieldSelector' 参数的单个项目。

Expand

表 26.26. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

26.2.2.5. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status
复制链接

Expand

表 26.27. 全局路径参数
参数	类型	描述
`name`	`字符串`	CertificateSigningRequest 的名称

Expand

表 26.28. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果 'true'，则输出被用户友善。

HTTP 方法: GET
描述: 指定 CertificateSigningRequest 的读取状态

Expand

表 26.29. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 指定 CertificateSigningRequest 的部分更新状态

Expand

表 26.30. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求(application/apply-patch)需要此字段，但对于非应用补丁类型(JsonPatch、MergePatch、OptMergePatch)是可选的。
`force`	`布尔值`	强制将"强制"应用请求。这意味着用户会重新清空由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

Expand

表 26.31. 主体参数
参数	类型	描述
`正文（body）`	`Patch` 模式

Expand

表 26.32. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
201 - Created	`CertificateSigningRequest` schema
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定 CertificateSigningRequest 的状态

Expand

表 26.33. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。

Expand

表 26.34. 主体参数
参数	类型	描述
`正文（body）`	`CertificateSigningRequest` schema

Expand

表 26.35. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
201 - Created	`CertificateSigningRequest` schema
401 - Unauthorized	空

26.2.2.6. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval
复制链接

Expand

表 26.36. 全局路径参数
参数	类型	描述
`name`	`字符串`	CertificateSigningRequest 的名称

Expand

表 26.37. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果 'true'，则输出被用户友善。

HTTP 方法: GET
描述: 对指定 CertificateSigningRequest 的读批准

Expand

表 26.38. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定 CertificateSigningRequest 的批准

Expand

表 26.39. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求(application/apply-patch)需要此字段，但对于非应用补丁类型(JsonPatch、MergePatch、OptMergePatch)是可选的。
`force`	`布尔值`	强制将"强制"应用请求。这意味着用户会重新清空由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

Expand

表 26.40. 主体参数
参数	类型	描述
`正文（body）`	`Patch` 模式

Expand

表 26.41. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
201 - Created	`CertificateSigningRequest` schema
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定 CertificateSigningRequest 的批准

Expand

表 26.42. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。

Expand

表 26.43. 主体参数
参数	类型	描述
`正文（body）`	`CertificateSigningRequest` schema

Expand

表 26.44. HTTP 响应
HTTP 代码	响应正文
200 - OK	`CertificateSigningRequest` schema
201 - Created	`CertificateSigningRequest` schema
401 - Unauthorized	空

返回顶部

26.2. CertificateSigningRequest [certificates.k8s.io/v1]

26.2.1. 规格
复制链接

26.2.1.1. .spec
复制链接

26.2.1.2. .spec.extra
复制链接

26.2.1.3. .status
复制链接

26.2.1.4. .status.conditions
复制链接

26.2.1.5. .status.conditions[]
复制链接

26.2.2. API 端点
复制链接

26.2.2.1. /apis/certificates.k8s.io/v1/certificatesigningrequests
复制链接

26.2.2.2. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests
复制链接

26.2.2.3. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
复制链接

26.2.2.4. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests/{name}
复制链接

26.2.2.5. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status
复制链接

26.2.2.6. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

26.2. CertificateSigningRequest [certificates.k8s.io/v1]

26.2.1. 规格复制链接链接已复制到粘贴板!

26.2.1.1. .spec复制链接链接已复制到粘贴板!

26.2.1.2. .spec.extra复制链接链接已复制到粘贴板!

26.2.1.3. .status复制链接链接已复制到粘贴板!

26.2.1.4. .status.conditions复制链接链接已复制到粘贴板!

26.2.1.5. .status.conditions[]复制链接链接已复制到粘贴板!

26.2.2. API 端点复制链接链接已复制到粘贴板!

26.2.2.1. /apis/certificates.k8s.io/v1/certificatesigningrequests复制链接链接已复制到粘贴板!

26.2.2.2. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests复制链接链接已复制到粘贴板!

26.2.2.3. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}复制链接链接已复制到粘贴板!

26.2.2.4. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests/{name}复制链接链接已复制到粘贴板!

26.2.2.5. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status复制链接链接已复制到粘贴板!

26.2.2.6. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

26.2.1. 规格
复制链接

26.2.1.1. .spec
复制链接

26.2.1.2. .spec.extra
复制链接

26.2.1.3. .status
复制链接

26.2.1.4. .status.conditions
复制链接

26.2.1.5. .status.conditions[]
复制链接

26.2.2. API 端点
复制链接

26.2.2.1. /apis/certificates.k8s.io/v1/certificatesigningrequests
复制链接

26.2.2.2. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests
复制链接

26.2.2.3. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
复制链接

26.2.2.4. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests/{name}
复制链接

26.2.2.5. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status
复制链接

26.2.2.6. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval
复制链接