Merge pull request #50853 from my-git9/npa-26337

k8s-ci-robot · web-flow · commit 583a832c477d · 2025-05-11T00:23:16.000-07:00
[zh-cn]sync kubelet-credentialprovider.v1 apiserver-audit.v1
diff --git a/content/zh-cn/docs/reference/config-api/apiserver-audit.v1.md b/content/zh-cn/docs/reference/config-api/apiserver-audit.v1.md
@@ -19,7 +19,7 @@ auto_generated: true
 - [EventList](#audit-k8s-io-v1-EventList)
 - [Policy](#audit-k8s-io-v1-Policy)
 - [PolicyList](#audit-k8s-io-v1-PolicyList)
-  
+
 ## `Event`     {#audit-k8s-io-v1-Event}
 
 <!--
@@ -68,7 +68,7 @@ Event 结构包含可出现在 API 审计日志中的所有信息。
    </p>
 </td>
 </tr>
-    
+
 <tr><td><code>stage</code> <B><!--[Required]-->[必需]</B><br/>
 <a href="#audit-k8s-io-v1-Stage"><code>Stage</code></a>
 </td>
@@ -111,7 +111,7 @@ Event 结构包含可出现在 API 审计日志中的所有信息。
 </tr>
     
 <tr><td><code>user</code> <B><!--[Required]-->[必需]</B><br/>
-<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.32/#userinfo-v1-authentication-k8s-io"><code>authentication/v1.UserInfo</code></a>
+<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.33/#userinfo-v1-authentication-k8s-io"><code>authentication/v1.UserInfo</code></a>
 </td>
 <td>
    <p>
@@ -124,7 +124,7 @@ Event 结构包含可出现在 API 审计日志中的所有信息。
 </tr>
 
 <tr><td><code>impersonatedUser</code><br/>
-<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.32/#userinfo-v1-authentication-k8s-io"><code>authentication/v1.UserInfo</code></a>
+<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.33/#userinfo-v1-authentication-k8s-io"><code>authentication/v1.UserInfo</code></a>
 </td>
 <td>
    <p>
@@ -204,7 +204,7 @@ Note: All but the last IP can be arbitrarily set by the client.
 </tr>
 
 <tr><td><code>responseStatus</code><br/>
-<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.32/#status-v1-meta"><code>meta/v1.Status</code></a>
+<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.33/#status-v1-meta"><code>meta/v1.Status</code></a>
 </td>
 <td>
    <p>
@@ -257,7 +257,7 @@ Note: All but the last IP can be arbitrarily set by the client.
 </tr>
 
 <tr><td><code>requestReceivedTimestamp</code><br/>
-<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.32/#microtime-v1-meta"><code>meta/v1.MicroTime</code></a>
+<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.33/#microtime-v1-meta"><code>meta/v1.MicroTime</code></a>
 </td>
 <td>
    <!--
@@ -270,7 +270,7 @@ Note: All but the last IP can be arbitrarily set by the client.
 </tr>
 
 <tr><td><code>stageTimestamp</code><br/>
-<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.32/#microtime-v1-meta"><code>meta/v1.MicroTime</code></a>
+<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.33/#microtime-v1-meta"><code>meta/v1.MicroTime</code></a>
 </td>
 <td>
    <p>
@@ -326,7 +326,7 @@ EventList 是审计事件（Event）的列表。
 <tr><td><code>kind</code><br/>string</td><td><code>EventList</code></td></tr>
 
 <tr><td><code>metadata</code><br/>
-<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.32/#listmeta-v1-meta"><code>meta/v1.ListMeta</code></a>
+<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.33/#listmeta-v1-meta"><code>meta/v1.ListMeta</code></a>
 </td>
 <td>
    <span class="text-muted"><!--No description provided.-->列表结构元数据</span>
@@ -368,7 +368,7 @@ Policy 定义的是审计日志的配置以及不同类型请求的日志记录
 <tr><td><code>kind</code><br/>string</td><td><code>Policy</code></td></tr>
   
 <tr><td><code>metadata</code><br/>
-<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.32/#objectmeta-v1-meta"><code>meta/v1.ObjectMeta</code></a>
+<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.33/#objectmeta-v1-meta"><code>meta/v1.ObjectMeta</code></a>
 </td>
 <td>
    <p>
@@ -458,7 +458,7 @@ PolicyList 是由审计策略（Policy）组成的列表。
 <tr><td><code>kind</code><br/>string</td><td><code>PolicyList</code></td></tr>
 
 <tr><td><code>metadata</code><br/>
-<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.32/#listmeta-v1-meta"><code>meta/v1.ListMeta</code></a>
+<a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.33/#listmeta-v1-meta"><code>meta/v1.ListMeta</code></a>
 </td>
 <td>
    <span class="text-muted"><!--No description provided.-->列表结构元数据。</span>
@@ -564,7 +564,7 @@ overlap with each other.</p>
 
 ## `Level`     {#audit-k8s-io-v1-Level}
 
-<!--    
+<!--
 (Alias of `string`)
 -->
 <code>string</code> 数据类型的别名。
@@ -586,7 +586,7 @@ Level 定义的是审计过程中在日志内记录的信息量。
 
 ## `ObjectReference`     {#audit-k8s-io-v1-ObjectReference}
 
-<!--    
+<!--
 **Appears in:**
 -->
 **出现在：**
@@ -681,9 +681,9 @@ ObjectReference 包含的是用来检查或修改所引用对象时将需要的
 </tr>
 </tbody>
 </table>
-    
+
 ## `PolicyRule`     {#audit-k8s-io-v1-PolicyRule}
-    
+
 <!--
 **Appears in:**
 -->
@@ -873,7 +873,7 @@ Policy.OmitManagedFields will stand.</li>
 
 ## `Stage`     {#audit-k8s-io-v1-Stage}
 
-<!--    
+<!--
 (Alias of `string`)
 -->
 <code>string</code> 数据类型的别名。
diff --git a/content/zh-cn/docs/reference/config-api/kubelet-credentialprovider.v1.md b/content/zh-cn/docs/reference/config-api/kubelet-credentialprovider.v1.md
@@ -20,12 +20,12 @@ auto_generated: true
 
 ## `CredentialProviderRequest`     {#credentialprovider-kubelet-k8s-io-v1-CredentialProviderRequest}
 
+<p>
 <!--
 CredentialProviderRequest includes the image that the kubelet requires authentication for.
 Kubelet will pass this request object to the plugin via stdin. In general, plugins should
 prefer responding with the same apiVersion they were sent.
 -->
-<p>
 CredentialProviderRequest 包含 kubelet 需要通过身份验证才能访问的镜像。
 kubelet 将此请求对象通过 stdin 传递到插件。
 通常，插件应优先使用所收到的 apiVersion 作出响应。
@@ -34,38 +34,75 @@ kubelet 将此请求对象通过 stdin 传递到插件。
 <table class="table">
 <thead><tr><th width="30%"><!--Field-->字段</th><th><!--Description-->描述</th></tr></thead>
 <tbody>
-    
+
 <tr><td><code>apiVersion</code><br/>string</td><td><code>credentialprovider.kubelet.k8s.io/v1</code></td></tr>
 <tr><td><code>kind</code><br/>string</td><td><code>CredentialProviderRequest</code></td></tr>
-    
-  
+
+
 <tr><td><code>image</code> <B><!--[Required]-->[必需]</B><br/>
 <code>string</code>
 </td>
 <td>
+<p>
 <!--
 image is the container image that is being pulled as part of the
 credential provider plugin request. Plugins may optionally parse the image
 to extract any information required to fetch credentials.
 -->
-<p>
 image 是作为凭据提供程序插件请求的一部分所拉取的容器镜像。
 这些插件可以选择解析镜像以提取获取凭据所需的任何信息。
 </p>
 
 </td>
 </tr>
+
+<tr><td><code>serviceAccountToken</code> <B><!--[Required]-->[必需]</B><br/>
+<code>string</code>
+</td>
+<td>
+<p>
+<!--
+serviceAccountToken is the service account token bound to the pod for which
+the image is being pulled. This token is only sent to the plugin if the
+tokenAttributes.serviceAccountTokenAudience field is configured in the kubelet's credential
+provider configuration.
+-->
+serviceAccountToken 是与正在拉取镜像的 Pod 绑定的服务帐号令牌。
+只有在 kubelet 的凭证提供者配置中设置了
+tokenAttributes.serviceAccountTokenAudience 字段时，
+才会将此令牌发送给插件。
+</p>
+</td>
+</tr>
+<tr><td><code>serviceAccountAnnotations</code> <B><!--[Required]-->[必需]</B><br/>
+<code>map[string]string</code>
+</td>
+<td>
+<p>
+<!--
+serviceAccountAnnotations is a map of annotations on the service account bound to the
+pod for which the image is being pulled. The list of annotations in the service account
+that need to be passed to the plugin is configured in the kubelet's credential provider
+configuration.
+-->
+serviceAccountAnnotations 与正在拉取镜像的 Pod
+绑定的服务帐号上的注解映射。需要传递给插件的服务帐号中的注解列表在
+kubelet 的凭证提供者配置中进行配置。
+</p>
+</td>
+</tr>
+
 </tbody>
 </table>
 
 ## `CredentialProviderResponse`     {#credentialprovider-kubelet-k8s-io-v1-CredentialProviderResponse}
 
+<p>
 <!--
 CredentialProviderResponse holds credentials that the kubelet should use for the specified
 image provided in the original request. Kubelet will read the response from the plugin via stdout.
 This response should be set to the same apiVersion as CredentialProviderRequest.
 -->
-<p>
 CredentialProviderResponse 中包含 kubelet 应针对原始请求中所给镜像来使用的凭据。
 kubelet 将通过 stdout 读取来自插件的响应。
 此响应应被设置为与 CredentialProviderRequest 相同的 apiVersion。
@@ -74,21 +111,21 @@ kubelet 将通过 stdout 读取来自插件的响应。
 <table class="table">
 <thead><tr><th width="30%"><!--Field-->字段</th><th><!--Description-->描述</th></tr></thead>
 <tbody>
-    
+
 <tr><td><code>apiVersion</code><br/>string</td><td><code>credentialprovider.kubelet.k8s.io/v1</code></td></tr>
 <tr><td><code>kind</code><br/>string</td><td><code>CredentialProviderResponse</code></td></tr>
-    
-  
+
+
 <tr><td><code>cacheKeyType</code> <B><!--[Required]-->[必需]</B><br/>
 <a href="#credentialprovider-kubelet-k8s-io-v1-PluginCacheKeyType"><code>PluginCacheKeyType</code></a>
 </td>
 <td>
+<p>
 <!--
 cacheKeyType indiciates the type of caching key to use based on the image provided
 in the request. There are three valid values for the cache key type: Image, Registry, and
 Global. If an invalid value is specified, the response will NOT be used by the kubelet.
 -->
-<p>
 cacheKeyType 标示了基于请求中提供的镜像要使用的缓存键的类型。
 缓存键类型有三个有效值：Image、Registry 和 Global。
 如果所指定的值无效，则此响应不会被 kubelet 使用。
@@ -99,13 +136,13 @@ cacheKeyType 标示了基于请求中提供的镜像要使用的缓存键的类
 <a href="https://pkg.go.dev/k8s.io/apimachinery/pkg/apis/meta/v1#Duration"><code>meta/v1.Duration</code></a>
 </td>
 <td>
+<p>
 <!--
 cacheDuration indicates the duration the provided credentials should be cached for.
 The kubelet will use this field to set the in-memory cache duration for credentials
 in the AuthConfig. If null, the kubelet will use defaultCacheDuration provided in
 CredentialProviderConfig. If set to 0, the kubelet will not cache the provided AuthConfig.
 -->
-<p>
 cacheDuration 标示所提供的凭据可被缓存的持续期。
 kubelet 将使用此字段为 AuthConfig 中的凭据设置内存中缓存持续期。
 如果为空，kubelet 将使用 CredentialProviderConfig 中提供的 defaultCacheDuration。
@@ -117,36 +154,36 @@ kubelet 将使用此字段为 AuthConfig 中的凭据设置内存中缓存持续
 <a href="#credentialprovider-kubelet-k8s-io-v1-AuthConfig"><code>map[string]AuthConfig</code></a>
 </td>
 <td>
+<p>
 <!--
 auth is a map containing authentication information passed into the kubelet.
 Each key is a match image string (more on this below). The corresponding authConfig value
 should be valid for all images that match against this key. A plugin should set
 this field to null if no valid credentials can be returned for the requested image.
 -->
-<p>
 auth 是一个映射，包含传递给 kubelet 的身份验证信息。
 映射中每个键都是一个匹配镜像字符串（更多内容见下文）。
 相应的 authConfig 值应该对匹配此键的所有镜像有效。
 如果无法为请求的镜像返回有效凭据，则插件应将此字段设置为空。
 </p>
+<p>
 <!--
 Each key in the map is a pattern which can optionally contain a port and a path.
 Globs can be used in the domain, but not in the port or the path. Globs are supported
 as subdomains like '&ast;.k8s.io' or 'k8s.&ast;.io', and top-level-domains such as 'k8s.&ast;'.
 Matching partial subdomains like 'app&ast;.k8s.io' is also supported. Each glob can only match
 a single subdomain segment, so &ast;.io does not match &ast;.k8s.io.</p>
 -->
-<p>
 映射中的每个主键都可以包含端口和路径。
 域名中可以使用 Glob 通配，但不能在端口或路径中使用 Glob。
 Glob 支持类似 <code>&ast;.k8s.io</code> 或 <code>k8s.&ast;.io</code> 这类子域以及 <code>k8s.&ast;</code> 这类顶级域。
 也支持匹配的部分子域，例如 <code>app&ast;.k8s.io</code>。
 每个 Glob 只能匹配一个子域段，因此 <code>&ast;.io</code> 与 <code>&ast;.k8s.io</code> 不匹配。
 </p>
+<p>
 <!--
 The kubelet will match images against the key when all of the below are true:
 -->
-<p>
 当满足以下所有条件时，kubelet 将根据主键来匹配镜像：
 </p>
 <ul>
@@ -163,10 +200,10 @@ If the imageMatch contains a port, then the port must match in the image as well
 -->
 <li>如果 imageMatch 包含端口，则此端口也必须在镜像中匹配。</li>
 </ul>
+<p>
 <!--
 When multiple keys are returned, the kubelet will traverse all keys in reverse order so that:
 -->
-<p>
 当返回多个主键时，kubelet 将以相反的顺序遍历所有主键，以便：
 </p>
   <ul>
@@ -179,11 +216,13 @@ When multiple keys are returned, the kubelet will traverse all keys in reverse o
   -->
   <li>非通配符键出现在具有相同前缀的通配符键之前。</li>
   </ul>
+<p>
 <!--
 For any given match, the kubelet will attempt an image pull with the provided credentials,
 stopping after the first successfully authenticated pull.
 -->
-<p>对于任一给定的匹配项，kubelet 将尝试用提供的凭据拉取镜像，并在第一次成功通过身份验证的拉取之后停止。</p>
+对于任一给定的匹配项，kubelet 将尝试用提供的凭据拉取镜像，并在第一次成功通过身份验证的拉取之后停止。
+</p>
 <!--
 Example keys:
 -->
@@ -209,12 +248,12 @@ Example keys:
 
 - [CredentialProviderResponse](#credentialprovider-kubelet-k8s-io-v1-CredentialProviderResponse)
 
+<p>
 <!--
 AuthConfig contains authentication information for a container registry.
 Only username/password based authentication is supported today, but more authentication
 mechanisms may be added in the future.
 -->
-<p>
 AuthConfig 包含针对容器镜像仓库的身份验证信息。
 目前仅支持基于用户名/密码的身份验证，但未来可能添加更多的身份验证机制。
 </p>
@@ -227,11 +266,11 @@ AuthConfig 包含针对容器镜像仓库的身份验证信息。
 <code>string</code>
 </td>
 <td>
+<p>
 <!--
 username is the username used for authenticating to the container registry
 An empty username is valid.
 -->
-<p>
 username 是对容器镜像仓库身份验证所用的用户名。
 空白用户名是有效的。
 </p>
@@ -241,11 +280,11 @@ username 是对容器镜像仓库身份验证所用的用户名。
 <code>string</code>
 </td>
 <td>
+<p>
 <!--
 password is the password used for authenticating to the container registry
 An empty password is valid.
 -->
-<p>
 password 是对容器镜像仓库身份验证所用的密码。
 空白密码是有效的。
 </p>
@@ -267,4 +306,3 @@ password 是对容器镜像仓库身份验证所用的密码。
 **出现在：**
 
 - [CredentialProviderResponse](#credentialprovider-kubelet-k8s-io-v1-CredentialProviderResponse)
-  
