Kubelet 配置 (v1alpha1)

providers 是一个凭据提供程序插件列表，kubelet 将启用这些插件。 多个提供程序可以匹配单个镜像，在这种情况下，来自所有提供程序的凭据都将返回给 kubelet。 如果为单个镜像调用了多个提供程序，则结果将被合并。 如果提供程序返回重叠的身份验证密钥，则将首先尝试列表中较早提供程序的值。

Image 是 Container 的 image 字段中的镜像规范。 文件名是此值的 SHA-256 哈希值。 这是为了避免文件名不安全字符，例如 ':' 和 '/'。

LastUpdatedTime 是上次更新此记录的时间

ImageRef 是从 CRI 接收到的文件所代表的镜像的引用。 文件名是此值的 SHA-256 哈希值。 这是为了避免文件名不安全字符，例如 ':' 和 '/'。

CredentialMapping 将 image 映射到先前用于拉取它的凭据集。 在这种情况下，image 是 pod 的 container image 字段的内容，该字段已删除了标签/摘要。

示例：Container 请求 hello-world:latest@sha256:91fb4b041da273d5a3273b6d587d62d518300a6ad268b28628f74997b93171b2 镜像：“credentialMapping”：{ “hello-world”：{ “nodePodsAccessible”：true } }

name 是凭据提供程序的必需名称。 它必须与 kubelet 看到的提供程序可执行文件的名称匹配。 可执行文件必须位于 kubelet 的 bin 目录中（由 --image-credential-provider-bin-dir 标志设置）。 需要在所有提供程序中是唯一的。

matchImages 是一个必需的字符串列表，用于匹配镜像，以确定是否应调用此提供程序。 如果其中一个字符串与 kubelet 请求的镜像匹配，则将调用该插件并有机会提供凭据。 预计镜像包含注册表域和 URL 路径。

matchImages 中的每个条目都是一个模式，该模式可以选择性地包含端口和路径。 可以在域中使用通配符，但不能在端口或路径中使用。 通配符支持作为子域，例如 *.k8s.io 或 k8s.*.io，以及顶级域名，例如 k8s.*。 也支持匹配部分子域，例如 app*.k8s.io。 每个通配符只能匹配单个子域段，因此 *.io 不匹配 *.k8s.io。

当镜像与 matchImage 存在匹配时，必须满足以下所有条件

• 两者包含相同数量的域部分，并且每个部分匹配。
• imageMatch 的 URL 路径必须是目标镜像 URL 路径的前缀。
• 如果 imageMatch 包含端口，则镜像中的端口也必须匹配。

matchImages 的示例值

• 123456789.dkr.ecr.us-east-1.amazonaws.com
• *.azurecr.io
• gcr.io
• *.*.registry.io
• registry.io:8080/path

defaultCacheDuration 是插件将在内存中缓存凭据的默认持续时间，如果插件响应中未提供缓存持续时间。此字段是必需的。

所需的 exec CredentialProviderRequest 输入版本。返回的 CredentialProviderResponse 必须使用与输入相同的编码版本。当前支持的值是

• credentialprovider.kubelet.k8s.io/v1alpha1

在执行时传递给命令的参数。

Env 定义要暴露给进程的附加环境变量。这些环境变量与主机环境以及 client-go 用于将参数传递给插件的环境变量合并。

KuberneteSecretCoordinates 是用于拉取镜像的所有 Kubernetes 密钥坐标的索引。

KubernetesServiceAccounts 是用于拉取镜像的所有 Kubernetes 服务帐户坐标的索引。

NodePodsAccessible 是一个标志，表示拉取凭据可供节点上的所有 pod 访问，或者不需要拉取凭据。

如果为 true，则与 kubernetesSecrets 字段互斥。

CredentialHash 是通过对指定 UID/Namespace/Name 坐标的 secret 的镜像拉取凭据内容进行哈希计算而获得的 SHA-256 值。