Kubelet 凭据提供程序 (v1)

image 是作为凭据提供程序插件请求的一部分正在拉取的容器镜像。插件可以选择解析镜像以提取获取凭据所需的任何信息。

cacheKeyType 指示根据请求中提供的镜像使用的缓存键类型。缓存键类型有三个有效值：Image、Registry 和 Global。如果指定了无效值，则 kubelet 将不会使用该响应。

cacheDuration 指示提供的凭据应缓存的持续时间。kubelet 将使用此字段来设置 AuthConfig 中凭据的内存缓存持续时间。如果为 null，则 kubelet 将使用 CredentialProviderConfig 中提供的 defaultCacheDuration。如果设置为 0，则 kubelet 不会缓存提供的 AuthConfig。

auth 是一个包含传递到 kubelet 的身份验证信息的映射。每个键都是一个匹配的镜像字符串（更多信息请参见下文）。相应的 authConfig 值应对与此键匹配的所有镜像有效。如果无法为请求的镜像返回有效的凭据，则插件应将此字段设置为 null。

映射中的每个键都是一个模式，可以选择包含端口和路径。可以在域中使用通配符，但不能在端口或路径中使用。支持“*.k8s.io”或“k8s.*.io”等子域通配符，以及“k8s.*”等顶级域通配符。也支持匹配“app*.k8s.io”等部分子域。每个通配符只能匹配一个子域段，因此“*.io”与“*.k8s.io”不匹配。

当以下所有条件均为真时，kubelet 将匹配镜像与键：

• 两者都包含相同数量的域部分，并且每个部分都匹配。
• imageMatch 的 URL 路径必须是目标镜像 URL 路径的前缀。
• 如果 imageMatch 包含端口，则端口也必须与镜像中的端口匹配。

当返回多个键时，kubelet 将按相反顺序遍历所有键，以便

• 较长的键位于具有相同前缀的较短键之前
• 非通配符键位于具有相同前缀的通配符键之前。

对于任何给定的匹配，kubelet 将尝试使用提供的凭据进行镜像拉取，并在第一次成功进行身份验证的拉取后停止。

示例键

• 123456789.dkr.ecr.us-east-1.amazonaws.com
• *.azurecr.io
• gcr.io
• *.*.registry.io
• registry.io:8080/path

username 是用于向容器注册表进行身份验证的用户名。允许使用空用户名。

password 是用于向容器注册表进行身份验证的密码。允许使用空密码。