ValidatingAdmissionPolicy v1beta1
apiVersion: admissionregistration.k8s.io/v1beta1
import "k8s.io/api/admissionregistration/v1beta1"
ValidatingAdmissionPolicy
ValidatingAdmissionPolicy 描述了准入校验策略的定义,该策略接受或拒绝对象而不更改它。
apiVersion: admissionregistration.k8s.io/v1beta1
kind: ValidatingAdmissionPolicy
metadata (ObjectMeta)
标准对象元数据;更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
spec (ValidatingAdmissionPolicySpec)
ValidatingAdmissionPolicy 的期望行为规范。
ValidatingAdmissionPolicySpec 是 AdmissionPolicy 的期望行为规范。
spec.auditAnnotations ([]AuditAnnotation)
原子性:在合并期间将被替换
auditAnnotations 包含用于为 API 请求的审计事件生成审计注释的 CEL 表达式。validations 和 auditAnnotations 不能都为空;至少需要 validations 或 auditAnnotations 中的一个。
AuditAnnotation 描述了如何为 API 请求生成审计注释。
spec.auditAnnotations.key (string), 必需
key 指定审计注释键。ValidatingAdmissionPolicy 的审计注释键必须唯一。该键必须是合格名称 ([A-Za-z0-9][-A-Za-z0-9_.]*),长度不超过 63 个字节。
该键与 ValidatingAdmissionPolicy 的资源名称组合在一起,以构造审计注释键:"{ValidatingAdmissionPolicy 名称}/{key}"。
如果准入 webhook 使用与该 ValidatingAdmissionPolicy 相同的资源名称和相同的审计注释键,则注释键将相同。在这种情况下,使用该键写入的第一个注释将包含在审计事件中,并且所有后续具有相同键的注释都将被丢弃。
必需。
spec.auditAnnotations.valueExpression (string), 必需
valueExpression 表示由 CEL 评估以生成审计注释值的表达式。该表达式必须评估为字符串或空值。如果表达式评估为字符串,则审计注释将包含字符串值。如果表达式评估为空或空字符串,则将省略审计注释。valueExpression 的长度不得超过 5kb。如果 valueExpression 的结果长度超过 10kb,则将被截断为 10kb。
如果多个 ValidatingAdmissionPolicyBinding 资源与 API 请求匹配,则将为每个绑定评估 valueExpression。valueExpressions 生成的所有唯一值将以逗号分隔的列表连接在一起。
必需。
spec.failurePolicy (string)
failurePolicy 定义了如何处理准入策略的失败。失败可能由 CEL 表达式解析错误、类型检查错误、运行时错误以及无效或配置错误的策略定义或绑定引起。
如果 spec.paramKind 引用了不存在的 Kind,则策略无效。如果 spec.paramRef.name 引用了不存在的资源,则绑定无效。
failurePolicy 没有定义如何处理评估为 false 的验证。
当 failurePolicy 设置为 Fail 时,ValidatingAdmissionPolicyBinding validationActions 定义了如何强制执行失败。
允许的值为 Ignore 或 Fail。默认为 Fail。
spec.matchConditions ([]MatchCondition)
修补策略:在键
name上合并映射:合并期间将保留键名上的唯一值
MatchConditions 是一个条件列表,必须满足这些条件才能验证请求。匹配条件过滤已由规则、namespaceSelector 和 objectSelector 匹配的请求。最多允许 64 个匹配条件。
如果提供了参数对象,则可以通过
params句柄以与验证表达式相同的方式访问它。确切的匹配逻辑是(按顺序)
- 如果任何 matchCondition 评估为 FALSE,则跳过该策略。
- 如果所有 matchCondition 都评估为 TRUE,则评估该策略。
- 如果有任何 matchCondition 评估为错误(但没有一个是 FALSE)
- 如果 failurePolicy=Fail,则拒绝请求
- 如果 failurePolicy=Ignore,则跳过该策略
MatchCondition 表示必须满足的条件,以便将请求发送到 webhook。
spec.matchConditions.expression (string), 必需
Expression 表示将由 CEL 评估的表达式。必须评估为布尔值。CEL 表达式可以访问 AdmissionRequest 和 Authorizer 的内容,这些内容被组织成 CEL 变量
'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。'oldObject' - 现有对象。对于 CREATE 请求,该值为 null。'request' - 准入请求的属性 (/pkg/apis/admission/types.go#AdmissionRequest)。'authorizer' - CEL Authorizer。可用于对请求的委托人(用户或服务帐户)执行授权检查。请参阅 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz'authorizer.requestResource' - 从 'authorizer' 构造并使用请求资源配置的 CEL ResourceCheck。有关 CEL 的文档:https://kubernetes.ac.cn/docs/reference/using-api/cel/
必需。
spec.matchConditions.name (string), 必需
Name 是此匹配条件的标识符,用于 MatchConditions 的策略性合并,以及提供用于记录目的的标识符。一个好的名称应该能够描述关联的表达式。Name 必须是由字母数字字符、'-'、'' 或 '.' 组成的合格名称,并且必须以字母数字字符开头和结尾(例如 'MyName' 或 'my.name' 或 '123-abc',用于验证的正则表达式为 '([A-Za-z0-9][-A-Za-z0-9.]*)?[A-Za-z0-9]'),并带有一个可选的 DNS 子域名前缀和 '/'(例如 'example.com/MyName')
必需。
spec.matchConstraints (MatchResources)
MatchConstraints 指定此策略旨在验证哪些资源。如果请求与*所有*约束条件匹配,则 AdmissionPolicy 会关注该请求。但是,为了防止集群进入无法通过 API 恢复的非稳定状态,ValidatingAdmissionPolicy 不能匹配 ValidatingAdmissionPolicy 和 ValidatingAdmissionPolicyBinding。必需。
MatchResources 根据对象是否满足匹配条件来决定是否对其运行准入控制策略。排除规则优先于包含规则(如果资源同时匹配两者,则将其排除)
spec.matchConstraints.excludeResourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ExcludeResourceRules 描述了 ValidatingAdmissionPolicy 不应关注哪些资源/子资源上的哪些操作。排除规则优先于包含规则(如果资源同时匹配两者,则将其排除)
NamedRuleWithOperations 是 Operations 和 Resources 与 ResourceNames 的元组。
spec.matchConstraints.excludeResourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 是所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 是所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关注的操作 - CREATE、UPDATE、DELETE、CONNECT 或 *,表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchConstraints.excludeResourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 pod。'pods/log' 表示 pod 的日志子资源。'' 表示所有资源,但不包括子资源。'pods/' 表示 pod 的所有子资源。'/scale' 表示所有 scale 子资源。'/*' 表示所有资源及其子资源。
如果存在通配符,则验证规则将确保资源之间不会重叠。
根据封闭对象的类型,可能不允许使用子资源。必需。
spec.matchConstraints.excludeResourceRules.scope (string)
scope 指定此规则的范围。有效值为 "Cluster"、"Namespaced" 和 ""。"Cluster" 表示只有集群范围的资源才能匹配此规则。命名空间 API 对象是集群范围的。"Namespaced" 表示只有命名空间资源才能匹配此规则。"" 表示没有范围限制。子资源与其父资源的范围相匹配。默认值为 " * "。
spec.matchConstraints.matchPolicy (字符串)
matchPolicy 定义如何使用 "MatchResources" 列表来匹配传入的请求。允许的值为 "Exact" 或 "Equivalent"。
Exact:仅当请求与指定的规则完全匹配时才匹配。例如,如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改部署,但 "rules" 中仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则对 apps/v1beta1 或 extensions/v1beta1 的请求不会发送到 ValidatingAdmissionPolicy。Equivalent:如果请求修改了规则中列出的资源,即使是通过其他 API 组或版本进行修改,也会匹配该请求。例如,如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改部署,并且 "rules" 中仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则对 apps/v1beta1 或 extensions/v1beta1 的请求将转换为 apps/v1 并发送到 ValidatingAdmissionPolicy。
默认为 "Equivalent"。
spec.matchConstraints.namespaceSelector (LabelSelector)
NamespaceSelector 根据对象的命名空间是否与选择器匹配来决定是否对该对象运行准入控制策略。如果对象本身是一个命名空间,则匹配将在 object.metadata.labels 上执行。如果对象是另一个集群范围的资源,则它永远不会跳过策略。
例如,要在命名空间未与 "runlevel" 的 "0" 或 "1" 关联的任何对象上运行 webhook,您需要按如下方式设置选择器:"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] }
相反,如果您只想在命名空间与 "prod" 或 "staging" 的 "environment" 关联的任何对象上运行策略,则需要按如下方式设置选择器:"namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] }
有关标签选择器的更多示例,请参阅 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels/。
默认为空的 LabelSelector,它匹配所有内容。
spec.matchConstraints.objectSelector (LabelSelector)
ObjectSelector 根据对象是否具有匹配的标签来决定是否运行验证。objectSelector 将针对将发送到 cel 验证的 oldObject 和 newObject 进行评估,如果其中任何一个对象与选择器匹配,则认为匹配。空对象(创建情况下的 oldObject 或删除情况下的 newObject)或不能具有标签的对象(如 DeploymentRollback 或 PodProxyOptions 对象)不被视为匹配。仅当 webhook 是可选的情况下才使用对象选择器,因为最终用户可以通过设置标签来跳过准入 webhook。默认为空的 LabelSelector,它匹配所有内容。
spec.matchConstraints.resourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ResourceRules 描述 ValidatingAdmissionPolicy 匹配哪些资源/子资源上的哪些操作。如果策略与任何规则匹配,则它会关心该操作。
NamedRuleWithOperations 是 Operations 和 Resources 与 ResourceNames 的元组。
spec.matchConstraints.resourceRules.apiGroups ([]字符串)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 是所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.apiVersions ([]字符串)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 是所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.operations ([]字符串)
原子性:在合并期间将被替换
Operations 是准入钩子关注的操作 - CREATE、UPDATE、DELETE、CONNECT 或 *,表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.resourceNames ([]字符串)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchConstraints.resourceRules.resources ([]字符串)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 pod。'pods/log' 表示 pod 的日志子资源。'' 表示所有资源,但不包括子资源。'pods/' 表示 pod 的所有子资源。'/scale' 表示所有 scale 子资源。'/*' 表示所有资源及其子资源。
如果存在通配符,则验证规则将确保资源之间不会重叠。
根据封闭对象的类型,可能不允许使用子资源。必需。
spec.matchConstraints.resourceRules.scope (字符串)
scope 指定此规则的范围。有效值为 "Cluster"、"Namespaced" 和 ""。"Cluster" 表示只有集群范围的资源才能匹配此规则。命名空间 API 对象是集群范围的。"Namespaced" 表示只有命名空间资源才能匹配此规则。"" 表示没有范围限制。子资源与其父资源的范围相匹配。默认值为 " * "。
spec.paramKind (ParamKind)
ParamKind 指定用于参数化此策略的资源类型。如果不存在,则此策略没有参数,并且不会向验证表达式提供 param CEL 变量。如果 ParamKind 引用不存在的类型,则此策略定义配置错误,并且将应用 FailurePolicy。如果指定了 paramKind 但在 ValidatingAdmissionPolicyBinding 中未设置 paramRef,则 params 变量将为空。
spec.paramKind.apiVersion (字符串)
APIVersion 是资源所属的 API 组版本。格式为 "group/version"。必需。
spec.paramKind.kind (字符串)
Kind 是资源所属的 API 类型。必需。
spec.validations ([]Validation)
原子性:在合并期间将被替换
Validations 包含用于应用验证的 CEL 表达式。Validations 和 AuditAnnotations 不能都为空;至少需要一个 Validations 或 AuditAnnotations。
spec.validations.expression (字符串),必需
Expression 表示将由 CEL 评估的表达式。参考:https://github.com/google/cel-spec CEL 表达式可以访问 API 请求/响应的内容,这些内容被组织成 CEL 变量以及一些其他有用的变量
- 'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。 - 'oldObject' - 现有对象。对于 CREATE 请求,该值为 null。 - 'request' - API 请求的属性(参考)。 - 'params' - 正在评估的策略绑定所引用的参数资源。仅当策略具有 ParamKind 时才会填充。 - 'namespaceObject' - 传入对象所属的命名空间对象。对于集群范围的资源,该值为 null。 - 'variables' - 组合变量的映射,从其名称到其延迟计算的值。例如,名为 'foo' 的变量可以通过 'variables.foo' 访问。
- 'authorizer' - CEL 授权器。可用于对请求的委托人(用户或服务帐户)执行授权检查。请参阅 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz
- 'authorizer.requestResource' - 从 'authorizer' 构造并使用请求资源配置的 CEL ResourceCheck。
apiVersion、kind、metadata.name和metadata.generateName始终可以从对象的根目录访问。不能访问其他元数据属性。只有格式为
[a-zA-Z_.-/][a-zA-Z0-9_.-/]*的属性名称可以访问。可访问的属性名称在表达式中访问时,将根据以下规则进行转义: - '' 转义为 'underscores__' - '.' 转义为 'dot' - '-' 转义为 'dash' - '/' 转义为 'slash' - 与 CEL 保留关键字完全匹配的属性名称转义为 '{keyword}__'。这些关键字包括:"true"、"false"、"null"、"in"、"as"、"break"、"const"、"continue"、"else"、"for"、"function"、"if"、"import"、"let"、"loop"、"package"、"namespace"、"return"。示例- 访问名为 "namespace" 的属性的表达式:{"Expression": "object.namespace > 0"}
- 访问名为 "x-prop" 的属性的表达式:{"Expression": "object.x__dash__prop > 0"}
- 访问名为 "redact__d" 的属性的表达式:{"Expression": "object.redact__underscores__d > 0"}
列表类型为 'set' 或 'map' 的数组上的相等性比较会忽略元素顺序,即 [1, 2] == [2, 1]。具有 x-kubernetes-list-type 的数组上的串联使用列表类型的语义
- 'set':
X + Y执行并集操作,其中X中所有元素的数组位置都保留,而Y中不相交的元素将被追加,并保留其部分顺序。 - 'map':
X + Y执行合并操作,其中X中所有键的数组位置都保留,但当X和Y的键集相交时,值将被Y中的值覆盖。Y中具有不相交键的元素将被追加,并保留其部分顺序。必需。
spec.validations.message (字符串)
Message 表示验证失败时显示的消息。如果表达式包含换行符,则需要此消息。消息不得包含换行符。如果未设置,则消息为 "failed rule: {Rule}"。例如 "必须是与 spec.host 匹配的 URL"。如果表达式包含换行符,则需要消息。消息不得包含换行符。如果未设置,则消息为 "failed Expression: {Expression}"。
spec.validations.messageExpression (字符串)
messageExpression 声明一个 CEL 表达式,该表达式计算结果为在该规则失败时返回的验证失败消息。由于 messageExpression 用作失败消息,因此它必须计算结果为字符串。如果 message 和 messageExpression 都出现在验证上,则如果验证失败,将使用 messageExpression。如果 messageExpression 导致运行时错误,则记录运行时错误,并生成验证失败消息,就像未设置 messageExpression 字段一样。如果 messageExpression 计算结果为空字符串、仅包含空格的字符串或包含换行符的字符串,则也会生成验证失败消息,就像未设置 messageExpression 字段一样,并且会记录 messageExpression 生成空字符串/仅包含空格的字符串/包含换行符的字符串的事实。messageExpression 可以访问与
expression相同的所有变量,但 'authorizer' 和 'authorizer.requestResource' 除外。示例:"object.x 必须小于最大值 ("+string(params.max)+")"。spec.validations.reason (字符串)
Reason 表示此验证失败原因的机器可读描述。如果这是列表中第一个失败的验证,则此原因以及相应的 HTTP 响应代码将在 HTTP 响应中返回给客户端。当前支持的原因包括:"Unauthorized"、"Forbidden"、"Invalid"、"RequestEntityTooLarge"。如果未设置,则在对客户端的响应中使用 StatusReasonInvalid。
spec.variables ([]Variable)
修补策略:在键
name上合并映射:合并期间将保留键名上的唯一值
Variables 包含可在其他表达式组合中使用的变量定义。每个变量都定义为一个命名的 CEL 表达式。此处定义的变量将在策略的其他表达式(MatchConditions 除外)中的
variables下可用,因为 MatchConditions 在策略的其余部分之前进行评估。变量的表达式可以引用列表中前面定义的其他变量,但不能引用后面的变量。因此,变量必须按首次出现的顺序排序,并且不能循环。
Variable 是用于组合的变量的定义。变量定义为一个命名的表达式。
spec.variables.expression (字符串),必需
Expression 是将作为变量值进行评估的表达式。CEL 表达式可以访问与 Validation 中的 CEL 表达式相同的标识符。
spec.variables.name (字符串),必需
名称是变量的名称。名称必须是有效的 CEL 标识符,并且在所有变量中唯一。可以通过
variables在其他表达式中访问该变量。例如,如果名称为“foo”,则该变量将作为variables.foo可用
status (ValidatingAdmissionPolicyStatus)
ValidatingAdmissionPolicy 的状态,包括有助于确定策略是否按预期方式运行的警告。由系统填充。只读。
ValidatingAdmissionPolicyStatus 表示准入验证策略的状态。
status.conditions ([]Condition)
映射:合并期间将保留键类型上的唯一值
这些条件表示对策略当前状态的最新可用观察结果。
Condition 包含此 API 资源当前状态的一个方面的详细信息。
status.conditions.lastTransitionTime (时间),必需
lastTransitionTime 是条件从一种状态转换到另一种状态的最后时间。这应该是底层条件发生变化的时间。如果不知道,则可以使用 API 字段更改的时间。
Time 是 time.Time 的包装器,它支持正确地编组到 YAML 和 JSON。为 time 包提供的许多工厂方法提供了包装器。
status.conditions.message (字符串),必需
message 是一条人类可读的消息,指示有关转换的详细信息。这可能是一个空字符串。
status.conditions.reason (字符串),必需
reason 包含一个编程标识符,指示条件上次转换的原因。特定条件类型的生产者可以为此字段定义预期值和含义,以及这些值是否被视为有保证的 API。该值应为驼峰式字符串。此字段不能为空。
status.conditions.status (字符串),必需
条件的状态,值为 True、False、Unknown 之一。
status.conditions.type (字符串),必需
条件类型,采用驼峰式或 foo.example.com/驼峰式。
status.conditions.observedGeneration (int64)
observedGeneration 表示设置条件所依据的 .metadata.generation。例如,如果 .metadata.generation 当前为 12,但 .status.conditions[x].observedGeneration 为 9,则表示该条件相对于实例的当前状态已过期。
status.observedGeneration (int64)
控制器观察到的代数。
status.typeChecking (TypeChecking)
每个表达式的类型检查结果。此字段的存在表示类型检查已完成。
TypeChecking 包含 ValidatingAdmissionPolicy 中表达式的类型检查结果
status.typeChecking.expressionWarnings ([]ExpressionWarning)
原子性:在合并期间将被替换
每个表达式的类型检查警告。
ExpressionWarning 是针对特定表达式的警告信息。
status.typeChecking.expressionWarnings.fieldRef (字符串),必需
引用表达式的字段的路径。例如,对 validations 的第一项的表达式的引用是“spec.validations[0].expression”
status.typeChecking.expressionWarnings.warning (字符串),必需
类型检查信息的以人类可读形式表示的内容。警告的每一行都包含对表达式进行检查的类型,后跟编译器的类型检查错误。
ValidatingAdmissionPolicyList
ValidatingAdmissionPolicyList 是 ValidatingAdmissionPolicy 的列表。
apiVersion (字符串)
APIVersion 定义对象的此表示形式的版本化架构。服务器应将识别的架构转换为最新的内部值,并且可以拒绝无法识别的值。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
items ([]ValidatingAdmissionPolicy)
ValidatingAdmissionPolicy 列表。
kind (字符串)
Kind 是一个字符串值,表示此对象表示的 REST 资源。服务器可以从客户端提交请求的端点推断出这一点。无法更新。采用驼峰式。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ListMeta)
标准列表元数据。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
ValidatingAdmissionPolicyBinding
ValidatingAdmissionPolicyBinding 将 ValidatingAdmissionPolicy 与参数化资源绑定在一起。ValidatingAdmissionPolicyBinding 和参数 CRD 共同定义了集群管理员如何为集群配置策略。
对于给定的准入请求,每个绑定将导致其策略被评估 N 次,其中对于不使用参数的策略/绑定,N 为 1,否则 N 为绑定选择的参数数量。
策略的 CEL 表达式必须具有低于最大 CEL 预算的计算 CEL 成本。策略的每次评估都被赋予独立的 CEL 成本预算。添加/删除策略、绑定或参数不会影响给定的(策略、绑定、参数)组合是否在其自己的 CEL 预算内。
apiVersion (字符串)
APIVersion 定义对象的此表示形式的版本化架构。服务器应将识别的架构转换为最新的内部值,并且可以拒绝无法识别的值。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
kind (字符串)
Kind 是一个字符串值,表示此对象表示的 REST 资源。服务器可以从客户端提交请求的端点推断出这一点。无法更新。采用驼峰式。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ObjectMeta)
标准对象元数据;更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
spec (ValidatingAdmissionPolicyBindingSpec)
ValidatingAdmissionPolicyBinding 的所需行为规范。
ValidatingAdmissionPolicyBindingSpec 是 ValidatingAdmissionPolicyBinding 的规范。
spec.matchResources (MatchResources)
MatchResources 声明哪些资源与此绑定匹配并将由其验证。请注意,这与策略的 matchConstraints 相交,因此只能选择策略匹配的请求。如果未设置,则策略匹配的所有资源都将由此绑定验证。如果未设置 resourceRules,则不会限制资源匹配。如果资源与此对象的其它字段匹配,则将对其进行验证。请注意,这与 ValidatingAdmissionPolicy matchConstraints 不同,后者需要 resourceRules。
MatchResources 根据对象是否满足匹配条件来决定是否对其运行准入控制策略。排除规则优先于包含规则(如果资源同时匹配两者,则将其排除)
spec.matchResources.excludeResourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ExcludeResourceRules 描述了 ValidatingAdmissionPolicy 不应关注哪些资源/子资源上的哪些操作。排除规则优先于包含规则(如果资源同时匹配两者,则将其排除)
NamedRuleWithOperations 是 Operations 和 Resources 与 ResourceNames 的元组。
spec.matchResources.excludeResourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 是所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 是所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关注的操作 - CREATE、UPDATE、DELETE、CONNECT 或 *,表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchResources.excludeResourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 pod。'pods/log' 表示 pod 的日志子资源。'' 表示所有资源,但不包括子资源。'pods/' 表示 pod 的所有子资源。'/scale' 表示所有 scale 子资源。'/*' 表示所有资源及其子资源。
如果存在通配符,则验证规则将确保资源之间不会重叠。
根据封闭对象的类型,可能不允许使用子资源。必需。
spec.matchResources.excludeResourceRules.scope (字符串)
scope 指定此规则的范围。有效值为 "Cluster"、"Namespaced" 和 ""。"Cluster" 表示只有集群范围的资源才能匹配此规则。命名空间 API 对象是集群范围的。"Namespaced" 表示只有命名空间资源才能匹配此规则。"" 表示没有范围限制。子资源与其父资源的范围相匹配。默认值为 " * "。
spec.matchResources.matchPolicy (字符串)
matchPolicy 定义如何使用 "MatchResources" 列表来匹配传入的请求。允许的值为 "Exact" 或 "Equivalent"。
Exact:仅当请求与指定的规则完全匹配时才匹配。例如,如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改部署,但 "rules" 中仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则对 apps/v1beta1 或 extensions/v1beta1 的请求不会发送到 ValidatingAdmissionPolicy。Equivalent:如果请求修改了规则中列出的资源,即使是通过其他 API 组或版本进行修改,也会匹配该请求。例如,如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改部署,并且 "rules" 中仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则对 apps/v1beta1 或 extensions/v1beta1 的请求将转换为 apps/v1 并发送到 ValidatingAdmissionPolicy。
默认为 "Equivalent"。
spec.matchResources.namespaceSelector (LabelSelector)
NamespaceSelector 根据对象的命名空间是否与选择器匹配来决定是否对该对象运行准入控制策略。如果对象本身是一个命名空间,则匹配将在 object.metadata.labels 上执行。如果对象是另一个集群范围的资源,则它永远不会跳过策略。
例如,要在命名空间未与 "runlevel" 的 "0" 或 "1" 关联的任何对象上运行 webhook,您需要按如下方式设置选择器:"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] }
相反,如果您只想在命名空间与 "prod" 或 "staging" 的 "environment" 关联的任何对象上运行策略,则需要按如下方式设置选择器:"namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] }
有关标签选择器的更多示例,请参阅 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels/。
默认为空的 LabelSelector,它匹配所有内容。
spec.matchResources.objectSelector (LabelSelector)
ObjectSelector 根据对象是否具有匹配的标签来决定是否运行验证。objectSelector 将针对将发送到 cel 验证的 oldObject 和 newObject 进行评估,如果其中任何一个对象与选择器匹配,则认为匹配。空对象(创建情况下的 oldObject 或删除情况下的 newObject)或不能具有标签的对象(如 DeploymentRollback 或 PodProxyOptions 对象)不被视为匹配。仅当 webhook 是可选的情况下才使用对象选择器,因为最终用户可以通过设置标签来跳过准入 webhook。默认为空的 LabelSelector,它匹配所有内容。
spec.matchResources.resourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ResourceRules 描述 ValidatingAdmissionPolicy 匹配哪些资源/子资源上的哪些操作。如果策略与任何规则匹配,则它会关心该操作。
NamedRuleWithOperations 是 Operations 和 Resources 与 ResourceNames 的元组。
spec.matchResources.resourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 是所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 是所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关注的操作 - CREATE、UPDATE、DELETE、CONNECT 或 *,表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchResources.resourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 pod。'pods/log' 表示 pod 的日志子资源。'' 表示所有资源,但不包括子资源。'pods/' 表示 pod 的所有子资源。'/scale' 表示所有 scale 子资源。'/*' 表示所有资源及其子资源。
如果存在通配符,则验证规则将确保资源之间不会重叠。
根据封闭对象的类型,可能不允许使用子资源。必需。
spec.matchResources.resourceRules.scope (字符串)
scope 指定此规则的范围。有效值为 "Cluster"、"Namespaced" 和 ""。"Cluster" 表示只有集群范围的资源才能匹配此规则。命名空间 API 对象是集群范围的。"Namespaced" 表示只有命名空间资源才能匹配此规则。"" 表示没有范围限制。子资源与其父资源的范围相匹配。默认值为 " * "。
spec.paramRef (ParamRef)
paramRef 指定用于配置准入控制策略的参数资源。它应指向绑定 ValidatingAdmissionPolicy 的 ParamKind 中指定的类型的资源。如果策略指定了 ParamKind 并且 ParamRef 引用的资源不存在,则认为此绑定配置错误,并应用 ValidatingAdmissionPolicy 的 FailurePolicy。如果策略未指定 ParamKind,则忽略此字段,并且在没有参数的情况下评估规则。
ParamRef 描述如何定位要用作策略绑定应用的规则的表达式的输入的参数。
spec.paramRef.name (字符串)
name 是被引用资源的名称。
必须设置
name或selector之一,但name和selector是互斥的属性。如果设置了一个,则另一个必须取消设置。可以通过设置
name字段、将selector留空并在paramKind为命名空间范围时设置命名空间来配置用于所有准入请求的单个参数。spec.paramRef.namespace (字符串)
namespace 是被引用资源的命名空间。允许将参数搜索限制在特定的命名空间内。适用于
name和selector字段。可以通过在策略中指定命名空间范围的
paramKind并将此字段留空来使用每个命名空间的参数。如果
paramKind是集群范围的,则必须取消设置此字段。设置此字段会导致配置错误。如果
paramKind是命名空间范围的,则当此字段留空时,将使用正在评估准入的对象的命名空间。请注意,如果将其留空,则绑定不得匹配任何集群范围的资源,否则会导致错误。
spec.paramRef.parameterNotFoundAction (字符串)
parameterNotFoundAction控制绑定在资源存在且名称或选择器有效但绑定没有匹配任何参数时的行为。如果该值设置为Allow,则绑定会将没有匹配的参数视为成功的验证。如果设置为Deny,则没有匹配的参数将服从策略的failurePolicy。允许的值为
Allow或Deny必需
spec.paramRef.selector (LabelSelector)
选择器可用于根据标签匹配多个参数对象。提供选择器:{} 以匹配 ParamKind 的所有资源。
如果找到多个参数,则使用策略表达式对它们进行评估,并将结果进行 AND 运算。
必须设置
name或selector之一,但name和selector是互斥的属性。如果设置了一个,则另一个必须取消设置。
spec.policyName (字符串)
PolicyName 引用 ValidatingAdmissionPolicyBinding 绑定到的 ValidatingAdmissionPolicy 名称。如果引用的资源不存在,则认为此绑定无效并将被忽略。必需。
spec.validationActions ([]string)
集合:合并期间将保留唯一值
validationActions 声明如何强制执行引用的 ValidatingAdmissionPolicy 的验证。如果验证结果为 false,则始终根据这些操作强制执行。
仅当 FailurePolicy 设置为 Fail 时,才会根据这些操作强制执行 ValidatingAdmissionPolicy 的 FailurePolicy 定义的故障,否则将忽略这些故障。这包括编译错误、运行时错误和策略的错误配置。
validationActions 被声明为一组操作值。顺序无关紧要。validationActions 不得包含相同操作的重复项。
支持的操作值包括
“Deny”指定验证失败会导致请求被拒绝。
“Warn”指定在 HTTP 警告标头中使用警告代码 299 向请求客户端报告验证失败。可以为允许或拒绝的准入响应发送警告。
“Audit”指定在请求的已发布审计事件中包含验证失败。审计事件将包含一个 `validation.policy.admission.k8s.io/validation_failure` 审计注释,其值包含验证失败的详细信息,格式化为 JSON 对象列表,每个对象都包含以下字段:- message:验证失败消息字符串 - policy:ValidatingAdmissionPolicy 的资源名称 - binding:ValidatingAdmissionPolicyBinding 的资源名称 - expressionIndex:ValidatingAdmissionPolicy 中失败验证的索引 - validationActions:为验证失败而执行的强制操作 示例审计注释:`“validation.policy.admission.k8s.io/validation_failure”: "[{"message": "Invalid value", {"policy": "policy.example.com", {"binding": "policybinding.example.com", {"expressionIndex": "1", {"validationActions": ["Audit"]}]"``
客户端应该通过忽略任何未识别的值来处理附加值。
“Deny”和“Warn”不能一起使用,因为这种组合会在 API 响应正文和 HTTP 警告标头中不必要地重复验证失败。
必需。
操作
`get` 读取指定的 ValidatingAdmissionPolicy
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies/{name}
参数
**name** (在路径中): string,必需
ValidatingAdmissionPolicy 的名称
**pretty** (在查询中): string
响应
200 (ValidatingAdmissionPolicy): 正常
401: 未授权
`get` 读取指定 ValidatingAdmissionPolicy 的状态
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies/{name}/status
参数
**name** (在路径中): string,必需
ValidatingAdmissionPolicy 的名称
**pretty** (在查询中): string
响应
200 (ValidatingAdmissionPolicy): 正常
401: 未授权
`list` 列出或监视 ValidatingAdmissionPolicy 类型的对象
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies
参数
**allowWatchBookmarks** (在查询中): boolean
**continue** (在查询中): string
**fieldSelector** (在查询中): string
**labelSelector** (在查询中): string
**limit** (在查询中): integer
**pretty** (在查询中): string
**resourceVersion** (在查询中): string
**resourceVersionMatch** (在查询中): string
**sendInitialEvents** (在查询中): boolean
**timeoutSeconds** (在查询中): integer
**watch** (在查询中): boolean
响应
200 (ValidatingAdmissionPolicyList): 正常
401: 未授权
`create` 创建一个 ValidatingAdmissionPolicy
HTTP 请求
POST /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies
参数
**body**: ValidatingAdmissionPolicy,必需
**dryRun** (在查询中): string
**fieldManager** (在查询中): string
**fieldValidation** (在查询中): string
**pretty** (在查询中): string
响应
200 (ValidatingAdmissionPolicy): 正常
201 (ValidatingAdmissionPolicy): 已创建
202 (ValidatingAdmissionPolicy): 已接受
401: 未授权
`update` 替换指定的 ValidatingAdmissionPolicy
HTTP 请求
PUT /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies/{name}
参数
**name** (在路径中): string,必需
ValidatingAdmissionPolicy 的名称
**body**: ValidatingAdmissionPolicy,必需
**dryRun** (在查询中): string
**fieldManager** (在查询中): string
**fieldValidation** (在查询中): string
**pretty** (在查询中): string
响应
200 (ValidatingAdmissionPolicy): 正常
201 (ValidatingAdmissionPolicy): 已创建
401: 未授权
`update` 替换指定 ValidatingAdmissionPolicy 的状态
HTTP 请求
PUT /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies/{name}/status
参数
**name** (在路径中): string,必需
ValidatingAdmissionPolicy 的名称
**body**: ValidatingAdmissionPolicy,必需
**dryRun** (在查询中): string
**fieldManager** (在查询中): string
**fieldValidation** (在查询中): string
**pretty** (在查询中): string
响应
200 (ValidatingAdmissionPolicy): 正常
201 (ValidatingAdmissionPolicy): 已创建
401: 未授权
`patch` 部分更新指定的 ValidatingAdmissionPolicy
HTTP 请求
PATCH /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies/{name}
参数
**name** (在路径中): string,必需
ValidatingAdmissionPolicy 的名称
**body**: Patch,必需
**dryRun** (在查询中): string
**fieldManager** (在查询中): string
**fieldValidation** (在查询中): string
**force** (在查询中): boolean
**pretty** (在查询中): string
响应
200 (ValidatingAdmissionPolicy): 正常
201 (ValidatingAdmissionPolicy): 已创建
401: 未授权
`patch` 部分更新指定 ValidatingAdmissionPolicy 的状态
HTTP 请求
PATCH /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies/{name}/status
参数
**name** (在路径中): string,必需
ValidatingAdmissionPolicy 的名称
**body**: Patch,必需
**dryRun** (在查询中): string
**fieldManager** (在查询中): string
**fieldValidation** (在查询中): string
**force** (在查询中): boolean
**pretty** (在查询中): string
响应
200 (ValidatingAdmissionPolicy): 正常
201 (ValidatingAdmissionPolicy): 已创建
401: 未授权
`delete` 删除 ValidatingAdmissionPolicy
HTTP 请求
DELETE /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies/{name}
参数
**name** (在路径中): string,必需
ValidatingAdmissionPolicy 的名称
**body**: DeleteOptions
**dryRun** (在查询中): string
**gracePeriodSeconds** (在查询中): integer
**pretty** (在查询中): string
**propagationPolicy** (在查询中): string
响应
200 (Status): 正常
202 (Status): 已接受
401: 未授权
`deletecollection` 删除 ValidatingAdmissionPolicy 集合
HTTP 请求
DELETE /apis/admissionregistration.k8s.io/v1beta1/validatingadmissionpolicies
参数
**body**: DeleteOptions
**continue** (在查询中): string
**dryRun** (在查询中): string
**fieldSelector** (在查询中): string
**gracePeriodSeconds** (在查询中): integer
**labelSelector** (在查询中): string
**limit** (在查询中): integer
**pretty** (在查询中): string
**propagationPolicy** (在查询中): string
**resourceVersion** (在查询中): string
**resourceVersionMatch** (在查询中): string
**sendInitialEvents** (在查询中): boolean
**timeoutSeconds** (在查询中): integer
响应
200 (Status): 正常
401: 未授权
此页面是自动生成的。
如果您计划报告此页面的问题,请在问题描述中提及该页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。