From 73e258aac8798e428a0150991a3287fb19d1ec7a Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Fri, 21 Jan 2022 14:48:05 +0900 Subject: [PATCH 01/12] translate projected volumes --- .../concepts/storage/projected-volumes.md | 91 +++++++++++++++++++ 1 file changed, 91 insertions(+) create mode 100644 content/ja/docs/concepts/storage/projected-volumes.md diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md new file mode 100644 index 0000000000..a5aa7c62ec --- /dev/null +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -0,0 +1,91 @@ +--- +title: Projectedボリューム +content_type: concept +weight: 21 # just after persistent volumes +--- + + + +このドキュメントでは、Kubernetesの*projectedボリューム*について説明します。[ボリューム](/docs/concepts/storage/volumes/)に精通していることをお勧めします。 + + + +## 概要 + +ボリュームは、いくつかの既存の`projected`ボリュームソースを同じディレクトリにマップします。 + +現在、次のタイプのボリュームソースをproject(投影)できます。 + +* [`secret`](/docs/concepts/storage/volumes/#secret) +* [`downwardAPI`](/docs/concepts/storage/volumes/#downwardapi) +* [`configMap`](/docs/concepts/storage/volumes/#configmap) +* `serviceAccountToken` + +すべてのソースは、Podと同じnamespaceにある必要があります。詳細は[all-in-one volume designドキュメント](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/node/all-in-one-volume.md)を参照してください。 + +### secret、downwardAPI、およびconfigMapを使用した構成例 {#example-configuration-secret-downwardapi-configmap} + +{{< codenew file="pods/storage/projected-secret-downwardapi-configmap.yaml" >}} + +### 構成例:デフォルト以外のアクセス許可モードが設定されたsecret {#example-configuration-secrets-nondefault-permission-mode} + +{{< codenew file="pods/storage/projected-secrets-nondefault-permission-mode.yaml" >}} + +各projectedボリュームソースは、specの`sources`にリストされています。パラメータは、2つの例外を除いてほぼ同じです。 + +* secretについて、ConfigMapの命名と一致するように`secretName`フィールドが`name`に変更されました。 +* `defaultMode`はprojectedレベルでのみ指定でき、各ボリュームソースには指定できません。ただし上に示したように、個々の投影ごとに「モード」を明示的に設定できます。 + +`TokenRequestProjection`機能が有効になっている場合、現在の[サービスアカウント](/docs/reference/access-authn-authz/authentication/#service-account-tokens)のトークンを指定されたパスのPodに挿入できます。例えば: + +{{< codenew file="pods/storage/projected-service-account-token.yaml" >}} + +例のPodには、挿入されたサービスアカウントトークンを含むprojectedボリュームがあります。このトークンはPodのコンテナがKubernetes APIサーバーにアクセスするために使用できます。この`audience`フィールドにはトークンのオーディエンスが含まれています。トークンの受信者は、トークンのオーディエンスで指定された識別子で自分自身を識別する必要があります。そうでない場合はトークンを拒否する必要があります。このフィールドはオプションで、デフォルトではAPIサーバーの識別子が指定されます。 + +`expirationSeconds`はサービスアカウントトークンが有効であると予想される期間です。 +デフォルトは1時間で、最低でも10分(600秒)でなければなりません。 +管理者は、APIサーバーに`--service-account-max-token-expiration`オプションを指定することで、その最大値を制限することも可能です。 +`path`フィールドは、projectedボリュームのマウントポイントへの相対パスを指定します。 + + +{{< note >}} +projectedボリュームソースを[`subPath`](/docs/concepts/storage/volumes/#using-subpath)ボリュームマウントとして使用しているコンテナは、それらのボリュームソースの更新を受信しません。 +{{< /note >}} + +## SecurityContextの相互作用 + +[projectedサービスアカウントのボリューム拡張でのファイル権限処理の提案]((https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#token-volume-projection))により、正しい所有者権限が設定されたprojectedファイルが導入されました。 + +### Linux + +projectedボリュームがあり、Podの[`SecurityContext`](/docs/reference/kubernetes-api/workload-resources/pod-v1/#security-context)に`RunAsUser`が設定されているLinux Podでは、projectedファイルには、コンテナユーザーの所有権を含む正しい所有権が設定されます。 + +### Windows + +projectedボリュームを持ち、Podの`SecurityContext`で`RunAsUsername`を設定したWindows Podでは、Windowsのユーザーアカウント管理方法により所有権が強制されません。 +Windowsは、ローカルユーザーとグループアカウントをセキュリティアカウントマネージャー(SAM)と呼ばれるデータベースファイルに保存し、管理します。 +各コンテナはSAMデータベースの独自のインスタンスを維持し、コンテナの実行中はホストはそのインスタンスを見ることができません。 +Windowsコンテナは、OSのユーザーモード部分をホストから分離して実行するように設計されており、そのため仮想SAMデータベースを維持することになります。 +そのため、ホスト上で動作するkubeletには、仮想化されたコンテナアカウントのホストファイル所有権を動的に設定する機能がありません。 +ホストマシン上のファイルをコンテナと共有する場合は、`C:\`以外の独自のボリュームマウントに配置することをお勧めします。 + +デフォルトでは、projectedボリュームファイルの例に示されているように、projectedファイルには次の所有権があります。 +```powershell +PS C:\> Get-Acl C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt | Format-List + +Path : Microsoft.PowerShell.Core\FileSystem::C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt +Owner : BUILTIN\Administrators +Group : NT AUTHORITY\SYSTEM +Access : NT AUTHORITY\SYSTEM Allow FullControl + BUILTIN\Administrators Allow FullControl + BUILTIN\Users Allow ReadAndExecute, Synchronize +Audit : +Sddl : O:BAG:SYD:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU) +``` +これは、`ContainerAdministrator`のようなすべての管理者ユーザーが読み取り、書き込み、および実行アクセス権を持ち、非管理者ユーザーが読み取りおよび実行アクセス権を持つことを意味します。 + +{{< note >}} +一般に、コンテナにホストへのアクセスを許可することは、潜在的なセキュリティの悪用への扉を開く可能性があるため、お勧めできません。 + +Windows Podの`SecurityContext`に`RunAsUser`を指定して作成すると、Podは`ContainerCreating`で永久に固まります。したがって、Windows PodでLinux専用の`RunAsUser`オプションを使用しないことをお勧めします。 +{{< /note >}} From ca53f4a5fc7ccb26047c992a3e16089f6dd50266 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Fri, 21 Jan 2022 14:53:49 +0900 Subject: [PATCH 02/12] fix mistake --- content/ja/docs/concepts/storage/projected-volumes.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index a5aa7c62ec..80af8dc6bc 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -34,7 +34,7 @@ weight: 21 # just after persistent volumes 各projectedボリュームソースは、specの`sources`にリストされています。パラメータは、2つの例外を除いてほぼ同じです。 * secretについて、ConfigMapの命名と一致するように`secretName`フィールドが`name`に変更されました。 -* `defaultMode`はprojectedレベルでのみ指定でき、各ボリュームソースには指定できません。ただし上に示したように、個々の投影ごとに「モード」を明示的に設定できます。 +* `defaultMode`はprojectedレベルでのみ指定でき、各ボリュームソースには指定できません。ただし上に示したように、個々の投影ごとに`mode`を明示的に設定できます。 `TokenRequestProjection`機能が有効になっている場合、現在の[サービスアカウント](/docs/reference/access-authn-authz/authentication/#service-account-tokens)のトークンを指定されたパスのPodに挿入できます。例えば: From c60045bbdb72ba338db5443ec230adb1de05ae86 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Fri, 21 Jan 2022 16:36:39 +0900 Subject: [PATCH 03/12] add example yaml files --- ...rojected-secret-downwardapi-configmap.yaml | 35 +++++++++++++++++++ ...ed-secrets-nondefault-permission-mode.yaml | 27 ++++++++++++++ .../projected-service-account-token.yaml | 21 +++++++++++ 3 files changed, 83 insertions(+) create mode 100644 content/ja/examples/pods/storage/projected-secret-downwardapi-configmap.yaml create mode 100644 content/ja/examples/pods/storage/projected-secrets-nondefault-permission-mode.yaml create mode 100644 content/ja/examples/pods/storage/projected-service-account-token.yaml diff --git a/content/ja/examples/pods/storage/projected-secret-downwardapi-configmap.yaml b/content/ja/examples/pods/storage/projected-secret-downwardapi-configmap.yaml new file mode 100644 index 0000000000..270db99dcd --- /dev/null +++ b/content/ja/examples/pods/storage/projected-secret-downwardapi-configmap.yaml @@ -0,0 +1,35 @@ +apiVersion: v1 +kind: Pod +metadata: + name: volume-test +spec: + containers: + - name: container-test + image: busybox + volumeMounts: + - name: all-in-one + mountPath: "/projected-volume" + readOnly: true + volumes: + - name: all-in-one + projected: + sources: + - secret: + name: mysecret + items: + - key: username + path: my-group/my-username + - downwardAPI: + items: + - path: "labels" + fieldRef: + fieldPath: metadata.labels + - path: "cpu_limit" + resourceFieldRef: + containerName: container-test + resource: limits.cpu + - configMap: + name: myconfigmap + items: + - key: config + path: my-group/my-config diff --git a/content/ja/examples/pods/storage/projected-secrets-nondefault-permission-mode.yaml b/content/ja/examples/pods/storage/projected-secrets-nondefault-permission-mode.yaml new file mode 100644 index 0000000000..f69b43161e --- /dev/null +++ b/content/ja/examples/pods/storage/projected-secrets-nondefault-permission-mode.yaml @@ -0,0 +1,27 @@ +apiVersion: v1 +kind: Pod +metadata: + name: volume-test +spec: + containers: + - name: container-test + image: busybox + volumeMounts: + - name: all-in-one + mountPath: "/projected-volume" + readOnly: true + volumes: + - name: all-in-one + projected: + sources: + - secret: + name: mysecret + items: + - key: username + path: my-group/my-username + - secret: + name: mysecret2 + items: + - key: password + path: my-group/my-password + mode: 511 diff --git a/content/ja/examples/pods/storage/projected-service-account-token.yaml b/content/ja/examples/pods/storage/projected-service-account-token.yaml new file mode 100644 index 0000000000..3ad06b5dc7 --- /dev/null +++ b/content/ja/examples/pods/storage/projected-service-account-token.yaml @@ -0,0 +1,21 @@ +apiVersion: v1 +kind: Pod +metadata: + name: sa-token-test +spec: + containers: + - name: container-test + image: busybox + volumeMounts: + - name: token-vol + mountPath: "/service-account" + readOnly: true + serviceAccountName: default + volumes: + - name: token-vol + projected: + sources: + - serviceAccountToken: + audience: api + expirationSeconds: 3600 + path: token From efcf33c4a9a87c8c44a543ddc8d2b27856e01a33 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Tue, 25 Jan 2022 13:21:41 +0900 Subject: [PATCH 04/12] change "projected" to Japanese --- .../concepts/storage/projected-volumes.md | 24 +++++++++---------- 1 file changed, 12 insertions(+), 12 deletions(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index 80af8dc6bc..c893526b18 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -1,20 +1,20 @@ --- -title: Projectedボリューム +title: 投影ボリューム content_type: concept weight: 21 # just after persistent volumes --- -このドキュメントでは、Kubernetesの*projectedボリューム*について説明します。[ボリューム](/docs/concepts/storage/volumes/)に精通していることをお勧めします。 +このドキュメントでは、Kubernetesの*投影ボリューム*について説明します。[ボリューム](/docs/concepts/storage/volumes/)に精通していることをお勧めします。 ## 概要 -ボリュームは、いくつかの既存の`projected`ボリュームソースを同じディレクトリにマップします。 +ボリュームは、いくつかの既存の`投影`ボリュームソースを同じディレクトリにマップします。 -現在、次のタイプのボリュームソースをproject(投影)できます。 +現在、次のタイプのボリュームソースを投影できます。 * [`secret`](/docs/concepts/storage/volumes/#secret) * [`downwardAPI`](/docs/concepts/storage/volumes/#downwardapi) @@ -31,7 +31,7 @@ weight: 21 # just after persistent volumes {{< codenew file="pods/storage/projected-secrets-nondefault-permission-mode.yaml" >}} -各projectedボリュームソースは、specの`sources`にリストされています。パラメータは、2つの例外を除いてほぼ同じです。 +各投影ボリュームソースは、specの`sources`にリストされています。パラメータは、2つの例外を除いてほぼ同じです。 * secretについて、ConfigMapの命名と一致するように`secretName`フィールドが`name`に変更されました。 * `defaultMode`はprojectedレベルでのみ指定でき、各ボリュームソースには指定できません。ただし上に示したように、個々の投影ごとに`mode`を明示的に設定できます。 @@ -40,36 +40,36 @@ weight: 21 # just after persistent volumes {{< codenew file="pods/storage/projected-service-account-token.yaml" >}} -例のPodには、挿入されたサービスアカウントトークンを含むprojectedボリュームがあります。このトークンはPodのコンテナがKubernetes APIサーバーにアクセスするために使用できます。この`audience`フィールドにはトークンのオーディエンスが含まれています。トークンの受信者は、トークンのオーディエンスで指定された識別子で自分自身を識別する必要があります。そうでない場合はトークンを拒否する必要があります。このフィールドはオプションで、デフォルトではAPIサーバーの識別子が指定されます。 +例のPodには、挿入されたサービスアカウントトークンを含む投影ボリュームがあります。このトークンはPodのコンテナがKubernetes APIサーバーにアクセスするために使用できます。この`audience`フィールドにはトークンのオーディエンスが含まれています。トークンの受信者は、トークンのオーディエンスで指定された識別子で自分自身を識別する必要があります。そうでない場合はトークンを拒否する必要があります。このフィールドはオプションで、デフォルトではAPIサーバーの識別子が指定されます。 `expirationSeconds`はサービスアカウントトークンが有効であると予想される期間です。 デフォルトは1時間で、最低でも10分(600秒)でなければなりません。 管理者は、APIサーバーに`--service-account-max-token-expiration`オプションを指定することで、その最大値を制限することも可能です。 -`path`フィールドは、projectedボリュームのマウントポイントへの相対パスを指定します。 +`path`フィールドは、投影ボリュームのマウントポイントへの相対パスを指定します。 {{< note >}} -projectedボリュームソースを[`subPath`](/docs/concepts/storage/volumes/#using-subpath)ボリュームマウントとして使用しているコンテナは、それらのボリュームソースの更新を受信しません。 +投影ボリュームソースを[`subPath`](/docs/concepts/storage/volumes/#using-subpath)ボリュームマウントとして使用しているコンテナは、それらのボリュームソースの更新を受信しません。 {{< /note >}} ## SecurityContextの相互作用 -[projectedサービスアカウントのボリューム拡張でのファイル権限処理の提案]((https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#token-volume-projection))により、正しい所有者権限が設定されたprojectedファイルが導入されました。 +[サービスアカウントの投影ボリューム拡張でのファイル権限処理の提案]((https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#token-volume-projection))により、正しい所有者権限が設定された投影ファイルが導入されました。 ### Linux -projectedボリュームがあり、Podの[`SecurityContext`](/docs/reference/kubernetes-api/workload-resources/pod-v1/#security-context)に`RunAsUser`が設定されているLinux Podでは、projectedファイルには、コンテナユーザーの所有権を含む正しい所有権が設定されます。 +投影ボリュームがあり、Podの[`SecurityContext`](/docs/reference/kubernetes-api/workload-resources/pod-v1/#security-context)に`RunAsUser`が設定されているLinux Podでは、投影されたファイルには、コンテナユーザーの所有権を含む正しい所有権が設定されます。 ### Windows -projectedボリュームを持ち、Podの`SecurityContext`で`RunAsUsername`を設定したWindows Podでは、Windowsのユーザーアカウント管理方法により所有権が強制されません。 +投影ボリュームを持ち、Podの`SecurityContext`で`RunAsUsername`を設定したWindows Podでは、Windowsのユーザーアカウント管理方法により所有権が強制されません。 Windowsは、ローカルユーザーとグループアカウントをセキュリティアカウントマネージャー(SAM)と呼ばれるデータベースファイルに保存し、管理します。 各コンテナはSAMデータベースの独自のインスタンスを維持し、コンテナの実行中はホストはそのインスタンスを見ることができません。 Windowsコンテナは、OSのユーザーモード部分をホストから分離して実行するように設計されており、そのため仮想SAMデータベースを維持することになります。 そのため、ホスト上で動作するkubeletには、仮想化されたコンテナアカウントのホストファイル所有権を動的に設定する機能がありません。 ホストマシン上のファイルをコンテナと共有する場合は、`C:\`以外の独自のボリュームマウントに配置することをお勧めします。 -デフォルトでは、projectedボリュームファイルの例に示されているように、projectedファイルには次の所有権があります。 +デフォルトでは、投影ボリュームファイルの例に示されているように、投影されたファイルには次の所有権があります。 ```powershell PS C:\> Get-Acl C:\var\run\secrets\kubernetes.io\serviceaccount\..2021_08_31_22_22_18.318230061\ca.crt | Format-List From b26817dc0dc540cdde250b72b7fb2702a374f403 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Tue, 25 Jan 2022 17:13:24 +0900 Subject: [PATCH 05/12] Update content/ja/docs/concepts/storage/projected-volumes.md Co-authored-by: Wang --- content/ja/docs/concepts/storage/projected-volumes.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index c893526b18..d0017d48f8 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -21,7 +21,7 @@ weight: 21 # just after persistent volumes * [`configMap`](/docs/concepts/storage/volumes/#configmap) * `serviceAccountToken` -すべてのソースは、Podと同じnamespaceにある必要があります。詳細は[all-in-one volume designドキュメント](https://github.com/kubernetes/community/blob/master/contributors/design-proposals/node/all-in-one-volume.md)を参照してください。 +すべてのソースは、Podと同じnamespaceにある必要があります。詳細は[all-in-one volume designドキュメント](https://github.com/kubernetes/design-proposals-archive/blob/main/node/all-in-one-volume.md)を参照してください。 ### secret、downwardAPI、およびconfigMapを使用した構成例 {#example-configuration-secret-downwardapi-configmap} From b5ba524610b5284c2874b7163d459a0649009c7c Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Tue, 25 Jan 2022 17:13:29 +0900 Subject: [PATCH 06/12] Update content/ja/docs/concepts/storage/projected-volumes.md Co-authored-by: Wang --- content/ja/docs/concepts/storage/projected-volumes.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index d0017d48f8..e71528e672 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -36,7 +36,7 @@ weight: 21 # just after persistent volumes * secretについて、ConfigMapの命名と一致するように`secretName`フィールドが`name`に変更されました。 * `defaultMode`はprojectedレベルでのみ指定でき、各ボリュームソースには指定できません。ただし上に示したように、個々の投影ごとに`mode`を明示的に設定できます。 -`TokenRequestProjection`機能が有効になっている場合、現在の[サービスアカウント](/docs/reference/access-authn-authz/authentication/#service-account-tokens)のトークンを指定されたパスのPodに挿入できます。例えば: +`TokenRequestProjection`機能が有効になっている場合、現在の[サービスアカウントトークン](/ja/docs/reference/access-authn-authz/authentication/#サービスアカウントトークン)を指定されたパスのPodに挿入できます。例えば: {{< codenew file="pods/storage/projected-service-account-token.yaml" >}} From 5e1ada172da280ee615888537803833d8a26a6a2 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Tue, 25 Jan 2022 17:13:34 +0900 Subject: [PATCH 07/12] Update content/ja/docs/concepts/storage/projected-volumes.md Co-authored-by: Wang --- content/ja/docs/concepts/storage/projected-volumes.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index e71528e672..f9c940978f 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -54,7 +54,7 @@ weight: 21 # just after persistent volumes ## SecurityContextの相互作用 -[サービスアカウントの投影ボリューム拡張でのファイル権限処理の提案]((https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#token-volume-projection))により、正しい所有者権限が設定された投影ファイルが導入されました。 +[サービスアカウントの投影ボリューム拡張でのファイル権限処理の提案](https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#proposal)により、正しい所有者権限が設定された投影ファイルが導入されました。 ### Linux From d7f8bc4f7b9d4ae5584e5c4ca38e696c60d4f5a2 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Wed, 26 Jan 2022 12:07:44 +0900 Subject: [PATCH 08/12] Update content/ja/docs/concepts/storage/projected-volumes.md Co-authored-by: Wang --- content/ja/docs/concepts/storage/projected-volumes.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index f9c940978f..1707426d4d 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -54,7 +54,7 @@ weight: 21 # just after persistent volumes ## SecurityContextの相互作用 -[サービスアカウントの投影ボリューム拡張でのファイル権限処理の提案](https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#proposal)により、正しい所有者権限が設定された投影ファイルが導入されました。 +サービスアカウントの投影ボリューム拡張でのファイル権限処理の[提案](https://github.com/kubernetes/enhancements/tree/master/keps/sig-storage/2451-service-account-token-volumes#proposal)により、正しい所有者権限が設定された投影ファイルが導入されました。 ### Linux From 150c0ad0a3969e580b3547ff14cef33dfb6bf731 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Wed, 26 Jan 2022 12:07:49 +0900 Subject: [PATCH 09/12] Update content/ja/docs/concepts/storage/projected-volumes.md Co-authored-by: Wang --- content/ja/docs/concepts/storage/projected-volumes.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index 1707426d4d..f0bf647ab2 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -21,7 +21,7 @@ weight: 21 # just after persistent volumes * [`configMap`](/docs/concepts/storage/volumes/#configmap) * `serviceAccountToken` -すべてのソースは、Podと同じnamespaceにある必要があります。詳細は[all-in-one volume designドキュメント](https://github.com/kubernetes/design-proposals-archive/blob/main/node/all-in-one-volume.md)を参照してください。 +すべてのソースは、Podと同じnamespaceにある必要があります。詳細は[all-in-one volume](https://github.com/kubernetes/design-proposals-archive/blob/main/node/all-in-one-volume.md) デザインドキュメントを参照してください。 ### secret、downwardAPI、およびconfigMapを使用した構成例 {#example-configuration-secret-downwardapi-configmap} From 027f8c96bdcad3023cdd9d2a23d5d3b2c327ca59 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Tue, 1 Feb 2022 11:33:00 +0900 Subject: [PATCH 10/12] Update content/ja/docs/concepts/storage/projected-volumes.md Co-authored-by: nasa9084 --- content/ja/docs/concepts/storage/projected-volumes.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index f0bf647ab2..8259bfa0a2 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -21,7 +21,7 @@ weight: 21 # just after persistent volumes * [`configMap`](/docs/concepts/storage/volumes/#configmap) * `serviceAccountToken` -すべてのソースは、Podと同じnamespaceにある必要があります。詳細は[all-in-one volume](https://github.com/kubernetes/design-proposals-archive/blob/main/node/all-in-one-volume.md) デザインドキュメントを参照してください。 +すべてのソースは、Podと同じnamespaceにある必要があります。詳細は[all-in-one volume](https://github.com/kubernetes/design-proposals-archive/blob/main/node/all-in-one-volume.md)デザインドキュメントを参照してください。 ### secret、downwardAPI、およびconfigMapを使用した構成例 {#example-configuration-secret-downwardapi-configmap} From 2739096926ba97d1c015cb2ef54627df58799f74 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Tue, 1 Feb 2022 11:33:19 +0900 Subject: [PATCH 11/12] Update content/ja/docs/concepts/storage/projected-volumes.md Co-authored-by: Ryota Yamada <42636694+riita10069@users.noreply.github.com> --- content/ja/docs/concepts/storage/projected-volumes.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index 8259bfa0a2..a32faf724b 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -40,7 +40,7 @@ weight: 21 # just after persistent volumes {{< codenew file="pods/storage/projected-service-account-token.yaml" >}} -例のPodには、挿入されたサービスアカウントトークンを含む投影ボリュームがあります。このトークンはPodのコンテナがKubernetes APIサーバーにアクセスするために使用できます。この`audience`フィールドにはトークンのオーディエンスが含まれています。トークンの受信者は、トークンのオーディエンスで指定された識別子で自分自身を識別する必要があります。そうでない場合はトークンを拒否する必要があります。このフィールドはオプションで、デフォルトではAPIサーバーの識別子が指定されます。 +この例のPodには、挿入されたサービスアカウントトークンを含む投影ボリュームがあります。このトークンはPodのコンテナがKubernetes APIサーバーにアクセスするために使用できます。この`audience`フィールドにはトークンの受信対象者が含まれています。トークンの受信者は、トークンの`audience`フィールドで指定された識別子で自分自身であるかを識別します。そうでない場合はトークンを拒否します。このフィールドはオプションで、デフォルトではAPIサーバーの識別子が指定されます。 `expirationSeconds`はサービスアカウントトークンが有効であると予想される期間です。 デフォルトは1時間で、最低でも10分(600秒)でなければなりません。 From 96d831443fd49c7d322dfb9161948a11a6455b06 Mon Sep 17 00:00:00 2001 From: Kobayashi Daisuke Date: Tue, 1 Feb 2022 11:42:46 +0900 Subject: [PATCH 12/12] change Japanese URL to English ID link --- content/ja/docs/concepts/storage/projected-volumes.md | 4 ++-- .../ja/docs/reference/access-authn-authz/authentication.md | 2 +- 2 files changed, 3 insertions(+), 3 deletions(-) diff --git a/content/ja/docs/concepts/storage/projected-volumes.md b/content/ja/docs/concepts/storage/projected-volumes.md index a32faf724b..5bb0a7be11 100644 --- a/content/ja/docs/concepts/storage/projected-volumes.md +++ b/content/ja/docs/concepts/storage/projected-volumes.md @@ -31,12 +31,12 @@ weight: 21 # just after persistent volumes {{< codenew file="pods/storage/projected-secrets-nondefault-permission-mode.yaml" >}} -各投影ボリュームソースは、specの`sources`にリストされています。パラメータは、2つの例外を除いてほぼ同じです。 +各投影ボリュームソースは、specの`sources`にリストされています。パラメーターは、2つの例外を除いてほぼ同じです。 * secretについて、ConfigMapの命名と一致するように`secretName`フィールドが`name`に変更されました。 * `defaultMode`はprojectedレベルでのみ指定でき、各ボリュームソースには指定できません。ただし上に示したように、個々の投影ごとに`mode`を明示的に設定できます。 -`TokenRequestProjection`機能が有効になっている場合、現在の[サービスアカウントトークン](/ja/docs/reference/access-authn-authz/authentication/#サービスアカウントトークン)を指定されたパスのPodに挿入できます。例えば: +`TokenRequestProjection`機能が有効になっている場合、現在の[サービスアカウントトークン](/ja/docs/reference/access-authn-authz/authentication/#service-account-token)を指定されたパスのPodに挿入できます。例えば: {{< codenew file="pods/storage/projected-service-account-token.yaml" >}} diff --git a/content/ja/docs/reference/access-authn-authz/authentication.md b/content/ja/docs/reference/access-authn-authz/authentication.md index 0aee169573..e2bd78316b 100644 --- a/content/ja/docs/reference/access-authn-authz/authentication.md +++ b/content/ja/docs/reference/access-authn-authz/authentication.md @@ -105,7 +105,7 @@ APIサーバーの`--enable-bootstrap-token-auth`フラグで、Bootstrap Token ブートストラップトークンの認証機能やコントローラーについての詳細な説明、`kubeadm`でこれらのトークンを管理する方法については、[ブートストラップトークン](/docs/reference/access-authn-authz/bootstrap-tokens/)を参照してください。 -### サービスアカウントトークン +### サービスアカウントトークン {#service-account-token} サービスアカウントは、自動的に有効化される認証機能で、署名されたBearerトークンを使ってリクエストを検証します。このプラグインは、オプションとして2つのフラグを取ります。