reflect feedback

Author: kfess

content/ja/docs/tasks/administer-cluster/kubelet-credential-provider.md

@@ -1,8 +1,5 @@
 ---
 title: kubelet image credential providerの設定
-reviewers:
-- liggitt
-- cheftako
 content_type: task
 min-kubernetes-server-version: v1.26
 weight: 120
@@ -15,7 +12,7 @@ weight: 120
 Kubernetes v1.20以降、kubeletはexecプラグインを使用してコンテナイメージレジストリへの認証情報を動的に取得できるようになりました。
 kubeletとexecプラグインは、Kubernetesのバージョン管理されたAPIを用いて標準入出力(stdin、stdout、stderr)を通じて通信します。
 これらのプラグインを使用することで、kubeletはディスク上に静的な認証情報を保存する代わりに、コンテナレジストリへの認証情報を動的に要求できるようになります。
-たとえば、プラグインがローカルのメタデータサーバーと通信し、kubeletがプルしようとしているイメージに対する短命の認証情報を取得することがあります。
+たとえば、プラグインがローカルのメタデータサーバーと通信し、kubeletが取得しようとしているイメージに対する、短期間有効な認証情報を取得することがあります。
 
 以下のいずれかに該当する場合、この機能の利用を検討するとよいでしょう:
 
@@ -25,10 +22,10 @@ kubeletとexecプラグインは、Kubernetesのバージョン管理されたAP
 
 このガイドでは、kubelet image credential providerプラグイン機構の設定方法について説明します。
 
-## イメージプル用のServiceAccountトークン
+## イメージ取得用のServiceAccountトークン
 {{< feature-state feature_gate_name="KubeletServiceAccountTokenForCredentialProviders" >}}
 
-Kubernetes v1.33以降、kubeletは、イメージのプルを行っているPodにバインドされたサービスアカウントトークンを、credential providerプラグインに送信するように設定できます。
+Kubernetes v1.33以降、kubeletは、イメージの取得を行っているPodにバインドされたサービスアカウントトークンを、credential providerプラグインに送信するように設定できます。
 
 これにより、プラグインはそのトークンを使用して、イメージレジストリへのアクセスに必要な認証情報と交換することが可能になります。
 
@@ -38,12 +35,12 @@ Kubernetes v1.33以降、kubeletは、イメージのプルを行っているPod
 
 サービスアカウントトークンによる認証情報を用いることで、次のようなユースケースに対応できます:
 
-* レジストリからイメージをプルするために、kubeletやノードに基づくアイデンティティを必要としないようにする
-* 長期間有効なシークレットや永続的なシークレットを使用せずに、ワークロードが自身のランタイムのアイデンティティに基づいてイメージをプルできるようにする
+* レジストリからイメージを取得するために、kubeletやノードに基づくアイデンティティを必要としないようにする
+* 長期間有効なシークレットや永続的なシークレットを使用せずに、ワークロードが自身のランタイムのアイデンティティに基づいてイメージを取得できるようにする
 
 ## {{% heading "prerequisites" %}}
 
-* kubelet credential providerプラグインをサポートするノードを持つKubernetesクラスターが必要です。このサポートは、Kubernetes {{< skew currentVersion >}} で利用可能です。Kubernetes v1.24およびv1.25で、デフォルトで有効なベータ機能として含まれるようになりました。
+* kubelet credential providerプラグインをサポートするノードを持つKubernetesクラスターが必要です。このサポートは、Kubernetes {{< skew currentVersion >}}で利用可能です。Kubernetes v1.24およびv1.25で、デフォルトで有効なベータ機能として含まれるようになりました。
 * サービスアカウントトークンを必要とするcredential providerプラグインを設定する場合は、Kubernetes v1.33以降を実行しているノードを持つクラスターと、kubelet上で`KubeletServiceAccountTokenForCredentialProviders`フィーチャーゲートが有効になっている必要があります。
 * credential provider execプラグインの動作する実装。独自にプラグインを作成するか、クラウドプロバイダーが提供するものを使用できます。
 
@@ -86,7 +83,7 @@ providers:
  # プラグインが呼び出され、認証情報を提供する機会が与えられます。
  # イメージには、レジストリのドメインおよびURLパスが含まれている必要があります。
  #
- # matchImagesの各エントリーは、オプションでポートおよびパスを含むことができるパターンです。
+ # matchImagesの各エントリは、オプションでポートおよびパスを含むことができるパターンです。
  # ドメインにはグロブを使用できますが、ポートやパスには使用できません。
  # グロブは、'*.k8s.io'や'k8s.*.io'のようなサブドメインや、'k8s.*'のようなトップレベルドメインでサポートされています。
  # 'app*.k8s.io'のような部分的なサブドメインの一致もサポートされています。
@@ -120,15 +117,15 @@ providers:
  # +optional
  # args:
  # - --example-argument
- # Envは、プロセスに対して公開する追加の環境変数を定義します。
+ # envは、プロセスに対して公開する追加の環境変数を定義します。
  # これらはホストの環境変数および、client-goがプラグインに引数を渡すために使用する変数と結合されます。
  # +optional
  env:
  - name: AWS_PROFILE
  value: example_profile
 
  # tokenAttributesは、プラグインに渡されるサービスアカウントトークンの設定です。
- # このフィールドを設定することで、credential providerはイメージプルにサービスアカウントトークンを使用するようになります。
+ # このフィールドを設定することで、credential providerはイメージの取得にサービスアカウントトークンを使用するようになります。
  # このフィールドが設定されているにも関わらず、`KubeletServiceAccountTokenForCredentialProviders`フィーチャーゲートが有効になっていない場合、
  # kubeletは無効な設定エラーとして起動に失敗します。
  # +optional
@@ -140,14 +137,14 @@ providers:
  # trueに設定された場合、kubeletはPodにサービスアカウントがある場合にのみプラグインを呼び出します。
  # falseに設定された場合、Podにサービスアカウントがなくてもkubeletはプラグインを呼び出し、
  # CredentialProviderRequestにはトークンを含めません。これは、サービスアカウントを持たないPod
- # (たとえば、Static Pod)に対してイメージをプルするためのプラグインに有用です。
+ # (たとえば、Static Pod)に対してイメージを取得するためのプラグインに有用です。
  # +required
  requireServiceAccount: true
  # requiredServiceAccountAnnotationKeysは、プラグインが対象とし、サービスアカウントに存在する必要があるアノテーションキーのリストです。
  # このリストに定義されたキーは、対応するサービスアカウントから抽出され、CredentialProviderRequestの一部としてプラグインに渡されます。
  # このリストに定義されたキーのいずれかがサービスアカウントに存在しない場合、kubeletはプラグインを呼び出さず、エラーを返します。
  # このフィールドはオプションであり、空であっても構いません。プラグインはこのフィールドを使用して、
- # 認証情報の取得に必要な追加情報を抽出したり、サービスアカウントトークンによるイメージプルの利用を
+ # 認証情報の取得に必要な追加情報を抽出したり、サービスアカウントトークンによるイメージ取得の利用を
  # ワークロード側で選択可能にしたりできます。
  # このフィールドが空でない場合、requireServiceAccountはtrueに設定されていなければなりません。
  # このリストに定義されたキーは一意である必要があり、
@@ -172,7 +169,7 @@ providers:
 ```
 
 `providers`フィールドは、kubeletが使用する有効なプラグインのリストです。
-各エントリーには、いくつかの入力必須のフィールドがあります:
+各エントリには、いくつかの入力必須のフィールドがあります:
 
 * `name`: プラグインの名前であり、`--image-credential-provider-bin-dir`で指定されたディレクトリ内に存在する実行可能バイナリの名前と一致していなければなりません。
 * `matchImages`: このプロバイダーを呼び出すべきかどうかを判断するために、イメージと照合するための文字列リスト。詳細は後述します。
@@ -182,9 +179,7 @@ providers:
 各credential providerには、オプションの引数や環境変数を指定することもできます。
 特定のプラグインで必要となる引数や環境変数のセットについては、プラグインの実装者に確認してください。
 
-KubeletServiceAccountTokenForCredentialProvidersフィーチャーゲートを使用し、
-tokenAttributesフィールドを設定してプラグインにサービスアカウントトークンを使用させる場合、
-以下のフィールドの設定が必須となります:
+KubeletServiceAccountTokenForCredentialProvidersフィーチャーゲートを使用し、tokenAttributesフィールドを設定してプラグインにサービスアカウントトークンを使用させる場合、以下のフィールドの設定が必須となります:
 
 * `serviceAccountTokenAudience`:
  投影されたサービスアカウントトークンの対象となるオーディエンス。
@@ -195,21 +190,21 @@ tokenAttributesフィールドを設定してプラグインにサービスア
  * `true`に設定すると、Podにサービスアカウントがある場合にのみkubeletはプラグインを呼び出します。
  * `false`に設定すると、Podにサービスアカウントがなくてもkubeletはプラグインを呼び出し、`CredentialProviderRequest`にはトークンを含めません。
 
-これは、サービスアカウントを持たないPod(たとえば、Static Pod)に対してイメージをプルするためのプラグインに有用です。
+これは、サービスアカウントを持たないPod(たとえば、Static Pod)に対してイメージを取得するためのプラグインに有用です。
 
 #### イメージのマッチングを設定する
 
 各credential providerの`matchImages`フィールドは、Podが使用する特定のイメージに対してプラグインを呼び出すべきかどうかを、kubeletが判断するために使用されます。
-`matchImages`の各エントリーはイメージパターンであり、オプションでポートやパスを含めることができます。
+`matchImages`の各エントリはイメージパターンであり、オプションでポートやパスを含めることができます。
 ドメインにはグロブを使用できますが、ポートやパスには使用できません。
 グロブは、`*.k8s.io`や`k8s.*.io`のようなサブドメインや、`k8s.*`のようなトップレベルドメインで使用可能です。
 `app*.k8s.io`のような部分的なサブドメインの一致もサポートされています。
 ただし、各グロブは1つのサブドメインセグメントにしか一致しないため、`*.io`は`*.k8s.io`には一致しません。
 
-イメージ名と`matchImage`エントリーが一致すると見なされるのは、以下のすべての条件を満たす場合です:
+イメージ名と`matchImage`エントリが一致すると見なされるのは、以下のすべての条件を満たす場合です:
 
 * 両者が同じ数のドメインパートを持ち、それぞれのパートが一致していること。
-* match imageに指定されたURLパスが、対象のイメージのURLパスのプレフィックスであること。
+* イメージの一致条件として指定されたURLパスが、対象のイメージのURLパスのプレフィックスであること。
 * matchImagesにポートが含まれている場合、イメージのポートとも一致すること。
 
 `matchImages`パターンの値のいくつかの例: