ValidatingWebhookConfiguration

ValidatingWebhookConfiguration 描述了准入 Webhook 的配置,该 Webhook 接受或拒绝对象而不对其进行更改。

apiVersion: admissionregistration.k8s.io/v1

import "k8s.io/api/admissionregistration/v1"

ValidatingWebhookConfiguration

ValidatingWebhookConfiguration 描述了准入 Webhook 的配置,该 Webhook 接受或拒绝对象而不对其进行更改。

  • apiVersion: admissionregistration.k8s.io/v1

  • kind: ValidatingWebhookConfiguration

  • metadata (ObjectMeta)

    标准对象元数据;更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

  • webhooks ([]ValidatingWebhook)

    补丁策略:在键 name 上合并

    映射:合并时将保留键名上的唯一值

    Webhooks 是 Webhook 列表以及受影响的资源和操作。

    ValidatingWebhook 描述了一个准入 Webhook 以及它所应用于的资源和操作。

    • webhooks.admissionReviewVersions ([]string), required

      原子性:在合并期间将被替换

      AdmissionReviewVersions 是 Webhook 期望的 AdmissionReview 首选版本的有序列表。API 服务器将尝试使用列表中它支持的第一个版本。如果 API 服务器不支持此列表中指定的任何版本,则此对象的验证将失败。如果持久化的 Webhook 配置指定了允许的版本并且不包含 API 服务器已知的任何版本,则对 Webhook 的调用将失败并受制于故障策略。

    • webhooks.clientConfig (WebhookClientConfig), required

      ClientConfig 定义了如何与 Hook 通信。必需。

      WebhookClientConfig 包含与 Webhook 建立 TLS 连接的信息

      • webhooks.clientConfig.caBundle ([]byte)

        caBundle 是 PEM 编码的 CA 捆绑包,将用于验证 Webhook 的服务器证书。如果未指定,则使用 apiserver 上的系统信任根。

      • webhooks.clientConfig.service (ServiceReference)

        service 是此 Webhook 服务的引用。必须指定 serviceurl 中的一个。

        如果 Webhook 在集群内运行,则应使用 `service`。

        ServiceReference 包含对 Service.legacy.k8s.io 的引用

        • webhooks.clientConfig.service.name (string), required

          name 是服务的名称。必需。

        • webhooks.clientConfig.service.namespace (string), required

          namespace 是服务的命名空间。必需。

        • webhooks.clientConfig.service.path (string)

          path 是一个可选的 URL 路径,将在对此服务的所有请求中发送。

        • webhooks.clientConfig.service.port (int32)

          如果指定,则为托管 webhook 的服务端口。为向后兼容,默认为 443。`port` 应为有效的端口号(包括 1-65535)。

      • webhooks.clientConfig.url (string)

        url 以标准 URL 形式(scheme://host:port/path)给出 Webhook 的位置。urlservice 必须且只能指定一个。

        host 不应引用集群中运行的服务;请改用 service 字段。在某些 apiserver 中,主机可能通过外部 DNS 解析(例如,kube-apiserver 无法解析集群内 DNS,因为那将是分层违规)。host 也可以是 IP 地址。

        请注意,使用 localhost127.0.0.1 作为 host 存在风险,除非您非常小心地在所有运行 apiserver 的主机上运行此 Webhook,这些 apiserver 可能需要调用此 Webhook。此类安装可能不可移植,即,在新集群中不易启动。

        方案必须是“https”;URL 必须以“https://”开头。

        path 是可选的,如果存在,可以是 URL 中允许的任何字符串。您可以使用 path 向 Webhook 传递任意字符串,例如集群标识符。

        不允许尝试使用用户或基本身份验证,例如 "user:password@"。片段 ("#...") 和查询参数 ("?...") 也不允许。

    • webhooks.name (string), required

      准入 Webhook 的名称。名称应完全限定,例如 imagepolicy.kubernetes.io,其中 "imagepolicy" 是 Webhook 的名称,kubernetes.io 是组织的名称。必需。

    • webhooks.sideEffects (string), required

      SideEffects 说明此 Webhook 是否具有副作用。可接受的值为:None、NoneOnDryRun(通过 v1beta1 创建的 Webhook 也可以指定 Some 或 Unknown)。具有副作用的 Webhook 必须实现一个协调系统,因为请求可能被准入链中的未来步骤拒绝,因此需要撤销副作用。如果请求具有 dryRun 属性,并且与 sideEffects == Unknown 或 Some 的 Webhook 匹配,则将自动拒绝该请求。

    • webhooks.failurePolicy (string)

      FailurePolicy 定义了如何处理来自准入端点的无法识别的错误 - 允许的值为 Ignore 或 Fail。默认为 Fail。

    • webhooks.matchConditions ([]MatchCondition)

      补丁策略:在键 name 上合并

      映射:合并时将保留键名上的唯一值

      MatchConditions 是必须满足的条件列表,请求才能发送到此 Webhook。匹配条件会过滤已经由规则、namespaceSelector 和 objectSelector 匹配的请求。空的 matchConditions 列表匹配所有请求。最多允许 64 个匹配条件。

      确切的匹配逻辑是(按顺序)

      1. 如果任何 matchCondition 评估为 FALSE,则跳过 Webhook。
      2. 如果所有 matchCondition 都评估为 TRUE,则调用 Webhook。
      3. 如果任何 matchCondition 评估为错误(但没有一个为 FALSE)
        • 如果 failurePolicy=Fail,则拒绝请求
        • 如果 failurePolicy=Ignore,则忽略错误并跳过 Webhook。

      MatchCondition 表示 Webhook 必须满足才能发送请求的条件。

      • webhooks.matchConditions.expression (string), required

        Expression 表示将由 CEL 评估的表达式。必须评估为布尔值。CEL 表达式可以访问 AdmissionRequest 和 Authorizer 的内容,这些内容组织成 CEL 变量

        'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。'oldObject' - 现有对象。对于 CREATE 请求,该值为 null。'request' - 准入请求的属性(/pkg/apis/admission/types.go#AdmissionRequest)。'authorizer' - 一个 CEL Authorizer。可用于对请求的主体(用户或服务帐户)执行授权检查。请参阅 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz 'authorizer.requestResource' - 从 'authorizer' 构建并配置了请求资源的 CEL ResourceCheck。CEL 文档:https://kubernetes.ac.cn/docs/reference/using-api/cel/

        必需。

      • webhooks.matchConditions.name (string), required

        Name 是此匹配条件的标识符,用于 MatchConditions 的策略性合并,以及提供日志记录目的的标识符。一个好的名称应该能够描述相关的表达式。名称必须是合格名称,由字母数字字符、'-'、'_' 或 '.' 组成,并且必须以字母数字字符开头和结尾(例如 'MyName',或 'my.name',或 '123-abc',用于验证的正则表达式是 '([A-Za-z0-9][-A-Za-z0-9_.]*)?[A-Za-z0-9]'),并带有可选的 DNS 子域前缀和 '/'(例如 'example.com/MyName')

        必需。

    • webhooks.matchPolicy (string)

      matchPolicy 定义了如何使用 "rules" 列表来匹配传入请求。允许的值为 "Exact" 或 "Equivalent"。

      • Exact:仅当请求与指定规则完全匹配时才匹配。例如,如果部署可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改,但 "rules" 只包含 apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则对 apps/v1beta1 或 extensions/v1beta1 的请求将不会发送到 Webhook。

      • Equivalent:如果请求通过另一个 API 组或版本修改了规则中列出的资源,则匹配该请求。例如,如果部署可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改,并且 "rules" 只包含 apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则对 apps/v1beta1 或 extensions/v1beta1 的请求将被转换为 apps/v1 并发送到 Webhook。

      默认为 "Equivalent"

    • webhooks.namespaceSelector (LabelSelector)

      NamespaceSelector 根据对象的命名空间是否匹配选择器来决定是否在对象上运行 Webhook。如果对象本身是命名空间,则在 object.metadata.labels 上执行匹配。如果对象是另一个集群范围的资源,则永远不会跳过 Webhook。

      例如,要在任何命名空间不与 "runlevel" 的 "0" 或 "1" 关联的对象上运行 Webhook;您将按如下方式设置选择器: "namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] }

      如果您想仅在任何命名空间与 "environment" 的 "prod" 或 "staging" 关联的对象上运行 Webhook;您将按如下方式设置选择器: "namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] }

      有关标签选择器的更多示例,请参阅 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels

      默认为空 LabelSelector,它匹配所有内容。

    • webhooks.objectSelector (LabelSelector)

      ObjectSelector 根据对象是否具有匹配标签来决定是否运行 Webhook。objectSelector 会针对将发送到 Webhook 的 oldObject 和 newObject 进行评估,如果其中任何一个对象匹配选择器,则认为匹配。空对象(创建时的 oldObject,或删除时的 newObject)或不能具有标签的对象(如 DeploymentRollback 或 PodProxyOptions 对象)不被视为匹配。仅当 Webhook 是可选的才使用对象选择器,因为最终用户可以通过设置标签来跳过准入 Webhook。默认为空 LabelSelector,它匹配所有内容。

    • webhooks.rules ([]RuleWithOperations)

      原子性:在合并期间将被替换

      规则描述了 Webhook 关心的资源/子资源上的操作。如果 Webhook 匹配 *任何* 规则,则它关心该操作。但是,为了防止 ValidatingAdmissionWebhooks 和 MutatingAdmissionWebhooks 在不完全禁用插件的情况下将集群置于无法恢复的状态,ValidatingAdmissionWebhooks 和 MutatingAdmissionWebhooks 永远不会在 ValidatingWebhookConfiguration 和 MutatingWebhookConfiguration 对象的准入请求上调用。

      RuleWithOperations 是操作和资源的元组。建议确保所有元组扩展都有效。

      • webhooks.rules.apiGroups ([]string)

        原子性:在合并期间将被替换

        APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。

      • webhooks.rules.apiVersions ([]string)

        原子性:在合并期间将被替换

        APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。

      • webhooks.rules.operations ([]string)

        原子性:在合并期间将被替换

        Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。

      • webhooks.rules.resources ([]string)

        原子性:在合并期间将被替换

        Resources 是此规则适用的资源列表。

        例如:'pods' 表示 Pod。'pods/log' 表示 Pod 的日志子资源。'*' 表示所有资源,但不包括子资源。'pods/*' 表示 Pod 的所有子资源。'*/scale' 表示所有 scale 子资源。'*/*' 表示所有资源及其子资源。

        如果存在通配符,则验证规则将确保资源彼此不重叠。

        根据包围对象,可能不允许子资源。必需。

      • webhooks.rules.scope (string)

        scope 指定此规则的范围。有效值为 "Cluster"、"Namespaced" 和 ""。"Cluster" 表示只有集群范围的资源才会匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源才会匹配此规则。"" 表示没有范围限制。子资源匹配其父资源的范围。默认为 "*"。

    • webhooks.timeoutSeconds (int32)

      TimeoutSeconds 指定此 Webhook 的超时时间。超时时间过后,Webhook 调用将被忽略,或者 API 调用将根据故障策略失败。超时值必须介于 1 到 30 秒之间。默认为 10 秒。

ValidatingWebhookConfigurationList

ValidatingWebhookConfigurationList 是 ValidatingWebhookConfiguration 的列表。

操作

get 读取指定的 ValidatingWebhookConfiguration

HTTP 请求

GET /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations/{name}

参数

  • name (在路径中): string,必填

    ValidatingWebhookConfiguration 的名称

  • pretty (在查询中): string

    pretty

响应

200 (ValidatingWebhookConfiguration): 成功

401: 未授权

list 列出或监视 ValidatingWebhookConfiguration 类型的对象

HTTP 请求

GET /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations

参数

响应

200 (ValidatingWebhookConfigurationList): 成功

401: 未授权

create 创建一个 ValidatingWebhookConfiguration

HTTP 请求

POST /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations

参数

响应

200 (ValidatingWebhookConfiguration): 成功

201 (ValidatingWebhookConfiguration): 已创建

202 (ValidatingWebhookConfiguration): 已接受

401: 未授权

update 替换指定的 ValidatingWebhookConfiguration

HTTP 请求

PUT /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations/{name}

参数

响应

200 (ValidatingWebhookConfiguration): 成功

201 (ValidatingWebhookConfiguration): 已创建

401: 未授权

patch 部分更新指定的 ValidatingWebhookConfiguration

HTTP 请求

PATCH /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations/{name}

参数

  • name (在路径中): string,必填

    ValidatingWebhookConfiguration 的名称

  • body: Patch,必需

  • dryRun (在查询中): string

    dryRun

  • fieldManager (在查询中): string

    fieldManager

  • fieldValidation (在查询中): string

    fieldValidation

  • force (在查询中): boolean

    force

  • pretty (在查询中): string

    pretty

响应

200 (ValidatingWebhookConfiguration): 成功

201 (ValidatingWebhookConfiguration): 已创建

401: 未授权

delete 删除一个 ValidatingWebhookConfiguration

HTTP 请求

DELETE /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations/{name}

参数

响应

200 (Status): OK

202 (Status): 已接受

401: 未授权

deletecollection 删除 ValidatingWebhookConfiguration 集合

HTTP 请求

DELETE /apis/admissionregistration.k8s.io/v1/validatingwebhookconfigurations

参数

响应

200 (Status): OK

401: 未授权

本页面是自动生成的。

如果你打算报告此页面存在的问题,请在问题描述中提及此页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。

上次修改时间:2025 年 4 月 9 日太平洋标准时间下午 6:36:更新 v1.32 的 API 参考文档 (a3b579d035)