MutatingAdmissionPolicyBinding v1alpha1
apiVersion: admissionregistration.k8s.io/v1alpha1
import "k8s.io/api/admissionregistration/v1alpha1"
MutatingAdmissionPolicyBinding
MutatingAdmissionPolicyBinding 将 MutatingAdmissionPolicy 与参数化资源绑定。MutatingAdmissionPolicyBinding 和可选的参数资源共同定义了集群管理员如何为集群配置策略。
对于给定的 admission 请求,每个 binding 将会使其策略被评估 N 次,其中 N 对于不使用参数的策略/binding 为 1,否则 N 是 binding 选择的参数的数量。每次评估都受到 运行时成本预算 的限制。
添加/删除策略、binding 或参数不会影响给定的 (policy, binding, param) 组合是否在自己的 CEL 预算内。
apiVersion: admissionregistration.k8s.io/v1alpha1
kind: MutatingAdmissionPolicyBinding
metadata (ObjectMeta)
标准对象元数据;更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
spec (MutatingAdmissionPolicyBindingSpec)
MutatingAdmissionPolicyBinding 的期望行为的规范。
MutatingAdmissionPolicyBindingSpec 是 MutatingAdmissionPolicyBinding 的规范。
spec.matchResources (MatchResources)
matchResources 限制了哪些资源会匹配此 binding,并可能被它修改。请注意,如果 matchResources 匹配到一个资源,该资源在被修改之前必须也匹配到策略的 matchConstraints 和 matchConditions。当 matchResources 未设置时,它不会约束资源匹配,只有策略的 matchConstraints 和 matchConditions 匹配后资源才会被修改。此外,matchResources.resourceRules 是可选的,在未设置时不会约束匹配。请注意,这与 MutatingAdmissionPolicy 的 matchConstraints 不同,后者要求 resourceRules 必须设置。允许 CREATE、UPDATE 和 CONNECT 操作。DELETE 操作可能不会被匹配。'*' 匹配 CREATE、UPDATE 和 CONNECT。
MatchResources 根据对象是否满足匹配条件来决定是否在对象上运行 admission 控制策略。排除规则优先于包含规则(如果一个资源同时匹配两者,则被排除)。
spec.matchResources.excludeResourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ExcludeResourceRules 描述了策略不关心的资源/子资源上的操作。排除规则优先于包含规则(如果一个资源同时匹配两者,则被排除)。
NamedRuleWithOperations 是带有 ResourceNames 的 Operations 和 Resources 的元组。
spec.matchResources.excludeResourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchResources.excludeResourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 指 pods。'pods/log' 指 pods 的 log 子资源。'*' 指所有资源,但不包括子资源。'pods/*' 指 pods 的所有子资源。'*/scale' 指所有 scale 子资源。'*/*' 指所有资源及其子资源。
如果存在通配符,则验证规则将确保资源彼此不重叠。
根据包围对象,可能不允许子资源。必需。
spec.matchResources.excludeResourceRules.scope (string)
scope 指定了此规则的范围。有效值为 "Cluster"、"Namespaced" 和 "*"。"Cluster" 表示只有集群范围的资源会匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源会匹配此规则。"*" 表示没有范围限制。子资源与其父资源的范围匹配。默认为 "*".
spec.matchResources.matchPolicy (string)
matchPolicy 定义如何使用 "MatchResources" 列表来匹配传入请求。允许的值为 "Exact" 或 "Equivalent"。
Exact: 仅当请求与指定规则完全匹配时才匹配。例如,如果 deployments 可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改,而 "rules" 只包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],那么 admission 策略将不会考虑对 apps/v1beta1 或 extensions/v1beta1 API 组的请求。Equivalent: 如果请求修改了规则中列出的资源,即使是通过其他 API 组或版本,也会匹配。例如,如果 deployments 可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改,而 "rules" 只包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],那么 admission 策略 **会** 考虑对 apps/v1beta1 或 extensions/v1beta1 API 组发出的请求。API 服务器会在必要时将请求转换为匹配的资源 API。
默认为 "Equivalent"
spec.matchResources.namespaceSelector (LabelSelector)
NamespaceSelector 决定是否根据命名空间是否匹配选择器来运行 admission 控制策略。如果对象本身是命名空间,则匹配在 object.metadata.labels 上执行。如果对象是其他集群范围的资源,它从不跳过策略。
例如,要对任何命名空间不与 "runlevel" 的 "0" 或 "1" 关联的对象运行 webhook,您将设置选择器如下:"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] }
如果您想仅对任何与 "environment" 的 "prod" 或 "staging" 关联的命名空间的对象运行策略,您将设置选择器如下:"namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] }
有关标签选择器的更多示例,请参阅 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels/。
默认为空 LabelSelector,它匹配所有内容。
spec.matchResources.objectSelector (LabelSelector)
ObjectSelector 决定是根据对象是否具有匹配的标签来运行策略。objectSelector 会针对发送到策略表达式 (CEL) 的 oldObject 和 newObject 进行评估,如果任一对象匹配选择器,则认为匹配。空对象 (创建时的 oldObject,或删除时的 newObject) 或不能有标签的对象 (如 DeploymentRollback 或 PodProxyOptions 对象) 不被视为匹配。仅当 webhook 是 opt-in 时才使用 objectSelector,因为最终用户可以通过设置标签来跳过 admission webhook。默认为空的 LabelSelector,匹配所有内容。
spec.matchResources.resourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ResourceRules 描述了 admission 策略匹配的资源/子资源上的操作。如果一个操作匹配 *任何* Rule,那么策略就会关注它。
NamedRuleWithOperations 是带有 ResourceNames 的 Operations 和 Resources 的元组。
spec.matchResources.resourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchResources.resourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 指 pods。'pods/log' 指 pods 的 log 子资源。'*' 指所有资源,但不包括子资源。'pods/*' 指 pods 的所有子资源。'*/scale' 指所有 scale 子资源。'*/*' 指所有资源及其子资源。
如果存在通配符,则验证规则将确保资源彼此不重叠。
根据包围对象,可能不允许子资源。必需。
spec.matchResources.resourceRules.scope (string)
scope 指定了此规则的范围。有效值为 "Cluster"、"Namespaced" 和 "*"。"Cluster" 表示只有集群范围的资源会匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源会匹配此规则。"*" 表示没有范围限制。子资源与其父资源的范围匹配。默认为 "*".
spec.paramRef (ParamRef)
paramRef 指定了用于配置 admission 控制策略的参数资源。它应该指向所绑定的 MutatingAdmissionPolicy 的 spec.ParamKind 指定的类型资源。如果策略指定了 ParamKind 并且 ParamRef 引用的资源不存在,则此 binding 被视为配置错误,并且将应用 MutatingAdmissionPolicy 的 FailurePolicy。如果策略未指定 ParamKind,则忽略此字段,规则将在没有参数的情况下进行评估。
ParamRef 描述如何定位要用作策略绑定应用规则表达式输入的参数。
spec.paramRef.name (string)
name是被引用的资源的名称。name和selector是互斥的属性。如果设置了一个,则必须取消设置另一个。spec.paramRef.namespace (string)
namespace 是引用资源的命名空间。允许将参数搜索限制在特定命名空间。适用于
name和selector字段。可以通过在策略中指定命名空间范围的
paramKind并将此字段留空来使用每个命名空间参数。如果
paramKind是集群范围的,则此字段必须未设置。设置此字段会导致配置错误。如果
paramKind是命名空间范围的,当此字段留空时,将使用正在被评估的 admission 对象的命名空间。请注意,如果留空,binding 不能匹配任何集群范围的资源,否则将导致错误。
spec.paramRef.parameterNotFoundAction (string)
parameterNotFoundAction控制当资源存在,并且 name 或 selector 有效,但 binding 没有匹配到任何参数时的行为。如果值设置为Allow,那么没有匹配的参数将被视为 binding 成功验证。如果设置为Deny,那么没有匹配的参数将受到策略的failurePolicy的约束。允许的值为
Allow或Deny。默认为Deny。spec.paramRef.selector (LabelSelector)
selector 可用于根据其标签匹配多个参数对象。提供 selector: {} 以匹配 ParamKind 的所有资源。
如果找到多个参数,它们都将使用策略表达式进行评估,结果将进行 AND 运算。
name或selector之一必须设置,但name和selector是互斥属性。如果一个设置,另一个必须取消设置。
spec.policyName (string)
policyName 引用了 MutatingAdmissionPolicyBinding 所绑定的 MutatingAdmissionPolicy 的名称。如果引用的资源不存在,则此 binding 被视为无效并将被忽略。必需。
MutatingAdmissionPolicy
MutatingAdmissionPolicy 描述了允许修改进入准入链的对象的准入变更策略的定义。
apiVersion (string)
APIVersion 定义了该表示形式的对象的版本化模式。服务器应将识别的模式转换为最新的内部值,并可能拒绝不受识别的值。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
kind (string)
Kind 是一个字符串值,表示此对象代表的 REST 资源。服务器可以从客户端提交请求的端点推断出此值。无法更新。采用 CamelCase。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ObjectMeta)
标准对象元数据;更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
spec (MutatingAdmissionPolicySpec)
Admission 策略的期望行为的规范。
MutatingAdmissionPolicySpec 是期望的 admission 策略行为的规范。
spec.failurePolicy (string)
failurePolicy 定义了如何处理准入策略的失败。失败可能来自 CEL 表达式解析错误、类型检查错误、运行时错误以及无效或配置错误的策略定义或绑定。
如果 paramKind 引用了一个不存在的 Kind,则策略无效。如果 paramRef.name 引用了一个不存在的资源,则 binding 无效。
failurePolicy 不定义如何处理评估为 false 的验证。
允许的值为 Ignore 或 Fail。默认为 Fail。
spec.matchConditions ([]MatchCondition)
补丁策略:在键
name上合并映射:合并时将保留键名上的唯一值
matchConditions 是一个条件列表,请求必须满足这些条件才能被验证。Match conditions 会过滤掉已经由 matchConstraints 匹配的请求。一个空的 matchConditions 列表会匹配所有请求。最多允许 64 个 match conditions。
如果提供了参数对象,可以通过
params句柄以与验证表达式相同的方式访问它。确切的匹配逻辑是(按顺序)
- 如果任何 matchCondition 评估为 FALSE,则跳过策略。
- 如果所有 matchConditions 评估为 TRUE,则评估策略。
- 如果任何 matchCondition 评估为错误(但没有一个为 FALSE)
- 如果 failurePolicy=Fail,则拒绝请求
- 如果 failurePolicy=Ignore,则跳过策略
spec.matchConditions.expression (string),必需
Expression 表示将由 CEL 评估的表达式。必须评估为布尔值。CEL 表达式可以访问 AdmissionRequest 和 Authorizer 的内容,这些内容组织成 CEL 变量
'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。'oldObject' - 现有的对象。对于 CREATE 请求,该值为 null。'request' - admission 请求的属性 (/pkg/apis/admission/types.go#AdmissionRequest)。'authorizer' - 一个 CEL Authorizer。可用于对请求的principal (用户或服务账户) 执行授权检查。参见 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz 'authorizer.requestResource' - 一个从 'authorizer' 构建并配置了请求资源的 CEL ResourceCheck。CEL 文档:https://kubernetes.ac.cn/docs/reference/using-api/cel/
必需。
spec.matchConditions.name (string),必需
Name 是此 match condition 的标识符,用于 MatchConditions 的战略合并,以及提供日志记录的标识符。一个好的名称应该具有描述性,能反映相关的表达式。Name 必须是一个由字母数字字符、'-'、'*' 或 '.' 组成的合格名称,并且必须以字母数字字符开头和结尾(例如,'MyName',或 'my.name',或 '123-abc',验证使用的正则表达式是 '([A-Za-z0-9][-A-Za-z0-9_.]*)?[A-Za-z0-9]'),并可选择包含 DNS 子域名前缀和 '/'(例如 'example.com/MyName')。
必需。
spec.matchConstraints (MatchResources)
matchConstraints 指定了此策略旨在验证的资源。如果请求匹配 *所有* Constraints,则 MutatingAdmissionPolicy 会关注该请求。但是,为了防止集群陷入无法通过 API 恢复的不稳定状态,MutatingAdmissionPolicy 不能匹配 MutatingAdmissionPolicy 和 MutatingAdmissionPolicyBinding。允许 CREATE、UPDATE 和 CONNECT 操作。DELETE 操作可能不会被匹配。'*' 匹配 CREATE、UPDATE 和 CONNECT。必需。
MatchResources 根据对象是否满足匹配条件来决定是否在对象上运行 admission 控制策略。排除规则优先于包含规则(如果一个资源同时匹配两者,则被排除)。
spec.matchConstraints.excludeResourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ExcludeResourceRules 描述了策略不关心的资源/子资源上的操作。排除规则优先于包含规则(如果一个资源同时匹配两者,则被排除)。
NamedRuleWithOperations 是带有 ResourceNames 的 Operations 和 Resources 的元组。
spec.matchConstraints.excludeResourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchConstraints.excludeResourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 指 pods。'pods/log' 指 pods 的 log 子资源。'*' 指所有资源,但不包括子资源。'pods/*' 指 pods 的所有子资源。'*/scale' 指所有 scale 子资源。'*/*' 指所有资源及其子资源。
如果存在通配符,则验证规则将确保资源彼此不重叠。
根据包围对象,可能不允许子资源。必需。
spec.matchConstraints.excludeResourceRules.scope (string)
scope 指定了此规则的范围。有效值为 "Cluster"、"Namespaced" 和 "*"。"Cluster" 表示只有集群范围的资源会匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源会匹配此规则。"*" 表示没有范围限制。子资源与其父资源的范围匹配。默认为 "*".
spec.matchConstraints.matchPolicy (string)
matchPolicy 定义如何使用 "MatchResources" 列表来匹配传入请求。允许的值为 "Exact" 或 "Equivalent"。
Exact: 仅当请求与指定规则完全匹配时才匹配。例如,如果 deployments 可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改,而 "rules" 只包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],那么 admission 策略将不会考虑对 apps/v1beta1 或 extensions/v1beta1 API 组的请求。Equivalent: 如果请求修改了规则中列出的资源,即使是通过其他 API 组或版本,也会匹配。例如,如果 deployments 可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改,而 "rules" 只包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],那么 admission 策略 **会** 考虑对 apps/v1beta1 或 extensions/v1beta1 API 组发出的请求。API 服务器会在必要时将请求转换为匹配的资源 API。
默认为 "Equivalent"
spec.matchConstraints.namespaceSelector (LabelSelector)
NamespaceSelector 决定是否根据命名空间是否匹配选择器来运行 admission 控制策略。如果对象本身是命名空间,则匹配在 object.metadata.labels 上执行。如果对象是其他集群范围的资源,它从不跳过策略。
例如,要对任何命名空间不与 "runlevel" 的 "0" 或 "1" 关联的对象运行 webhook,您将设置选择器如下:"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] }
如果您想仅对任何与 "environment" 的 "prod" 或 "staging" 关联的命名空间的对象运行策略,您将设置选择器如下:"namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] }
有关标签选择器的更多示例,请参阅 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels/。
默认为空 LabelSelector,它匹配所有内容。
spec.matchConstraints.objectSelector (LabelSelector)
ObjectSelector 决定是根据对象是否具有匹配的标签来运行策略。objectSelector 会针对发送到策略表达式 (CEL) 的 oldObject 和 newObject 进行评估,如果任一对象匹配选择器,则认为匹配。空对象 (创建时的 oldObject,或删除时的 newObject) 或不能有标签的对象 (如 DeploymentRollback 或 PodProxyOptions 对象) 不被视为匹配。仅当 webhook 是 opt-in 时才使用 objectSelector,因为最终用户可以通过设置标签来跳过 admission webhook。默认为空的 LabelSelector,匹配所有内容。
spec.matchConstraints.resourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ResourceRules 描述了 admission 策略匹配的资源/子资源上的操作。如果一个操作匹配 *任何* Rule,那么策略就会关注它。
NamedRuleWithOperations 是带有 ResourceNames 的 Operations 和 Resources 的元组。
spec.matchConstraints.resourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchConstraints.resourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 指 pods。'pods/log' 指 pods 的 log 子资源。'*' 指所有资源,但不包括子资源。'pods/*' 指 pods 的所有子资源。'*/scale' 指所有 scale 子资源。'*/*' 指所有资源及其子资源。
如果存在通配符,则验证规则将确保资源彼此不重叠。
根据包围对象,可能不允许子资源。必需。
spec.matchConstraints.resourceRules.scope (string)
scope 指定了此规则的范围。有效值为 "Cluster"、"Namespaced" 和 "*"。"Cluster" 表示只有集群范围的资源会匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源会匹配此规则。"*" 表示没有范围限制。子资源与其父资源的范围匹配。默认为 "*".
spec.mutations ([]Mutation)
原子性:在合并期间将被替换
mutations 包含对匹配对象执行的操作。mutations 不能为空;至少需要一个 mutation。mutations 按顺序评估,并根据 reinvocationPolicy 进行重调用。策略的 mutations 会为该策略的每个 binding 调用,并且 mutations 的重调用是基于每个 binding 进行的。
Mutation 指定了用于应用 Mutation 的 CEL 表达式。
spec.mutations.patchType (string), required
patchType 指示使用的 patch 策略。允许的值为 "ApplyConfiguration" 和 "JSONPatch"。必需。
spec.mutations.applyConfiguration (ApplyConfiguration)
applyConfiguration 定义了对象的期望配置值。配置使用 structured merge diff 应用到 admission 对象。CEL 表达式用于创建 apply 配置。
ApplyConfiguration 定义了对象的期望配置值。
spec.mutations.applyConfiguration.expression (string)
expression 将由 CEL 评估以创建 apply 配置。参考:https://github.com/google/cel-spec
Apply 配置是在 CEL 中使用对象初始化声明的。例如,这个 CEL 表达式返回一个用于设置单个字段的 apply 配置。
Object{ spec: Object.spec{ serviceAccountName: "example" } }应用配置不能修改原子结构体、映射或数组,因为这有意外删除未包含在应用配置中的值的风险。
CEL 表达式可以访问创建应用配置所需的以下对象类型:
- 'Object' - 资源的 CEL 类型。 - 'Object.<fieldName>' - 对象字段的 CEL 类型 (例如 'Object.spec') - 'Object.<fieldName1>.<fieldName2>...<fieldNameN>` - 嵌套字段的 CEL 类型 (例如 'Object.spec.containers')
CEL 表达式可以访问 API 请求的内容,这些内容被组织成 CEL 变量以及其他一些有用的变量:
- 'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。- 'oldObject' - 现有的对象。对于 CREATE 请求,该值为 null。- 'request' - API 请求的属性 (参考)。- 'params' - 被评估的策略 binding 引用的参数资源。仅当策略有 ParamKind 时才填充。- 'namespaceObject' - 传入对象所属的命名空间对象。对于集群范围的资源,该值为 null。- 'variables' - 复合变量的映射,从其名称到其延迟评估的值。例如,名为 'foo' 的变量可以通过 'variables.foo' 访问。
- 'authorizer' - 一个 CEL Authorizer。可用于对请求的principal (用户或服务账户) 执行授权检查。参见 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz
- 'authorizer.requestResource' - 从 'authorizer' 构造并使用请求资源配置的 CEL ResourceCheck。
apiVersion、kind、metadata.name和metadata.generateName始终可从对象的根访问。其他元数据属性均不可访问。只有形式为
[a-zA-Z_.-/][a-zA-Z0-9_.-/]*的属性名是可访问的。必需。
spec.mutations.jsonPatch (JSONPatch)
jsonPatch 定义了一个 JSON patch 操作,用于对对象执行 mutation。CEL 表达式用于创建 JSON patch。
spec.mutations.jsonPatch.expression (string)
expression 将由 CEL 评估以创建 JSON patch。参考:https://github.com/google/cel-spec
expression 必须返回一个 JSONPatch 值数组。
例如,这个 CEL 表达式返回一个 JSON 补丁,用于有条件地修改一个值。
[ JSONPatch{op: "test", path: "/spec/example", value: "Red"}, JSONPatch{op: "replace", path: "/spec/example", value: "Green"} ]要定义 patch 值中的对象,请使用 Object 类型。例如:
[ JSONPatch{ op: "add", path: "/spec/selector", value: Object.spec.selector{matchLabels: {"environment": "test"}} } ]要使用包含 '/' 和 '~' 的字符串作为 JSONPatch 路径键,请使用 "jsonpatch.escapeKey"。例如:
[ JSONPatch{ op: "add", path: "/metadata/labels/" + jsonpatch.escapeKey("example.com/environment"), value: "test" }, ]CEL 表达式可以访问创建 JSON 补丁和对象所需的类型:
- 'JSONPatch' - JSON Patch 操作的 CEL 类型。JSONPatch 具有 'op'、'from'、'path' 和 'value' 字段。有关更多详细信息,请参阅 JSON patch。'value' 字段可以设置为以下任何一种:字符串、整数、数组、映射或对象。如果设置,'path' 和 'from' 字段必须设置为 JSON pointer 字符串,其中 'jsonpatch.escapeKey()' CEL 函数可用于转义包含 '/' 和 '~' 的路径键。
- 'Object' - 资源的 CEL 类型。 - 'Object.<fieldName>' - 对象字段的 CEL 类型 (例如 'Object.spec') - 'Object.<fieldName1>.<fieldName2>...<fieldNameN>` - 嵌套字段的 CEL 类型 (例如 'Object.spec.containers')
CEL 表达式可以访问 API 请求的内容,这些内容被组织成 CEL 变量以及其他一些有用的变量:
- 'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。- 'oldObject' - 现有的对象。对于 CREATE 请求,该值为 null。- 'request' - API 请求的属性 (参考)。- 'params' - 被评估的策略 binding 引用的参数资源。仅当策略有 ParamKind 时才填充。- 'namespaceObject' - 传入对象所属的命名空间对象。对于集群范围的资源,该值为 null。- 'variables' - 复合变量的映射,从其名称到其延迟评估的值。例如,名为 'foo' 的变量可以通过 'variables.foo' 访问。
- 'authorizer' - 一个 CEL Authorizer。可用于对请求的principal (用户或服务账户) 执行授权检查。参见 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz
- 'authorizer.requestResource' - 从 'authorizer' 构造并使用请求资源配置的 CEL ResourceCheck。
CEL 表达式可以访问 Kubernetes CEL 函数库 以及
- 'jsonpatch.escapeKey' - 执行 JSONPatch 键转义。'*' 和 '/' 分别被转义为 '~0' 和 '~1')。
只有形式为
[a-zA-Z_.-/][a-zA-Z0-9_.-/]*的属性名是可访问的。必需。
spec.paramKind (ParamKind)
paramKind 指定了用于参数化此策略的资源类型。如果缺失,此策略没有参数,并且 param CEL 变量不会提供给验证表达式。如果 paramKind 引用了不存在的 Kind,则此策略定义配置错误,并应用 FailurePolicy。如果指定了 paramKind 但 MutatingAdmissionPolicyBinding 中未设置 paramRef,则 params 变量将为 null。
spec.paramKind.apiVersion (string)
APIVersion 是资源所属的 API 组版本。格式为 "group/version"。必需。
spec.paramKind.kind (string)
Kind 是资源所属的 API 类型。必需。
spec.reinvocationPolicy (string)
reinvocationPolicy 指示是否可以在单个 admission 评估中对每个 MutatingAdmissionPolicyBinding 调用多次 mutations。允许的值为 "Never" 和 "IfNeeded"。
Never: 这些 mutations 在单个 binding 的单个 admission 评估中不会被调用多次。
IfNeeded: 这些 mutations 在单个 admission 请求中可能被调用多次,并且与其他 admission 插件、admission webhooks、此策略的 bindings 和 admission 策略的顺序没有保证。仅当 mutations 在此 mutation 被调用后更改了对象时,才会重新调用 mutations。必需。
spec.variables ([]Variable)
原子性:在合并期间将被替换
variables 包含可用于组合其他表达式的变量的定义。每个变量定义为一个命名的 CEL 表达式。此处定义的变量将在策略的其他表达式的
variables下可用,但 matchConditions 除外,因为 matchConditions 在策略的其余部分之前进行评估。变量的表达式可以引用列表中前面定义的其他变量,但不能引用后面的变量。因此,变量必须按首次出现的顺序排序并且是无环的。
spec.variables.expression (string),必需
Expression 是将作为变量值评估的表达式。CEL 表达式可以访问与 Validation 中 CEL 表达式相同的标识符。
spec.variables.name (string),必需
Name 是变量的名称。该名称必须是有效的 CEL 标识符,并且在所有变量中是唯一的。可以通过
variables在其他表达式中访问该变量。例如,如果名称是 "foo",则该变量将可用为variables.foo。
MutatingAdmissionPolicyBindingList
MutatingAdmissionPolicyBindingList 是 MutatingAdmissionPolicyBinding 的列表。
items ([]MutatingAdmissionPolicyBinding), required
PolicyBinding 列表。
apiVersion (string)
APIVersion 定义了该表示形式的对象的版本化模式。服务器应将识别的模式转换为最新的内部值,并可能拒绝不受识别的值。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
kind (string)
Kind 是一个字符串值,表示此对象代表的 REST 资源。服务器可以从客户端提交请求的端点推断出此值。无法更新。采用 CamelCase。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ListMeta)
标准列表元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
操作
get 读取指定的 MutatingAdmissionPolicyBinding
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1alpha1/mutatingadmissionpolicybindings/{name}
参数
name (在路径中): string,必填
MutatingAdmissionPolicyBinding 的名称
pretty (在查询中): string
响应
200 (MutatingAdmissionPolicyBinding): OK
401: 未授权
list 列出或监视 MutatingAdmissionPolicyBinding 类型的对象
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1alpha1/mutatingadmissionpolicybindings
参数
allowWatchBookmarks (在查询中): boolean
continue (在查询中): string
fieldSelector (在查询中): string
labelSelector (在查询中): string
limit (在查询中): integer
pretty (在查询中): string
resourceVersion (在查询中): string
resourceVersionMatch (在查询中): string
sendInitialEvents (在查询中): boolean
timeoutSeconds (在查询中): integer
watch (在查询中): boolean
响应
200 (MutatingAdmissionPolicyBindingList): OK
401: 未授权
create 创建一个 MutatingAdmissionPolicyBinding
HTTP 请求
POST /apis/admissionregistration.k8s.io/v1alpha1/mutatingadmissionpolicybindings
参数
body: MutatingAdmissionPolicyBinding, required
dryRun (在查询中): string
fieldManager (在查询中): string
fieldValidation (在查询中): string
pretty (在查询中): string
响应
200 (MutatingAdmissionPolicyBinding): OK
201 (MutatingAdmissionPolicyBinding): Created
202 (MutatingAdmissionPolicyBinding): Accepted
401: 未授权
update 替换指定的 MutatingAdmissionPolicyBinding
HTTP 请求
PUT /apis/admissionregistration.k8s.io/v1alpha1/mutatingadmissionpolicybindings/{name}
参数
name (在路径中): string,必填
MutatingAdmissionPolicyBinding 的名称
body: MutatingAdmissionPolicyBinding, required
dryRun (在查询中): string
fieldManager (在查询中): string
fieldValidation (在查询中): string
pretty (在查询中): string
响应
200 (MutatingAdmissionPolicyBinding): OK
201 (MutatingAdmissionPolicyBinding): Created
401: 未授权
patch 部分更新指定的 MutatingAdmissionPolicyBinding
HTTP 请求
PATCH /apis/admissionregistration.k8s.io/v1alpha1/mutatingadmissionpolicybindings/{name}
参数
name (在路径中): string,必填
MutatingAdmissionPolicyBinding 的名称
body: Patch,必需
dryRun (在查询中): string
fieldManager (在查询中): string
fieldValidation (在查询中): string
force (在查询中): boolean
pretty (在查询中): string
响应
200 (MutatingAdmissionPolicyBinding): OK
201 (MutatingAdmissionPolicyBinding): Created
401: 未授权
delete 删除一个 MutatingAdmissionPolicyBinding
HTTP 请求
DELETE /apis/admissionregistration.k8s.io/v1alpha1/mutatingadmissionpolicybindings/{name}
参数
name (在路径中): string,必填
MutatingAdmissionPolicyBinding 的名称
body: DeleteOptions
dryRun (在查询中): string
gracePeriodSeconds (在查询中): integer
ignoreStoreReadErrorWithClusterBreakingPotential (在查询中): boolean
pretty (在查询中): string
propagationPolicy (在查询中): string
响应
200 (Status): OK
202 (Status): 已接受
401: 未授权
deletecollection 删除 MutatingAdmissionPolicyBinding 的集合
HTTP 请求
DELETE /apis/admissionregistration.k8s.io/v1alpha1/mutatingadmissionpolicybindings
参数
body: DeleteOptions
continue (在查询中): string
dryRun (在查询中): string
fieldSelector (在查询中): string
gracePeriodSeconds (在查询中): integer
ignoreStoreReadErrorWithClusterBreakingPotential (在查询中): boolean
labelSelector (在查询中): string
limit (在查询中): integer
pretty (在查询中): string
propagationPolicy (在查询中): string
resourceVersion (在查询中): string
resourceVersionMatch (在查询中): string
sendInitialEvents (在查询中): boolean
timeoutSeconds (在查询中): integer
响应
200 (Status): OK
401: 未授权
本页面是自动生成的。
如果你打算报告此页面存在的问题,请在问题描述中提及此页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。