kube-apiserver 配置 (v1)

plugins 字段允许为每个准入控制插件设置配置选项。

authorizers 是用于针对请求进行鉴权的鉴权组件的有序列表。 这类似于 --authorization-modes kube-apiserver 标志。 必须至少包含一个元素。

resources 是一个包含资源及其对应加密驱动的列表。

keys 是一个用于创建 AES 转换器的密钥列表。 对于 AES-CBC，每个密钥的长度必须是 32 字节； 对于 AES-GCM，每个密钥的长度可以是 16、24 或 32 字节。

name 是准入控制器的名称。它必须与所注册的准入插件名称匹配。

path 是指向包含插件配置信息的配置文件的路径。

configuration 是一个内嵌的配置对象，用来保存插件的配置信息。 如果存在，则使用这里的配置信息而不是指向配置文件的路径。

type 指的是鉴权组件的类型。 通用 API 服务器支持 "Webhook"。 其他 API 服务器可能支持额外的鉴权组件类型，如 Node、RBAC、ABAC 等。

name 用于描述 Webhook。 此字段的明确用途是供监控机制中的指标使用。 注意：name 值必须是 DNS1123 标签，如 myauthorizername 或子域名， 如 myauthorizer.example.domain。 必需，无默认值。

webhook 定义 Webhook 鉴权组件的配置。 当 type 为 Webhook 时，必须定义。 当 type 不是 Webhook 时，不得定义。

KeyManagementService 的 apiVersion

name 是要使用的 KMS 插件的名称。

cachesize 是内存中缓存的最大 Secret 数量。默认值为 1000。 设置为负值将禁用缓存。此字段仅允许用于 KMS v1 驱动。

endpoint 是 gRPC 服务器的监听地址，例如 "unix:///var/run/kms-provider.sock"。

timeout 是 gRPC 调用到 KMS 插件的超时时间（例如 5s）。默认值为 3 秒。

name 是在将数据存储到磁盘时所使用的密钥名称。

secret 是实际的密钥，以 base64 编码。

aesgcm 是 AES-GCM 转换器的配置。

aescbc 是 AES-CBC 转换器的配置。

secretbox 是基于 Secretbox 的转换器的配置。

identity 是身份转换器的（空）配置。

kms 包含 KMS 型信封转换器所用的配置文件的名称、缓存大小和路径。

resources 是一个需要加密的 Kubernetes 资源列表。 资源名称来源于组/版本/资源的 “resource” 或 “resource.group”。 例如，pandas.awesome.bears.example 是一个自定义资源，其 “group” 为 awesome.bears.example， “resource” 为 pandas。使用 “*.*” 以加密所有资源，使用 “*.<group>” 以加密特定组中的所有资源。 例如，“*.awesome.bears.example” 将加密 “awesome.bears.example” 组中的所有资源。 再比如，“*.” 将加密核心组中的所有资源（如 Pod、ConfigMap 等）。

providers 是从磁盘读取资源和写入资源到磁盘要使用的转换器的列表。 例如：aesgcm、aescbc、secretbox、identity、kms。

keys 是一个用于创建 Secretbox 转换器的密钥列表。每个密钥的长度必须为 32 字节。

用于缓存来自 Webhook 鉴权组件的 'authorized' 响应的持续时间。 与设置 --authorization-webhook-cache-authorized-ttl 标志效果相同。 默认值：5m0s。

用于缓存来自 Webhook 鉴权组件的 'unauthorized' 响应的持续时间。 与设置 --authorization-webhook-cache-unauthorized-ttl 标志效果相同。 默认值：30s。

Webhook 请求的超时时间。 最大允许值为 30s。 必需，无默认值。

发送到 Webhook 并期望从 Webhook 接收到的 authorization.k8s.io SubjectAccessReview 的 API 版本。 与设置 --authorization-webhook-version 标志效果相同。 有效值：v1beta1、v1。 必需，无默认值。

matchConditionSubjectAccessReviewVersion 指定了 CEL 表达式求值所用的 SubjectAccessReview 版本。 有效值：v1。 必需，无默认值。

控制当 Webhook 请求未能完成、返回格式错误的响应或在评估 matchConditions 时发生错误的情况下鉴权决策。 有效值：

• NoOpinion：继续处理后续的鉴权组件以查看它们中是否有一个允许请求。
• Deny：拒绝请求，不咨询后续鉴权组件。 必需，无默认值。

connectionInfo 定义了我们如何与 Webhook 进行通信。

matchConditions 是请求发送到此 Webhook 之前必须满足的一系列条件。 空的 matchConditions 列表匹配所有请求。 最多允许 64 个匹配条件。

精确的匹配逻辑（按顺序）是：

1. 如果至少一个 matchConditions 元素的计算结果为 FALSE，则跳过此 Webhook。
2. 如果所有 matchConditions 元素的计算结果都为 TRUE，则调用此 Webhook。
3. 如果至少一个 matchConditions 元素的计算结果为出错（但没有 FALSE）：
   • 如果 failurePolicy 为 Deny，则 Webhook 拒绝请求。
   • 如果 failurePolicy 为 NoOpinion，则忽略错误并跳过此 Webhook。

控制 Webhook 应如何与服务器通信。 有效值：

• KubeConfigFile：使用 kubeConfigFile 中指定的文件来定位服务器。
• InClusterConfig：使用集群内配置调用由 kube-apiserver 上的 SubjectAccessReview API。 此模式不允许用于 kube-apiserver。

kubeConfigFile 文件的路径，用于获取连接信息。 如果 connectionInfo.type 是 KubeConfig，则必需。

expression 表示将由 CEL 求值的表达式。求值结果必须是布尔值。 CEL 表达式可以访问 v1 版本中的 SubjectAccessReview 的内容。 如果请求变量中指定的 subjectAccessReviewVersion 是 v1beta1， 则在对 CEL 表达式求值之前，其内容会被转换为 v1 版本。

• 'resourceAttributes' 描述了资源访问请求的信息，在非资源请求中未设置。 例如：has(request.resourceAttributes) && request.resourceAttributes.namespace == 'default'。
• 'nonResourceAttributes' 描述了非资源访问请求的信息，在资源请求中未设置。例如： has(request.nonResourceAttributes) && request.nonResourceAttributes.path == '/healthz'。
• 'user' 是要测试的用户。例如：request.user == 'alice'。
• 'groups' 是要测试的组。例如：('group1' in request.groups)。
• 'extra' 对应于身份验证器中的 user.Info.GetExtra() 方法。
• 'uid' 是关于请求用户的详细信息。例如：request.uid == '1'。

关于 CEL 的文档：https://kubernetes.io/zh-cn/docs/reference/using-api/cel/