Pod
apiVersion: v1
import "k8s.io/api/core/v1"
Pod
Pod 是可以在主机上运行的容器集合。此资源由客户端创建并调度到主机上。
apiVersion: v1
kind: Pod
metadata (ObjectMeta)
标准对象的元数据。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
spec (PodSpec)
Pod 的预期行为规范。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
status (PodStatus)
Pod 最近观察到的状态。此数据可能不是最新的。由系统填充。只读。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status
PodSpec
PodSpec 是 Pod 的描述。
容器
containers ([]Container), 必需
补丁策略:按键
name合并属于 Pod 的容器列表。目前无法添加或删除容器。Pod 中必须至少有一个容器。无法更新。
initContainers ([]Container)
补丁策略:按键
name合并属于 Pod 的初始化容器列表。初始化容器在容器启动之前按顺序执行。如果任何初始化容器失败,则 Pod 被视为失败,并根据其重启策略进行处理。初始化容器或普通容器的名称在所有容器中必须是唯一的。初始化容器可能没有生命周期操作、就绪探测、存活探测或启动探测。初始化容器的 resourceRequirements 在调度期间被考虑在内,方法是找到每个资源类型的最高请求/限制,然后使用该值或普通容器总和的最大值。限制以类似的方式应用于初始化容器。目前无法添加或删除初始化容器。无法更新。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/init-containers/
ephemeralContainers ([]EphemeralContainer)
补丁策略:按键
name合并在该 Pod 中运行的临时容器列表。临时容器可以在现有 Pod 中运行,以执行用户发起的操作,例如调试。创建 Pod 时不能指定此列表,也不能通过更新 Pod 规范来修改它。为了将临时容器添加到现有 Pod,请使用 Pod 的 ephemeralcontainers 子资源。
imagePullSecrets ([]LocalObjectReference)
补丁策略:按键
name合并ImagePullSecrets 是对同一命名空间中用于拉取此 PodSpec 使用的任何镜像的密钥的可选引用列表。如果指定,这些密钥将传递给各个拉取器实现,供它们使用。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/images#specifying-imagepullsecrets-on-a-pod
enableServiceLinks (布尔值)
EnableServiceLinks 指示是否应将有关服务的信息注入 Pod 的环境变量中,匹配 Docker 链接的语法。可选:默认为 true。
os (PodOS)
指定 Pod 中容器的操作系统。如果设置了此项,则某些 Pod 和容器字段将受到限制。
如果 OS 字段设置为 linux,则以下字段必须取消设置:-securityContext.windowsOptions
如果 OS 字段设置为 windows,则以下字段必须取消设置:- spec.hostPID - spec.hostIPC - spec.hostUsers - spec.securityContext.seLinuxOptions - spec.securityContext.seccompProfile - spec.securityContext.fsGroup - spec.securityContext.fsGroupChangePolicy - spec.securityContext.sysctls - spec.shareProcessNamespace - spec.securityContext.runAsUser - spec.securityContext.runAsGroup - spec.securityContext.supplementalGroups - spec.containers[].securityContext.seLinuxOptions - spec.containers[].securityContext.seccompProfile - spec.containers[].securityContext.capabilities - spec.containers[].securityContext.readOnlyRootFilesystem - spec.containers[].securityContext.privileged - spec.containers[].securityContext.allowPrivilegeEscalation - spec.containers[].securityContext.procMount - spec.containers[].securityContext.runAsUser - spec.containers[*].securityContext.runAsGroup
os.name (字符串), 必需
Name 是操作系统的名称。当前支持的值是 linux 和 windows。将来可能会定义其他值,并且可以是以下之一:https://github.com/opencontainers/runtime-spec/blob/master/config.md#platform-specific-configuration 客户端应该预期处理其他值,并将此字段中无法识别的值视为 os: null
卷
volumes ([]Volume)
补丁策略:保留键,按键
name合并属于 Pod 的容器可以挂载的卷列表。更多信息:https://kubernetes.ac.cn/docs/concepts/storage/volumes
调度
nodeSelector (map[string]string)
NodeSelector 是一个选择器,Pod 必须满足该选择器才能适合节点。选择器必须与节点的标签匹配,Pod 才能调度到该节点上。更多信息:https://kubernetes.ac.cn/docs/concepts/configuration/assign-pod-node/
nodeName (字符串)
NodeName 是将此 Pod 调度到特定节点的请求。如果它不为空,调度程序只需将此 Pod 调度到该节点上,假设它符合资源要求。
affinity (Affinity)
如果指定,则为 Pod 的调度约束
affinity.nodeAffinity (NodeAffinity)
描述 Pod 的节点亲和力调度规则。
affinity.podAffinity (PodAffinity)
描述 Pod 亲和力调度规则(例如,将此 Pod 与其他 Pod(s) 放在同一个节点、区域等)。
affinity.podAntiAffinity (PodAntiAffinity)
描述 Pod 反亲和力调度规则(例如,避免将此 Pod 与其他 Pod(s) 放在同一个节点、区域等)。
tolerations ([]Toleration)
如果指定,则为 Pod 的容忍度。
此 Toleration 附加到的 Pod 容忍任何与三元组 <key,value,effect> 匹配的污点,使用匹配运算符
. tolerations.key (字符串)
Key 是容忍度适用的污点键。空表示匹配所有污点键。如果键为空,则运算符必须为 Exists;此组合表示匹配所有值和所有键。
tolerations.operator (字符串)
Operator 表示键与值的关系。有效的运算符是 Exists 和 Equal。默认为 Equal。Exists 等效于值的通配符,因此 Pod 可以容忍特定类别的所有污点。
tolerations.value (字符串)
Value 是容忍度匹配的污点值。如果运算符是 Exists,则该值应为空,否则只是一个普通的字符串。
tolerations.effect (字符串)
Effect 指示要匹配的污点效果。空表示匹配所有污点效果。如果指定,允许的值为 NoSchedule、PreferNoSchedule 和 NoExecute。
tolerations.tolerationSeconds (int64)
TolerationSeconds 表示容忍度(必须是 NoExecute 效果,否则此字段将被忽略)容忍污点的时间段。默认情况下,它未设置,这意味着永远容忍污点(不要驱逐)。系统将把零和负值视为 0(立即驱逐)。
schedulerName (字符串)
如果指定,则 Pod 将由指定的调度程序调度。如果未指定,则 Pod 将由默认调度程序调度。
runtimeClassName (字符串)
RuntimeClassName 引用 node.k8s.io 组中的 RuntimeClass 对象,应使用该对象运行此 Pod。如果没有任何 RuntimeClass 资源与命名类匹配,则不会运行 Pod。如果未设置或为空,则将使用“legacy”RuntimeClass,它是一个隐式类,具有空的定义,使用默认运行时处理程序。更多信息:https://git.k8s.io/enhancements/keps/sig-node/585-runtime-class
priorityClassName (字符串)
如果指定,则表示 Pod 的优先级。“system-node-critical” 和 “system-cluster-critical” 是两个特殊关键字,它们表示最高优先级,前者是最高优先级。任何其他名称都必须通过创建具有该名称的 PriorityClass 对象来定义。如果未指定,则 Pod 优先级将为默认值或零(如果不存在默认值)。
priority (int32)
优先级值。各种系统组件使用此字段来查找 Pod 的优先级。当启用优先级准入控制器时,它会阻止用户设置此字段。准入控制器从 PriorityClassName 填充此字段。值越高,优先级越高。
preemptionPolicy (字符串)
PreemptionPolicy 是抢占具有较低优先级的 Pod 的策略。Never、PreemptLowerPriority 之一。如果未设置,则默认为 PreemptLowerPriority。
topologySpreadConstraints ([]TopologySpreadConstraint)
补丁策略:根据键
topologyKey合并映射:合并期间将保留键
topologyKey, whenUnsatisfiable上的唯一值TopologySpreadConstraints 描述了一组 Pod 如何跨拓扑域分布。调度器将以符合约束的方式调度 Pod。所有 topologySpreadConstraints 都是 ANDed。
TopologySpreadConstraint 指定如何在给定拓扑中分布匹配的 Pod。
topologySpreadConstraints.maxSkew (int32), 必需
MaxSkew 描述了 Pod 分布不均匀的程度。当
whenUnsatisfiable=DoNotSchedule时,它是目标拓扑中匹配 Pod 数量与全局最小值之间允许的最大差异。全局最小值是合格域中匹配 Pod 的最小数量,如果合格域的数量小于 MinDomains,则为零。例如,在一个 3 区集群中,MaxSkew 设置为 1,具有相同标签选择器的 Pod 分布为 2/2/1:在这种情况下,全局最小值为 1。| 区 1 | 区 2 | 区 3 | | P P | P P | P | - 如果 MaxSkew 为 1,则传入的 Pod 只能调度到区 3 以变为 2/2/2;将其调度到区 1(区 2)将使区 1(区 2)上的 ActualSkew(3-1)违反 MaxSkew(1)。- 如果 MaxSkew 为 2,则传入的 Pod 可以调度到任何区域。当whenUnsatisfiable=ScheduleAnyway时,它用于优先考虑满足它的拓扑。这是一个必需字段。默认值为 1,不允许为 0。topologySpreadConstraints.topologyKey (string), 必需
TopologyKey 是节点标签的键。具有此键和相同值的标签的节点被认为在同一个拓扑中。我们将每个 <键,值> 视为一个“桶”,并尝试将平衡数量的 Pod 放入每个桶中。我们将域定义为拓扑的特定实例。此外,我们将合格域定义为其节点满足 nodeAffinityPolicy 和 nodeTaintsPolicy 要求的域。例如,如果 TopologyKey 为“kubernetes.io/hostname”,则每个节点都是该拓扑的域。并且,如果 TopologyKey 为“topology.kubernetes.io/zone”,则每个区域都是该拓扑的域。这是一个必需字段。
topologySpreadConstraints.whenUnsatisfiable (string), 必需
WhenUnsatisfiable 指示如果 Pod 不满足分布约束,如何处理它。- DoNotSchedule(默认)告诉调度器不要调度它。- ScheduleAnyway 告诉调度器在任何位置调度 Pod,但优先考虑有助于减少偏差的拓扑。当且仅当传入 Pod 的所有可能的节点分配都会违反某些拓扑上的“MaxSkew”时,约束才被认为是“不可满足的”。例如,在一个 3 区集群中,MaxSkew 设置为 1,具有相同标签选择器的 Pod 分布为 3/1/1:| 区 1 | 区 2 | 区 3 | | P P P | P | P | 如果 WhenUnsatisfiable 设置为 DoNotSchedule,则传入的 Pod 只能调度到区 2(区 3)以变为 3/2/1(3/1/2),因为区 2(区 3)上的 ActualSkew(2-1)满足 MaxSkew(1)。换句话说,集群仍然可以不平衡,但调度器不会使其变得更不平衡。这是一个必需字段。
topologySpreadConstraints.labelSelector (LabelSelector)
LabelSelector 用于查找匹配的 Pod。匹配此标签选择器的 Pod 将被计算以确定其对应拓扑域中的 Pod 数量。
topologySpreadConstraints.matchLabelKeys ([]string)
原子:将在合并期间被替换
MatchLabelKeys 是一组 Pod 标签键,用于选择将对其进行分布计算的 Pod。这些键用于从传入的 Pod 标签中查找值,这些键值标签与标签选择器进行 AND 操作,以选择将为传入的 Pod 计算分布的现有 Pod 组。相同的键禁止同时存在于 MatchLabelKeys 和 LabelSelector 中。当 LabelSelector 未设置时,MatchLabelKeys 不能设置。传入的 Pod 标签中不存在的键将被忽略。空列表或空列表表示仅与标签选择器匹配。
这是一个 beta 字段,需要启用 MatchLabelKeysInPodTopologySpread 功能门(默认情况下启用)。
topologySpreadConstraints.minDomains (int32)
MinDomains 指示合格域的最小数量。当具有匹配拓扑键的合格域数量小于 minDomains 时,Pod 拓扑分布将“全局最小值”视为 0,然后执行偏差计算。当具有匹配拓扑键的合格域数量等于或大于 minDomains 时,此值对调度没有影响。因此,当合格域的数量小于 minDomains 时,调度器不会向这些域调度超过 maxSkew 个 Pod。如果值为 nil,则约束的行为就像 MinDomains 等于 1 一样。有效值为大于 0 的整数。当值不为 nil 时,WhenUnsatisfiable 必须为 DoNotSchedule。
例如,在一个 3 区集群中,MaxSkew 设置为 2,MinDomains 设置为 5,具有相同标签选择器的 Pod 分布为 2/2/2:| 区 1 | 区 2 | 区 3 | | P P | P P | P P | 域的数量小于 5(MinDomains),因此“全局最小值”被视为 0。在这种情况下,具有相同标签选择器的新的 Pod 无法调度,因为如果新的 Pod 调度到三个区域中的任何一个,计算出的偏差将为 3(3 - 0),它将违反 MaxSkew。
这是一个 beta 字段,需要启用 MinDomainsInPodTopologySpread 功能门(默认情况下启用)。
topologySpreadConstraints.nodeAffinityPolicy (string)
NodeAffinityPolicy 指示在计算 Pod 拓扑分布偏差时,我们将如何处理 Pod 的 nodeAffinity/nodeSelector。选项是:- Honor:仅包含与 nodeAffinity/nodeSelector 匹配的节点。- Ignore:忽略 nodeAffinity/nodeSelector。所有节点都包含在计算中。
如果此值为 nil,则行为等效于 Honor 策略。这是一个 beta 级功能,默认情况下由 NodeInclusionPolicyInPodTopologySpread 功能标志启用。
topologySpreadConstraints.nodeTaintsPolicy (string)
NodeTaintsPolicy 指示在计算 Pod 拓扑分布偏差时,我们将如何处理节点污点。选项是:- Honor:包含没有污点的节点,以及传入的 Pod 具有容忍度的污点节点。- Ignore:忽略节点污点。所有节点都包含在内。
如果此值为 nil,则行为等效于 Ignore 策略。这是一个 beta 级功能,默认情况下由 NodeInclusionPolicyInPodTopologySpread 功能标志启用。
overhead (map[string]Quantity)
Overhead 表示与为给定 RuntimeClass 运行 Pod 相关的资源开销。此字段将在准入时由 RuntimeClass 准入控制器自动填充。如果启用了 RuntimeClass 准入控制器,则不得在 Pod 创建请求中设置 overhead。RuntimeClass 准入控制器将拒绝已设置 overhead 的 Pod 创建请求。如果在 PodSpec 中配置并选择了 RuntimeClass,则 Overhead 将设置为相应 RuntimeClass 中定义的值,否则它将保持未设置状态并被视为零。更多信息:https://git.k8s.io/enhancements/keps/sig-node/688-pod-overhead/README.md
生命周期
restartPolicy (string)
Pod 中所有容器的重启策略。Always、OnFailure、Never 之一。在某些情况下,可能只允许这些值的一部分。默认为 Always。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle/#restart-policy
terminationGracePeriodSeconds (int64)
Pod 需要正常终止的可选持续时间(以秒为单位)。可以在删除请求中减少。值必须是非负整数。值为零表示立即通过 kill 信号停止(没有机会关闭)。如果此值为 nil,则将使用默认的宽限期。宽限期是在向 Pod 中运行的进程发送终止信号后,进程被强制使用 kill 信号停止之前的持续时间(以秒为单位)。将此值设置为比您的进程的预期清理时间更长。默认为 30 秒。
activeDeadlineSeconds (int64)
Pod 相对于 StartTime 在节点上可以处于活动状态的可选持续时间(以秒为单位),在此之后系统将主动尝试将其标记为失败并杀死关联的容器。值必须是正整数。
readinessGates ([]PodReadinessGate)
如果指定,所有就绪门将被评估以确定 Pod 就绪状态。当所有容器都就绪并且就绪门中指定的所有条件的状态都等于“True”时,Pod 就绪。更多信息:https://git.k8s.io/enhancements/keps/sig-network/580-pod-readiness-gates
PodReadinessGate 包含对 Pod 条件的引用
readinessGates.conditionType (string), 必需
ConditionType 指的是 Pod 条件列表中类型匹配的条件。
主机名和名称解析
hostname (string)
指定 Pod 的主机名。如果未指定,则 Pod 的主机名将设置为系统定义的值。
setHostnameAsFQDN (boolean)
如果为 true,则 Pod 的主机名将配置为 Pod 的 FQDN,而不是叶节点名称(默认值)。在 Linux 容器中,这意味着在内核的主机名字段(struct utsname 的 nodename 字段)中设置 FQDN。在 Windows 容器中,这意味着将注册表键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 的主机名注册表值设置为 FQDN。如果 Pod 没有 FQDN,则不会产生任何影响。默认为 false。
subdomain (string)
如果指定,则完全限定的 Pod 主机名将为“<hostname>.<subdomain>.<pod namespace>.svc.<cluster domain>”。如果未指定,则 Pod 根本不会有域名。
hostAliases ([]HostAlias)
补丁策略:根据键
ip合并HostAliases 是一个可选的主机和 IP 列表,如果指定,这些列表将被注入到 Pod 的 hosts 文件中。这仅对非 hostNetwork Pod 有效。
HostAlias 保存 IP 和主机名之间的映射,这些映射将作为 Pod 的 hosts 文件中的条目注入。
hostAliases.hostnames ([]string)
上面 IP 地址的主机名。
hostAliases.ip (string)
主机文件条目的 IP 地址。
dnsConfig (PodDNSConfig)
指定 Pod 的 DNS 参数。此处指定的参数将与根据 DNSPolicy 生成的 DNS 配置合并。
PodDNSConfig 定义 Pod 的 DNS 参数,这些参数除了从 DNSPolicy 生成的参数外。
dnsConfig.nameservers ([]string)
DNS 域名服务器 IP 地址列表。这将附加到从 DNSPolicy 生成的基本域名服务器。重复的域名服务器将被删除。
dnsConfig.options ([]PodDNSConfigOption)
DNS 解析器选项列表。此列表将与从 DNSPolicy 生成的基本选项合并。重复的条目将被删除。Options 中给出的解析选项将覆盖基本 DNSPolicy 中出现的选项。
PodDNSConfigOption 定义了 Pod 的 DNS 解析器选项。
dnsConfig.options.name (字符串)
必需。
dnsConfig.options.value (字符串)
dnsConfig.searches ([]字符串)
主机名查找的 DNS 搜索域列表。此列表将附加到从 DNSPolicy 生成的基本搜索路径。重复的搜索路径将被删除。
dnsPolicy (字符串)
设置 Pod 的 DNS 策略。默认为 "ClusterFirst"。有效值为 'ClusterFirstWithHostNet'、'ClusterFirst'、'Default' 或 'None'。DNSConfig 中给出的 DNS 参数将与使用 DNSPolicy 选择的策略合并。要将 DNS 选项与 hostNetwork 一起设置,您必须将 DNS 策略显式指定为 'ClusterFirstWithHostNet'。
主机命名空间
hostNetwork (布尔值)
此 Pod 请求的 Host 网络。使用主机的网络命名空间。如果设置了此选项,则必须指定将使用的端口。默认为 false。
hostPID (布尔值)
使用主机的 pid 命名空间。可选:默认为 false。
hostIPC (布尔值)
使用主机的 ipc 命名空间。可选:默认为 false。
shareProcessNamespace (布尔值)
在 Pod 中的所有容器之间共享单个进程命名空间。当设置此选项时,容器将能够查看和发送信号到同一 Pod 中其他容器的进程,并且每个容器中的第一个进程不会被分配 PID 1。HostPID 和 ShareProcessNamespace 不能同时设置。可选:默认为 false。
服务帐户
serviceAccountName (字符串)
ServiceAccountName 是用于运行此 Pod 的 ServiceAccount 的名称。更多信息:https://kubernetes.ac.cn/docs/tasks/configure-pod-container/configure-service-account/
automountServiceAccountToken (布尔值)
AutomountServiceAccountToken 指示是否应自动挂载服务帐户令牌。
安全上下文
securityContext (PodSecurityContext)
SecurityContext 包含 Pod 级别的安全属性和通用容器设置。可选:默认为空。有关每个字段的默认值,请参阅类型说明。
PodSecurityContext 包含 Pod 级别的安全属性和通用容器设置。某些字段也存在于 container.securityContext 中。container.securityContext 的字段值优先于 PodSecurityContext 的字段值。
securityContext.runAsUser (int64)
运行容器进程入口点的 UID。如果未指定,则默认为映像元数据中指定的用户。也可以在 SecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先于该容器。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.runAsNonRoot (布尔值)
指示容器必须以非 root 用户身份运行。如果为 true,Kubelet 将在运行时验证映像以确保它不以 UID 0(root)身份运行,如果运行,则会失败启动容器。如果未设置或为 false,则不会执行此类验证。也可以在 SecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先于该容器。
securityContext.runAsGroup (int64)
运行容器进程入口点的 GID。如果未设置,则使用运行时默认值。也可以在 SecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先于该容器。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.supplementalGroups ([]int64)
除了容器的主要 GID、fsGroup(如果指定)以及容器映像中为容器进程 uid 定义的组成员资格之外,应用于每个容器中运行的第一个进程的一组组。如果未指定,则不会向任何容器添加其他组。请注意,容器映像中为容器进程 uid 定义的组成员资格仍然有效,即使它们未包含在此列表中。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.fsGroup (int64)
应用于 Pod 中所有容器的特殊补充组。某些卷类型允许 Kubelet 将该卷的所有权更改为 Pod 所有。
- 拥有 GID 将是 FSGroup 2。设置了 setgid 位(在卷中创建的新文件将由 FSGroup 拥有)3。权限位将与 rw-rw---- 进行 OR 运算。
如果未设置,Kubelet 不会修改任何卷的所有权和权限。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.fsGroupChangePolicy (字符串)
fsGroupChangePolicy 定义了在卷暴露在 Pod 内部之前更改其所有权和权限的行为。此字段仅适用于支持基于 fsGroup 的所有权(和权限)的卷类型。它对瞬态卷类型(如:secret、configmaps 和 emptydir)没有影响。有效值为 "OnRootMismatch" 和 "Always"。如果未指定,则使用 "Always"。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.seccompProfile (SeccompProfile)
此 Pod 中容器使用的 seccomp 选项。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
SeccompProfile 定义了 Pod/容器的 seccomp 配置文件设置。只能设置一个配置文件源。
securityContext.seccompProfile.type (字符串),必需
type 指示将应用哪种 seccomp 配置文件。有效选项为
Localhost - 应使用节点上文件中定义的配置文件。RuntimeDefault - 应使用容器运行时默认配置文件。Unconfined - 不应应用任何配置文件。
securityContext.seccompProfile.localhostProfile (字符串)
localhostProfile 指示应使用节点上文件中定义的配置文件。配置文件必须在节点上预先配置才能正常工作。必须是相对于 kubelet 配置的 seccomp 配置文件位置的下降路径。如果类型为 "Localhost",则必须设置。对于任何其他类型,必须不设置。
securityContext.seLinuxOptions (SELinuxOptions)
要应用于所有容器的 SELinux 上下文。如果未指定,容器运行时将为每个容器分配一个随机的 SELinux 上下文。也可以在 SecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先于该容器。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.seLinuxOptions.level (字符串)
Level 是应用于容器的 SELinux 级别标签。
securityContext.seLinuxOptions.role (字符串)
Role 是应用于容器的 SELinux 角色标签。
securityContext.seLinuxOptions.type (字符串)
Type 是应用于容器的 SELinux 类型标签。
securityContext.seLinuxOptions.user (字符串)
User 是应用于容器的 SELinux 用户标签。
securityContext.sysctls ([]Sysctl)
Sysctls 包含用于 Pod 的命名空间 sysctls 列表。具有不受支持的 sysctls(由容器运行时)的 Pod 可能无法启动。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.sysctls.name (字符串),必需
要设置的属性的名称
securityContext.sysctls.value (字符串),必需
要设置的属性的值
securityContext.windowsOptions (WindowsSecurityContextOptions)
应用于所有容器的 Windows 特定设置。如果未指定,将使用容器 SecurityContext 中的选项。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先于该容器。请注意,当 spec.os.name 为 linux 时,无法设置此字段。
WindowsSecurityContextOptions 包含 Windows 特定的选项和凭据。
securityContext.windowsOptions.gmsaCredentialSpec (字符串)
GMSACredentialSpec 是 GMSA 准入 Webhook (https://github.com/kubernetes-sigs/windows-gmsa) 在其中内联由 GMSACredentialSpecName 字段命名的 GMSA 凭据规范的内容。
securityContext.windowsOptions.gmsaCredentialSpecName (字符串)
GMSACredentialSpecName 是要使用的 GMSA 凭据规范的名称。
securityContext.windowsOptions.hostProcess (布尔值)
HostProcess 确定是否应将容器作为“主机进程”容器运行。Pod 的所有容器必须具有相同的有效 HostProcess 值(不允许混合使用 HostProcess 容器和非 HostProcess 容器)。此外,如果 HostProcess 为 true,则 HostNetwork 也必须设置为 true。
securityContext.windowsOptions.runAsUserName (字符串)
在 Windows 中运行容器进程入口点的用户名。如果未指定,则默认为映像元数据中指定的用户名。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先于该容器。
Alpha 级别
hostUsers (布尔值)
使用主机的用户命名空间。可选:默认为 true。如果设置为 true 或不存在,则 Pod 将在主机用户命名空间中运行,这在 Pod 需要主机用户命名空间中才有的功能时很有用,例如使用 CAP_SYS_MODULE 加载内核模块。当设置为 false 时,将为 Pod 创建一个新的 userns。将 false 设置为有用,可以减轻容器突破漏洞,即使允许用户以 root 身份运行其容器,也不会真正拥有主机上的 root 权限。此字段处于 alpha 级别,仅由启用 UserNamespacesSupport 功能的服务器认可。
resourceClaims ([]PodResourceClaim)
补丁策略:保留键,按键
name合并映射:在合并期间将保留键名上的唯一值
ResourceClaims 定义了在允许 Pod 启动之前必须分配和保留哪些 ResourceClaim。这些资源将通过名称提供给使用它们的容器。
这是一个 alpha 字段,需要启用 DynamicResourceAllocation 功能门。
此字段是不可变的。
PodResourceClaim 通过 ClaimSource 引用一个 ResourceClaim。它为其添加一个名称,该名称在 Pod 中唯一标识 ResourceClaim。需要访问 ResourceClaim 的容器使用此名称引用它。
resourceClaims.name (字符串),必需
Name 在 Pod 中唯一标识此资源声明。这必须是 DNS_LABEL。
resourceClaims.source (ClaimSource)
Source 描述了在何处查找 ResourceClaim。
*ClaimSource 描述了对 ResourceClaim 的引用。
这些字段中应该只设置一个。此类型的使用者必须将空对象视为具有未知值。
resourceClaims.source.resourceClaimName (字符串)
ResourceClaimName 是与此 Pod 相同命名空间中的 ResourceClaim 对象的名称。
resourceClaims.source.resourceClaimTemplateName (字符串)
ResourceClaimTemplateName 是与此 Pod 相同命名空间中的 ResourceClaimTemplate 对象的名称。
该模板将用于创建一个新的 ResourceClaim,该 ResourceClaim 将绑定到此 Pod。当此 Pod 被删除时,ResourceClaim 也将被删除。Pod 名称和资源名称以及生成的组件将用于为 ResourceClaim 形成一个唯一的名称,该名称将记录在 pod.status.resourceClaimStatuses 中。
此字段是不可变的,在创建 ResourceClaim 后,控制平面不会对相应的 ResourceClaim 进行任何更改。
schedulingGates ([]PodSchedulingGate)
补丁策略:按键
name合并映射:在合并期间将保留键名上的唯一值
SchedulingGates 是一个不透明的值列表,如果指定了这些值,将阻止调度 Pod。如果 SchedulingGates 不为空,Pod 将保持在 SchedulingGated 状态,调度器将不会尝试调度 Pod。
SchedulingGates 只能在 Pod 创建时设置,之后才能删除。
这是一个由 PodSchedulingReadiness 特性门控启用的测试版功能。
PodSchedulingGate 与 Pod 相关联,以保护其调度。
schedulingGates.name (字符串),必填
调度门的名称。每个调度门必须具有唯一的名称字段。
已弃用
serviceAccount (字符串)
DeprecatedServiceAccount 是 ServiceAccountName 的已弃用别名。已弃用:请使用 serviceAccountName 代替。
容器
您要在 Pod 中运行的单个应用程序容器。
name (字符串),必填
指定为 DNS_LABEL 的容器名称。Pod 中的每个容器必须具有唯一的名称 (DNS_LABEL)。不可更新。
镜像
image (字符串)
容器镜像名称。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/images 此字段是可选的,允许更高级别的配置管理在工作负载控制器(如 Deployment 和 StatefulSet)中默认或覆盖容器镜像。
imagePullPolicy (字符串)
镜像拉取策略。Always、Never、IfNotPresent 之一。如果指定了 :latest 标签,则默认为 Always,否则默认为 IfNotPresent。不可更新。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/images#updating-images
入口点
command ([]字符串)
入口点数组。不在 shell 中执行。如果未提供,则使用容器镜像的 ENTRYPOINT。变量引用 $(VAR_NAME) 使用容器的环境进行扩展。如果无法解析变量,则输入字符串中的引用将保持不变。双 $$ 减少为单个 $,这允许转义 $(VAR_NAME) 语法:例如 "$$(VAR_NAME)" 将生成字符串字面量 "$(VAR_NAME)"。转义的引用将永远不会扩展,无论变量是否存在。不可更新。更多信息:https://kubernetes.ac.cn/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
args ([]字符串)
入口点的参数。如果未提供,则使用容器镜像的 CMD。变量引用 $(VAR_NAME) 使用容器的环境进行扩展。如果无法解析变量,则输入字符串中的引用将保持不变。双 $$ 减少为单个 $,这允许转义 $(VAR_NAME) 语法:例如 "$$(VAR_NAME)" 将生成字符串字面量 "$(VAR_NAME)"。转义的引用将永远不会扩展,无论变量是否存在。不可更新。更多信息:https://kubernetes.ac.cn/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
workingDir (字符串)
容器的工作目录。如果未指定,则使用容器运行时的默认值,这可能在容器镜像中配置。不可更新。
端口
ports ([]ContainerPort)
修补策略:在
containerPort键上合并映射:在
containerPort、protocol键上具有唯一值的条目将在合并期间保留要从容器中公开的端口列表。这里不指定端口并不会阻止该端口被公开。容器内部默认 "0.0.0.0" 地址上监听的任何端口都将从网络访问。使用策略性合并修补修改此数组可能会损坏数据。有关更多信息,请参阅 https://github.com/kubernetes/kubernetes/issues/108255。不可更新。
ports.containerPort (int32),必填
要在 Pod 的 IP 地址上公开的端口号。这必须是一个有效的端口号,0 < x < 65536。
ports.hostIP (字符串)
将外部端口绑定到的主机 IP。
ports.hostPort (int32)
要在主机上公开的端口号。如果指定,这必须是一个有效的端口号,0 < x < 65536。如果指定了 HostNetwork,则这必须与 ContainerPort 相匹配。大多数容器不需要此项。
ports.name (字符串)
如果指定,这必须是 IANA_SVC_NAME 并且在 Pod 中是唯一的。Pod 中的每个命名端口必须具有唯一的名称。服务可以引用的端口的名称。
ports.protocol (字符串)
端口协议。必须是 UDP、TCP 或 SCTP。默认为 "TCP"。
环境变量
env ([]EnvVar)
补丁策略:按键
name合并要在容器中设置的环境变量列表。不可更新。
env.name (字符串),必填
环境变量的名称。必须是 C_IDENTIFIER。
env.value (字符串)
变量引用 $(VAR_NAME) 使用容器中先前定义的环境变量和任何服务环境变量进行扩展。如果无法解析变量,则输入字符串中的引用将保持不变。双 $$ 减少为单个 $,这允许转义 $(VAR_NAME) 语法:例如 "$$(VAR_NAME)" 将生成字符串字面量 "$(VAR_NAME)"。转义的引用将永远不会扩展,无论变量是否存在。默认为 ""。
env.valueFrom (EnvVarSource)
环境变量值的来源。如果 value 不为空,则不能使用。
env.valueFrom.configMapKeyRef (ConfigMapKeySelector)
选择 ConfigMap 的键。
env.valueFrom.configMapKeyRef.key (字符串),必填
要选择的键。
env.valueFrom.configMapKeyRef.name (字符串)
引用的名称。更多信息:https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/names/#names
env.valueFrom.configMapKeyRef.optional (布尔值)
指定 ConfigMap 或其键是否必须定义
env.valueFrom.fieldRef (ObjectFieldSelector)
选择 Pod 的字段:支持 metadata.name、metadata.namespace、
metadata.labels['\<KEY>']、metadata.annotations['\<KEY>']、spec.nodeName、spec.serviceAccountName、status.hostIP、status.podIP、status.podIPs。env.valueFrom.resourceFieldRef (ResourceFieldSelector)
选择容器的资源:目前仅支持资源限制和请求 (limits.cpu、limits.memory、limits.ephemeral-storage、requests.cpu、requests.memory 和 requests.ephemeral-storage)。
env.valueFrom.secretKeyRef (SecretKeySelector)
选择 Pod 命名空间中 Secret 的键
SecretKeySelector 选择 Secret 的键。
env.valueFrom.secretKeyRef.key (字符串),必填
要从其中选择的 Secret 的键。必须是有效的 Secret 键。
env.valueFrom.secretKeyRef.name (字符串)
引用的名称。更多信息:https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/names/#names
env.valueFrom.secretKeyRef.optional (布尔值)
指定 Secret 或其键是否必须定义
envFrom ([]EnvFromSource)
要填充容器中环境变量的来源列表。源中定义的键必须是 C_IDENTIFIER。所有无效的键将在容器启动时作为事件报告。当一个键存在于多个源中时,与最后一个源关联的值将优先。Env 定义的值具有重复键将优先。不可更新。
EnvFromSource 表示一组 ConfigMap 的来源
envFrom.configMapRef (ConfigMapEnvSource)
要从中选择的 ConfigMap
*ConfigMapEnvSource 选择一个 ConfigMap 来填充环境变量。
目标 ConfigMap 的 Data 字段的内容将表示键值对作为环境变量。
envFrom.configMapRef.name (字符串)
引用的名称。更多信息:https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/names/#names
envFrom.configMapRef.optional (布尔值)
指定 ConfigMap 是否必须定义
envFrom.prefix (字符串)
一个可选的标识符,用于在 ConfigMap 中的每个键之前添加。必须是 C_IDENTIFIER。
envFrom.secretRef (SecretEnvSource)
要从中选择的 Secret
*SecretEnvSource 选择一个 Secret 来填充环境变量。
目标 Secret 的 Data 字段的内容将表示键值对作为环境变量。
envFrom.secretRef.name (字符串)
引用的名称。更多信息:https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/names/#names
envFrom.secretRef.optional (布尔值)
指定 Secret 是否必须定义
卷
volumeMounts ([]VolumeMount)
修补策略:在
mountPath键上合并要挂载到容器文件系统的 Pod 卷。不可更新。
volumeMounts.mountPath (字符串),必填
容器中应挂载卷的路径。不能包含 ':'。
volumeMounts.name (字符串),必填
这必须与卷的名称匹配。
volumeMounts.mountPropagation (字符串)
mountPropagation 决定了挂载如何从主机传播到容器,反之亦然。如果未设置,则使用 MountPropagationNone。此字段在 1.10 中是测试版。
volumeMounts.readOnly (布尔值)
如果为 true,则以只读方式挂载,否则以读写方式挂载(false 或未指定)。默认为 false。
volumeMounts.subPath (字符串)
卷中容器卷应挂载的路径。默认为 ""(卷的根目录)。
volumeMounts.subPathExpr (字符串)
卷中容器卷应挂载的扩展路径。行为类似于 SubPath,但环境变量引用 $(VAR_NAME) 使用容器的环境进行扩展。默认为 ""(卷的根目录)。SubPathExpr 和 SubPath 是互斥的。
volumeDevices ([]VolumeDevice)
修补策略:在
devicePath键上合并volumeDevices 是容器要使用的块设备列表。
volumeDevices.devicePath (字符串),必填
devicePath 是容器内部设备将映射到的路径。
volumeDevices.name (字符串),必填
name 必须与 Pod 中的持久卷声明的名称匹配
资源
resources (ResourceRequirements)
此容器所需的计算资源。不可更新。更多信息:https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/
ResourceRequirements 描述了计算资源需求。
resources.claims ([]ResourceClaim)
映射:在合并期间将保留键名上的唯一值
Claims 列出了此容器使用的资源名称,这些资源名称在 spec.resourceClaims 中定义。
这是一个 alpha 字段,需要启用 DynamicResourceAllocation 功能门。
此字段是不可变的。它只能为容器设置。
ResourceClaim 引用 PodSpec.ResourceClaims 中的一个条目。
resources.claims.name (string), 必需
名称必须与使用此字段的 Pod 的 pod.spec.resourceClaims 中的一个条目的名称匹配。它使该资源在容器内可用。
resources.limits (map[string]Quantity)
Limits 描述了允许的最大计算资源量。更多信息:https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/
resources.requests (map[string]Quantity)
Requests 描述了所需的最小计算资源量。如果容器省略了 Requests,则默认为 Limits(如果显式指定),否则默认为实现定义的值。Requests 不能超过 Limits。更多信息:https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/
resizePolicy ([]ContainerResizePolicy)
原子:将在合并期间被替换
容器的资源调整策略。
ContainerResizePolicy 表示容器的资源调整策略。
resizePolicy.resourceName (string), 必需
此资源调整策略适用的资源名称。支持的值:cpu、memory。
resizePolicy.restartPolicy (string), 必需
调整指定资源大小时要应用的重启策略。如果未指定,则默认为 NotRequired。
生命周期
lifecycle (Lifecycle)
管理系统应采取的操作,以响应容器生命周期事件。不可更新。
Lifecycle 描述了管理系统应采取的操作,以响应容器生命周期事件。对于 PostStart 和 PreStop 生命周期处理程序,容器的管理会阻塞,直到操作完成,除非容器进程失败,在这种情况下,处理程序将中止。
lifecycle.postStart (LifecycleHandler)
PostStart 在容器创建后立即调用。如果处理程序失败,则容器将根据其重启策略终止并重新启动。容器的其他管理将阻塞,直到挂钩完成。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
lifecycle.preStop (LifecycleHandler)
PreStop 在容器因 API 请求或管理事件(如存活/启动探测失败、抢占、资源争用等)而终止之前立即调用。如果容器崩溃或退出,则不会调用处理程序。Pod 的终止宽限期倒计时在执行 PreStop 挂钩之前开始。无论处理程序的结果如何,容器最终将在 Pod 的终止宽限期内终止(除非被终结器延迟)。容器的其他管理将阻塞,直到挂钩完成或直到终止宽限期结束。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
terminationMessagePath (string)
可选:容器终止消息将写入的文件将被挂载到容器文件系统中的路径。写入的消息旨在简短的最终状态,例如断言失败消息。如果大于 4096 字节,节点将被截断。所有容器的总消息长度将限制为 12kb。默认为 /dev/termination-log。不可更新。
terminationMessagePolicy (string)
指示如何填充终止消息。文件将使用 terminationMessagePath 的内容来填充容器状态消息,无论成功还是失败。FallbackToLogsOnError 将使用容器日志输出的最后一段,如果终止消息文件为空并且容器以错误退出。日志输出限制为 2048 字节或 80 行,以较小者为准。默认为 File。不可更新。
livenessProbe (Probe)
容器存活的定期探测。如果探测失败,容器将重新启动。不可更新。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
readinessProbe (Probe)
容器服务就绪的定期探测。如果探测失败,容器将从服务端点中删除。不可更新。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
startupProbe (Probe)
StartupProbe 表示 Pod 已成功初始化。如果指定,则在成功完成之前不会执行其他探测。如果此探测失败,Pod 将重新启动,就像 livenessProbe 失败一样。这可用于在 Pod 生命周期开始时提供不同的探测参数,此时可能需要很长时间来加载数据或预热缓存,而不是在稳定状态操作期间。这不可更新。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
restartPolicy (string)
RestartPolicy 定义了 Pod 中各个容器的重启行为。此字段只能为 init 容器设置,并且唯一允许的值为“Always”。对于非 init 容器或未指定此字段时,重启行为由 Pod 的重启策略和容器类型定义。将 RestartPolicy 设置为 init 容器的“Always”将产生以下影响:此 init 容器将在退出时不断重新启动,直到所有常规容器都终止。一旦所有常规容器都完成,所有具有 restartPolicy“Always”的 init 容器都将关闭。此生命周期不同于正常的 init 容器,通常称为“边车”容器。虽然此 init 容器仍在 init 容器序列中启动,但它不会等待容器完成,然后才继续进行下一个 init 容器。相反,下一个 init 容器将在此 init 容器启动后立即启动,或者在任何 startupProbe 成功完成之后启动。
安全上下文
securityContext (SecurityContext)
SecurityContext 定义了容器应运行的安全选项。如果设置,SecurityContext 的字段将覆盖 PodSecurityContext 的等效字段。更多信息:https://kubernetes.ac.cn/docs/tasks/configure-pod-container/security-context/
SecurityContext 包含将应用于容器的安全配置。某些字段同时存在于 SecurityContext 和 PodSecurityContext 中。当两者都设置时,SecurityContext 中的值优先。
securityContext.runAsUser (int64)
用于运行容器进程入口点的 UID。如果未指定,则默认为映像元数据中指定的用户。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.runAsNonRoot (布尔值)
指示容器必须以非 root 用户身份运行。如果为 true,Kubelet 将在运行时验证映像以确保它不以 UID 0(root)身份运行,如果确实如此,则会失败启动容器。如果未设置或为 false,则不会执行此类验证。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。
securityContext.runAsGroup (int64)
用于运行容器进程入口点的 GID。如果未设置,则使用运行时默认值。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.readOnlyRootFilesystem (boolean)
此容器是否具有只读根文件系统。默认为 false。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.procMount (string)
procMount 表示用于容器的 proc 挂载类型。默认值为 DefaultProcMount,它使用容器运行时默认值作为只读路径和屏蔽路径。这需要启用 ProcMountType 功能标志。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.privileged (boolean)
在特权模式下运行容器。特权容器中的进程本质上等同于主机上的 root。默认为 false。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.allowPrivilegeEscalation (boolean)
AllowPrivilegeEscalation 控制进程是否可以获得比其父进程更多的权限。此 bool 值直接控制是否在容器进程上设置 no_new_privs 标志。当容器为:1) 以特权身份运行 2) 具有 CAP_SYS_ADMIN 时,AllowPrivilegeEscalation 始终为 true。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.capabilities (Capabilities)
在运行容器时要添加/删除的功能。默认为容器运行时授予的默认功能集。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.capabilities.add ([]string)
添加的功能
securityContext.capabilities.drop ([]string)
删除的功能
securityContext.seccompProfile (SeccompProfile)
此容器要使用的 seccomp 选项。如果在 pod 和容器级别都提供了 seccomp 选项,则容器选项会覆盖 pod 选项。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
SeccompProfile 定义了 Pod/容器的 seccomp 配置文件设置。只能设置一个配置文件源。
securityContext.seccompProfile.type (字符串),必需
type 指示将应用哪种 seccomp 配置文件。有效选项为
Localhost - 应使用节点上文件中定义的配置文件。RuntimeDefault - 应使用容器运行时默认配置文件。Unconfined - 不应应用任何配置文件。
securityContext.seccompProfile.localhostProfile (字符串)
localhostProfile 指示应使用节点上文件中定义的配置文件。配置文件必须在节点上预先配置才能正常工作。必须是相对于 kubelet 配置的 seccomp 配置文件位置的下降路径。如果类型为 "Localhost",则必须设置。对于任何其他类型,必须不设置。
securityContext.seLinuxOptions (SELinuxOptions)
要应用于容器的 SELinux 上下文。如果未指定,容器运行时将为每个容器分配一个随机的 SELinux 上下文。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.seLinuxOptions.level (字符串)
Level 是应用于容器的 SELinux 级别标签。
securityContext.seLinuxOptions.role (字符串)
Role 是应用于容器的 SELinux 角色标签。
securityContext.seLinuxOptions.type (字符串)
Type 是应用于容器的 SELinux 类型标签。
securityContext.seLinuxOptions.user (字符串)
User 是应用于容器的 SELinux 用户标签。
securityContext.windowsOptions (WindowsSecurityContextOptions)
应用于所有容器的 Windows 特定设置。如果未指定,将使用 PodSecurityContext 中的选项。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。请注意,当 spec.os.name 为 linux 时,无法设置此字段。
WindowsSecurityContextOptions 包含 Windows 特定的选项和凭据。
securityContext.windowsOptions.gmsaCredentialSpec (字符串)
GMSACredentialSpec 是 GMSA 准入 Webhook (https://github.com/kubernetes-sigs/windows-gmsa) 在其中内联由 GMSACredentialSpecName 字段命名的 GMSA 凭据规范的内容。
securityContext.windowsOptions.gmsaCredentialSpecName (字符串)
GMSACredentialSpecName 是要使用的 GMSA 凭据规范的名称。
securityContext.windowsOptions.hostProcess (布尔值)
HostProcess 确定是否应将容器作为“主机进程”容器运行。Pod 的所有容器必须具有相同的有效 HostProcess 值(不允许混合使用 HostProcess 容器和非 HostProcess 容器)。此外,如果 HostProcess 为 true,则 HostNetwork 也必须设置为 true。
securityContext.windowsOptions.runAsUserName (字符串)
在 Windows 中运行容器进程入口点的用户名。如果未指定,则默认为映像元数据中指定的用户名。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先于该容器。
调试
stdin (boolean)
此容器是否应在容器运行时为 stdin 分配一个缓冲区。如果未设置,则容器中来自 stdin 的读取将始终导致 EOF。默认为 false。
stdinOnce (布尔值)
容器运行时是否应该在单个附加后关闭 stdin 通道。当 stdin 为 true 时,stdin 流将在多个附加会话中保持打开状态。如果 stdinOnce 设置为 true,则 stdin 在容器启动时打开,在第一个客户端附加到 stdin 之前为空,然后保持打开状态并接受数据,直到客户端断开连接,此时 stdin 关闭并保持关闭状态,直到容器重新启动。如果此标志为 false,则从 stdin 读取的容器进程将永远不会收到 EOF。默认值为 false。
tty (布尔值)
此容器是否应该为自己分配一个 TTY,还需要 'stdin' 为 true。默认值为 false。
临时容器
临时容器是一个临时容器,您可以将其添加到现有 Pod 中以进行用户启动的活动,例如调试。临时容器没有资源或调度保证,并且在退出或 Pod 被删除或重新启动时不会被重新启动。如果临时容器导致 Pod 超出其资源分配,kubelet 可能会驱逐 Pod。
要添加临时容器,请使用现有 Pod 的 ephemeralcontainers 子资源。临时容器不能被删除或重新启动。
name (字符串),必填
以 DNS_LABEL 指定的临时容器的名称。此名称在所有容器、初始化容器和临时容器中必须唯一。
targetContainerName (字符串)
如果设置,则为此临时容器所针对的 PodSpec 中的容器的名称。临时容器将在此容器的命名空间(IPC、PID 等)中运行。如果未设置,则临时容器使用 Pod 规范中配置的命名空间。
容器运行时必须实现对此功能的支持。如果运行时不支持命名空间定位,则设置此字段的结果是未定义的。
镜像
image (字符串)
容器镜像名称。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/images
imagePullPolicy (字符串)
镜像拉取策略。Always、Never、IfNotPresent 之一。如果指定了 :latest 标签,则默认为 Always,否则默认为 IfNotPresent。不可更新。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/images#updating-images
入口点
command ([]字符串)
入口点数组。不在 shell 中执行。如果未提供,则使用镜像的 ENTRYPOINT。变量引用 $(VAR_NAME) 使用容器的环境进行扩展。如果无法解析变量,则输入字符串中的引用将保持不变。双 $$ 减少为单个 $,这允许转义 $(VAR_NAME) 语法:例如 "$$(VAR_NAME)" 将生成字符串字面量 "$(VAR_NAME)"。转义的引用永远不会扩展,无论变量是否存在。无法更新。更多信息:https://kubernetes.ac.cn/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
args ([]字符串)
入口点的参数。如果未提供,则使用镜像的 CMD。变量引用 $(VAR_NAME) 使用容器的环境进行扩展。如果无法解析变量,则输入字符串中的引用将保持不变。双 $$ 减少为单个 $,这允许转义 $(VAR_NAME) 语法:例如 "$$(VAR_NAME)" 将生成字符串字面量 "$(VAR_NAME)"。转义的引用永远不会扩展,无论变量是否存在。无法更新。更多信息:https://kubernetes.ac.cn/docs/tasks/inject-data-application/define-command-argument-container/#running-a-command-in-a-shell
workingDir (字符串)
容器的工作目录。如果未指定,则使用容器运行时的默认值,这可能在容器镜像中配置。不可更新。
环境变量
env ([]EnvVar)
补丁策略:按键
name合并要在容器中设置的环境变量列表。不可更新。
env.name (字符串),必填
环境变量的名称。必须是 C_IDENTIFIER。
env.value (字符串)
变量引用 $(VAR_NAME) 使用容器中先前定义的环境变量和任何服务环境变量进行扩展。如果无法解析变量,则输入字符串中的引用将保持不变。双 $$ 减少为单个 $,这允许转义 $(VAR_NAME) 语法:例如 "$$(VAR_NAME)" 将生成字符串字面量 "$(VAR_NAME)"。转义的引用将永远不会扩展,无论变量是否存在。默认为 ""。
env.valueFrom (EnvVarSource)
环境变量值的来源。如果 value 不为空,则不能使用。
env.valueFrom.configMapKeyRef (ConfigMapKeySelector)
选择 ConfigMap 的键。
env.valueFrom.configMapKeyRef.key (字符串),必填
要选择的键。
env.valueFrom.configMapKeyRef.name (字符串)
引用的名称。更多信息:https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/names/#names
env.valueFrom.configMapKeyRef.optional (布尔值)
指定 ConfigMap 或其键是否必须定义
env.valueFrom.fieldRef (ObjectFieldSelector)
选择 Pod 的字段:支持 metadata.name、metadata.namespace、
metadata.labels['\<KEY>']、metadata.annotations['\<KEY>']、spec.nodeName、spec.serviceAccountName、status.hostIP、status.podIP、status.podIPs。env.valueFrom.resourceFieldRef (ResourceFieldSelector)
选择容器的资源:目前仅支持资源限制和请求 (limits.cpu、limits.memory、limits.ephemeral-storage、requests.cpu、requests.memory 和 requests.ephemeral-storage)。
env.valueFrom.secretKeyRef (SecretKeySelector)
选择 Pod 命名空间中 Secret 的键
SecretKeySelector 选择 Secret 的键。
env.valueFrom.secretKeyRef.key (字符串),必填
要从其中选择的 Secret 的键。必须是有效的 Secret 键。
env.valueFrom.secretKeyRef.name (字符串)
引用的名称。更多信息:https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/names/#names
env.valueFrom.secretKeyRef.optional (布尔值)
指定 Secret 或其键是否必须定义
envFrom ([]EnvFromSource)
要填充容器中环境变量的来源列表。源中定义的键必须是 C_IDENTIFIER。所有无效的键将在容器启动时作为事件报告。当一个键存在于多个源中时,与最后一个源关联的值将优先。Env 定义的值具有重复键将优先。不可更新。
EnvFromSource 表示一组 ConfigMap 的来源
envFrom.configMapRef (ConfigMapEnvSource)
要从中选择的 ConfigMap
*ConfigMapEnvSource 选择一个 ConfigMap 来填充环境变量。
目标 ConfigMap 的 Data 字段的内容将表示键值对作为环境变量。
envFrom.configMapRef.name (字符串)
引用的名称。更多信息:https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/names/#names
envFrom.configMapRef.optional (布尔值)
指定 ConfigMap 是否必须定义
envFrom.prefix (字符串)
一个可选的标识符,用于在 ConfigMap 中的每个键之前添加。必须是 C_IDENTIFIER。
envFrom.secretRef (SecretEnvSource)
要从中选择的 Secret
*SecretEnvSource 选择一个 Secret 来填充环境变量。
目标 Secret 的 Data 字段的内容将表示键值对作为环境变量。
envFrom.secretRef.name (字符串)
引用的名称。更多信息:https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/names/#names
envFrom.secretRef.optional (布尔值)
指定 Secret 是否必须定义
卷
volumeMounts ([]VolumeMount)
修补策略:在
mountPath键上合并要挂载到容器文件系统的 Pod 卷。临时容器不允许使用子路径挂载。无法更新。
volumeMounts.mountPath (字符串),必填
容器中应挂载卷的路径。不能包含 ':'。
volumeMounts.name (字符串),必填
这必须与卷的名称匹配。
volumeMounts.mountPropagation (字符串)
mountPropagation 决定了挂载如何从主机传播到容器,反之亦然。如果未设置,则使用 MountPropagationNone。此字段在 1.10 中是测试版。
volumeMounts.readOnly (布尔值)
如果为 true,则以只读方式挂载,否则以读写方式挂载(false 或未指定)。默认为 false。
volumeMounts.subPath (字符串)
卷中容器卷应挂载的路径。默认为 ""(卷的根目录)。
volumeMounts.subPathExpr (字符串)
卷中容器卷应挂载的扩展路径。行为类似于 SubPath,但环境变量引用 $(VAR_NAME) 使用容器的环境进行扩展。默认为 ""(卷的根目录)。SubPathExpr 和 SubPath 是互斥的。
volumeDevices ([]VolumeDevice)
修补策略:在
devicePath键上合并volumeDevices 是容器要使用的块设备列表。
volumeDevices.devicePath (字符串),必填
devicePath 是容器内部设备将映射到的路径。
volumeDevices.name (字符串),必填
name 必须与 Pod 中的持久卷声明的名称匹配
资源
resizePolicy ([]ContainerResizePolicy)
原子:将在合并期间被替换
容器的资源调整策略。
ContainerResizePolicy 表示容器的资源调整策略。
resizePolicy.resourceName (string), 必需
此资源调整策略适用的资源名称。支持的值:cpu、memory。
resizePolicy.restartPolicy (string), 必需
调整指定资源大小时要应用的重启策略。如果未指定,则默认为 NotRequired。
生命周期
terminationMessagePath (string)
可选:容器终止消息将写入的文件将被挂载到容器文件系统中的路径。写入的消息旨在简短的最终状态,例如断言失败消息。如果大于 4096 字节,节点将被截断。所有容器的总消息长度将限制为 12kb。默认为 /dev/termination-log。不可更新。
terminationMessagePolicy (string)
指示如何填充终止消息。文件将使用 terminationMessagePath 的内容来填充容器状态消息,无论成功还是失败。FallbackToLogsOnError 将使用容器日志输出的最后一段,如果终止消息文件为空并且容器以错误退出。日志输出限制为 2048 字节或 80 行,以较小者为准。默认为 File。不可更新。
restartPolicy (string)
容器的重启策略,用于管理 Pod 中每个容器的重启行为。这只能为初始化容器设置。您不能在临时容器上设置此字段。
调试
stdin (boolean)
此容器是否应在容器运行时为 stdin 分配一个缓冲区。如果未设置,则容器中来自 stdin 的读取将始终导致 EOF。默认为 false。
stdinOnce (布尔值)
容器运行时是否应该在单个附加后关闭 stdin 通道。当 stdin 为 true 时,stdin 流将在多个附加会话中保持打开状态。如果 stdinOnce 设置为 true,则 stdin 在容器启动时打开,在第一个客户端附加到 stdin 之前为空,然后保持打开状态并接受数据,直到客户端断开连接,此时 stdin 关闭并保持关闭状态,直到容器重新启动。如果此标志为 false,则从 stdin 读取的容器进程将永远不会收到 EOF。默认值为 false。
tty (布尔值)
此容器是否应该为自己分配一个 TTY,还需要 'stdin' 为 true。默认值为 false。
安全上下文
securityContext (SecurityContext)
可选:SecurityContext 定义了临时容器应运行的安全选项。如果设置,SecurityContext 的字段将覆盖 PodSecurityContext 的等效字段。
SecurityContext 包含将应用于容器的安全配置。某些字段同时存在于 SecurityContext 和 PodSecurityContext 中。当两者都设置时,SecurityContext 中的值优先。
securityContext.runAsUser (int64)
用于运行容器进程入口点的 UID。如果未指定,则默认为映像元数据中指定的用户。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.runAsNonRoot (布尔值)
指示容器必须以非 root 用户身份运行。如果为 true,Kubelet 将在运行时验证映像以确保它不以 UID 0(root)身份运行,如果确实如此,则会失败启动容器。如果未设置或为 false,则不会执行此类验证。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。
securityContext.runAsGroup (int64)
用于运行容器进程入口点的 GID。如果未设置,则使用运行时默认值。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.readOnlyRootFilesystem (boolean)
此容器是否具有只读根文件系统。默认为 false。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.procMount (string)
procMount 表示用于容器的 proc 挂载类型。默认值为 DefaultProcMount,它使用容器运行时默认值作为只读路径和屏蔽路径。这需要启用 ProcMountType 功能标志。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.privileged (boolean)
在特权模式下运行容器。特权容器中的进程本质上等同于主机上的 root。默认为 false。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.allowPrivilegeEscalation (boolean)
AllowPrivilegeEscalation 控制进程是否可以获得比其父进程更多的权限。此 bool 值直接控制是否在容器进程上设置 no_new_privs 标志。当容器为:1) 以特权身份运行 2) 具有 CAP_SYS_ADMIN 时,AllowPrivilegeEscalation 始终为 true。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.capabilities (Capabilities)
在运行容器时要添加/删除的功能。默认为容器运行时授予的默认功能集。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.capabilities.add ([]string)
添加的功能
securityContext.capabilities.drop ([]string)
删除的功能
securityContext.seccompProfile (SeccompProfile)
此容器要使用的 seccomp 选项。如果在 pod 和容器级别都提供了 seccomp 选项,则容器选项会覆盖 pod 选项。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
SeccompProfile 定义了 Pod/容器的 seccomp 配置文件设置。只能设置一个配置文件源。
securityContext.seccompProfile.type (字符串),必需
type 指示将应用哪种 seccomp 配置文件。有效选项为
Localhost - 应使用节点上文件中定义的配置文件。RuntimeDefault - 应使用容器运行时默认配置文件。Unconfined - 不应应用任何配置文件。
securityContext.seccompProfile.localhostProfile (字符串)
localhostProfile 指示应使用节点上文件中定义的配置文件。配置文件必须在节点上预先配置才能正常工作。必须是相对于 kubelet 配置的 seccomp 配置文件位置的下降路径。如果类型为 "Localhost",则必须设置。对于任何其他类型,必须不设置。
securityContext.seLinuxOptions (SELinuxOptions)
要应用于容器的 SELinux 上下文。如果未指定,容器运行时将为每个容器分配一个随机的 SELinux 上下文。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。请注意,当 spec.os.name 为 windows 时,无法设置此字段。
securityContext.seLinuxOptions.level (字符串)
Level 是应用于容器的 SELinux 级别标签。
securityContext.seLinuxOptions.role (字符串)
Role 是应用于容器的 SELinux 角色标签。
securityContext.seLinuxOptions.type (字符串)
Type 是应用于容器的 SELinux 类型标签。
securityContext.seLinuxOptions.user (字符串)
User 是应用于容器的 SELinux 用户标签。
securityContext.windowsOptions (WindowsSecurityContextOptions)
应用于所有容器的 Windows 特定设置。如果未指定,将使用 PodSecurityContext 中的选项。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先。请注意,当 spec.os.name 为 linux 时,无法设置此字段。
WindowsSecurityContextOptions 包含 Windows 特定的选项和凭据。
securityContext.windowsOptions.gmsaCredentialSpec (字符串)
GMSACredentialSpec 是 GMSA 准入 Webhook (https://github.com/kubernetes-sigs/windows-gmsa) 在其中内联由 GMSACredentialSpecName 字段命名的 GMSA 凭据规范的内容。
securityContext.windowsOptions.gmsaCredentialSpecName (字符串)
GMSACredentialSpecName 是要使用的 GMSA 凭据规范的名称。
securityContext.windowsOptions.hostProcess (布尔值)
HostProcess 确定是否应将容器作为“主机进程”容器运行。Pod 的所有容器必须具有相同的有效 HostProcess 值(不允许混合使用 HostProcess 容器和非 HostProcess 容器)。此外,如果 HostProcess 为 true,则 HostNetwork 也必须设置为 true。
securityContext.windowsOptions.runAsUserName (字符串)
在 Windows 中运行容器进程入口点的用户名。如果未指定,则默认为映像元数据中指定的用户名。也可以在 PodSecurityContext 中设置。如果在 SecurityContext 和 PodSecurityContext 中都设置,则 SecurityContext 中指定的值优先于该容器。
不允许
ports ([]ContainerPort)
修补策略:在
containerPort键上合并映射:在
containerPort、protocol键上具有唯一值的条目将在合并期间保留临时容器不允许使用端口。
ports.containerPort (int32),必填
要在 Pod 的 IP 地址上公开的端口号。这必须是一个有效的端口号,0 < x < 65536。
ports.hostIP (字符串)
将外部端口绑定到的主机 IP。
ports.hostPort (int32)
要在主机上公开的端口号。如果指定,这必须是一个有效的端口号,0 < x < 65536。如果指定了 HostNetwork,则这必须与 ContainerPort 相匹配。大多数容器不需要此项。
ports.name (字符串)
如果指定,这必须是 IANA_SVC_NAME 并且在 Pod 中是唯一的。Pod 中的每个命名端口必须具有唯一的名称。服务可以引用的端口的名称。
ports.protocol (字符串)
端口协议。必须是 UDP、TCP 或 SCTP。默认为 "TCP"。
resources (ResourceRequirements)
临时容器不允许使用资源。临时容器使用已分配给 Pod 的备用资源。
ResourceRequirements 描述了计算资源需求。
resources.claims ([]ResourceClaim)
映射:在合并期间将保留键名上的唯一值
Claims 列出了此容器使用的资源名称,这些资源名称在 spec.resourceClaims 中定义。
这是一个 alpha 字段,需要启用 DynamicResourceAllocation 功能门。
此字段是不可变的。它只能为容器设置。
ResourceClaim 引用 PodSpec.ResourceClaims 中的一个条目。
resources.claims.name (string), 必需
名称必须与使用此字段的 Pod 的 pod.spec.resourceClaims 中的一个条目的名称匹配。它使该资源在容器内可用。
resources.limits (map[string]Quantity)
Limits 描述了允许的最大计算资源量。更多信息:https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/
resources.requests (map[string]Quantity)
Requests 描述了所需的最小计算资源量。如果容器省略了 Requests,则默认为 Limits(如果显式指定),否则默认为实现定义的值。Requests 不能超过 Limits。更多信息:https://kubernetes.ac.cn/docs/concepts/configuration/manage-resources-containers/
lifecycle (Lifecycle)
临时容器不允许使用生命周期。
Lifecycle 描述了管理系统应采取的操作,以响应容器生命周期事件。对于 PostStart 和 PreStop 生命周期处理程序,容器的管理会阻塞,直到操作完成,除非容器进程失败,在这种情况下,处理程序将中止。
lifecycle.postStart (LifecycleHandler)
PostStart 在容器创建后立即调用。如果处理程序失败,则容器将根据其重启策略终止并重新启动。容器的其他管理将阻塞,直到挂钩完成。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
lifecycle.preStop (LifecycleHandler)
PreStop 在容器因 API 请求或管理事件(如存活/启动探测失败、抢占、资源争用等)而终止之前立即调用。如果容器崩溃或退出,则不会调用处理程序。Pod 的终止宽限期倒计时在执行 PreStop 挂钩之前开始。无论处理程序的结果如何,容器最终将在 Pod 的终止宽限期内终止(除非被终结器延迟)。容器的其他管理将阻塞,直到挂钩完成或直到终止宽限期结束。更多信息:https://kubernetes.ac.cn/docs/concepts/containers/container-lifecycle-hooks/#container-hooks
livenessProbe (Probe)
临时容器不允许使用探测。
readinessProbe (Probe)
临时容器不允许使用探测。
startupProbe (Probe)
临时容器不允许使用探测。
生命周期处理程序
LifecycleHandler 定义了在生命周期钩子中应采取的特定操作。除了 TCPSocket 之外,必须指定一个且只有一个字段。
exec (ExecAction)
Exec 指定要采取的操作。
exec.command ([]字符串)
Command 是在容器内执行的命令行,命令的工作目录是容器文件系统中的根目录 ('/')。该命令只是简单地执行,它不在 shell 中运行,因此传统的 shell 指令 ('|', 等) 不会起作用。要使用 shell,您需要显式调用该 shell。退出状态 0 被视为活动/健康,非零状态为不健康。
httpGet (HTTPGetAction)
HTTPGet 指定要执行的 http 请求。
HTTPGetAction 描述了基于 HTTP Get 请求的操作。
httpGet.port (IntOrString),必需
要访问容器上的端口的名称或编号。编号必须在 1 到 65535 的范围内。名称必须是 IANA_SVC_NAME。
IntOrString 是一种可以保存 int32 或字符串的类型。在 JSON 或 YAML 序列化和反序列化时,它会生成或使用内部类型。这允许您拥有例如可以接受名称或编号的 JSON 字段。
httpGet.host (字符串)
要连接到的主机名,默认为 Pod IP。您可能希望在 httpHeaders 中设置“Host”。
httpGet.httpHeaders ([]HTTPHeader)
要在请求中设置的自定义标头。HTTP 允许重复标头。
HTTPHeader 描述了要在 HTTP 探测中使用的自定义标头
httpGet.httpHeaders.name (字符串),必需
标头字段名称。这将在输出时规范化,因此大小写不同的名称将被理解为相同的标头。
httpGet.httpHeaders.value (字符串),必需
标头字段值
httpGet.path (字符串)
要访问 HTTP 服务器上的路径。
httpGet.scheme (字符串)
用于连接到主机的方案。默认为 HTTP。
tcpSocket (TCPSocketAction)
已弃用。TCPSocket 不支持作为 LifecycleHandler,并保留用于向后兼容性。此字段没有验证,并且当指定 tcp 处理程序时,生命周期钩子将在运行时失败。
节点亲和性
节点亲和性是一组节点亲和性调度规则。
preferredDuringSchedulingIgnoredDuringExecution ([]PreferredSchedulingTerm)
调度程序将优先将 Pod 调度到满足此字段指定的亲和性表达式的节点,但它可能会选择违反一个或多个表达式的节点。最优选的节点是权重总和最大的节点,即对于满足所有调度要求(资源请求、requiredDuringScheduling 亲和性表达式等)的每个节点,通过遍历此字段的元素并添加“权重”来计算总和如果节点匹配相应的 matchExpressions,则权重总和最大的节点(s) 是最优选的。
一个空的 preferred scheduling term 匹配所有具有隐式权重 0 的对象(即它是一个无操作)。一个空 preferred scheduling term 不匹配任何对象(即也是一个无操作)。
preferredDuringSchedulingIgnoredDuringExecution.preference (NodeSelectorTerm),必需
一个节点选择器项,与相应的权重相关联。
一个空或空的节点选择器项不匹配任何对象。它们的要求是 ANDed。TopologySelectorTerm 类型实现了 NodeSelectorTerm 的一个子集。
preferredDuringSchedulingIgnoredDuringExecution.preference.matchExpressions ([]NodeSelectorRequirement)
节点标签的节点选择器要求列表。
preferredDuringSchedulingIgnoredDuringExecution.preference.matchFields ([]NodeSelectorRequirement)
节点字段的节点选择器要求列表。
preferredDuringSchedulingIgnoredDuringExecution.weight (int32),必需
与匹配相应的 nodeSelectorTerm 相关的权重,范围为 1-100。
requiredDuringSchedulingIgnoredDuringExecution (NodeSelector)
如果此字段指定的亲和性要求在调度时未满足,则 Pod 不会被调度到该节点。如果此字段指定的亲和性要求在 Pod 执行期间的某个时刻不再满足(例如由于更新),系统可能会或可能不会尝试最终将 Pod 从其节点中驱逐出去。
节点选择器表示对一组节点执行一个或多个标签查询结果的并集;也就是说,它表示由节点选择器项表示的选择器的 OR。
requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms ([]NodeSelectorTerm),必需
必需。节点选择器项列表。这些项是 ORed。
一个空或空的节点选择器项不匹配任何对象。它们的要求是 ANDed。TopologySelectorTerm 类型实现了 NodeSelectorTerm 的一个子集。
requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms.matchExpressions ([]NodeSelectorRequirement)
节点标签的节点选择器要求列表。
requiredDuringSchedulingIgnoredDuringExecution.nodeSelectorTerms.matchFields ([]NodeSelectorRequirement)
节点字段的节点选择器要求列表。
Pod 亲和性
Pod 亲和性是一组 Pod 间亲和性调度规则。
preferredDuringSchedulingIgnoredDuringExecution ([]WeightedPodAffinityTerm)
调度程序将优先将 Pod 调度到满足此字段指定的亲和性表达式的节点,但它可能会选择违反一个或多个表达式的节点。最优选的节点是权重总和最大的节点,即对于满足所有调度要求(资源请求、requiredDuringScheduling 亲和性表达式等)的每个节点,通过遍历此字段的元素并添加“权重”来计算总和如果节点具有与相应的 podAffinityTerm 匹配的 Pod,则权重总和最大的节点(s) 是最优选的。
所有匹配的 WeightedPodAffinityTerm 字段的权重将按节点添加,以找到最优选的节点(s)
preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm (PodAffinityTerm),必需
必需。一个 Pod 亲和性项,与相应的权重相关联。
定义一组 Pod(即与给定命名空间(s) 中的 labelSelector 相匹配的那些 Pod),此 Pod 应该与它们共置(亲和性)或不共置(反亲和性),其中共置定义为运行在标签键值为
与任何运行该组 Pod 中的 Pod 的节点的标签键值匹配的节点上 preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.topologyKey (字符串),必需
此 Pod 应该与指定命名空间中与 labelSelector 匹配的 Pod 共置(亲和性)或不共置(反亲和性),其中共置定义为运行在标签键值为 topologyKey 的节点上,该节点的标签键值与任何运行所选 Pod 的节点的标签键值匹配。空 topologyKey 不允许。
preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.labelSelector (LabelSelector)
对一组资源的标签查询,在本例中为 Pod。
preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.namespaceSelector (LabelSelector)
对该术语适用的命名空间集进行标签查询。该术语适用于此字段选择的命名空间与 namespaces 字段中列出的命名空间的并集。空选择器和空或空的命名空间列表表示“此 Pod 的命名空间”。空选择器 ({}) 匹配所有命名空间。
preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.namespaces ([]string)
namespaces 指定该术语适用的命名空间名称的静态列表。该术语适用于此字段中列出的命名空间与 namespaceSelector 选择的命名空间的并集。空或空的命名空间列表和空 namespaceSelector 表示“此 Pod 的命名空间”。
preferredDuringSchedulingIgnoredDuringExecution.weight (int32),必需
与匹配相应 podAffinityTerm 相关的权重,范围为 1-100。
requiredDuringSchedulingIgnoredDuringExecution ([]PodAffinityTerm)
如果此字段指定的亲和性要求在调度时未满足,则 Pod 不会被调度到该节点。如果此字段指定的亲和性要求在 Pod 执行期间的某个时刻不再满足(例如,由于 Pod 标签更新),系统可能会或可能不会尝试最终将 Pod 从其节点中驱逐。当有多个元素时,与每个 podAffinityTerm 相对应的节点列表将被交集,即所有术语都必须满足。
定义一组 Pod(即与给定命名空间(s) 中的 labelSelector 相匹配的那些 Pod),此 Pod 应该与它们共置(亲和性)或不共置(反亲和性),其中共置定义为运行在标签键值为
与任何运行该组 Pod 中的 Pod 的节点的标签键值匹配的节点上 requiredDuringSchedulingIgnoredDuringExecution.topologyKey (string), required
此 Pod 应该与指定命名空间中与 labelSelector 匹配的 Pod 共置(亲和性)或不共置(反亲和性),其中共置定义为运行在标签键值为 topologyKey 的节点上,该节点的标签键值与任何运行所选 Pod 的节点的标签键值匹配。空 topologyKey 不允许。
requiredDuringSchedulingIgnoredDuringExecution.labelSelector (LabelSelector)
对一组资源的标签查询,在本例中为 Pod。
requiredDuringSchedulingIgnoredDuringExecution.namespaceSelector (LabelSelector)
对该术语适用的命名空间集进行标签查询。该术语适用于此字段选择的命名空间与 namespaces 字段中列出的命名空间的并集。空选择器和空或空的命名空间列表表示“此 Pod 的命名空间”。空选择器 ({}) 匹配所有命名空间。
requiredDuringSchedulingIgnoredDuringExecution.namespaces ([]string)
namespaces 指定该术语适用的命名空间名称的静态列表。该术语适用于此字段中列出的命名空间与 namespaceSelector 选择的命名空间的并集。空或空的命名空间列表和空 namespaceSelector 表示“此 Pod 的命名空间”。
PodAntiAffinity
Pod 反亲和性是一组 Pod 间反亲和性调度规则。
preferredDuringSchedulingIgnoredDuringExecution ([]WeightedPodAffinityTerm)
调度器将优先将 Pod 调度到满足此字段指定的反亲和性表达式的节点,但它可能会选择违反一个或多个表达式的节点。最优选的节点是权重总和最大的节点,即对于满足所有调度要求(资源请求、requiredDuringScheduling 反亲和性表达式等)的每个节点,通过遍历此字段的元素并添加“权重”来计算总和如果节点具有与相应 podAffinityTerm 匹配的 Pod,则将总和添加到总和中;权重总和最大的节点是最优选的。
所有匹配的 WeightedPodAffinityTerm 字段的权重将按节点添加,以找到最优选的节点(s)
preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm (PodAffinityTerm),必需
必需。一个 Pod 亲和性项,与相应的权重相关联。
定义一组 Pod(即与给定命名空间(s) 中的 labelSelector 相匹配的那些 Pod),此 Pod 应该与它们共置(亲和性)或不共置(反亲和性),其中共置定义为运行在标签键值为
与任何运行该组 Pod 中的 Pod 的节点的标签键值匹配的节点上 preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.topologyKey (字符串),必需
此 Pod 应该与指定命名空间中与 labelSelector 匹配的 Pod 共置(亲和性)或不共置(反亲和性),其中共置定义为运行在标签键值为 topologyKey 的节点上,该节点的标签键值与任何运行所选 Pod 的节点的标签键值匹配。空 topologyKey 不允许。
preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.labelSelector (LabelSelector)
对一组资源的标签查询,在本例中为 Pod。
preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.namespaceSelector (LabelSelector)
对该术语适用的命名空间集进行标签查询。该术语适用于此字段选择的命名空间与 namespaces 字段中列出的命名空间的并集。空选择器和空或空的命名空间列表表示“此 Pod 的命名空间”。空选择器 ({}) 匹配所有命名空间。
preferredDuringSchedulingIgnoredDuringExecution.podAffinityTerm.namespaces ([]string)
namespaces 指定该术语适用的命名空间名称的静态列表。该术语适用于此字段中列出的命名空间与 namespaceSelector 选择的命名空间的并集。空或空的命名空间列表和空 namespaceSelector 表示“此 Pod 的命名空间”。
preferredDuringSchedulingIgnoredDuringExecution.weight (int32),必需
与匹配相应 podAffinityTerm 相关的权重,范围为 1-100。
requiredDuringSchedulingIgnoredDuringExecution ([]PodAffinityTerm)
如果此字段指定的反亲和性要求在调度时未满足,则 Pod 不会被调度到该节点。如果此字段指定的反亲和性要求在 Pod 执行期间的某个时刻不再满足(例如,由于 Pod 标签更新),系统可能会或可能不会尝试最终将 Pod 从其节点中驱逐。当有多个元素时,与每个 podAffinityTerm 相对应的节点列表将被交集,即所有术语都必须满足。
定义一组 Pod(即与给定命名空间(s) 中的 labelSelector 相匹配的那些 Pod),此 Pod 应该与它们共置(亲和性)或不共置(反亲和性),其中共置定义为运行在标签键值为
与任何运行该组 Pod 中的 Pod 的节点的标签键值匹配的节点上 requiredDuringSchedulingIgnoredDuringExecution.topologyKey (string), required
此 Pod 应该与指定命名空间中与 labelSelector 匹配的 Pod 共置(亲和性)或不共置(反亲和性),其中共置定义为运行在标签键值为 topologyKey 的节点上,该节点的标签键值与任何运行所选 Pod 的节点的标签键值匹配。空 topologyKey 不允许。
requiredDuringSchedulingIgnoredDuringExecution.labelSelector (LabelSelector)
对一组资源的标签查询,在本例中为 Pod。
requiredDuringSchedulingIgnoredDuringExecution.namespaceSelector (LabelSelector)
对该术语适用的命名空间集进行标签查询。该术语适用于此字段选择的命名空间与 namespaces 字段中列出的命名空间的并集。空选择器和空或空的命名空间列表表示“此 Pod 的命名空间”。空选择器 ({}) 匹配所有命名空间。
requiredDuringSchedulingIgnoredDuringExecution.namespaces ([]string)
namespaces 指定该术语适用的命名空间名称的静态列表。该术语适用于此字段中列出的命名空间与 namespaceSelector 选择的命名空间的并集。空或空的命名空间列表和空 namespaceSelector 表示“此 Pod 的命名空间”。
探测
探测描述了要对容器执行的健康检查,以确定它是否存活或已准备好接收流量。
exec (ExecAction)
Exec 指定要采取的操作。
exec.command ([]字符串)
Command 是在容器内执行的命令行,命令的工作目录是容器文件系统中的根目录 ('/')。该命令只是简单地执行,它不在 shell 中运行,因此传统的 shell 指令 ('|', 等) 不会起作用。要使用 shell,您需要显式调用该 shell。退出状态 0 被视为活动/健康,非零状态为不健康。
httpGet (HTTPGetAction)
HTTPGet 指定要执行的 http 请求。
HTTPGetAction 描述了基于 HTTP Get 请求的操作。
httpGet.port (IntOrString),必需
要访问容器上的端口的名称或编号。编号必须在 1 到 65535 的范围内。名称必须是 IANA_SVC_NAME。
IntOrString 是一种可以保存 int32 或字符串的类型。在 JSON 或 YAML 序列化和反序列化时,它会生成或使用内部类型。这允许您拥有例如可以接受名称或编号的 JSON 字段。
httpGet.host (字符串)
要连接到的主机名,默认为 Pod IP。您可能希望在 httpHeaders 中设置“Host”。
httpGet.httpHeaders ([]HTTPHeader)
要在请求中设置的自定义标头。HTTP 允许重复标头。
HTTPHeader 描述了要在 HTTP 探测中使用的自定义标头
httpGet.httpHeaders.name (字符串),必需
标头字段名称。这将在输出时规范化,因此大小写不同的名称将被理解为相同的标头。
httpGet.httpHeaders.value (字符串),必需
标头字段值
httpGet.path (字符串)
要访问 HTTP 服务器上的路径。
httpGet.scheme (字符串)
用于连接到主机的方案。默认为 HTTP。
tcpSocket (TCPSocketAction)
TCPSocket 指定涉及 TCP 端口的操作。
initialDelaySeconds (int32)
容器启动后启动存活探测所需的时间(以秒为单位)。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
terminationGracePeriodSeconds (int64)
探测失败后,Pod 需要正常终止的可选持续时间(以秒为单位)。宽限期是在向 Pod 中运行的进程发送终止信号后,进程被强制使用终止信号停止的时间(以秒为单位)。将此值设置为比预期进程清理时间更长的时间。如果此值为 nil,则将使用 Pod 的 terminationGracePeriodSeconds。否则,此值将覆盖 Pod 规范中提供的值。值必须是非负整数。值为零表示立即通过终止信号停止(没有机会关闭)。这是一个 beta 字段,需要启用 ProbeTerminationGracePeriod 功能门。最小值为 1。如果未设置,则使用 spec.terminationGracePeriodSeconds。
periodSeconds (int32)
执行探测的频率(以秒为单位)。默认为 10 秒。最小值为 1。
timeoutSeconds (int32)
探测超时的时间(以秒为单位)。默认为 1 秒。最小值为 1。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#container-probes
failureThreshold (int32)
探测被认为失败后,探测被认为失败的连续最小失败次数。默认为 3。最小值为 1。
successThreshold (int32)
探测被认为失败后,探测被认为成功的连续最小成功次数。默认为 1。对于存活和启动,必须为 1。最小值为 1。
grpc (GRPCAction)
GRPC 指定涉及 GRPC 端口的操作。
grpc.port (int32), required
GRPC 服务的端口号。数字必须在 1 到 65535 的范围内。
grpc.service (string)
服务是放置在 gRPC HealthCheckRequest 中的服务名称(参见 https://github.com/grpc/grpc/blob/master/doc/health-checking.md).
如果未指定,则默认行为由 gRPC 定义。
PodStatus
PodStatus 表示有关 Pod 状态的信息。状态可能落后于系统的实际状态,尤其是在托管 Pod 的节点无法联系控制平面时。
nominatedNodeName (string)
nominatedNodeName 仅在该 Pod 抢占节点上的其他 Pod 时设置,但它不能立即调度,因为抢占受害者会收到它们的正常终止期限。此字段不保证 Pod 将被调度到该节点。如果其他节点更快地可用,调度器可能会决定将 Pod 放置在其他地方。调度器也可能决定将该节点上的资源提供给抢占后创建的更高优先级 Pod。因此,当 Pod 被调度时,此字段可能与 PodSpec.nodeName 不同。
hostIP (string)
hostIP 包含分配给 Pod 的主机的 IP 地址。如果 Pod 尚未启动,则为空。Pod 可以被分配到 kubelet 中存在问题的节点,这反过来意味着即使分配了节点到 Pod,HostIP 也不会更新
hostIPs ([]HostIP)
补丁策略:根据键
ip合并原子:将在合并期间被替换
hostIPs 包含分配给主机的 IP 地址。如果指定此字段,则第一个条目必须与 hostIP 字段匹配。如果 Pod 尚未启动,则此列表为空。Pod 可以被分配到 kubelet 中存在问题的节点,这反过来意味着即使分配了节点到该 Pod,HostIPs 也不会更新。
hostIPs.ip (string)
IP 是分配给主机的 IP 地址
startTime (Time)
Kubelet 确认对象的时间(RFC 3339 日期和时间)。这发生在 Kubelet 为 Pod 拉取容器镜像之前。
Time 是 time.Time 的包装器,它支持正确地编组到 YAML 和 JSON。包装器为 time 包提供的许多工厂方法提供。
phase (string)
Pod 的阶段是 Pod 在其生命周期中的位置的简单、高级摘要。conditions 数组、reason 和 message 字段以及各个容器状态数组包含有关 Pod 状态的更多详细信息。有五种可能的阶段值
Pending:Pod 已被 Kubernetes 系统接受,但一个或多个容器镜像尚未创建。这包括在调度之前的时间以及通过网络下载镜像所花费的时间,这可能需要一段时间。Running:Pod 已绑定到节点,并且所有容器都已创建。至少有一个容器仍在运行,或正在启动或重新启动过程中。Succeeded:Pod 中的所有容器都已成功终止,并且不会重新启动。Failed:Pod 中的所有容器都已终止,并且至少有一个容器已失败终止。容器要么以非零状态退出,要么被系统终止。Unknown:由于某种原因,无法获取 Pod 的状态,通常是由于与 Pod 主机通信时出错。
更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#pod-phase
message (string)
一条人类可读的消息,指示有关 Pod 处于此状态的原因的详细信息。
reason (string)
一条简短的驼峰式消息,指示有关 Pod 处于此状态的原因的详细信息。例如“Evicted”
podIP (string)
分配给 Pod 的 podIP 地址。至少在集群内可路由。如果尚未分配,则为空。
podIPs ([]PodIP)
补丁策略:根据键
ip合并podIPs 包含分配给 Pod 的 IP 地址。如果指定此字段,则第 0 个条目必须与 podIP 字段匹配。Pod 最多可以为每个 IPv4 和 IPv6 分配 1 个值。如果尚未分配任何 IP,则此列表为空。
podIPs.ip (string)
IP 是分配给 Pod 的 IP 地址
conditions ([]PodCondition)
修补策略:按键
type合并Pod 的当前服务状态。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
PodCondition 包含有关此 Pod 的当前状态的详细信息。
conditions.status (string), required
Status 是条件的状态。可以是 True、False、Unknown。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
conditions.type (string), required
Type 是条件的类型。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#pod-conditions
conditions.lastProbeTime (Time)
我们最后一次探测条件的时间。
Time 是 time.Time 的包装器,它支持正确地编组到 YAML 和 JSON。包装器为 time 包提供的许多工厂方法提供。
conditions.lastTransitionTime (Time)
条件从一种状态过渡到另一种状态的最后时间。
Time 是 time.Time 的包装器,它支持正确地编组到 YAML 和 JSON。包装器为 time 包提供的许多工厂方法提供。
conditions.message (string)
人类可读的消息,指示有关最后过渡的详细信息。
conditions.reason (string)
条件最后一次过渡的唯一、单字、驼峰式原因。
qosClass (string)
根据资源需求分配给 Pod 的服务质量 (QOS) 分类。有关可用的 QOS 类别,请参见 PodQOSClass 类型。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-qos/#quality-of-service-classes
initContainerStatuses ([]ContainerStatus)
该列表在清单中每个初始化容器都有一个条目。最近成功的初始化容器将具有 ready = true,最近启动的容器将设置 startTime。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#pod-and-container-status
containerStatuses ([]ContainerStatus)
该列表在清单中每个容器都有一个条目。更多信息:https://kubernetes.ac.cn/docs/concepts/workloads/pods/pod-lifecycle#pod-and-container-status
ephemeralContainerStatuses ([]ContainerStatus)
在该 Pod 中运行的任何短暂容器的状态。
resourceClaimStatuses ([]PodResourceClaimStatus)
补丁策略:保留键,按键
name合并映射:在合并期间将保留键名上的唯一值
资源声明的状态。
PodResourceClaimStatus 存储在每个 PodResourceClaim 的 PodStatus 中,该 PodResourceClaim 引用 ResourceClaimTemplate。它存储了相应 ResourceClaim 的生成名称。
resourceClaimStatuses.name (字符串), 必需
名称在 pod 内唯一标识此资源声明。这必须与 pod.spec.resourceClaims 中条目的名称匹配,这意味着该字符串必须是 DNS_LABEL。
resourceClaimStatuses.resourceClaimName (字符串)
ResourceClaimName 是为 Pod 在 Pod 命名空间中生成的 ResourceClaim 的名称。如果未设置,则无需生成 ResourceClaim。在这种情况下,可以忽略 pod.spec.resourceClaims 条目。
resize (字符串)
Pod 容器所需资源调整状态。如果没有任何资源调整正在进行,则为空。对容器资源的任何更改都会自动将其设置为“Proposed”。
PodList
PodList 是 Pod 的列表。
items ([]Pod), 必需
Pod 列表。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md
apiVersion (字符串)
APIVersion 定义了此对象表示形式的版本化模式。服务器应将识别的模式转换为最新的内部值,并可能拒绝无法识别的值。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
kind (字符串)
Kind 是一个字符串值,表示此对象表示的 REST 资源。服务器可以从客户端提交请求的端点推断出这一点。无法更新。以驼峰式命名。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ListMeta)
标准列表元数据。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
操作
get 读取指定的 Pod
HTTP 请求
GET /api/v1/namespaces/{namespace}/pods/{name}
参数
响应
200 (Pod): OK
401: 未授权
get 读取指定 Pod 的 ephemeralcontainers
HTTP 请求
GET /api/v1/namespaces/{namespace}/pods/{name}/ephemeralcontainers
参数
响应
200 (Pod): OK
401: 未授权
get 读取指定 Pod 的日志
HTTP 请求
GET /api/v1/namespaces/{namespace}/pods/{name}/log
参数
name (在路径中): 字符串, 必需
Pod 的名称
namespace (在路径中): 字符串, 必需
container (在查询中): 字符串
要流式传输日志的容器。默认为只有一个容器的 pod 中的唯一容器。
follow (在查询中): 布尔值
跟踪 pod 的日志流。默认为 false。
insecureSkipTLSVerifyBackend (在查询中): 布尔值
insecureSkipTLSVerifyBackend 指示 apiserver 不应确认其连接到的后端服务的证书的有效性。这将使 apiserver 与后端之间的 HTTPS 连接变得不安全。这意味着 apiserver 无法验证收到的日志数据是否来自真正的 kubelet。如果 kubelet 配置为验证 apiserver 的 TLS 凭据,并不意味着与真正的 kubelet 的连接容易受到中间人攻击(例如,攻击者无法拦截来自真正的 kubelet 的实际日志数据)。
limitBytes (在查询中): 整数
如果设置,则从服务器读取的字节数,在终止日志输出之前。这可能不会显示完整的最后一行日志,并且可能返回比指定限制略多或略少的字节。
pretty (在查询中): 字符串
previous (在查询中): 布尔值
返回之前已终止的容器日志。默认为 false。
sinceSeconds (在查询中): 整数
相对于当前时间之前的秒数,从该时间开始显示日志。如果此值早于 pod 启动时间,则仅返回 pod 启动后的日志。如果此值在未来,则不会返回任何日志。只能指定 sinceSeconds 或 sinceTime 之一。
tailLines (在查询中): 整数
如果设置,则显示日志末尾的行数。如果未指定,则从容器创建或 sinceSeconds 或 sinceTime 开始显示日志。
timestamps (在查询中): 布尔值
如果为 true,则在每行日志输出的开头添加 RFC3339 或 RFC3339Nano 时间戳。默认为 false。
响应
200 (字符串): OK
401: 未授权
get 读取指定 Pod 的状态
HTTP 请求
GET /api/v1/namespaces/{namespace}/pods/{name}/status
参数
响应
200 (Pod): OK
401: 未授权
list 列出或监视 Pod 类型的对象
HTTP 请求
GET /api/v1/namespaces/{namespace}/pods
参数
namespace (在路径中): 字符串, 必需
allowWatchBookmarks (在查询中): 布尔值
continue (在查询中): 字符串
fieldSelector (在查询中): 字符串
labelSelector (在查询中): 字符串
limit (在查询中): 整数
pretty (在查询中): 字符串
resourceVersion (在查询中): 字符串
resourceVersionMatch (在查询中): 字符串
sendInitialEvents (在查询中): 布尔值
timeoutSeconds (在查询中): 整数
watch (在查询中): 布尔值
响应
200 (PodList): OK
401: 未授权
list 列出或监视 Pod 类型的对象
HTTP 请求
GET /api/v1/pods
参数
allowWatchBookmarks (在查询中): 布尔值
continue (在查询中): 字符串
fieldSelector (在查询中): 字符串
labelSelector (在查询中): 字符串
limit (在查询中): 整数
pretty (在查询中): 字符串
resourceVersion (在查询中): 字符串
resourceVersionMatch (在查询中): 字符串
sendInitialEvents (在查询中): 布尔值
timeoutSeconds (在查询中): 整数
watch (在查询中): 布尔值
响应
200 (PodList): OK
401: 未授权
create 创建一个 Pod
HTTP 请求
POST /api/v1/namespaces/{namespace}/pods
参数
namespace (在路径中): 字符串, 必需
body: Pod, 必需
dryRun (在查询中): 字符串
fieldManager (在查询中): 字符串
fieldValidation (在查询中): 字符串
pretty (在查询中): 字符串
响应
200 (Pod): OK
201 (Pod): 已创建
202 (Pod): 已接受
401: 未授权
update 替换指定的 Pod
HTTP 请求
PUT /api/v1/namespaces/{namespace}/pods/{name}
参数
name (在路径中): 字符串, 必需
Pod 的名称
namespace (在路径中): 字符串, 必需
body: Pod, 必需
dryRun (在查询中): 字符串
fieldManager (在查询中): 字符串
fieldValidation (在查询中): 字符串
pretty (在查询中): 字符串
响应
200 (Pod): OK
201 (Pod): 已创建
401: 未授权
update 替换指定 Pod 的 ephemeralcontainers
HTTP 请求
PUT /api/v1/namespaces/{namespace}/pods/{name}/ephemeralcontainers
参数
name (在路径中): 字符串, 必需
Pod 的名称
namespace (在路径中): 字符串, 必需
body: Pod, 必需
dryRun (在查询中): 字符串
fieldManager (在查询中): 字符串
fieldValidation (在查询中): 字符串
pretty (在查询中): 字符串
响应
200 (Pod): OK
201 (Pod): 已创建
401: 未授权
update 替换指定 Pod 的状态
HTTP 请求
PUT /api/v1/namespaces/{namespace}/pods/{name}/status
参数
name (在路径中): 字符串, 必需
Pod 的名称
namespace (在路径中): 字符串, 必需
body: Pod, 必需
dryRun (在查询中): 字符串
fieldManager (在查询中): 字符串
fieldValidation (在查询中): 字符串
pretty (在查询中): 字符串
响应
200 (Pod): OK
201 (Pod): 已创建
401: 未授权
patch 部分更新指定的 Pod
HTTP 请求
PATCH /api/v1/namespaces/{namespace}/pods/{name}
参数
name (在路径中): 字符串, 必需
Pod 的名称
namespace (在路径中): 字符串, 必需
body: Patch, 必需
dryRun (在查询中): 字符串
fieldManager (在查询中): 字符串
fieldValidation (在查询中): 字符串
force (在查询中): 布尔值
pretty (在查询中): 字符串
响应
200 (Pod): OK
201 (Pod): 已创建
401: 未授权
patch 部分更新指定 Pod 的 ephemeralcontainers
HTTP 请求
PATCH /api/v1/namespaces/{namespace}/pods/{name}/ephemeralcontainers
参数
name (在路径中): 字符串, 必需
Pod 的名称
namespace (在路径中): 字符串, 必需
body: Patch, 必需
dryRun (在查询中): 字符串
fieldManager (在查询中): 字符串
fieldValidation (在查询中): 字符串
force (在查询中): 布尔值
pretty (在查询中): 字符串
响应
200 (Pod): OK
201 (Pod): 已创建
401: 未授权
patch 部分更新指定 Pod 的状态
HTTP 请求
PATCH /api/v1/namespaces/{namespace}/pods/{name}/status
参数
name (在路径中): 字符串, 必需
Pod 的名称
namespace (在路径中): 字符串, 必需
body: Patch, 必需
dryRun (在查询中): 字符串
fieldManager (在查询中): 字符串
fieldValidation (在查询中): 字符串
force (在查询中): 布尔值
pretty (在查询中): 字符串
响应
200 (Pod): OK
201 (Pod): 已创建
401: 未授权
delete 删除一个 Pod
HTTP 请求
DELETE /api/v1/namespaces/{namespace}/pods/{name}
参数
name (在路径中): 字符串, 必需
Pod 的名称
namespace (在路径中): 字符串, 必需
body: DeleteOptions
dryRun (在查询中): 字符串
gracePeriodSeconds (在查询中): 整数
pretty (在查询中): 字符串
propagationPolicy (在查询中): 字符串
响应
200 (Pod): OK
202 (Pod): 已接受
401: 未授权
deletecollection 删除 Pod 集合
HTTP 请求
DELETE /api/v1/namespaces/{namespace}/pods
参数
namespace (在路径中): 字符串, 必需
body: DeleteOptions
continue (在查询中): 字符串
dryRun (在查询中): 字符串
fieldSelector (在查询中): 字符串
gracePeriodSeconds (在查询中): 整数
labelSelector (在查询中): 字符串
limit (在查询中): 整数
pretty (在查询中): 字符串
propagationPolicy (在查询中): 字符串
resourceVersion (在查询中): 字符串
resourceVersionMatch (在查询中): 字符串
sendInitialEvents (在查询中): 布尔值
timeoutSeconds (在查询中): 整数
响应
200 (Status): OK
401: 未授权
此页面是自动生成的。
如果您打算报告此页面的问题,请在您的问题描述中提及该页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。