MutatingAdmissionPolicy v1beta1
apiVersion: admissionregistration.k8s.io/v1beta1
import "k8s.io/api/admissionregistration/v1beta1"
MutatingAdmissionPolicy
MutatingAdmissionPolicy 描述了允许修改进入准入链的对象的准入变更策略的定义。
apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingAdmissionPolicy
metadata (ObjectMeta)
标准对象元数据;更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
spec (MutatingAdmissionPolicySpec)
MutatingAdmissionPolicy 期望行为的规范。
MutatingAdmissionPolicySpec 是准入策略期望行为的规范。
spec.failurePolicy (string)
failurePolicy 定义了如何处理准入策略的失败。失败可能来自 CEL 表达式解析错误、类型检查错误、运行时错误以及无效或配置错误的策略定义或绑定。
如果 paramKind 引用不存在的 Kind,则策略无效。如果 paramRef.name 引用不存在的资源,则绑定无效。
failurePolicy 不定义如何处理评估为 false 的验证。
允许的值为 Ignore 或 Fail。默认为 Fail。
spec.matchConditions ([]MatchCondition)
补丁策略:在键
name
上合并映射:合并时将保留键名上的唯一值
matchConditions 是请求通过验证必须满足的条件列表。匹配条件筛选已被 matchConstraints 匹配的请求。空的 matchConditions 列表匹配所有请求。最多允许 64 个匹配条件。
如果提供了参数对象,可以通过
params
句柄以与验证表达式相同的方式访问它。确切的匹配逻辑是(按顺序)
- 如果任何 matchCondition 评估为 FALSE,则跳过策略。
- 如果所有 matchConditions 评估为 TRUE,则评估策略。
- 如果任何 matchCondition 评估为错误(但没有一个为 FALSE)
- 如果 failurePolicy=Fail,则拒绝请求
- 如果 failurePolicy=Ignore,则跳过策略
MatchCondition 表示请求发送到 Webhook 必须满足的条件。
spec.matchConditions.expression (string),必需
Expression 表示将由 CEL 评估的表达式。必须评估为布尔值。CEL 表达式可以访问 AdmissionRequest 和 Authorizer 的内容,这些内容组织成 CEL 变量
'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。 'oldObject' - 现有对象。对于 CREATE 请求,该值为 null。 'request' - 准入请求的属性(/pkg/apis/admission/types.go#AdmissionRequest)。 'authorizer' - 一个 CEL 授权器。可用于对请求的主体(用户或服务帐户)执行授权检查。请参阅 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz 'authorizer.requestResource' - 一个由 'authorizer' 构建并使用请求资源配置的 CEL ResourceCheck。CEL 文档:https://kubernetes.ac.cn/docs/reference/using-api/cel/
必需。
spec.matchConditions.name (string),必需
Name 是此匹配条件的标识符,用于 MatchConditions 的策略性合并,以及提供日志记录的标识符。一个好的名称应该能够描述相关的表达式。Name 必须是一个限定名称,由字母数字字符、'-'、'_' 或 '.' 组成,并且必须以字母数字字符开头和结尾(例如 'MyName'、'my.name' 或 '123-abc',用于验证的正则表达式是 '([A-Za-z0-9][-A-Za-z0-9_.]*)?[A-Za-z0-9]'),并带有可选的 DNS 子域前缀和 '/'(例如 'example.com/MyName')。
必需。
spec.matchConstraints (MatchResources)
matchConstraints 指定此策略旨在验证的资源。如果请求匹配 *所有* 约束,MutatingAdmissionPolicy 会关注该请求。但是,为了防止集群因 API MutatingAdmissionPolicy 无法匹配 MutatingAdmissionPolicy 和 MutatingAdmissionPolicyBinding 而进入无法恢复的不稳定状态,MutatingAdmissionPolicy 不能匹配 MutatingAdmissionPolicy 和 MutatingAdmissionPolicyBinding。允许 CREATE、UPDATE 和 CONNECT 操作。不允许匹配 DELETE 操作。'*' 匹配 CREATE、UPDATE 和 CONNECT。必需。
MatchResources 根据对象是否满足匹配条件来决定是否对对象运行准入控制策略。排除规则优先于包含规则(如果资源同时匹配两者,则被排除)
spec.matchConstraints.excludeResourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ExcludeResourceRules 描述 ValidatingAdmissionPolicy 不应关心哪些资源/子资源上的哪些操作。排除规则优先于包含规则(如果资源同时匹配两者,则被排除)
NamedRuleWithOperations 是带有 ResourceNames 的 Operations 和 Resources 的元组。
spec.matchConstraints.excludeResourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchConstraints.excludeResourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchConstraints.excludeResourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 pod。'pods/log' 表示 pod 的 log 子资源。'*' 表示所有资源,但不包括子资源。'pods/*' 表示 pod 的所有子资源。'*/scale' 表示所有 scale 子资源。'*/*' 表示所有资源及其子资源。
如果存在通配符,则验证规则将确保资源彼此不重叠。
根据包围对象,可能不允许子资源。必需。
spec.matchConstraints.excludeResourceRules.scope (string)
scope 指定此规则的作用域。有效值为 "Cluster"、"Namespaced" 和 "*"。"Cluster" 表示只有集群范围的资源将匹配此规则。命名空间 API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源将匹配此规则。"*" 表示没有作用域限制。子资源匹配其父资源的作用域。默认值为 "*"。
spec.matchConstraints.matchPolicy (string)
matchPolicy 定义如何使用 "MatchResources" 列表来匹配传入请求。允许的值为 "Exact" 或 "Equivalent"。
Exact:仅当请求与指定规则完全匹配时才匹配请求。例如,如果部署可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 进行修改,但“规则”仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]
,则对 apps/v1beta1 或 extensions/v1beta1 的请求将不会发送到 ValidatingAdmissionPolicy。Equivalent:如果请求通过另一个 API 组或版本修改了规则中列出的资源,则匹配请求。例如,如果部署可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 进行修改,并且“规则”仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]
,则对 apps/v1beta1 或 extensions/v1beta1 的请求将被转换为 apps/v1 并发送到 ValidatingAdmissionPolicy。
默认为 "Equivalent"
spec.matchConstraints.namespaceSelector (LabelSelector)
NamespaceSelector 决定是否根据对象的命名空间是否匹配选择器来对对象运行准入控制策略。如果对象本身是命名空间,则匹配在 object.metadata.labels 上执行。如果对象是另一个集群范围的资源,则它永远不会跳过策略。
例如,要对命名空间未关联“runlevel”为“0”或“1”的任何对象运行 webhook;您将设置选择器如下:“namespaceSelector”:{“matchExpressions”:[{“key”:“runlevel”,“operator”:“NotIn”,“values”:[“0”,“1”]}]}。
如果想只对命名空间关联了“environment”为“prod”或“staging”的任何对象运行策略,则按如下方式设置选择器:“namespaceSelector”:{“matchExpressions”:[{“key”:“environment”,“operator”:“In”,“values”:[“prod”,“staging”]}]}。
有关标签选择器的更多示例,请参阅 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels/。
默认为空 LabelSelector,它匹配所有内容。
spec.matchConstraints.objectSelector (LabelSelector)
ObjectSelector 决定是否根据对象是否具有匹配的标签来运行验证。objectSelector 会对将发送到 CEL 验证的 oldObject 和 newObject 进行评估,如果其中任何一个对象匹配选择器,则认为匹配。空对象(创建时的 oldObject 或删除时的 newObject)或无法具有标签的对象(如 DeploymentRollback 或 PodProxyOptions 对象)不被视为匹配。仅当 webhook 是可选加入时才使用对象选择器,因为最终用户可以通过设置标签来跳过准入 webhook。默认为空 LabelSelector,它匹配所有内容。
spec.matchConstraints.resourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ResourceRules 描述 ValidatingAdmissionPolicy 匹配哪些资源/子资源上的哪些操作。如果操作匹配任何规则,则策略会关心该操作。
NamedRuleWithOperations 是带有 ResourceNames 的 Operations 和 Resources 的元组。
spec.matchConstraints.resourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchConstraints.resourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchConstraints.resourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 pod。'pods/log' 表示 pod 的 log 子资源。'*' 表示所有资源,但不包括子资源。'pods/*' 表示 pod 的所有子资源。'*/scale' 表示所有 scale 子资源。'*/*' 表示所有资源及其子资源。
如果存在通配符,则验证规则将确保资源彼此不重叠。
根据包围对象,可能不允许子资源。必需。
spec.matchConstraints.resourceRules.scope (string)
scope 指定此规则的作用域。有效值为 "Cluster"、"Namespaced" 和 "*"。"Cluster" 表示只有集群范围的资源将匹配此规则。命名空间 API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源将匹配此规则。"*" 表示没有作用域限制。子资源匹配其父资源的作用域。默认值为 "*"。
spec.mutations ([]Mutation)
原子性:在合并期间将被替换
mutations 包含对匹配对象执行的操作。mutations 不得为空;至少需要一个 mutation。mutations 按顺序评估,并根据 reinvocationPolicy 重新调用。策略的 mutations 会为该策略的每个绑定调用,并且 mutations 的重新调用是基于每个绑定进行的。
Mutation 指定用于应用 Mutation 的 CEL 表达式。
spec.mutations.patchType (string),必需
patchType 指示使用的补丁策略。允许的值为 "ApplyConfiguration" 和 "JSONPatch"。必需。
spec.mutations.applyConfiguration (ApplyConfiguration)
applyConfiguration 定义了对象的期望配置值。配置使用 结构化合并差异 应用到准入对象。CEL 表达式用于创建应用配置。
ApplyConfiguration 定义了对象的期望配置值。
spec.mutations.applyConfiguration.expression (string)
表达式将由 CEL 评估以创建应用配置。参考:https://github.com/google/cel-spec
应用配置在 CEL 中使用对象初始化声明。例如,此 CEL 表达式返回一个应用配置以设置单个字段
Object{ spec: Object.spec{ serviceAccountName: "example" } }
应用配置不能修改原子结构体、映射或数组,因为这有意外删除未包含在应用配置中的值的风险。
CEL 表达式可以访问创建应用配置所需的以下对象类型:
- 'Object' - 资源对象的 CEL 类型。- 'Object.<fieldName>' - 对象字段的 CEL 类型(例如 'Object.spec')- 'Object.<fieldName1>.<fieldName2>...<fieldNameN>` - 嵌套字段的 CEL 类型(例如 'Object.spec.containers')
CEL 表达式可以访问 API 请求的内容,这些内容被组织成 CEL 变量以及其他一些有用的变量:
- 'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。- 'oldObject' - 现有对象。对于 CREATE 请求,该值为 null。- 'request' - API 请求的属性(引用)。- 'params' - 评估的策略绑定所引用的参数资源。仅当策略具有 ParamKind 时才填充。- 'namespaceObject' - 传入对象所属的命名空间对象。对于集群范围的资源,该值为 null。- 'variables' - 复合变量的映射,从其名称到其延迟评估的值。例如,名为 'foo' 的变量可以通过 'variables.foo' 访问。
- 'authorizer' - 一个 CEL 授权器。可用于对请求的主体(用户或服务帐户)执行授权检查。请参阅 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz
- 'authorizer.requestResource' - 从 'authorizer' 构造并使用请求资源配置的 CEL ResourceCheck。
apiVersion
、kind
、metadata.name
和metadata.generateName
始终可从对象的根访问。其他元数据属性均不可访问。只有形式为
[a-zA-Z_.-/][a-zA-Z0-9_.-/]*
的属性名是可访问的。必需。
spec.mutations.jsonPatch (JSONPatch)
jsonPatch 定义了执行对象变异的 JSON 补丁 操作。CEL 表达式用于创建 JSON 补丁。
spec.mutations.jsonPatch.expression (string)
表达式将由 CEL 评估以创建 JSON 补丁。参考:https://github.com/google/cel-spec
表达式必须返回一个 JSONPatch 值数组。
例如,这个 CEL 表达式返回一个 JSON 补丁,用于有条件地修改一个值。
[ JSONPatch{op: "test", path: "/spec/example", value: "Red"}, JSONPatch{op: "replace", path: "/spec/example", value: "Green"} ]
要为补丁值定义一个对象,请使用 Object 类型。例如
[ JSONPatch{ op: "add", path: "/spec/selector", value: Object.spec.selector{matchLabels: {"environment": "test"}} } ]
要使用包含“/”和“~”的字符串作为 JSONPatch 路径键,请使用“jsonpatch.escapeKey”。例如
[ JSONPatch{ op: "add", path: "/metadata/labels/" + jsonpatch.escapeKey("example.com/environment"), value: "test" }, ]
CEL 表达式可以访问创建 JSON 补丁和对象所需的类型:
- 'JSONPatch' - JSON 补丁操作的 CEL 类型。JSONPatch 包含 'op'、'from'、'path' 和 'value' 字段。有关详细信息,请参阅 JSON 补丁。'value' 字段可以设置为以下任何类型:字符串、整数、数组、映射或对象。如果设置,'path' 和 'from' 字段必须设置为 JSON 指针 字符串,其中 'jsonpatch.escapeKey()' CEL 函数可用于转义包含 '/' 和 '~' 的路径键。
- 'Object' - 资源对象的 CEL 类型。- 'Object.<fieldName>' - 对象字段的 CEL 类型(例如 'Object.spec')- 'Object.<fieldName1>.<fieldName2>...<fieldNameN>` - 嵌套字段的 CEL 类型(例如 'Object.spec.containers')
CEL 表达式可以访问 API 请求的内容,这些内容被组织成 CEL 变量以及其他一些有用的变量:
- 'object' - 来自传入请求的对象。对于 DELETE 请求,该值为 null。- 'oldObject' - 现有对象。对于 CREATE 请求,该值为 null。- 'request' - API 请求的属性(引用)。- 'params' - 评估的策略绑定所引用的参数资源。仅当策略具有 ParamKind 时才填充。- 'namespaceObject' - 传入对象所属的命名空间对象。对于集群范围的资源,该值为 null。- 'variables' - 复合变量的映射,从其名称到其延迟评估的值。例如,名为 'foo' 的变量可以通过 'variables.foo' 访问。
- 'authorizer' - 一个 CEL 授权器。可用于对请求的主体(用户或服务帐户)执行授权检查。请参阅 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz
- 'authorizer.requestResource' - 从 'authorizer' 构造并使用请求资源配置的 CEL ResourceCheck。
CEL 表达式可以使用 Kubernetes CEL 函数库 以及
- 'jsonpatch.escapeKey' - 执行 JSONPatch 键转义。'~' 和 '/' 分别转义为 '~0' 和 '~1'。
只有形式为
[a-zA-Z_.-/][a-zA-Z0-9_.-/]*
的属性名是可访问的。必需。
spec.paramKind (ParamKind)
paramKind 指定用于参数化此策略的资源类型。如果省略,则此策略没有参数,并且不会向验证表达式提供 param CEL 变量。如果 paramKind 引用不存在的类型,则此策略定义配置错误并应用 FailurePolicy。如果在 MutatingAdmissionPolicyBinding 中指定了 paramKind 但未设置 paramRef,则 params 变量将为 null。
spec.paramKind.apiVersion (string)
APIVersion 是资源所属的 API 组版本。格式为 "group/version"。必需。
spec.paramKind.kind (string)
Kind 是资源所属的 API 类型。必需。
spec.reinvocationPolicy (string)
reinvocationPolicy 指示在一个准入评估中,突变是否可以针对每个 MutatingAdmissionPolicyBinding 多次调用。允许的值为 "Never" 和 "IfNeeded"。
Never:这些突变在单个准入评估中不会针对每个绑定被调用多次。
IfNeeded:这些突变可能会在单个准入请求中针对每个绑定被多次调用,并且不保证与其他准入插件、准入 webhook、此策略的绑定和准入策略的顺序。突变仅在突变在此突变被调用后改变对象时才被重新调用。必需。
spec.variables ([]Variable)
原子性:在合并期间将被替换
variables 包含可在其他表达式组合中使用的变量定义。每个变量都定义为一个命名的 CEL 表达式。这里定义的变量将在策略的其他表达式中的
variables
下可用,但 matchConditions 除外,因为 matchConditions 在策略的其余部分之前进行评估。变量的表达式可以引用列表中较早定义的其他变量,但不能引用后面定义的变量。因此,变量必须按首次出现的顺序排序且无循环。
Variable 是用于组合的变量定义。变量定义为命名表达式。
spec.variables.expression (string),必需
Expression 是将作为变量值评估的表达式。CEL 表达式可以访问与 Validation 中 CEL 表达式相同的标识符。
spec.variables.name (string),必需
Name 是变量的名称。名称必须是有效的 CEL 标识符,并且在所有变量中是唯一的。变量可以通过
variables
在其他表达式中访问。例如,如果名称为 "foo",则变量将作为variables.foo
可用。
MutatingAdmissionPolicyBinding
MutatingAdmissionPolicyBinding 将 MutatingAdmissionPolicy 与参数化资源绑定。MutatingAdmissionPolicyBinding 和可选的参数资源共同定义了集群管理员如何为集群配置策略。
对于给定的准入请求,每个绑定将导致其策略被评估 N 次,其中对于不使用参数的策略/绑定,N 为 1,否则 N 为绑定选择的参数数量。每次评估都受 运行时成本预算 的限制。
添加/删除策略、绑定或参数不会影响给定的(策略、绑定、参数)组合是否在其自身的 CEL 预算内。
apiVersion (string)
APIVersion 定义了此对象表示的版本化 schema。服务器应将已识别的 schema 转换为最新的内部值,并可能拒绝未识别的值。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
kind (string)
Kind 是一个字符串值,表示此对象代表的 REST 资源。服务器可以从客户端提交请求的端点推断出此值。不可更新。采用 CamelCase。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ObjectMeta)
标准对象元数据;更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
spec (MutatingAdmissionPolicyBindingSpec)
MutatingAdmissionPolicyBinding 期望行为的规范。
MutatingAdmissionPolicyBindingSpec 是 MutatingAdmissionPolicyBinding 的规范。
spec.matchResources (MatchResources)
matchResources 限制了哪些资源与此绑定匹配并可能被其修改。请注意,如果 matchResources 匹配一个资源,则该资源还必须匹配策略的 matchConstraints 和 matchConditions,然后才能被修改。当 matchResources 未设置时,它不限制资源匹配,只有策略的 matchConstraints 和 matchConditions 必须匹配才能修改资源。此外,matchResources.resourceRules 是可选的,未设置时不会限制匹配。请注意,这与 MutatingAdmissionPolicy matchConstraints 不同,后者要求 resourceRules。允许 CREATE、UPDATE 和 CONNECT 操作。不允许匹配 DELETE 操作。'*' 匹配 CREATE、UPDATE 和 CONNECT。
MatchResources 根据对象是否满足匹配条件来决定是否对对象运行准入控制策略。排除规则优先于包含规则(如果资源同时匹配两者,则被排除)
spec.matchResources.excludeResourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ExcludeResourceRules 描述 ValidatingAdmissionPolicy 不应关心哪些资源/子资源上的哪些操作。排除规则优先于包含规则(如果资源同时匹配两者,则被排除)
NamedRuleWithOperations 是带有 ResourceNames 的 Operations 和 Resources 的元组。
spec.matchResources.excludeResourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchResources.excludeResourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchResources.excludeResourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 pod。'pods/log' 表示 pod 的 log 子资源。'*' 表示所有资源,但不包括子资源。'pods/*' 表示 pod 的所有子资源。'*/scale' 表示所有 scale 子资源。'*/*' 表示所有资源及其子资源。
如果存在通配符,则验证规则将确保资源彼此不重叠。
根据包围对象,可能不允许子资源。必需。
spec.matchResources.excludeResourceRules.scope (string)
scope 指定此规则的作用域。有效值为 "Cluster"、"Namespaced" 和 "*"。"Cluster" 表示只有集群范围的资源将匹配此规则。命名空间 API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源将匹配此规则。"*" 表示没有作用域限制。子资源匹配其父资源的作用域。默认值为 "*"。
spec.matchResources.matchPolicy (string)
matchPolicy 定义如何使用 "MatchResources" 列表来匹配传入请求。允许的值为 "Exact" 或 "Equivalent"。
Exact:仅当请求与指定规则完全匹配时才匹配请求。例如,如果部署可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 进行修改,但“规则”仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]
,则对 apps/v1beta1 或 extensions/v1beta1 的请求将不会发送到 ValidatingAdmissionPolicy。Equivalent:如果请求通过另一个 API 组或版本修改了规则中列出的资源,则匹配请求。例如,如果部署可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 进行修改,并且“规则”仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]
,则对 apps/v1beta1 或 extensions/v1beta1 的请求将被转换为 apps/v1 并发送到 ValidatingAdmissionPolicy。
默认为 "Equivalent"
spec.matchResources.namespaceSelector (LabelSelector)
NamespaceSelector 决定是否根据对象的命名空间是否匹配选择器来对对象运行准入控制策略。如果对象本身是命名空间,则匹配在 object.metadata.labels 上执行。如果对象是另一个集群范围的资源,则它永远不会跳过策略。
例如,要对命名空间未关联“runlevel”为“0”或“1”的任何对象运行 webhook;您将设置选择器如下:“namespaceSelector”:{“matchExpressions”:[{“key”:“runlevel”,“operator”:“NotIn”,“values”:[“0”,“1”]}]}。
如果想只对命名空间关联了“environment”为“prod”或“staging”的任何对象运行策略,则按如下方式设置选择器:“namespaceSelector”:{“matchExpressions”:[{“key”:“environment”,“operator”:“In”,“values”:[“prod”,“staging”]}]}。
有关标签选择器的更多示例,请参阅 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels/。
默认为空 LabelSelector,它匹配所有内容。
spec.matchResources.objectSelector (LabelSelector)
ObjectSelector 决定是否根据对象是否具有匹配的标签来运行验证。objectSelector 会对将发送到 CEL 验证的 oldObject 和 newObject 进行评估,如果其中任何一个对象匹配选择器,则认为匹配。空对象(创建时的 oldObject 或删除时的 newObject)或无法具有标签的对象(如 DeploymentRollback 或 PodProxyOptions 对象)不被视为匹配。仅当 webhook 是可选加入时才使用对象选择器,因为最终用户可以通过设置标签来跳过准入 webhook。默认为空 LabelSelector,它匹配所有内容。
spec.matchResources.resourceRules ([]NamedRuleWithOperations)
原子性:在合并期间将被替换
ResourceRules 描述 ValidatingAdmissionPolicy 匹配哪些资源/子资源上的哪些操作。如果操作匹配任何规则,则策略会关心该操作。
NamedRuleWithOperations 是带有 ResourceNames 的 Operations 和 Resources 的元组。
spec.matchResources.resourceRules.apiGroups ([]string)
原子性:在合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.apiVersions ([]string)
原子性:在合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.operations ([]string)
原子性:在合并期间将被替换
Operations 是准入钩子关心的操作 - CREATE、UPDATE、DELETE、CONNECT 或 * 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则切片的长度必须为 1。必需。
spec.matchResources.resourceRules.resourceNames ([]string)
原子性:在合并期间将被替换
ResourceNames 是规则适用的可选名称白名单。空集表示允许所有内容。
spec.matchResources.resourceRules.resources ([]string)
原子性:在合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 pod。'pods/log' 表示 pod 的 log 子资源。'*' 表示所有资源,但不包括子资源。'pods/*' 表示 pod 的所有子资源。'*/scale' 表示所有 scale 子资源。'*/*' 表示所有资源及其子资源。
如果存在通配符,则验证规则将确保资源彼此不重叠。
根据包围对象,可能不允许子资源。必需。
spec.matchResources.resourceRules.scope (string)
scope 指定此规则的作用域。有效值为 "Cluster"、"Namespaced" 和 "*"。"Cluster" 表示只有集群范围的资源将匹配此规则。命名空间 API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源将匹配此规则。"*" 表示没有作用域限制。子资源匹配其父资源的作用域。默认值为 "*"。
spec.paramRef (ParamRef)
paramRef 指定用于配置准入控制策略的参数资源。它应该指向绑定 MutatingAdmissionPolicy 的 spec.ParamKind 中指定的类型的资源。如果策略指定了 ParamKind 并且 ParamRef 引用的资源不存在,则此绑定被认为是配置错误的,并应用 MutatingAdmissionPolicy 的 FailurePolicy。如果策略未指定 ParamKind,则此字段将被忽略,并无参数地评估规则。
ParamRef 描述如何定位要用作策略绑定应用规则表达式输入的参数。
spec.paramRef.name (string)
name 是被引用资源的名称。
name
或selector
之一必须设置,但name
和selector
是互斥属性。如果一个设置,另一个必须取消设置。可以通过设置
name
字段,将selector
留空,并在paramKind
为命名空间范围时设置命名空间来为所有准入请求配置单个参数。spec.paramRef.namespace (string)
namespace 是引用资源的命名空间。允许将参数搜索限制在特定命名空间。适用于
name
和selector
字段。可以通过在策略中指定命名空间范围的
paramKind
并将此字段留空来使用每个命名空间参数。如果
paramKind
是集群范围的,则此字段必须未设置。设置此字段会导致配置错误。如果 `paramKind` 是命名空间范围的,当此字段留空时,将使用被评估准入对象的命名空间。请注意,如果此字段留空,则绑定不得匹配任何集群范围的资源,否则将导致错误。
spec.paramRef.parameterNotFoundAction (string)
parameterNotFoundAction
控制当资源存在,名称或选择器有效,但绑定未匹配任何参数时的绑定行为。如果该值设置为Allow
,则绑定将把未匹配的参数视为成功验证。如果设置为Deny
,则未匹配的参数将受到策略的failurePolicy
约束。允许的值为
Allow
或Deny
必需
spec.paramRef.selector (LabelSelector)
selector 可用于根据其标签匹配多个参数对象。提供 selector: {} 以匹配 ParamKind 的所有资源。
如果找到多个参数,它们都将使用策略表达式进行评估,结果将进行 AND 运算。
name
或selector
之一必须设置,但name
和selector
是互斥属性。如果一个设置,另一个必须取消设置。
spec.policyName (string)
policyName 引用 MutatingAdmissionPolicy 的名称,MutatingAdmissionPolicyBinding 绑定到该名称。如果引用的资源不存在,则此绑定被视为无效并将被忽略。必需。
MutatingAdmissionPolicyList
MutatingAdmissionPolicyList 是 MutatingAdmissionPolicy 的列表。
items ([]MutatingAdmissionPolicy),必需
ValidatingAdmissionPolicy 列表。
apiVersion (string)
APIVersion 定义了此对象表示的版本化 schema。服务器应将已识别的 schema 转换为最新的内部值,并可能拒绝未识别的值。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
kind (string)
Kind 是一个字符串值,表示此对象代表的 REST 资源。服务器可以从客户端提交请求的端点推断出此值。不可更新。采用 CamelCase。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ListMeta)
标准列表元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
操作
get
读取指定的 MutatingAdmissionPolicy
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1beta1/mutatingadmissionpolicies/{name}
参数
name (在路径中): string,必填
MutatingAdmissionPolicy 的名称
pretty (在查询中): string
响应
200 (MutatingAdmissionPolicy):正常
401: 未授权
list
列出或监视 MutatingAdmissionPolicy 类型的对象
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1beta1/mutatingadmissionpolicies
参数
allowWatchBookmarks (在查询中): boolean
continue (在查询中): string
fieldSelector (在查询中): string
labelSelector (在查询中): string
limit (在查询中): integer
pretty (在查询中): string
resourceVersion (在查询中): string
resourceVersionMatch (在查询中): string
sendInitialEvents (在查询中): boolean
timeoutSeconds (在查询中): integer
watch (在查询中): boolean
响应
200 (MutatingAdmissionPolicyList):正常
401: 未授权
create
创建一个 MutatingAdmissionPolicy
HTTP 请求
POST /apis/admissionregistration.k8s.io/v1beta1/mutatingadmissionpolicies
参数
body: MutatingAdmissionPolicy,必需
dryRun (在查询中): string
fieldManager (在查询中): string
fieldValidation (在查询中): string
pretty (在查询中): string
响应
200 (MutatingAdmissionPolicy):正常
201 (MutatingAdmissionPolicy):已创建
202 (MutatingAdmissionPolicy):已接受
401: 未授权
update
替换指定的 MutatingAdmissionPolicy
HTTP 请求
PUT /apis/admissionregistration.k8s.io/v1beta1/mutatingadmissionpolicies/{name}
参数
name (在路径中): string,必填
MutatingAdmissionPolicy 的名称
body: MutatingAdmissionPolicy,必需
dryRun (在查询中): string
fieldManager (在查询中): string
fieldValidation (在查询中): string
pretty (在查询中): string
响应
200 (MutatingAdmissionPolicy):正常
201 (MutatingAdmissionPolicy):已创建
401: 未授权
patch
部分更新指定的 MutatingAdmissionPolicy
HTTP 请求
PATCH /apis/admissionregistration.k8s.io/v1beta1/mutatingadmissionpolicies/{name}
参数
name (在路径中): string,必填
MutatingAdmissionPolicy 的名称
body: Patch,必需
dryRun (在查询中): string
fieldManager (在查询中): string
fieldValidation (在查询中): string
force (在查询中): boolean
pretty (在查询中): string
响应
200 (MutatingAdmissionPolicy):正常
201 (MutatingAdmissionPolicy):已创建
401: 未授权
delete
删除 MutatingAdmissionPolicy
HTTP 请求
DELETE /apis/admissionregistration.k8s.io/v1beta1/mutatingadmissionpolicies/{name}
参数
name (在路径中): string,必填
MutatingAdmissionPolicy 的名称
body: DeleteOptions
dryRun (在查询中): string
gracePeriodSeconds (在查询中): integer
ignoreStoreReadErrorWithClusterBreakingPotential (在查询中): boolean
pretty (在查询中): string
propagationPolicy (在查询中): string
响应
200 (Status): OK
202 (Status): 已接受
401: 未授权
deletecollection
删除 MutatingAdmissionPolicy 集合
HTTP 请求
DELETE /apis/admissionregistration.k8s.io/v1beta1/mutatingadmissionpolicies
参数
body: DeleteOptions
continue (在查询中): string
dryRun (在查询中): string
fieldSelector (在查询中): string
gracePeriodSeconds (在查询中): integer
ignoreStoreReadErrorWithClusterBreakingPotential (在查询中): boolean
labelSelector (在查询中): string
limit (在查询中): integer
pretty (在查询中): string
propagationPolicy (在查询中): string
resourceVersion (在查询中): string
resourceVersionMatch (在查询中): string
sendInitialEvents (在查询中): boolean
timeoutSeconds (在查询中): integer
响应
200 (Status): OK
401: 未授权
本页面是自动生成的。
如果你打算报告此页面存在的问题,请在问题描述中提及此页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。