ValidatingAdmissionPolicy
apiVersion: admissionregistration.k8s.io/v1
import "k8s.io/api/admissionregistration/v1"
ValidatingAdmissionPolicy
ValidatingAdmissionPolicy 描述了准入验证策略的定义,该策略接受或拒绝对象而不改变它。
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicy
metadata (ObjectMeta)
标准对象元数据;更多信息请参见:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
spec (ValidatingAdmissionPolicySpec)
ValidatingAdmissionPolicy 所期望行为的规范。
ValidatingAdmissionPolicySpec 是 AdmissionPolicy 所期望行为的规范。
spec.auditAnnotations ([]AuditAnnotation)
原子操作:合并期间将被替换
auditAnnotations 包含用于为 API 请求的审计事件生成审计注解的 CEL 表达式。
validations和auditAnnotations不能同时为空;validations或auditAnnotations中至少需要一个。AuditAnnotation 描述了如何为 API 请求生成审计注解。
spec.auditAnnotations.key (string),必需
key 指定审计注解键。ValidatingAdmissionPolicy 的审计注解键必须是唯一的。键必须是合格的名称 ([A-Za-z0-9][-A-Za-z0-9_.]*),长度不超过 63 字节。
该键与 ValidatingAdmissionPolicy 的资源名称结合使用,以构建审计注解键:"{ValidatingAdmissionPolicy name}/{key}"。
如果准入 Webhook 使用与此 ValidatingAdmissionPolicy 相同的资源名称和相同的审计注解键,则注解键将相同。在这种情况下,使用该键写入的第一个注解将包含在审计事件中,所有后续具有相同键的注解都将被丢弃。
必需。
spec.auditAnnotations.valueExpression (string),必需
valueExpression 表示由 CEL 求值以生成审计注解值的表达式。该表达式必须求值为字符串或 null 值。如果表达式求值为字符串,则审计注解将包含该字符串值。如果表达式求值为 null 或空字符串,则将省略审计注解。valueExpression 的长度不得超过 5kb。如果 valueExpression 的结果长度超过 10kb,则将被截断为 10kb。
如果多个 ValidatingAdmissionPolicyBinding 资源匹配一个 API 请求,则将针对每个绑定求值 valueExpression。由 valueExpressions 生成的所有唯一值将以逗号分隔列表的形式连接在一起。
必需。
spec.failurePolicy (string)
failurePolicy 定义了如何处理准入策略的故障。故障可能来自 CEL 表达式解析错误、类型检查错误、运行时错误以及策略定义或绑定的无效或配置错误。
如果
spec.paramKind指向不存在的 Kind,则策略无效。如果spec.paramRef.name指向不存在的资源,则绑定无效。failurePolicy 不定义求值为 false 的验证如何处理。
当 failurePolicy 设置为
Fail时,ValidatingAdmissionPolicyBinding 的validationActions定义了如何强制执行故障。允许的值为
Ignore或Fail。默认为Fail。spec.matchConditions ([]MatchCondition)
补丁策略:在键
name上合并Map:合并期间将保留键名上的唯一值
MatchConditions 是一个条件列表,请求必须满足这些条件才能进行验证。匹配条件过滤已被规则、namespaceSelector 和 objectSelector 匹配的请求。空的 matchConditions 列表匹配所有请求。最多允许有 64 个匹配条件。
如果提供了参数对象,可以通过
params句柄访问,与验证表达式访问方式相同。精确匹配逻辑如下(按顺序):
- 如果任意 matchCondition 求值为
FALSE,则跳过策略。 - 如果所有 matchConditions 求值为
TRUE,则求值策略。 - 如果任何 matchCondition 求值为错误(但没有求值为
FALSE)- 如果 failurePolicy=
Fail,则拒绝请求 - 如果 failurePolicy=
Ignore,则跳过策略
- 如果 failurePolicy=
MatchCondition 表示请求必须满足的条件,以便发送到 Webhook。
spec.matchConditions.expression (string),必需
Expression 表示将由 CEL 求值的表达式。必须求值为 bool 类型。CEL 表达式可以访问 AdmissionRequest 和 Authorizer 的内容,这些内容组织为 CEL 变量:
'object' - 来自传入请求的对象。对于 DELETE 请求,值为 null。'oldObject' - 现有对象。对于 CREATE 请求,值为 null。'request' - 准入请求的属性(参考)。'authorizer' - 一个 CEL Authorizer。可用于对请求的主体(用户或服务账户)执行授权检查。请参阅 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz。'authorizer.requestResource' - 一个从 'authorizer' 构建并使用请求资源配置的 CEL ResourceCheck。有关 CEL 的文档:https://kubernetes.ac.cn/docs/reference/using-api/cel/
必需。
spec.matchConditions.name (string),必需
Name 是此匹配条件的标识符,用于 MatchConditions 的策略合并,也用作日志记录目的的标识符。好的名称应描述相关的表达式。名称必须是合格的名称,由字母数字字符、'-'、'_' 或 '.' 组成,并且必须以字母数字字符开头和结尾(例如 'MyName'、'my.name' 或 '123-abc',用于验证的正则表达式为 '([A-Za-z0-9][-A-Za-z0-9_.]*)?[A-Za-z0-9]'),带有可选的 DNS 子域前缀和 '/'(例如 'example.com/MyName')。
必需。
- 如果任意 matchCondition 求值为
spec.matchConstraints (MatchResources)
MatchConstraints 指定此策略旨在验证哪些资源。如果请求匹配 所有 约束条件,则 AdmissionPolicy 会关注该请求。但是,为了防止集群进入无法通过 API 恢复的不稳定状态,ValidatingAdmissionPolicy 不能匹配 ValidatingAdmissionPolicy 和 ValidatingAdmissionPolicyBinding。必需。
MatchResources 根据对象是否满足匹配标准来决定是否对其运行准入控制策略。排除规则优先于包含规则(如果资源同时匹配两者,则排除该资源)。
spec.matchConstraints.excludeResourceRules ([]NamedRuleWithOperations)
原子操作:合并期间将被替换
ExcludeResourceRules 描述了 ValidatingAdmissionPolicy 不应关注的哪些资源/子资源的哪些操作。排除规则优先于包含规则(如果资源同时匹配两者,则排除该资源)。
NamedRuleWithOperations 是 Operations 和 Resources 以及 ResourceNames 的一个元组。
spec.matchConstraints.excludeResourceRules.apiGroups ([]string)
原子操作:合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则 slice 的长度必须为一。必需。
spec.matchConstraints.excludeResourceRules.apiVersions ([]string)
原子操作:合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则 slice 的长度必须为一。必需。
spec.matchConstraints.excludeResourceRules.operations ([]string)
原子操作:合并期间将被替换
Operations 是准入 Hook 关注的操作 -
CREATE、UPDATE、DELETE、CONNECT或 '*' 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则 slice 的长度必须为一。必需。spec.matchConstraints.excludeResourceRules.resourceNames ([]string)
原子操作:合并期间将被替换
ResourceNames 是规则适用的可选白名单。空集表示允许所有内容。
spec.matchConstraints.excludeResourceRules.resources ([]string)
原子操作:合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 Pods。'pods/log' 表示 Pods 的 log 子资源。'' 表示所有资源,但不包括子资源。'pods/' 表示 Pods 的所有子资源。'/scale' 表示所有 scale 子资源。'/*' 表示所有资源及其子资源。
如果存在通配符,验证规则将确保资源彼此不重叠。
根据包含对象,可能不允许使用子资源。必需。
spec.matchConstraints.excludeResourceRules.scope (string)
scope 指定此规则的作用域。有效值为 "Cluster"、"Namespaced" 和 ""。 "Cluster" 表示只有集群范围的资源将匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源将匹配此规则。"" 表示没有作用域限制。子资源匹配其父资源的作用域。默认为 "*"。
spec.matchConstraints.matchPolicy (string)
matchPolicy 定义了如何使用 "MatchResources" 列表来匹配传入请求。允许的值为 "Exact" 或 "Equivalent"。
Exact: 仅当请求与指定的规则精确匹配时才匹配该请求。例如,如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改部署,但 "rules" 仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则发送到 apps/v1beta1 或 extensions/v1beta1 的请求将不会被发送到 ValidatingAdmissionPolicy。Equivalent: 如果请求修改了规则中列出的资源,即使通过另一个 API 组或版本,也匹配该请求。例如,如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改部署,并且 "rules" 仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则发送到 apps/v1beta1 或 extensions/v1beta1 的请求将被转换为 apps/v1 并发送到 ValidatingAdmissionPolicy。
默认为 "Equivalent"
spec.matchConstraints.namespaceSelector (LabelSelector)
NamespaceSelector 根据对象的命名空间是否与选择器匹配来决定是否对该对象运行准入控制策略。如果对象本身是一个命名空间,则在 object.metadata.labels 上执行匹配。如果对象是另一个集群范围的资源,则永远不会跳过该策略。
例如,要在命名空间与 "runlevel" 的 "0" 或 "1" 不相关的任何对象上运行 Webhook;您将按如下方式设置选择器:"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] }
如果您只想在命名空间与 "environment" 的 "prod" 或 "staging" 相关的任何对象上运行策略;您将按如下方式设置选择器:"namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] }
有关标签选择器的更多示例,请参见 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels/。
默认为空的 LabelSelector,它匹配所有内容。
spec.matchConstraints.objectSelector (LabelSelector)
ObjectSelector 根据对象是否具有匹配的标签来决定是否运行验证。objectSelector 会对照将发送到 CEL 验证的 oldObject 和 newObject 进行求值,如果任一对象与选择器匹配,则视为匹配。null 对象(创建时的 oldObject 或删除时的 newObject)或无法具有标签的对象(如 DeploymentRollback 或 PodProxyOptions 对象)不视为匹配。仅当 Webhook 是选择加入的(opt-in)时才使用对象选择器,因为最终用户可以通过设置标签来跳过准入 Webhook。默认为空的 LabelSelector,它匹配所有内容。
spec.matchConstraints.resourceRules ([]NamedRuleWithOperations)
原子操作:合并期间将被替换
ResourceRules 描述了 ValidatingAdmissionPolicy 匹配的哪些资源/子资源的哪些操作。如果策略匹配 任何 规则,则策略会关注该操作。
NamedRuleWithOperations 是 Operations 和 Resources 以及 ResourceNames 的一个元组。
spec.matchConstraints.resourceRules.apiGroups ([]string)
原子操作:合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则 slice 的长度必须为一。必需。
spec.matchConstraints.resourceRules.apiVersions ([]string)
原子操作:合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则 slice 的长度必须为一。必需。
spec.matchConstraints.resourceRules.operations ([]string)
原子操作:合并期间将被替换
Operations 是准入 Hook 关注的操作 -
CREATE、UPDATE、DELETE、CONNECT或 '*' 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则 slice 的长度必须为一。必需。spec.matchConstraints.resourceRules.resourceNames ([]string)
原子操作:合并期间将被替换
ResourceNames 是规则适用的可选白名单。空集表示允许所有内容。
spec.matchConstraints.resourceRules.resources ([]string)
原子操作:合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 Pods。'pods/log' 表示 Pods 的 log 子资源。'' 表示所有资源,但不包括子资源。'pods/' 表示 Pods 的所有子资源。'/scale' 表示所有 scale 子资源。'/*' 表示所有资源及其子资源。
如果存在通配符,验证规则将确保资源彼此不重叠。
根据包含对象,可能不允许使用子资源。必需。
spec.matchConstraints.resourceRules.scope (string)
scope 指定此规则的作用域。有效值为 "Cluster"、"Namespaced" 和 ""。 "Cluster" 表示只有集群范围的资源将匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源将匹配此规则。"" 表示没有作用域限制。子资源匹配其父资源的作用域。默认为 "*"。
spec.paramKind (ParamKind)
ParamKind 指定用于参数化此策略的资源类型。如果缺失,则此策略没有参数,并且不会向验证表达式提供
paramCEL 变量。如果 ParamKind 指向不存在的类型,则此策略定义配置错误,并将应用 FailurePolicy。如果在 ValidatingAdmissionPolicyBinding 中指定了 paramKind 但未设置 paramRef,则params变量将为 null。ParamKind 是 Group、Kind 和 Version 的一个元组。
spec.paramKind.apiVersion (string)
APIVersion 是资源所属的 API 组版本。格式为 "group/version"。必需。
spec.paramKind.kind (string)
Kind 是资源所属的 API 类型。必需。
spec.validations ([]Validation)
原子操作:合并期间将被替换
Validations 包含用于应用验证的 CEL 表达式。Validations 和 AuditAnnotations 不能同时为空;Validations 或 AuditAnnotations 中至少需要一个。
spec.validations.expression (string),必需
Expression 表示将由 CEL 求值的表达式。参考:https://github.com/google/cel-spec。CEL 表达式可以访问 API 请求/响应的内容,这些内容组织为 CEL 变量以及其他一些有用的变量:
- 'object' - 来自传入请求的对象。对于 DELETE 请求,值为 null。- 'oldObject' - 现有对象。对于 CREATE 请求,值为 null。- 'request' - API 请求的属性(参考)。- 'params' - 由正在求值的策略绑定引用的参数资源。仅当策略具有 ParamKind 时才填充。- 'namespaceObject' - 传入对象所属的命名空间对象。对于集群范围的资源,值为 null。- 'variables' - 组合变量的 Map,从名称到其延迟求值的值。例如,名为 'foo' 的变量可以作为 'variables.foo' 进行访问。
- 'authorizer' - 一个 CEL Authorizer。可用于对请求的主体(用户或服务账户)执行授权检查。请参阅 https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz
- 'authorizer.requestResource' - 一个从 'authorizer' 构建并使用请求资源配置的 CEL ResourceCheck。
apiVersion、kind、metadata.name和metadata.generateName始终可以从对象的根访问。其他元数据属性不可访问。只有形式为
[a-zA-Z_.-/][a-zA-Z0-9_.-/]*的属性名称可访问。在表达式中访问时,可访问的属性名称根据以下规则进行转义:- '' 转义为 'underscores' - '.' 转义为 'dot' - '-' 转义为 'dash' - '/' 转义为 'slash' - 与 CEL 保留关键字完全匹配的属性名称转义为 '{keyword}__'。保留关键字包括:"true"、"false"、"null"、"in"、"as"、"break"、"const"、"continue"、"else"、"for"、"function"、"if"、"import"、"let"、"loop"、"package"、"namespace"、"return"。示例:- 访问名为 "namespace" 的属性的表达式:{"Expression": "object.namespace > 0"}
- 访问名为 "x-prop" 的属性的表达式:{"Expression": "object.x__dash__prop > 0"}
- 访问名为 "redact__d" 的属性的表达式:{"Expression": "object.redact__underscores__d > 0"}
列表类型为 'set' 或 'map' 的数组上的相等性忽略元素顺序,即 [1, 2] == [2, 1]。带有 x-kubernetes-list-type 的数组上的连接使用列表类型的语义:
- 'set':
X + Y执行联合操作,其中保留X中所有元素的数组位置,并附加Y中不相交的元素,保留其部分顺序。 - 'map':
X + Y执行合并操作,其中保留X中所有键的数组位置,但当X和Y的键集相交时,值将被Y中的值覆盖。具有不相交键的Y中的元素被附加,保留其部分顺序。必需。
spec.validations.message (string)
Message 表示验证失败时显示的消息。如果 Expression 包含换行符,则此消息是必需的。消息不得包含换行符。如果未设置,消息为 "failed rule: {Rule}",例如 "must be a URL with the host matching spec.host"。如果 Expression 包含换行符,Message 是必需的。消息不得包含换行符。如果未设置,消息为 "failed Expression: {Expression}"。
spec.validations.messageExpression (string)
messageExpression 声明一个 CEL 表达式,该表达式求值为此规则失败时返回的验证失败消息。由于 messageExpression 用作失败消息,它必须求值为字符串。如果验证中同时存在 message 和 messageExpression,则在验证失败时将使用 messageExpression。如果 messageExpression 导致运行时错误,则会记录运行时错误,并且产生的验证失败消息如同未设置 messageExpression 字段一样。如果 messageExpression 求值为空字符串、仅包含空格的字符串或包含换行符的字符串,则产生的验证失败消息也如同未设置 messageExpression 字段一样,并且会记录 messageExpression 生成空字符串/仅包含空格的字符串/包含换行符的字符串的事实。messageExpression 可以访问与
expression相同的所有变量,除了 'authorizer' 和 'authorizer.requestResource'。示例:"object.x must be less than max ("+string(params.max)+")"spec.validations.reason (string)
Reason 表示此验证失败原因的机器可读描述。如果这是列表中第一个失败的验证,则在发送给客户端的 HTTP 响应中使用此原因以及相应的 HTTP 响应代码。当前支持的原因包括:"Unauthorized"、"Forbidden"、"Invalid"、"RequestEntityTooLarge"。如果未设置,则在发送给客户端的响应中使用 StatusReasonInvalid。
spec.variables ([]Variable)
补丁策略:在键
name上合并Map:合并期间将保留键名上的唯一值
Variables 包含可在其他表达式组合中使用的变量定义。每个变量都定义为一个命名的 CEL 表达式。此处定义的变量将在策略的其他表达式中(MatchConditions 除外,因为 MatchConditions 在策略其余部分之前求值)以
variables的形式可用。变量的表达式可以引用列表中之前定义的其他变量,但不能引用其后的变量。因此,Variables 必须按首次出现的顺序排序并且是无环的。
Variable 是用于组合的变量的定义。变量被定义为一个命名的表达式。
spec.variables.expression (string),必需
Expression 是将作为变量值进行求值的表达式。CEL 表达式可以访问与 Validation 中的 CEL 表达式相同的标识符。
spec.variables.name (string),必需
Name 是变量的名称。名称必须是有效的 CEL 标识符,并在所有变量中唯一。变量可以通过
variables在其他表达式中访问。例如,如果名称是 "foo",则该变量将作为variables.foo可用。
status (ValidatingAdmissionPolicyStatus)
ValidatingAdmissionPolicy 的状态,包括有助于确定策略是否按预期行为的警告。由系统填充。只读。
ValidatingAdmissionPolicyStatus 表示准入验证策略的状态。
status.conditions ([]Condition)
Map:合并期间将保留键类型上的唯一值
条件表示策略当前状态的最新可用观察结果。
Condition 包含此 API 资源当前状态的一个方面的详细信息。
status.conditions.lastTransitionTime (Time),必需
lastTransitionTime 是条件最后一次从一个状态转换到另一个状态的时间。这应该是底层条件发生变化的时候。如果不知道,则使用 API 字段发生变化的时间是可以接受的。
Time 是 time.Time 的一个包装器,支持正确地编组(marshaling)为 YAML 和 JSON。提供了许多 time 包提供的工厂方法的包装器。
status.conditions.message (string),必需
message 是一个人类可读的消息,指示关于转换的详细信息。这可能是一个空字符串。
status.conditions.reason (string),必需
reason 包含一个程序化标识符,指示条件上次转换的原因。特定条件类型的生产者可以定义此字段的期望值和含义,以及这些值是否被视为有保证的 API。值应为 CamelCase 字符串。此字段不能为空。
status.conditions.status (string),必需
条件的状态,为 True、False、Unknown 之一。
status.conditions.type (string),必需
条件类型,采用 CamelCase 或 foo.example.com/CamelCase 格式。
status.conditions.observedGeneration (int64)
observedGeneration 表示设置该条件所基于的 .metadata.generation。例如,如果 .metadata.generation 当前为 12,但 .status.conditions[x].observedGeneration 为 9,则该条件相对于实例的当前状态已过期。
status.observedGeneration (int64)
控制器观察到的代(generation)。
status.typeChecking (TypeChecking)
每个表达式的类型检查结果。此字段的存在表明类型检查已完成。
TypeChecking 包含 ValidatingAdmissionPolicy 中表达式的类型检查结果
status.typeChecking.expressionWarnings ([]ExpressionWarning)
原子操作:合并期间将被替换
每个表达式的类型检查警告。
ExpressionWarning 是针对特定表达式的警告信息。
status.typeChecking.expressionWarnings.fieldRef (string),必需
引用表达式的字段路径。例如,对 validations 第一个项的表达式的引用是 "spec.validations[0].expression"
status.typeChecking.expressionWarnings.warning (string),必需
类型检查信息的内容,以人类可读的形式呈现。警告的每一行包含表达式对照检查的类型,后跟来自编译器的类型检查错误。
ValidatingAdmissionPolicyList
ValidatingAdmissionPolicyList 是 ValidatingAdmissionPolicy 的列表。
items ([]ValidatingAdmissionPolicy),必需
ValidatingAdmissionPolicy 的列表。
apiVersion (string)
APIVersion 定义此对象表示形式的版本化模式。服务器应将已识别的模式转换为最新的内部值,并可能拒绝无法识别的值。更多信息请参见:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
kind (string)
Kind 是一个字符串值,表示此对象代表的 REST 资源。服务器可以从客户端提交请求的端点推断出此值。无法更新。使用 CamelCase 格式。更多信息请参见:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ListMeta)
标准列表元数据。更多信息请参见:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
ValidatingAdmissionPolicyBinding
ValidatingAdmissionPolicyBinding 将 ValidatingAdmissionPolicy 与参数化资源绑定。ValidatingAdmissionPolicyBinding 和参数 CRD 一起定义了集群管理员如何配置集群策略。
对于给定的准入请求,每个绑定都会导致其策略被求值 N 次,其中对于不使用参数的策略/绑定,N 为 1,否则 N 为由绑定选择的参数数量。
策略的 CEL 表达式的计算 CEL 成本必须低于最大 CEL 预算。策略的每次求值都具有独立的 CEL 成本预算。添加/移除策略、绑定或参数不会影响给定的(策略、绑定、参数)组合是否在其自己的 CEL 预算范围内。
apiVersion (string)
APIVersion 定义此对象表示形式的版本化模式。服务器应将已识别的模式转换为最新的内部值,并可能拒绝无法识别的值。更多信息请参见:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
kind (string)
Kind 是一个字符串值,表示此对象代表的 REST 资源。服务器可以从客户端提交请求的端点推断出此值。无法更新。使用 CamelCase 格式。更多信息请参见:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
metadata (ObjectMeta)
标准对象元数据;更多信息请参见:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata。
spec (ValidatingAdmissionPolicyBindingSpec)
ValidatingAdmissionPolicyBinding 所期望行为的规范。
ValidatingAdmissionPolicyBindingSpec 是 ValidatingAdmissionPolicyBinding 的规范。
spec.matchResources (MatchResources)
MatchResources 声明哪些资源匹配此绑定并将由此绑定进行验证。请注意,这将与策略的 matchConstraints 相交,因此只有与策略匹配的请求才能被此绑定选择。如果未设置此字段,则所有与策略匹配的资源都将由此绑定进行验证。当 resourceRules 未设置时,它不限制资源匹配。如果资源与此对象的其他字段匹配,则将进行验证。请注意,这与 ValidatingAdmissionPolicy 的 matchConstraints 不同,后者中 resourceRules 是必需的。
MatchResources 根据对象是否满足匹配标准来决定是否对其运行准入控制策略。排除规则优先于包含规则(如果资源同时匹配两者,则排除该资源)。
spec.matchResources.excludeResourceRules ([]NamedRuleWithOperations)
原子操作:合并期间将被替换
ExcludeResourceRules 描述了 ValidatingAdmissionPolicy 不应关注的哪些资源/子资源的哪些操作。排除规则优先于包含规则(如果资源同时匹配两者,则排除该资源)。
NamedRuleWithOperations 是 Operations 和 Resources 以及 ResourceNames 的一个元组。
spec.matchResources.excludeResourceRules.apiGroups ([]string)
原子操作:合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则 slice 的长度必须为一。必需。
spec.matchResources.excludeResourceRules.apiVersions ([]string)
原子操作:合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则 slice 的长度必须为一。必需。
spec.matchResources.excludeResourceRules.operations ([]string)
原子操作:合并期间将被替换
Operations 是准入 Hook 关注的操作 -
CREATE、UPDATE、DELETE、CONNECT或 '*' 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则 slice 的长度必须为一。必需。spec.matchResources.excludeResourceRules.resourceNames ([]string)
原子操作:合并期间将被替换
ResourceNames 是规则适用的可选白名单。空集表示允许所有内容。
spec.matchResources.excludeResourceRules.resources ([]string)
原子操作:合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 Pods。'pods/log' 表示 Pods 的 log 子资源。'' 表示所有资源,但不包括子资源。'pods/' 表示 Pods 的所有子资源。'/scale' 表示所有 scale 子资源。'/*' 表示所有资源及其子资源。
如果存在通配符,验证规则将确保资源彼此不重叠。
根据包含对象,可能不允许使用子资源。必需。
spec.matchResources.excludeResourceRules.scope (string)
scope 指定此规则的作用域。有效值为 "Cluster"、"Namespaced" 和 ""。 "Cluster" 表示只有集群范围的资源将匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源将匹配此规则。"" 表示没有作用域限制。子资源匹配其父资源的作用域。默认为 "*"。
spec.matchResources.matchPolicy (string)
matchPolicy 定义了如何使用 "MatchResources" 列表来匹配传入请求。允许的值为 "Exact" 或 "Equivalent"。
Exact: 仅当请求与指定的规则精确匹配时才匹配该请求。例如,如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改部署,但 "rules" 仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则发送到 apps/v1beta1 或 extensions/v1beta1 的请求将不会被发送到 ValidatingAdmissionPolicy。Equivalent: 如果请求修改了规则中列出的资源,即使通过另一个 API 组或版本,也匹配该请求。例如,如果可以通过 apps/v1、apps/v1beta1 和 extensions/v1beta1 修改部署,并且 "rules" 仅包含
apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"],则发送到 apps/v1beta1 或 extensions/v1beta1 的请求将被转换为 apps/v1 并发送到 ValidatingAdmissionPolicy。
默认为 "Equivalent"
spec.matchResources.namespaceSelector (LabelSelector)
NamespaceSelector 根据对象的命名空间是否与选择器匹配来决定是否对该对象运行准入控制策略。如果对象本身是一个命名空间,则在 object.metadata.labels 上执行匹配。如果对象是另一个集群范围的资源,则永远不会跳过该策略。
例如,要在命名空间与 "runlevel" 的 "0" 或 "1" 不相关的任何对象上运行 Webhook;您将按如下方式设置选择器:"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] }
如果您只想在命名空间与 "environment" 的 "prod" 或 "staging" 相关的任何对象上运行策略;您将按如下方式设置选择器:"namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] }
有关标签选择器的更多示例,请参见 https://kubernetes.ac.cn/docs/concepts/overview/working-with-objects/labels/。
默认为空的 LabelSelector,它匹配所有内容。
spec.matchResources.objectSelector (LabelSelector)
ObjectSelector 根据对象是否具有匹配的标签来决定是否运行验证。objectSelector 会对照将发送到 CEL 验证的 oldObject 和 newObject 进行求值,如果任一对象与选择器匹配,则视为匹配。null 对象(创建时的 oldObject 或删除时的 newObject)或无法具有标签的对象(如 DeploymentRollback 或 PodProxyOptions 对象)不视为匹配。仅当 Webhook 是选择加入的(opt-in)时才使用对象选择器,因为最终用户可以通过设置标签来跳过准入 Webhook。默认为空的 LabelSelector,它匹配所有内容。
spec.matchResources.resourceRules ([]NamedRuleWithOperations)
原子操作:合并期间将被替换
ResourceRules 描述了 ValidatingAdmissionPolicy 匹配的哪些资源/子资源的哪些操作。如果策略匹配 任何 规则,则策略会关注该操作。
NamedRuleWithOperations 是 Operations 和 Resources 以及 ResourceNames 的一个元组。
spec.matchResources.resourceRules.apiGroups ([]string)
原子操作:合并期间将被替换
APIGroups 是资源所属的 API 组。'' 表示所有组。如果存在 '',则 slice 的长度必须为一。必需。
spec.matchResources.resourceRules.apiVersions ([]string)
原子操作:合并期间将被替换
APIVersions 是资源所属的 API 版本。'' 表示所有版本。如果存在 '',则 slice 的长度必须为一。必需。
spec.matchResources.resourceRules.operations ([]string)
原子操作:合并期间将被替换
Operations 是准入 Hook 关注的操作 -
CREATE、UPDATE、DELETE、CONNECT或 '*' 表示所有这些操作以及将来添加的任何准入操作。如果存在 '*',则 slice 的长度必须为一。必需。spec.matchResources.resourceRules.resourceNames ([]string)
原子操作:合并期间将被替换
ResourceNames 是规则适用的可选白名单。空集表示允许所有内容。
spec.matchResources.resourceRules.resources ([]string)
原子操作:合并期间将被替换
Resources 是此规则适用的资源列表。
例如:'pods' 表示 Pods。'pods/log' 表示 Pods 的 log 子资源。'' 表示所有资源,但不包括子资源。'pods/' 表示 Pods 的所有子资源。'/scale' 表示所有 scale 子资源。'/*' 表示所有资源及其子资源。
如果存在通配符,验证规则将确保资源彼此不重叠。
根据包含对象,可能不允许使用子资源。必需。
spec.matchResources.resourceRules.scope (string)
scope 指定此规则的作用域。有效值为 "Cluster"、"Namespaced" 和 ""。 "Cluster" 表示只有集群范围的资源将匹配此规则。Namespace API 对象是集群范围的。"Namespaced" 表示只有命名空间范围的资源将匹配此规则。"" 表示没有作用域限制。子资源匹配其父资源的作用域。默认为 "*"。
spec.paramRef (ParamRef)
paramRef 指定用于配置准入控制策略的参数资源。它应该指向绑定 ValidatingAdmissionPolicy 的 ParamKind 中指定的类型的资源。如果策略指定了 ParamKind,并且 ParamRef 引用的资源不存在,则此绑定被视为配置错误,并应用 ValidatingAdmissionPolicy 的 FailurePolicy。如果策略未指定 ParamKind,则忽略此字段,并在没有参数的情况下求值规则。
ParamRef 描述了如何定位用作策略绑定应用的规则表达式输入的参数。
spec.paramRef.name (string)
name 是被引用的资源的名称。
name或selector之一必须设置,但name和selector是互斥属性。如果其中一个设置了,则另一个必须未设置。可以通过设置
name字段、将selector留空,并在paramKind是命名空间范围时设置 namespace 来配置用于所有准入请求的单个参数。spec.paramRef.namespace (string)
namespace 是被引用资源的命名空间。允许将参数搜索限制在特定的命名空间。适用于
name和selector两个字段。可以通过在策略中指定命名空间范围的
paramKind并将此字段留空来使用每个命名空间的参数。如果
paramKind是集群范围的,此字段必须未设置。设置此字段会导致配置错误。如果
paramKind是命名空间范围的,当此字段留空时,将使用正在评估进行准入的对象所属的命名空间。请注意,如果此字段留空,绑定不得匹配任何集群范围的资源,否则将导致错误。
spec.paramRef.parameterNotFoundAction (string)
parameterNotFoundAction控制当资源存在、名称或选择器有效但绑定没有匹配的参数时的绑定行为。如果值设置为Allow,则绑定将视无匹配参数为验证成功。如果设置为Deny,则无匹配参数不受策略的failurePolicy影响。允许的值为
Allow或Deny必需
spec.paramRef.selector (标签选择器)
selector 可用于根据参数的标签匹配多个 param 对象。提供 selector: {} 以匹配 ParamKind 的所有资源。
如果找到多个参数,它们都将通过策略表达式进行评估,结果将进行 AND 运算。
name或selector之一必须设置,但name和selector是互斥属性。如果其中一个设置了,则另一个必须未设置。
spec.policyName (字符串)
PolicyName 引用了 ValidatingAdmissionPolicy 名称,ValidatingAdmissionPolicyBinding 绑定到该名称。如果引用的资源不存在,此绑定被视为无效并将被忽略。必需。
spec.validationActions ([]字符串)
集合:合并期间将保留唯一值
validationActions 声明如何强制执行引用的 ValidatingAdmissionPolicy 的验证。如果验证评估为 false,将始终根据这些操作进行强制执行。
ValidatingAdmissionPolicy 的 FailurePolicy 定义的失败仅在 FailurePolicy 设置为 Fail 时根据这些操作进行强制执行,否则失败将被忽略。这包括策略的编译错误、运行时错误和配置错误。
validationActions 被声明为一组操作值。顺序无关紧要。validationActions 不能包含相同操作的重复项。
支持的操作值为
"Deny" 指定验证失败将导致请求被拒绝。
"Warn" 指定验证失败将在 HTTP Warning 头中报告给请求客户端,警告代码为 299。允许或拒绝的准入响应都可以发送警告。
"Audit" 指定验证失败将包含在为请求发布的审计事件中。审计事件将包含一个
validation.policy.admission.k8s.io/validation_failure审计注解,其值包含验证失败的详细信息,格式为 JSON 对象列表,每个对象包含以下字段:- message: 验证失败消息字符串 - policy: ValidatingAdmissionPolicy 的资源名称 - binding: ValidatingAdmissionPolicyBinding 的资源名称 - expressionIndex: ValidatingAdmissionPolicy 中失败验证的索引 - validationActions: 对验证失败执行的强制操作。示例审计注解:"validation.policy.admission.k8s.io/validation_failure": "[{\"message\": \"Invalid value\", {\"policy\": \"policy.example.com\", {\"binding\": \"policybinding.example.com\", {\"expressionIndex\": \"1\", {\"validationActions\": [\"Audit\"]}]"客户端应该预料到处理额外的取值,对于未识别的取值应忽略。
"Deny" 和 "Warn" 不能一起使用,因为这种组合会在 API 响应体和 HTTP warning 头中不必要地重复验证失败信息。
必需。
操作
get 读取指定的 ValidatingAdmissionPolicy
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}
参数
name (在路径中):字符串,必需
ValidatingAdmissionPolicy 的名称
pretty (在查询参数中):字符串
响应
200 (ValidatingAdmissionPolicy):成功
401: 未授权
get 读取指定 ValidatingAdmissionPolicy 的状态
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}/status
参数
name (在路径中):字符串,必需
ValidatingAdmissionPolicy 的名称
pretty (在查询参数中):字符串
响应
200 (ValidatingAdmissionPolicy):成功
401: 未授权
list 列出或监视 ValidatingAdmissionPolicy 类型的对象
HTTP 请求
GET /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies
参数
allowWatchBookmarks (在查询参数中):布尔值
continue (在查询参数中):字符串
fieldSelector (在查询参数中):字符串
labelSelector (在查询参数中):字符串
limit (在查询参数中):整数
pretty (在查询参数中):字符串
resourceVersion (在查询参数中):字符串
resourceVersionMatch (在查询参数中):字符串
sendInitialEvents (在查询参数中):布尔值
timeoutSeconds (在查询参数中):整数
watch (在查询参数中):布尔值
响应
200 (ValidatingAdmissionPolicyList):成功
401: 未授权
create 创建 ValidatingAdmissionPolicy
HTTP 请求
POST /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies
参数
body:ValidatingAdmissionPolicy,必需
dryRun (在查询参数中):字符串
fieldManager (在查询参数中):字符串
fieldValidation (在查询参数中):字符串
pretty (在查询参数中):字符串
响应
200 (ValidatingAdmissionPolicy):成功
201 (ValidatingAdmissionPolicy):已创建
202 (ValidatingAdmissionPolicy):已接受
401: 未授权
update 替换指定的 ValidatingAdmissionPolicy
HTTP 请求
PUT /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}
参数
name (在路径中):字符串,必需
ValidatingAdmissionPolicy 的名称
body:ValidatingAdmissionPolicy,必需
dryRun (在查询参数中):字符串
fieldManager (在查询参数中):字符串
fieldValidation (在查询参数中):字符串
pretty (在查询参数中):字符串
响应
200 (ValidatingAdmissionPolicy):成功
201 (ValidatingAdmissionPolicy):已创建
401: 未授权
update 替换指定 ValidatingAdmissionPolicy 的状态
HTTP 请求
PUT /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}/status
参数
name (在路径中):字符串,必需
ValidatingAdmissionPolicy 的名称
body:ValidatingAdmissionPolicy,必需
dryRun (在查询参数中):字符串
fieldManager (在查询参数中):字符串
fieldValidation (在查询参数中):字符串
pretty (在查询参数中):字符串
响应
200 (ValidatingAdmissionPolicy):成功
201 (ValidatingAdmissionPolicy):已创建
401: 未授权
patch 部分更新指定的 ValidatingAdmissionPolicy
HTTP 请求
PATCH /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}
参数
name (在路径中):字符串,必需
ValidatingAdmissionPolicy 的名称
body:补丁,必需
dryRun (在查询参数中):字符串
fieldManager (在查询参数中):字符串
fieldValidation (在查询参数中):字符串
force (在查询参数中):布尔值
pretty (在查询参数中):字符串
响应
200 (ValidatingAdmissionPolicy):成功
201 (ValidatingAdmissionPolicy):已创建
401: 未授权
patch 部分更新指定 ValidatingAdmissionPolicy 的状态
HTTP 请求
PATCH /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}/status
参数
name (在路径中):字符串,必需
ValidatingAdmissionPolicy 的名称
body:补丁,必需
dryRun (在查询参数中):字符串
fieldManager (在查询参数中):字符串
fieldValidation (在查询参数中):字符串
force (在查询参数中):布尔值
pretty (在查询参数中):字符串
响应
200 (ValidatingAdmissionPolicy):成功
201 (ValidatingAdmissionPolicy):已创建
401: 未授权
delete 删除 ValidatingAdmissionPolicy
HTTP 请求
DELETE /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}
参数
name (在路径中):字符串,必需
ValidatingAdmissionPolicy 的名称
body:DeleteOptions
dryRun (在查询参数中):字符串
gracePeriodSeconds (在查询参数中):整数
ignoreStoreReadErrorWithClusterBreakingPotential (在查询参数中):布尔值
pretty (在查询参数中):字符串
propagationPolicy (在查询参数中):字符串
响应
200 (状态):成功
202 (状态):已接受
401: 未授权
deletecollection 删除 ValidatingAdmissionPolicy 的集合
HTTP 请求
DELETE /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies
参数
body:DeleteOptions
continue (在查询参数中):字符串
dryRun (在查询参数中):字符串
fieldSelector (在查询参数中):字符串
gracePeriodSeconds (在查询参数中):整数
ignoreStoreReadErrorWithClusterBreakingPotential (在查询参数中):布尔值
labelSelector (在查询参数中):字符串
limit (在查询参数中):整数
pretty (在查询参数中):字符串
propagationPolicy (在查询参数中):字符串
resourceVersion (在查询参数中):字符串
resourceVersionMatch (在查询参数中):字符串
sendInitialEvents (在查询参数中):布尔值
timeoutSeconds (在查询参数中):整数
响应
200 (状态):成功
401: 未授权
此页面是自动生成的。
如果您打算报告此页面的问题,请在问题描述中提及此页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。