kwctl CLI

annotate — Ajoute des métadonnées Admission Controller à un module WebAssembly

bench — Évalue une stratégie Admission Controller

completions — Génère des complétions de shell

digest — Récupère le digest à partir du manifeste OCI d’une stratégie

docs — Génère la documentation markdown pour les commandes kwctl

info — Affiche les informations système

inspect — Inspecte la stratégie Admission Controller

load — Charge des stratégies à partir d’un fichier tar.gz

policies — Liste toutes les stratégies téléchargées

pull — Récupère une stratégie Admission Controller à partir d’une URI donnée

push — Pousse une stratégie Admission Controller vers un registre OCI

rm — Supprime une stratégie Admission Controller du magasin

run — Exécute une stratégie Admission Controller à partir d’une URI donnée

save — Enregistre les stratégies dans un fichier tar.gz

scaffold — Génère une ressource Kubernetes ou un fichier de configuration

verify — Vérifie une stratégie Admission Controller à partir d’une URI donnée en utilisant Sigstore

-v, --verbose <VERBOSE> — Augmente la verbosité

--no-color <NO-COLOR> — Désactive la sortie colorée

<WASM-PATH> — Chemin vers le module WebAssembly à annoter

-m, --metadata-path <PATH> — Fichier contenant les métadonnées

-o, --output-path <PATH> — Fichier de sortie

-u, --usage-path <PATH> — Fichier contenant les informations d’utilisation de la stratégie

<URI_OR_SHA_PREFIX_OR_YAML_FILE> — URI de la stratégie, préfixe SHA ou fichier YAML contenant les ressources de stratégie Admission Controller. Schémas pris en charge : registry://, https://, file://. Si le schéma est omis, file:// est supposé, enraciné dans le répertoire courant.

--allow-context-aware <ALLOW-CONTEXT-AWARE> — Accorde l’accès aux ressources Kubernetes définies dans la section contextAwareResources de la stratégie. Avertissement : examinez attentivement la liste des ressources pour éviter les abus. Désactivée par défaut

--cert-email <VALUE> — Email attendu dans le certificat Fulcio

--cert-oidc-issuer <VALUE> — Émetteur OIDC attendu dans les certificats Fulcio

--disable-wasmtime-cache <DISABLE-WASMTIME-CACHE> — Désactiver l’utilisation du cache wasmtime

--docker-config-json-path <PATH> — Chemin vers un répertoire contenant le fichier 'config.json' de Docker. Peut être utilisé pour indiquer les détails d’authentification du registre

--dump-results-to-disk <DUMP_RESULTS_TO_DISK> — Place les résultats dans target/tiny-bench/label/.. si la cible peut être trouvée. utilisé pour comparer les exécutions précédentes

-e, --execution-mode <MODE> — Le composant d’exécution à utiliser pour exécuter cette stratégie
Valeurs possibles : opa, gatekeeper, kubewarden, wasi

--github-owner <VALUE> — Propriétaire GitHub attendu dans les certificats générés dans les pipelines CD

--github-repo <VALUE> — Dépôt GitHub attendu dans les certificats générés dans les pipelines CD

--measurement-time <SECONDS> — Combien de temps le banc d’essai 'devrait' fonctionner, num_samples est priorisé donc le banc d’essai prendra plus de temps pour pouvoir collecter num_samples si le code à tester est plus lent que cette limite de temps autorisée

--num-resamples <NUM> — Combien de rééchantillonnages doivent être effectués

--num-samples <NUM> — Combien de rééchantillonnages doivent être effectués. Recommandé au moins 50, au-dessus de 100 ne semble pas donner un résultat significativement différent.

--raw <RAW> — Valider une requête brute
Valeur par défaut : false

--record-host-capabilities-interactions <FILE> — Enregistrer toutes les communications de stratégie et de capacités d’hôte dans le fichier donné. Utile à combiner plus tard avec le drapeau '--replay-host-capabilities-interactions'

--replay-host-capabilities-interactions <FILE> — Pendant les échanges de stratégie et de capacités d’hôte, l’hôte renvoie les réponses trouvées dans le fichier fourni. Ceci est utile pour tester des stratégies de manière reproductible, étant donné qu’aucune interaction externe avec les registres OCI, DNS, Kubernetes n’est effectuée.

-r, --request-path <PATH> — Fichier contenant l’objet de demande d’admission Kubernetes au format JSON

--settings-json <VALUE> — Chaîne JSON contenant les paramètres pour cette stratégie

-s, --settings-path <PATH> — Fichier contenant les paramètres pour cette stratégie

--sigstore-trust-config <PATH> — Fichier au format JSON conforme au message ClientTrustConfig dans les spécifications protobuf de Sigstore. Ce fichier configure l’état entier de l’instance Sigstore, y compris les URI utilisés pour accéder aux services de CA et de transparence des artefacts ainsi que la racine de confiance cryptographique elle-même

--sources-path <PATH> — Fichier YAML contenant des informations source (https, hôtes de registre non sécurisés, CA personnalisées…​)

-a, --verification-annotation <KEY=VALUE> — Annotation au format clé=valeur. Peut être répété plusieurs fois

--verification-config-path <PATH> — Fichier YAML contenant des informations de configuration de vérification (signatures, clés publiques…​)

-k, --verification-key <PATH> — Chemin vers la clé utilisée pour vérifier la stratégie. Peut être répété plusieurs fois

--warm-up-time <SECONDS> — Combien de temps le banc doit se réchauffer

-s, --shell <VALUE> — Type de shell
Valeurs possibles : bash, elvish, fish, powershell, zsh

<URI> — URI de la stratégie

--docker-config-json-path <PATH> — Chemin vers un répertoire contenant le fichier 'config.json' de Docker. Peut être utilisé pour indiquer les détails d’authentification du registre

--sources-path <PATH> — Fichier YAML contenant des informations source (https, hôtes de registre non sécurisés, CA personnalisées…​)

-o, --output <FILE> — chemin où le fichier de documentation sera stocké

<URI_OR_SHA_PREFIX> — URI de la stratégie ou préfixe SHA. Schémas pris en charge : registry://, https://, file://. Si le schéma est omis, file:// est supposé, enraciné dans le répertoire courant.

--docker-config-json-path <PATH> — Chemin vers un répertoire contenant le fichier 'config.json' de Docker. Peut être utilisé pour indiquer les détails d’authentification du registre

-o, --output <FORMAT> — Format de sortie
Valeurs possibles : yaml

--show-signatures <SHOW-SIGNATURES> — Afficher les signatures sigstore

--sources-path <PATH> — Fichier YAML contenant des informations source (https, hôtes de registre non sécurisés, CA personnalisées…​)

--input <INPUT> — charger des stratégies à partir d’une archive tarball

<URI> — URI de la stratégie. Schémas pris en charge : registry://, https://, file://

--cert-email <VALUE> — Email attendu dans le certificat Fulcio

--cert-oidc-issuer <VALUE> — Émetteur OIDC attendu dans les certificats Fulcio

--docker-config-json-path <DOCKER_CONFIG> — Chemin vers un répertoire contenant le fichier 'config.json' de Docker. Peut être utilisé pour indiquer les détails d’authentification du registre

--github-owner <VALUE> — Propriétaire GitHub attendu dans les certificats générés dans les pipelines CD

--github-repo <VALUE> — Dépôt GitHub attendu dans les certificats générés dans les pipelines CD

-o, --output-path <PATH> — Fichier de sortie. Si non fourni, sera téléchargé dans le magasin Admission Controller

--sigstore-trust-config <PATH> — Fichier au format JSON conforme au message ClientTrustConfig dans les spécifications protobuf de Sigstore. Ce fichier configure l’état entier de l’instance Sigstore, y compris les URI utilisés pour accéder aux services de CA et de transparence des artefacts ainsi que la racine de confiance cryptographique elle-même

--sources-path <PATH> — Fichier YAML contenant des informations source (https, hôtes de registre non sécurisés, CA personnalisées…​)

-a, --verification-annotation <KEY=VALUE> — Annotation au format clé=valeur. Peut être répété plusieurs fois

--verification-config-path <PATH> — Fichier YAML contenant des informations de configuration de vérification (signatures, clés publiques…​)

-k, --verification-key <PATH> — Chemin vers la clé utilisée pour vérifier la stratégie. Peut être répété plusieurs fois

<POLICY> — Stratégie à pousser. Peut être le chemin vers un fichier local, une URI de stratégie ou le préfixe SHA d’une stratégie dans le magasin.

<URI> — URI de la stratégie. Schémas pris en charge : registry://

--docker-config-json-path <PATH> — Chemin vers un répertoire contenant le fichier 'config.json' de Docker. Peut être utilisé pour indiquer les détails d’authentification du registre

-f, --force <FORCE> — Pousser également une stratégie qui n’est pas annotée

-o, --output <PATH> — Format de sortie
Valeur par défaut : text
Valeurs possibles : text, json

--sources-path <PATH> — Fichier YAML contenant des informations source (https, hôtes de registre non sécurisés, CA personnalisées…​)

<URI_OR_SHA_PREFIX> — URI de stratégie ou préfixe SHA

<URI_OR_SHA_PREFIX_OR_YAML_FILE> — URI de la stratégie, préfixe SHA ou fichier YAML contenant les ressources de stratégie Admission Controller. Schémas pris en charge : registry://, https://, file://. Si le schéma est omis, file:// est supposé, ancré dans le répertoire courant.

--allow-context-aware <ALLOW-CONTEXT-AWARE> — Accorde l’accès aux ressources Kubernetes définies dans la section contextAwareResources de la stratégie. Avertissement : examinez attentivement la liste des ressources pour éviter les abus. Désactivée par défaut

--cert-email <VALUE> — Email attendu dans le certificat Fulcio

--cert-oidc-issuer <VALUE> — Émetteur OIDC attendu dans les certificats Fulcio

--disable-wasmtime-cache <DISABLE-WASMTIME-CACHE> — Désactiver l’utilisation du cache wasmtime

--docker-config-json-path <PATH> — Chemin vers un répertoire contenant le fichier 'config.json' de Docker. Peut être utilisé pour indiquer les détails d’authentification du registre

-e, --execution-mode <MODE> — Le composant d’exécution à utiliser pour exécuter cette stratégie
Valeurs possibles : opa, gatekeeper, kubewarden, wasi

--github-owner <VALUE> — Propriétaire GitHub attendu dans les certificats générés dans les pipelines CD

--github-repo <VALUE> — Dépôt GitHub attendu dans les certificats générés dans les pipelines CD

--raw <RAW> — Valider une requête brute
Valeur par défaut : false

--record-host-capabilities-interactions <FILE> — Enregistrer toutes les communications de stratégie et de capacités d’hôte dans le fichier donné. Utile à combiner plus tard avec le drapeau '--replay-host-capabilities-interactions'

--replay-host-capabilities-interactions <FILE> — Pendant les échanges de stratégie et de capacités d’hôte, l’hôte renvoie les réponses trouvées dans le fichier fourni. Ceci est utile pour tester des stratégies de manière reproductible, étant donné qu’aucune interaction externe avec les registres OCI, DNS, Kubernetes n’est effectuée.

-r, --request-path <PATH> — Fichier contenant l’objet de demande d’admission Kubernetes au format JSON

--settings-json <VALUE> — Chaîne JSON contenant les paramètres pour cette stratégie

-s, --settings-path <PATH> — Fichier contenant les paramètres pour cette stratégie

--sigstore-trust-config <PATH> — Fichier au format JSON conforme au message ClientTrustConfig dans les spécifications protobuf de Sigstore. Ce fichier configure l’état entier de l’instance Sigstore, y compris les URI utilisés pour accéder aux services de CA et de transparence des artefacts ainsi que la racine de confiance cryptographique elle-même

--sources-path <PATH> — Fichier YAML contenant des informations source (https, hôtes de registre non sécurisés, CA personnalisées…​)

-a, --verification-annotation <KEY=VALUE> — Annotation au format clé=valeur. Peut être répété plusieurs fois

--verification-config-path <PATH> — Fichier YAML contenant des informations de configuration de vérification (signatures, clés publiques…​)

-k, --verification-key <PATH> — Chemin vers la clé utilisée pour vérifier la stratégie. Peut être répété plusieurs fois

<POLICIES> — liste des stratégies à sauvegarder

-o, --output <FILE> — chemin où le fichier sera stocké

admission-request — Créer un objet AdmissionRequest

artifacthub — Générer un fichier artifacthub-pkg.yml à partir d’un fichier metadata.yml

manifest — Générer un manifeste de ressource Kubernetes

vap — Convertir un ValidatingAdmissionPolicy Kubernetes en un Admission Controller ClusterAdmissionPolicy

verification-config — Générer un fichier de configuration de vérification Sigstore par défaut

--object <PATH> — Le fichier contenant le nouvel objet à admettre

--old-object <PATH> — Le fichier contenant l’objet existant

-o, --operation <TYPE> — Type de ressource personnalisée Admission Controller
Valeurs possibles : CREATE

-m, --metadata-path <PATH> — Fichier contenant les métadonnées de la stratégie

-o, --output <FILE> — Chemin où le fichier artifact-pkg.yml sera stocké

-q, --questions-path <PATH> — Fichier contenant le contenu de questions-ui de la stratégie

-v, --version <VALUE> — Version Semver de la stratégie

<URI_OR_SHA_PREFIX> — URI de la stratégie ou préfixe SHA. Schémas pris en charge : registry://, https://, file://. Si le schéma est omis, file:// est supposé, ancré dans le répertoire courant.

--allow-context-aware <ALLOW-CONTEXT-AWARE> — Utilise les métadonnées de la stratégie pour définir quelles ressources Kubernetes peuvent être accessibles par la stratégie. Avertissement : examinez attentivement la liste des ressources pour éviter les abus. Désactivée par défaut

--cert-email <VALUE> — Email attendu dans le certificat Fulcio

--cert-oidc-issuer <VALUE> — Émetteur OIDC attendu dans les certificats Fulcio

--docker-config-json-path <DOCKER_CONFIG> — Chemin vers un répertoire contenant le fichier 'config.json' de Docker. Peut être utilisé pour indiquer les détails d’authentification du registre

--fulcio-cert-path <PATH> — Chemin vers le certificat Fulcio. Peut être répété plusieurs fois

--github-owner <VALUE> — Propriétaire GitHub attendu dans les certificats générés dans les pipelines CD

--github-repo <VALUE> — Dépôt GitHub attendu dans les certificats générés dans les pipelines CD

--rekor-public-key-path <PATH> — Chemin vers la clé publique Rekor. Peut être répété plusieurs fois

--settings-json <VALUE> — Chaîne JSON contenant les paramètres pour cette stratégie

-s, --settings-path <PATH> — Fichier contenant les paramètres pour cette stratégie

--sigstore-trust-config <PATH> — Fichier au format JSON conforme au message ClientTrustConfig dans les spécifications protobuf de Sigstore. Ce fichier configure l’état entier de l’instance Sigstore, y compris les URI utilisés pour accéder aux services de CA et de transparence des artefacts ainsi que la racine de confiance cryptographique elle-même

--sources-path <PATH> — Fichier YAML contenant des informations source (https, hôtes de registre non sécurisés, CA personnalisées…​)

--title <VALUE> — Titre de la stratégie

-t, --type <VALUE> — Admission Controller type de ressource personnalisée
Valeurs possibles : ClusterAdmissionPolicy, AdmissionPolicy

-a, --verification-annotation <KEY=VALUE> — Annotation au format clé=valeur. Peut être répété plusieurs fois

--verification-config-path <PATH> — Fichier YAML contenant des informations de configuration de vérification (signatures, clés publiques…​)

-k, --verification-key <PATH> — Chemin vers la clé utilisée pour vérifier la stratégie. Peut être répété plusieurs fois

-b, --binding <VALIDATING-ADMISSION-POLICY-BINDING.yaml> — Le fichier contenant la définition de ValidatingAdmissionPolicyBinding

--cel-policy <URI> — Le module de stratégie CEL à utiliser
Valeur par défaut : ghcr.io/kubewarden/policies/cel-policy:latest

-p, --policy <VALIDATING-ADMISSION-POLICY.yaml> — Le fichier contenant la définition de ValidatingAdmissionPolicy

<URI> — URI de la stratégie. Schémas pris en charge : registry://

--cert-email <VALUE> — Email attendu dans le certificat Fulcio

--cert-oidc-issuer <VALUE> — Émetteur OIDC attendu dans les certificats Fulcio

--docker-config-json-path <PATH> — Chemin vers un répertoire contenant le fichier 'config.json' de Docker. Peut être utilisé pour indiquer les détails d’authentification du registre

--github-owner <VALUE> — Propriétaire GitHub attendu dans les certificats générés dans les pipelines CD

--github-repo <VALUE> — Dépôt GitHub attendu dans les certificats générés dans les pipelines CD

--sigstore-trust-config <PATH> — Fichier au format JSON conforme au message ClientTrustConfig dans les spécifications protobuf de Sigstore. Ce fichier configure l’état entier de l’instance Sigstore, y compris les URI utilisés pour accéder aux services de CA et de transparence des artefacts ainsi que la racine de confiance cryptographique elle-même

--sources-path <PATH> — Fichier YAML contenant des informations source (https, hôtes de registre non sécurisés, CA personnalisées…​)

-a, --verification-annotation <KEY=VALUE> — Annotation au format clé=valeur. Peut être répété plusieurs fois

--verification-config-path <PATH> — Fichier YAML contenant des informations de configuration de vérification (signatures, clés publiques…​)

-k, --verification-key <PATH> — Chemin vers la clé utilisée pour vérifier la stratégie. Peut être répété plusieurs fois