kube-apiserver 准入 (v1)

Request 描述了 admission 请求的属性。

Response 描述了 admission 响应的属性。

UID 是单个请求/响应的标识符。它使我们能够区分其他方面相同的请求实例（并行请求、先前请求未修改时的请求等）。UID 用于跟踪 KAS 和 WebHook 之间的往返（请求/响应），而不是用户请求。它适用于关联 webhook 和 apiserver 之间的日志条目，用于审计或调试。

Kind 是正在提交的对象的完全限定类型（例如，v1.Pod 或 autoscaling.v1.Scale）。

Resource 是正在请求的完全限定资源（例如，v1.pods）。

SubResource 是正在请求的子资源（如果有）（例如，“status”或“scale”）。

RequestKind 是原始 API 请求的完全限定类型（例如，v1.Pod 或 autoscaling.v1.Scale）。如果指定了此字段且与“kind”字段的值不同，则已执行等效匹配和转换。

例如，如果部署可以通过 apps/v1 和 apps/v1beta1 进行修改，并且 webhook 注册了一个规则 apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] 和 matchPolicy: Equivalent，那么对 apps/v1beta1 部署的 API 请求将被转换为 kind: {group:"apps", version:"v1", kind:"Deployment"}（匹配 webhook 注册的规则），并发送到 webhook，同时 requestKind: {group:"apps", version:"v1beta1", kind:"Deployment"}（指示原始 API 请求的 kind）。

有关更多详细信息，请参阅 webhook 配置类型中“matchPolicy”字段的文档。

RequestResource 是原始 API 请求的完全限定资源（例如，v1.pods）。如果指定了此字段且与“resource”字段的值不同，则已执行等效匹配和转换。

例如，如果部署可以通过 apps/v1 和 apps/v1beta1 进行修改，并且 webhook 注册了一个规则 apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] 和 matchPolicy: Equivalent，那么对 apps/v1beta1 部署的 API 请求将被转换为 resource: {group:"apps", version:"v1", resource:"deployments"}（匹配 webhook 注册的资源），并发送到 webhook，同时 requestResource: {group:"apps", version:"v1beta1", resource:"deployments"}（指示原始 API 请求的资源）。

有关更多详细信息，请参阅“matchPolicy”字段在 webhook 配置类型中的文档。

RequestSubResource 是原始 API 请求的子资源的名称（如果有）（例如，“status”或“scale”）。如果指定了此字段且与“subResource”字段的值不同，则已执行等效匹配和转换。有关更多详细信息，请参阅 webhook 配置类型中“matchPolicy”字段的文档。

Name 是请求中呈现的对象名称。在 CREATE 操作中，客户端可以省略名称并依赖服务器生成名称。如果是这种情况，此字段将包含一个空字符串。

Namespace 是与请求关联的命名空间（如果有）。

Operation 是正在执行的操作。这可能与请求的操作不同。例如，patch 操作可能导致 CREATE 或 UPDATE 操作。

UserInfo 是有关请求用户的信息。

Object 是来自传入请求的对象。

OldObject 是现有对象。仅为 DELETE 和 UPDATE 请求填充。

DryRun 指示此请求的修改绝对不会被持久化。默认为 false。

Options 是正在执行的操作的操作选项结构。例如 meta.k8s.io/v1.DeleteOptions 或 meta.k8s.io/v1.CreateOptions。这可能与调用者提供的选项不同。例如，对于 patch 请求，执行的操作可能是 CREATE，在这种情况下，即使调用者提供了 meta.k8s.io/v1.PatchOptions，Options 也是 meta.k8s.io/v1.CreateOptions。

UID 是单个请求/响应的标识符。必须将其从相应的 AdmissionRequest 复制过来。

Allowed 指示 admission 请求是否被允许。

Result 包含有关 admission 请求被拒绝的额外详细信息。如果 "Allowed" 为 "true"，则此字段不会被以任何方式查阅。

patch 正文。目前我们只支持 "JSONPatch"，它实现了 RFC 6902。

Patch 的类型。目前我们只允许 "JSONPatch"。

AuditAnnotations 是由远程 admission controller 设置的非结构化键值映射（例如，error=image-blacklisted）。MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook admission controller 会在键前面加上 admission webhook 的名称（例如，imagepolicy.example.com/error=image-blacklisted）。AuditAnnotations 将由 admission webhook 提供，为该请求的 audit log 添加额外上下文。

warnings 是要返回给请求的 API 客户端的警告消息列表。警告消息描述了发起 API 请求的客户端应该纠正或注意的问题。如果可能，将警告限制在 120 个字符以内。超过 256 个字符的警告和大量警告可能会被截断。