kwctl CLI

annotate — Fügt Admission Controller Metadaten zu einem WebAssembly-Modul hinzu

bench — Führt Benchmarktests an einer Admission Controller Richtlinie durch

completions — Generiert Shell-Vervollständigungen

digest — Ruft den Digest aus dem OCI-Manifest einer Richtlinie ab

docs — Generiert die Markdown-Dokumentation für kwctl-Befehle

info — Zeigt Systeminformationen an

inspect — Untersucht die Admission Controller Richtlinie

load — Lädt Richtlinien aus einer tar.gz-Datei

policies — Listet alle heruntergeladenen Richtlinien auf

pull — Holt eine Admission Controller Richtlinie von einer angegebenen URI

push — Schiebt eine Admission Controller Richtlinie in ein OCI-Registry

rm — Entfernt eine Admission Controller Richtlinie aus dem Speicher

run — Führt eine Admission Controller Richtlinie von einer gegebenen URI aus

save — Speichert Richtlinien in einer tar.gz-Datei

scaffold — Erstellt eine Kubernetes-Ressource oder Konfigurationsdatei

verify — Überprüft eine Admission Controller Richtlinie von einer gegebenen URI mit Sigstore

-v, --verbose <VERBOSE> — Erhöht die Ausführlichkeit

--no-color <NO-COLOR> — Deaktiviert die farbige Ausgabe

<WASM-PATH> — Pfad zum zu annotierenden WebAssembly-Modul

-m, --metadata-path <PATH> — Datei, die die Metadaten enthält

-o, --output-path <PATH> — Ausgabedatei

-u, --usage-path <PATH> — Datei, die die Nutzungsinformationen der Richtlinie enthält

<URI_OR_SHA_PREFIX_OR_YAML_FILE> — Richtlinien-URI, SHA-Präfix oder YAML-Datei, die Admission Controller Richtlinienressourcen enthält. Unterstützte Schemas: registry://, https://, file://. Wenn das Schema weggelassen wird, wird file:// angenommen, basierend auf dem aktuellen Verzeichnis.

--allow-context-aware <ALLOW-CONTEXT-AWARE> — Gewährt Zugriff auf die Kubernetes-Ressourcen, die im contextAwareResources Abschnitt der Richtlinie definiert sind. Warnung: Überprüfen Sie die Liste der Ressourcen sorgfältig, um Missbrauch zu vermeiden. Standardmäßig deaktiviert

--cert-email <VALUE> — Erwartete E-Mail im Fulcio-Zertifikat

--cert-oidc-issuer <VALUE> — Erwarteter OIDC-Issuer in Fulcio-Zertifikaten

--disable-wasmtime-cache <DISABLE-WASMTIME-CACHE> — Deaktiviert die Nutzung des wasmtime-Caches

--docker-config-json-path <PATH> — Pfad zu einem Verzeichnis, das die Docker 'config.json'-Datei enthält. Kann verwendet werden, um Authentifizierungsdetails für die Registry anzugeben

--dump-results-to-disk <DUMP_RESULTS_TO_DISK> — Legt Ergebnisse in target/tiny-bench/label/.. ab, wenn das Ziel gefunden werden kann. Wird verwendet, um vorherige Durchläufe zu vergleichen

-e, --execution-mode <MODE> — Die Laufzeit, die verwendet werden soll, um diese Richtlinie auszuführen
Mögliche Werte: opa, gatekeeper, kubewarden, wasi

--github-owner <VALUE> — Erwarteter GitHub-Besitzer in den in CD-Pipelines generierten Zertifikaten

--github-repo <VALUE> — Erwartetes GitHub-Repository in den in CD-Pipelines generierten Zertifikaten

--measurement-time <SECONDS> — Wie lange der Benchmark 'laufen sollte', num_samples hat Vorrang, sodass das Benchmarking länger dauert, um num_samples zu sammeln, wenn der zu benchmarkende Code langsamer ist als dieses zulässige Zeitlimit

--num-resamples <NUM> — Wie viele Resamples durchgeführt werden sollen

--num-samples <NUM> — Wie viele Resamples durchgeführt werden sollen. Empfohlen mindestens 50, über 100 scheint kein signifikant anderes Ergebnis zu liefern.

--raw <RAW> — Validiere eine rohe Anfrage
Standardwert: false

--record-host-capabilities-interactions <FILE> — Protokolliere alle Richtlinien- und Hostfähigkeiten-Kommunikationen in die angegebene Datei. Nützlich, um später mit dem Flag '--replay-host-capabilities-interactions' kombiniert zu werden

--replay-host-capabilities-interactions <FILE> — Während des Austauschs von Richtlinien und Hostfähigkeiten gibt der Host die Antworten zurück, die in der bereitgestellten Datei gefunden wurden. Dies ist nützlich, um Richtlinien auf reproduzierbare Weise zu testen, da keine externen Interaktionen mit OCI-Registrierungen, DNS, Kubernetes durchgeführt werden.

-r, --request-path <PATH> — Datei, die das Kubernetes-Zulassungsanfrageobjekt im JSON-Format enthält

--settings-json <VALUE> — JSON-Zeichenfolge, die die Einstellungen für diese Richtlinie enthält

-s, --settings-path <PATH> — Datei, die die Einstellungen für diese Richtlinie enthält

--sigstore-trust-config <PATH> — JSON-formatierte Datei, die der ClientTrustConfig-Nachricht in den Sigstore-Protobuf-Spezifikationen entspricht. Diese Datei konfiguriert den gesamten Zustand der Sigstore-Instanz, einschließlich der URIs, die zum Zugriff auf die CA und die Dienste für die Transparenz von Artefakten verwendet werden, sowie des kryptografischen Vertrauensankers selbst.

--sources-path <PATH> — YAML-Datei, die Quellinformationen enthält (https, unsichere Registrierungs-Hosts, benutzerdefinierte CAs…​)

-a, --verification-annotation <KEY=VALUE> — Annotation im key=value-Format. Kann mehrfach wiederholt werden

--verification-config-path <PATH> — YAML-Datei, die Informationen zur Verifizierungskonfiguration enthält (Signaturen, öffentliche Schlüssel…​)

-k, --verification-key <PATH> — Pfad zum Schlüssel, der zur Überprüfung der Richtlinie verwendet wird. Kann mehrfach wiederholt werden

--warm-up-time <SECONDS> — Wie lange die Benchmarks aufwärmen sollen

-s, --shell <VALUE> — Shell-Typ
Mögliche Werte: bash, elvish, fish, powershell, zsh

<URI> — Richtlinien-URI

--docker-config-json-path <PATH> — Pfad zu einem Verzeichnis, das die Docker 'config.json'-Datei enthält. Kann verwendet werden, um Authentifizierungsdetails für die Registry anzugeben

--sources-path <PATH> — YAML-Datei, die Quellinformationen enthält (https, unsichere Registrierungs-Hosts, benutzerdefinierte CAs…​)

-o, --output <FILE> — Pfad, wo die Dokumentationsdatei gespeichert wird

<URI_OR_SHA_PREFIX> — Richtlinien-URI oder SHA-Präfix. Unterstützte Schemes: registry://, https://, file://. Wenn das Schema weggelassen wird, wird file:// angenommen, basierend auf dem aktuellen Verzeichnis.

--docker-config-json-path <PATH> — Pfad zu einem Verzeichnis, das die Docker 'config.json'-Datei enthält. Kann verwendet werden, um Authentifizierungsdetails für die Registry anzugeben

-o, --output <FORMAT> — Ausgabeformat
Mögliche Werte: yaml

--show-signatures <SHOW-SIGNATURES> — Zeige Sigstore-Signaturen an

--sources-path <PATH> — YAML-Datei, die Quellinformationen enthält (https, unsichere Registrierungs-Hosts, benutzerdefinierte CAs…​)

--input <INPUT> — Lädt Richtlinien aus dem Tarball

<URI> — Richtlinien-URI. Unterstützte Schemes: registry://, https://, file://

--cert-email <VALUE> — Erwartete E-Mail im Fulcio-Zertifikat

--cert-oidc-issuer <VALUE> — Erwarteter OIDC-Issuer in Fulcio-Zertifikaten

--docker-config-json-path <DOCKER_CONFIG> — Pfad zu einem Verzeichnis, das die Docker 'config.json'-Datei enthält. Kann verwendet werden, um Authentifizierungsdetails für das Registry anzugeben.

--github-owner <VALUE> — Erwarteter GitHub-Besitzer in den in CD-Pipelines generierten Zertifikaten

--github-repo <VALUE> — Erwartetes GitHub-Repository in den in CD-Pipelines generierten Zertifikaten

-o, --output-path <PATH> — Ausgabedatei. Wenn nicht angegeben, wird sie im Admission Controller Store heruntergeladen

--sigstore-trust-config <PATH> — JSON-formatierte Datei, die der ClientTrustConfig-Nachricht in den Sigstore-Protobuf-Spezifikationen entspricht. Diese Datei konfiguriert den gesamten Zustand der Sigstore-Instanz, einschließlich der URIs, die zum Zugriff auf die CA und die Dienste für die Transparenz von Artefakten verwendet werden, sowie des kryptografischen Vertrauensankers selbst.

--sources-path <PATH> — YAML-Datei, die Quellinformationen enthält (https, unsichere Registrierungs-Hosts, benutzerdefinierte CAs…​)

-a, --verification-annotation <KEY=VALUE> — Annotation im key=value-Format. Kann mehrfach wiederholt werden

--verification-config-path <PATH> — YAML-Datei, die Informationen zur Verifizierungskonfiguration enthält (Signaturen, öffentliche Schlüssel…​)

-k, --verification-key <PATH> — Pfad zum Schlüssel, der zur Überprüfung der Richtlinie verwendet wird. Kann mehrfach wiederholt werden

<POLICY> — Richtlinie zum Pushen. Kann der Pfad zu einer lokalen Datei, eine Richtlinie-URI oder das SHA-Präfix einer Richtlinie im Store sein.

<URI> — Richtlinie-URI. Unterstützte Schemes: registry://

--docker-config-json-path <PATH> — Pfad zu einem Verzeichnis, das die Docker 'config.json'-Datei enthält. Kann verwendet werden, um Authentifizierungsdetails für das Registry anzugeben

-f, --force <FORCE> — Auch eine nicht annotierte Richtlinie pushen

-o, --output <PATH> — Ausgabeformat
Standardwert: text
Mögliche Werte: text, json

--sources-path <PATH> — YAML-Datei, die Quellinformationen enthält (https, unsichere Registrierungs-Hosts, benutzerdefinierte CAs…​)

<URI_OR_SHA_PREFIX> — Richtlinie-URI oder SHA-Präfix.

<URI_OR_SHA_PREFIX_OR_YAML_FILE> — Policy-URI, SHA-Präfix oder YAML-Datei, die Admission Controller Richtlinienressourcen enthält. Unterstützte Schemas: registry://, https://, file://. Wenn das Schema weggelassen wird, wird file:// angenommen, basierend auf dem aktuellen Verzeichnis.

--allow-context-aware <ALLOW-CONTEXT-AWARE> — Gewährt Zugriff auf die Kubernetes-Ressourcen, die im contextAwareResources Abschnitt der Richtlinie definiert sind. Warnung: Überprüfen Sie die Liste der Ressourcen sorgfältig, um Missbrauch zu vermeiden. Standardmäßig deaktiviert

--cert-email <VALUE> — Erwartete E-Mail im Fulcio-Zertifikat

--cert-oidc-issuer <VALUE> — Erwarteter OIDC-Issuer in Fulcio-Zertifikaten

--disable-wasmtime-cache <DISABLE-WASMTIME-CACHE> — Deaktiviert die Nutzung des wasmtime-Caches

--docker-config-json-path <PATH> — Pfad zu einem Verzeichnis, das die Docker 'config.json'-Datei enthält. Kann verwendet werden, um Authentifizierungsdetails für das Registry anzugeben

-e, --execution-mode <MODE> — Die Laufzeit, die verwendet werden soll, um diese Richtlinie auszuführen
Mögliche Werte: opa, gatekeeper, kubewarden, wasi

--github-owner <VALUE> — Erwarteter GitHub-Besitzer in den in CD-Pipelines generierten Zertifikaten

--github-repo <VALUE> — Erwartetes GitHub-Repository in den in CD-Pipelines generierten Zertifikaten

--raw <RAW> — Validiere eine rohe Anfrage
Standardwert: false

--record-host-capabilities-interactions <FILE> — Protokolliere die gesamte Kommunikation der Richtlinien- und Hostfähigkeiten in die angegebene Datei. Nützlich, um später mit dem Flag '--replay-host-capabilities-interactions' kombiniert zu werden

--replay-host-capabilities-interactions <FILE> — Während des Austauschs von Richtlinien und Hostfähigkeiten gibt der Host die Antworten zurück, die in der bereitgestellten Datei gefunden wurden. Dies ist nützlich, um Richtlinien auf reproduzierbare Weise zu testen, da keine externen Interaktionen mit OCI-Registries, DNS, Kubernetes durchgeführt werden.

-r, --request-path <PATH> — Datei, die das Kubernetes-Zulassungsanfrageobjekt im JSON-Format enthält

--settings-json <VALUE> — JSON-Zeichenfolge, die die Einstellungen für diese Richtlinie enthält

-s, --settings-path <PATH> — Datei, die die Einstellungen für diese Richtlinie enthält

--sigstore-trust-config <PATH> — JSON-formatierte Datei, die der ClientTrustConfig-Nachricht in den Sigstore-Protobuf-Spezifikationen entspricht. Diese Datei konfiguriert den gesamten Zustand der Sigstore-Instanz, einschließlich der URIs, die zum Zugriff auf die CA und die Dienste für die Transparenz von Artefakten verwendet werden, sowie des kryptografischen Vertrauensankers selbst

--sources-path <PATH> — YAML-Datei, die Quellinformationen enthält (https, unsichere Registrierungs-Hosts, benutzerdefinierte CAs…​)

-a, --verification-annotation <KEY=VALUE> — Annotation im key=value-Format. Kann mehrfach wiederholt werden

--verification-config-path <PATH> — YAML-Datei, die Informationen zur Verifizierungskonfiguration enthält (Signaturen, öffentliche Schlüssel…​)

-k, --verification-key <PATH> — Pfad zum Schlüssel, der zur Überprüfung der Richtlinie verwendet wird. Kann mehrfach wiederholt werden

<POLICIES> — Liste der zu speichernden Richtlinien

-o, --output <FILE> — Pfad, wo die Datei gespeichert wird

admission-request — Erstellen Sie ein AdmissionRequest-Objekt

artifacthub — Erstellen Sie eine artifacthub-pkg.yml-Datei aus einer metadata.yml-Datei

manifest — Geben Sie ein Kubernetes-Ressourcenmanifest aus

vap — Konvertieren Sie ein Kubernetes ValidatingAdmissionPolicy in ein Admission Controller ClusterAdmissionPolicy

verification-config — Geben Sie eine Standard-Sigstore-Verifizierungskonfigurationsdatei aus

--object <PATH> — Die Datei, die das neue Objekt enthält, das zugelassen wird

--old-object <PATH> — Die Datei, die das vorhandene Objekt enthält

-o, --operation <TYPE> — Admission Controller benutzerdefinierter Ressourcentyp
Mögliche Werte: CREATE

-m, --metadata-path <PATH> — Datei, die die Metadaten der Richtlinie enthält

-o, --output <FILE> — Pfad, in dem die artifact-pkg.yml-Datei gespeichert wird

-q, --questions-path <PATH> — Datei, die den Fragen-ui-Inhalt der Richtlinie enthält

-v, --version <VALUE> — Semver-Version der Richtlinie

<URI_OR_SHA_PREFIX> — Richtlinien-URI oder SHA-Präfix. Unterstützte Schemas: registry://, https://, file://. Wenn das Schema weggelassen wird, wird file:// angenommen, basierend auf dem aktuellen Verzeichnis.

--allow-context-aware <ALLOW-CONTEXT-AWARE> — Verwendet die Metadaten der Richtlinie, um zu definieren, auf welche Kubernetes-Ressourcen die Richtlinie zugreifen kann. Warnung: Überprüfen Sie die Liste der Ressourcen sorgfältig, um Missbrauch zu vermeiden. Standardmäßig deaktiviert

--cert-email <VALUE> — Erwartete E-Mail im Fulcio-Zertifikat

--cert-oidc-issuer <VALUE> — Erwarteter OIDC-Issuer in Fulcio-Zertifikaten

--docker-config-json-path <DOCKER_CONFIG> — Pfad zu einem Verzeichnis, das die Docker 'config.json'-Datei enthält. Kann verwendet werden, um Authentifizierungsdetails für das Registry anzugeben

--fulcio-cert-path <PATH> — Pfad zum Fulcio-Zertifikat. Kann mehrfach wiederholt werden

--github-owner <VALUE> — Erwarteter GitHub-Besitzer in den in CD-Pipelines generierten Zertifikaten

--github-repo <VALUE> — Erwartetes GitHub-Repository in den in CD-Pipelines generierten Zertifikaten

--rekor-public-key-path <PATH> — Pfad zum Rekor-öffentlichen Schlüssel. Kann mehrfach wiederholt werden

--settings-json <VALUE> — JSON-Zeichenfolge, die die Einstellungen für diese Richtlinie enthält

-s, --settings-path <PATH> — Datei, die die Einstellungen für diese Richtlinie enthält

--sigstore-trust-config <PATH> — JSON-formatierte Datei, die der ClientTrustConfig-Nachricht in den Sigstore-Protobuf-Spezifikationen entspricht. Diese Datei konfiguriert den gesamten Zustand der Sigstore-Instanz, einschließlich der URIs, die zum Zugriff auf die CA und die Dienste für die Transparenz von Artefakten verwendet werden, sowie des kryptografischen Vertrauensankers selbst

--sources-path <PATH> — YAML-Datei, die Quellinformationen enthält (https, unsichere Registrierungs-Hosts, benutzerdefinierte CAs…​)

--title <VALUE> — Titel der Richtlinie

-t, --type <VALUE> — Admission Controller benutzerdefinierter Ressourcentyp
Mögliche Werte: ClusterAdmissionPolicy, AdmissionPolicy

-a, --verification-annotation <KEY=VALUE> — Annotation im key=value-Format. Kann mehrfach wiederholt werden

--verification-config-path <PATH> — YAML-Datei, die Informationen zur Verifizierungskonfiguration enthält (Signaturen, öffentliche Schlüssel…​)

-k, --verification-key <PATH> — Pfad zum Schlüssel, der zur Überprüfung der Richtlinie verwendet wird. Kann mehrfach wiederholt werden

-b, --binding <VALIDATING-ADMISSION-POLICY-BINDING.yaml> — Die Datei, die die Definition der ValidatingAdmissionPolicyBinding enthält

--cel-policy <URI> — Das CEL-Richtlinienmodul, das verwendet werden soll
Standardwert: ghcr.io/kubewarden/policies/cel-policy:latest

-p, --policy <VALIDATING-ADMISSION-POLICY.yaml> — Die Datei, die die Definition der ValidatingAdmissionPolicy enthält

<URI> — Richtlinien-URI. Unterstützte Schemes: registry://

--cert-email <VALUE> — Erwartete E-Mail im Fulcio-Zertifikat

--cert-oidc-issuer <VALUE> — Erwarteter OIDC-Issuer in Fulcio-Zertifikaten

--docker-config-json-path <PATH> — Pfad zu einem Verzeichnis, das die Docker 'config.json'-Datei enthält. Kann verwendet werden, um Authentifizierungsdetails für die Registry anzugeben

--github-owner <VALUE> — Erwarteter GitHub-Besitzer in den in CD-Pipelines generierten Zertifikaten

--github-repo <VALUE> — Erwartetes GitHub-Repository in den in CD-Pipelines generierten Zertifikaten

--sigstore-trust-config <PATH> — JSON-formatierte Datei, die der ClientTrustConfig-Nachricht in den Sigstore-Protobuf-Spezifikationen entspricht. Diese Datei konfiguriert den gesamten Zustand der Sigstore-Instanz, einschließlich der URIs, die zum Zugriff auf die CA und die Dienste für die Transparenz von Artefakten verwendet werden, sowie des kryptografischen Vertrauensankers selbst

--sources-path <PATH> — YAML-Datei, die Quellinformationen enthält (https, unsichere Registrierungs-Hosts, benutzerdefinierte CAs…​)

-a, --verification-annotation <KEY=VALUE> — Annotation im key=value-Format. Kann mehrfach wiederholt werden

--verification-config-path <PATH> — YAML-Datei, die Informationen zur Verifizierungskonfiguration enthält (Signaturen, öffentliche Schlüssel…​)

-k, --verification-key <PATH> — Pfad zum Schlüssel, der zur Überprüfung der Richtlinie verwendet wird. Kann mehrfach wiederholt werden