apiVersion: admissionregistration.k8s.io/v1
import "k8s.io/api/admissionregistration/v1"
ValidatingAdmissionPolicy описує визначення політики перевірки доступу, яка приймає або відхиляє обʼєкт без його зміни.
| Поле | Опис |
|---|---|
apiVersionstring | APIVersion визначає версію схеми цього представлення обʼєкта. Сервери повинні конвертувати розпізнані схеми до останнього внутрішнього значення і можуть відхиляти нерозпізнані значення. Детальніше: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
kindstring | Kind є рядковим значенням, що представляє REST-ресурс, який цей обʼєкт представляє. Сервери можуть визначати це з точки доступу, до якої клієнт надсилає запити. Не може бути оновлено. У CamelCase. Детальніше: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
metadataObjectMeta | metadata визначає стандартні метадані обʼєкта. Детальніше: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata. |
specValidatingAdmissionPolicySpec | spec визначає бажану поведінку ValidatingAdmissionPolicy. |
statusValidatingAdmissionPolicyStatus | status представляє поточний стан ValidatingAdmissionPolicy, включаючи попередження, які корисні для визначення, чи політика працює очікуваним чином. Заповнюється системою. Тільки для читання. |
ValidatingAdmissionPolicySpec є специфікацією бажаної поведінки AdmissionPolicy.
| Поле | Опис |
|---|---|
auditAnnotationsAuditAnnotation array | auditAnnotations містить вирази CEL, які використовуються для створення анотацій аудиту для події аудиту запиту API. Поля validations і auditAnnotations не можуть бути обидва порожні; необхідно мати принаймні один з validations або auditAnnotations. |
failurePolicystring | failurePolicy визначає, як обробляти помилки для політики допуску. Помилки можуть виникати через помилки розбору виразів CEL, помилки перевірки типів, помилки виконання та недійсні або неправильно налаштовані визначення політики або привʼязки. Політика є недійсною, якщо spec.paramKind посилається на Kind, який не існує. Привʼязка є недійсною, якщо spec.paramRef.name посилається на ресурс, якого не існує. failurePolicy не визначає, як обробляються перевірки, які оцінюються як false. Коли failurePolicy встановлено на Fail, дії перевірки ValidatingAdmissionPolicyBinding визначають, як застосовуються помилки. Дозволені значення: Ignore або Fail. Стандартне значення — Fail. Можливі значення enum:
|
matchConditionsMatchCondition array patch strategy: злиття за ключем name | matchConditions — це список умов, які повинні бути виконані для перевірки запиту. Умови відповідності фільтрують запити, які вже були відібрані за допомогою matchConstraints. Порожній список matchConditions відповідає всім запитам. Допускається максимум 64 умови відповідності. Якщо надано об’єкт параметра, доступ до нього можна отримати через дескриптор params так само, як і до виразів перевірки. Точна логіка відповідності така (за порядком):
|
matchConstraintsMatchResources | Параметр matchConstraints визначає, які ресурси ця політика призначена перевіряти. Політика AdmissionPolicy розглядає запит, якщо він відповідає _усім_ обмеженням. Однак, щоб запобігти переходу кластерів у нестабільний стан, який неможливо відновити за допомогою API, ValidatingAdmissionPolicy не може відповідати ValidatingAdmissionPolicy та ValidatingAdmissionPolicyBinding. Обов’язкове. |
paramKindParamKind | paramKind визначає тип ресурсів, які використовуються для параметризації цієї політики. Якщо відсутній, параметри для цієї політики відсутні, і змінна param CEL не буде надана для виразів перевірки. Якщо paramKind посилається на тип, що не існує, визначення цієї політики некоректне, і застосовується FailurePolicy. Якщо paramKind вказано, але paramRef не встановлено в ValidatingAdmissionPolicyBinding, змінна params буде null. |
validationsValidation array | validations містить вирази CEL, які використовуються для застосування перевірки. Validations та AuditAnnotations не можуть бути обидва порожні; мінімум один з них обовʼязковий. |
variablesVariable array patch strategy: злиття за ключем name | variables містить визначення змінних, які можна використовувати при складанні інших виразів. Кожна змінна визначається як іменований вираз CEL. Змінні, визначені тут, будуть доступні у variables в інших виразах політики, за винятком MatchConditions, оскільки MatchConditions оцінюються перед рештою політики. Вираз змінної може посилатися на інші змінні, визначені раніше в списку, але не на ті, що йдуть після. Таким чином, Variables повинні бути відсортовані за порядком першої появи і бути ациклічними. |
ValidatingAdmissionPolicyStatus представляє стан політики перевірки допуску.
| Поле | Опис |
|---|---|
conditionsCondition array | conditions представляють останні доступні спостереження за поточним станом політики. |
observedGenerationinteger | observedGeneration представляє покоління, спостережуване контролером. |
typeCheckingTypeChecking | typeChecking містить результати перевірки типів для кожного виразу. Наявність цього поля вказує на завершення перевірки типів. |
ValidatingAdmissionPolicyList є списком ValidatingAdmissionPolicy.
| Поле | Опис |
|---|---|
apiVersionstring | APIVersion визначає версію схеми цього представлення обʼєкта. Сервери повинні конвертувати розпізнані схеми до останнього внутрішнього значення і можуть відхиляти нерозпізнані значення. Детальніше: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
items *ValidatingAdmissionPolicy array | Список ValidatingAdmissionPolicy. |
kindstring | Kind є рядковим значенням, що представляє REST-ресурс, який цей обʼєкт представляє. Сервери можуть визначати це з точки доступу, до якої клієнт надсилає запити. Не може бути оновлено. У CamelCase. Детальніше: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
metadataListMeta | metadata визначає стандартні метадані обʼєкта. Детальніше: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata. |
AuditAnnotation описує, як створити анотацію аудиту для запиту API.
| Поле | Опис |
|---|---|
key *string | key визначає ключ анотації аудиту. Ключі анотацій аудиту ValidatingAdmissionPolicy повинні бути унікальними. Ключ повинен бути кваліфікованим імʼям ([A-Za-z0-9][-A-Za-z0-9_.]*) довжиною не більше 63 байтів. Ключ комбінується з імʼям ресурсу ValidatingAdmissionPolicy для створення ключа анотації аудиту: "{ValidatingAdmissionPolicy name}/{key}". Якщо вебхук допуску використовує те саме імʼя ресурсу, що й цей ValidatingAdmissionPolicy, і той самий ключ анотації аудиту, ключ анотації буде ідентичним. У цьому випадку перша анотація, записана з цим ключем, буде включена в подію аудиту, а всі наступні анотації з тим самим ключем будуть відкинуті. Обовʼязково. |
valueExpression *string | valueExpression визначає вираз, який оцінюється за допомогою CEL для створення значення анотації аудиту. Вираз повинен оцінюватися як рядок або null. Якщо вираз оцінюється як рядок, анотація аудиту включається зі значенням рядка. Якщо вираз оцінюється як null або порожній рядок, анотація аудиту буде пропущена. Довжина valueExpression не повинна перевищувати 5 КБ. Якщо результат valueExpression перевищує 10 КБ, він буде обрізаний до 10 КБ. Якщо кілька ресурсів ValidatingAdmissionPolicyBinding відповідають запиту API, valueExpression буде оцінюватися для кожного звʼязування. Усі унікальні значення, отримані з valueExpression, будуть обʼєднані в список, розділений комами. Обовʼязково. |
ExpressionWarning описує інформацію про попередження, що стосується конкретного виразу.
| Поле | Опис |
|---|---|
fieldRef *string | fieldRef визначає шлях до поля, яке посилається на вираз. Наприклад, посилання на вираз першого елемента валідацій виглядає як "spec.validations[0].expression" |
warning *string | warning містить інформацію про перевірку типів у зручній для читання формі. Кожен рядок попередження містить тип, проти якого перевіряється вираз, а також помилку перевірки типу від компілятора. |
TypeChecking містить результати перевірки типів виразів у ValidatingAdmissionPolicy
| Поле | Опис |
|---|---|
expressionWarningsExpressionWarning array | expressionWarnings містить попередження про перевірку типів для кожного виразу. |
Validation визначає вираз CEL, який використовується для виконання валідації.
| Поле | Опис |
|---|---|
expression *string | expression представляє вираз, який буде оцінюватися за допомогою CEL. Див: https://github.com/google/cel-spec. Вирази CEL мають доступ до вмісту запиту/відповіді API, організованого у змінні CEL, а також деякі інші корисні змінні:
apiVersion, kind, metadata.name та metadata.generateName завжди доступні з кореня обʼєкта. Жодні інші властивості метаданих недоступні.Лише імена властивостей у формі [a-zA-Z_.-/][a-zA-Z0-9_.-/]* доступні.
Доступні імена властивостей екрануються відповідно до наступних правил при доступі у виразі:
Приклади:
[1, 2] == [2, 1]. Конкатенація масивів з x-kubernetes-list-type використовує семантику типу списку:
|
messagestring | message представляє повідомлення, яке показується, коли перевірка не проходить. Повідомлення обовʼязкове, якщо Expression містить розриви рядків. Повідомлення не повинно містити розривів рядків. Якщо не встановлено, повідомлення буде "failed rule: {Rule}". Наприклад: "must be a URL with the host matching spec.host". Якщо вираз містить розриви рядків, повідомлення обовʼязкове. Повідомлення не повинно містити розривів рядків. Якщо не встановлено, повідомлення буде "failed Expression: {Expression}". |
messageExpressionstring | messageExpression оголошує CEL-вираз, який оцінюється до повідомлення про помилку перевірки, яке повертається, коли це правило не проходить. Оскільки messageExpression використовується як повідомлення про помилку, воно повинно оцінюватися як рядок. Якщо обидва поля message і messageExpression присутні у перевірці, то messageExpression буде використано, якщо перевірка не пройде. Якщо messageExpression призводить до помилки виконання, помилка виконання реєструється, і повідомлення про помилку перевірки генерується так, ніби поле messageExpression не встановлено. Якщо messageExpression оцінюється як порожній рядок, рядок, що містить лише пробіли, або рядок, що містить розриви рядків, тоді повідомлення про помилку перевірки також буде згенеровано так, ніби поле messageExpression не встановлено, і факт, що messageExpression призвело до порожнього рядка/рядка, що містить лише пробіли/рядка з розривами рядків, буде зареєстровано. messageExpression має доступ до всіх тих самих змінних, що й expression, за винятком 'authorizer' та 'authorizer.requestResource'. Приклад: "object.x must be less than max ("+string(params.max)+")" |
reasonstring | reason представляє машиночитаний опис того, чому ця перевірка не пройшла. Якщо це перша перевірка в списку, яка не пройшла, цей reason, а також відповідний HTTP-код відповіді, використовуються у HTTP-відповіді клієнту. Поточні підтримувані причини: "Unauthorized", "Forbidden", "Invalid", "RequestEntityTooLarge". Якщо не встановлено, у відповіді клієнту використовується StatusReasonInvalid. |
post CreatePOST /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
dryRun | string | Коли параметр присутній, це вказує, що зміни не повинні зберігатися. Неправильна або нерозпізнана директива dryRun призведе до помилки та припинення обробки запиту. Дійсні значення:
|
fieldManager | string | fieldManager є імʼям, повʼязаним з а́ктором або сутністю, яка вносить ці зміни. Значення повинно бути менше або дорівнювати 128 символам і містити лише друковані символи, як визначено в https://golang.org/pkg/unicode/#IsPrint. |
fieldValidation | string | fieldValidation інструктує сервер, як обробляти обʼєкти в запиті (POST/PUT/PATCH), що містять невідомі або дубльовані поля. Дійсні значення:
|
| Назва | Тип | Опис |
|---|---|---|
body | ValidatingAdmissionPolicy |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | ValidatingAdmissionPolicy |
| 201 | Created | ValidatingAdmissionPolicy |
| 202 | Accepted | ValidatingAdmissionPolicy |
patch PatchPATCH /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}
| Назва | Тип | Опис |
|---|---|---|
name | string | Назва ValidatingAdmissionPolicy |
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
dryRun | string | Коли параметр присутній, це вказує, що зміни не повинні зберігатися. Неправильна або нерозпізнана директива dryRun призведе до помилки та припинення обробки запиту. Дійсні значення:
|
fieldManager | string | fieldManager є імʼям, повʼязаним з а́ктором або сутністю, яка вносить ці зміни. Значення повинно бути менше або дорівнювати 128 символам і містити лише друковані символи, як визначено в https://golang.org/pkg/unicode/#IsPrint. Це поле є обов'язковим для запитів apply (application/apply-patch), але необов'язковим для інших типів патчів (JsonPatch, MergePatch, StrategicMergePatch). |
fieldValidation | string | fieldValidation інструктує сервер, як обробляти обʼєкти в запиті (POST/PUT/PATCH), що містять невідомі або дубльовані поля. Дійсні значення:
|
force | boolean | Force має на меті "примусово" застосовувати запити Apply. Це означає, що користувач повторно отримає конфліктні поля, що належать іншим користувачам. Прапорець Force повинен бути скасований для запитів, що не є патчами apply. |
| Назва | Тип | Опис |
|---|---|---|
body | Patch |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | ValidatingAdmissionPolicy |
| 201 | Created | ValidatingAdmissionPolicy |
put ReplacePUT /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}
| Назва | Тип | Опис |
|---|---|---|
name | string | Назва ValidatingAdmissionPolicy |
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
dryRun | string | Коли параметр присутній, це вказує, що зміни не повинні зберігатися. Неправильна або нерозпізнана директива dryRun призведе до помилки та припинення обробки запиту. Дійсні значення:
|
fieldManager | string | fieldManager є імʼям, повʼязаним з а́ктором або сутністю, яка вносить ці зміни. Значення повинно бути менше або дорівнювати 128 символам і містити лише друковані символи, як визначено в https://golang.org/pkg/unicode/#IsPrint. |
fieldValidation | string | fieldValidation інструктує сервер, як обробляти обʼєкти в запиті (POST/PUT/PATCH), що містять невідомі або дубльовані поля. Дійсні значення:
|
| Назва | Тип | Опис |
|---|---|---|
body | ValidatingAdmissionPolicy |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | ValidatingAdmissionPolicy |
| 201 | Created | ValidatingAdmissionPolicy |
delete DeleteDELETE /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}
| Назва | Тип | Опис |
|---|---|---|
name | string | Назва ValidatingAdmissionPolicy |
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
dryRun | string | Коли параметр присутній, це вказує, що зміни не повинні зберігатися. Неправильна або нерозпізнана директива dryRun призведе до помилки та припинення обробки запиту. Дійсні значення:
|
gracePeriodSeconds | integer | Часу у секундах перед видаленням обʼєкта. Значення повинно бути невідʼємним цілим числом. Значення нуль вказує на негайне видалення. Якщо це значення відсутнє, буде використано стандартний період очікування для зазначеного типу. Зазвичай використовується значення для конкретного обʼєкта, якщо не вказано. Нуль означає негайне видалення. |
ignoreStoreReadErrorWithClusterBreakingPotential | boolean | Якщо встановлено в true, це призведе до небезпечного видалення ресурсу у випадку, якщо нормальний процес видалення не вдасться через помилку пошкодженого обʼєкта. Ресурс вважається пошкодженим, якщо його не можна успішно отримати з відповідного сховища томущо: a) його дані не можна трансформувати, наприклад, помилка дешифрування, або b) не вдається декодувати в обʼєкт. ПРИМІТКА: небезпечне видалення ігнорує обмеження завершувача, пропускає перевірки передумов і видаляє обʼєкт зі сховища. ПОПЕРЕДЖЕННЯ: це може потенційно порушити роботу кластера, якщо робоче навантаження, повʼязане з ресурсом, що видаляється небезпечно, покладається на нормальний процес видалення. Використовуйте лише якщо ви ДІЙСНО знаєте, що робите. Стандартне значення — false, і користувач повинен явно погодитися на його використання. |
orphanDependents | boolean | Застаріло: будь ласка, використовуйте PropagationPolicy, це поле буде застарілим у версії 1.7. Чи повинні залежні обʼєкти залишатися покинутими. Якщо true/false, завершувач "orphan" буде доданий до/видалений з списку завершувачів обʼєкта. Можна встановити або це поле, або PropagationPolicy, але не обидва. |
propagationPolicy | string | Чи і як буде виконано збір сміття. Можна встановити або це поле, або OrphanDependents, але не обидва. Стандартна політика визначається наявним завершувачем у metadata.finalizers та стандартною політикою для конкретного ресурсу. Допустимі значення: 'Orphan' — залишити залежні обʼєкти покинутими; 'Background' — дозволити збирачу сміття видаляти залежні обʼєкти у фоновому режимі; 'Foreground' — каскадна політика, яка видаляє всі залежні обʼєкти з показом всіх дій. |
| Назва | Тип | Опис |
|---|---|---|
body | DeleteOptions |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | Status |
| 202 | Accepted | Status |
delete Delete CollectionDELETE /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
continue | string | Опція continue повинна бути встановлена при отриманні додаткових результатів від сервера. Оскільки це значення визначається сервером, клієнти можуть використовувати значення continue лише з попереднього результату запиту з ідентичними параметрами запиту (крім значення continue), і сервер може відхилити значення continue, яке він не розпізнає. Якщо вказане значення continue більше не дійсне через закінчення терміну дії (зазвичай пʼять-пʼятнадцять хвилин) або зміну конфігурації на сервері, сервер відповість помилкою 410 ResourceExpired разом з токеном continue. Якщо клієнту потрібен послідовний список, він повинен перезапустити свій список без поля continue. В іншому випадку клієнт може надіслати ще один запит списку з токеном, отриманим з помилкою 410, сервер відповість списком, починаючи з наступного ключа, але з останнього знімка, що не відповідає попереднім результатам списку — обʼєкти, які були створені, змінені або видалені після першого запиту списку, будуть включені у відповідь, якщо їх ключі йдуть після "наступного ключа". Це поле не підтримується, коли watch встановлено в true. Клієнти можуть почати спостереження з останнього значення resourceVersion, повернутого сервером, і не пропустити жодних змін. |
dryRun | string | Коли параметр присутній, це вказує, що зміни не повинні зберігатися. Неправильна або нерозпізнана директива dryRun призведе до помилки та припинення обробки запиту. Дійсні значення:
|
fieldSelector | string | Селектор для обмеження списку обʼєктів, що повертаються, за їхніми полями. Зазвичай повертаються всі обʼєкти. |
gracePeriodSeconds | integer | Часу у секундах перед видаленням обʼєкта. Значення повинно бути невідʼємним цілим числом. Значення нуль вказує на негайне видалення. Якщо це значення відсутнє, буде використано стандартний період очікування для зазначеного типу. Зазвичай використовується значення для конкретного обʼєкта, якщо не вказано. Нуль означає негайне видалення. |
ignoreStoreReadErrorWithClusterBreakingPotential | boolean | Якщо встановлено в true, це призведе до небезпечного видалення ресурсу у випадку, якщо нормальний процес видалення не вдасться через помилку пошкодженого обʼєкта. Ресурс вважається пошкодженим, якщо його не можна успішно отримати з відповідного сховища томущо: a) його дані не можна трансформувати, наприклад, помилка дешифрування, або b) не вдається декодувати в обʼєкт. ПРИМІТКА: небезпечне видалення ігнорує обмеження завершувача, пропускає перевірки передумов і видаляє обʼєкт зі сховища. ПОПЕРЕДЖЕННЯ: це може потенційно порушити роботу кластера, якщо робоче навантаження, повʼязане з ресурсом, що видаляється небезпечно, покладається на нормальний процес видалення. Використовуйте лише якщо ви ДІЙСНО знаєте, що робите. Стандартне значення — false, і користувач повинен явно погодитися на його використання. |
labelSelector | string | Селектор для обмеження списку обʼєктів, що повертаються, за їхніми мітками. Зазвичай повертаються всі обʼєкти. |
limit | integer | limit є максимальним числом відповідей, які потрібно повернути для виклику списку. Якщо існує більше елементів, сервер встановить поле continue у метаданих списку на значення, яке можна використовувати з тим самим початковим запитом для отримання наступного набору результатів. Встановлення обмеження може повернути менше, ніж запитана кількість елементів (до нуля елементів) у випадку, якщо всі запитані обʼєкти відфільтровані, і клієнти повинні використовувати лише наявність поля continue, щоб визначити, чи доступні додаткові результати. Сервери можуть вирішити не підтримувати аргумент limit і повернуть усі доступні результати. Якщо limit вказано, а поле continue порожнє, клієнти можуть припустити, що результатів більше немає. Це поле не підтримується, якщо watch дорівнює true. Сервер гарантує, що обʼєкти, повернені при використанні continue, будуть ідентичні до виконання одного виклику списку без обмеження — тобто жодні обʼєкти, створені, змінені або видалені після першого запиту, не будуть включені в будь-які наступні продовжені запити. Це іноді називають послідовним знімком, і забезпечує, що клієнт, який використовує limit для отримання менших частин дуже великого результату, може бути впевнений, що він бачить усі можливі обʼєкти. Якщо обʼєкти оновлюються під час отримання часткового списку, повертається версія обʼєкта, яка була присутня на момент обчислення першого результату списку. |
orphanDependents | boolean | Застаріло: будь ласка, використовуйте PropagationPolicy, це поле буде застарілим у версії 1.7. Чи повинні залежні обʼєкти залишатися покинутими. Якщо true/false, завершувач "orphan" буде доданий до/видалений з списку завершувачів обʼєкта. Можна встановити або це поле, або PropagationPolicy, але не обидва. |
propagationPolicy | string | Чи і як буде виконано збір сміття. Можна встановити або це поле, або OrphanDependents, але не обидва. Стандартна політика визначається наявним завершувачем у metadata.finalizers та стандартною політикою для конкретного ресурсу. Допустимі значення: 'Orphan' — залишити залежні обʼєкти покинутими; 'Background' — дозволити збирачу сміття видаляти залежні обʼєкти у фоновому режимі; 'Foreground' — каскадна політика, яка видаляє всі залежні обʼєкти з показом всіх дій. |
resourceVersion | string | resourceVersion встановлює обмеження на те, з яких версій ресурсів може обслуговуватися запит. Див. https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions для деталей. Стандартне значення не встановлено |
resourceVersionMatch | string | resourceVersionMatch визначає, як resourceVersion застосовується до викликів списку. Рекомендується встановлювати resourceVersionMatch для викликів списку, де встановлено resourceVersion. Див. https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions для деталей. Стандартне значення не встановлено |
sendInitialEvents | boolean | sendInitialEvents=true може бути встановлено разом з watch=true. У цьому випадку потік спостереження почнеться з синтетичних подій для відтворення поточного стану обʼєктів у колекції. Після надсилання всіх таких подій буде надіслано синтетичну подію "Bookmark". Закладка повідомить ResourceVersion (RV), що відповідає набору обʼєктів, і буде позначена анотацією "k8s.io/initial-events-end": "true". Після цього потік спостереження продовжиться як зазвичай, надсилаючи події спостереження, що відповідають змінам (після RV) для спостережуваних обʼєктів. Коли встановлено опцію sendInitialEvents, ми вимагаємо також встановлення опції resourceVersionMatch. Семантика запиту спостереження наступна:
|
shardSelector | string | shardSelector обмежує список обʼєктів, що повертаються, за допомогою виразу вибору шардів на основі CEL. Формат використовує функцію shardRange() у поєднанні з || (логічне АБО) для вказівки одного або кількох діапазонів хешів: shardRange(object.metadata.uid, '0x0', '0x8000000000000000') shardRange(object.metadata.uid, '0x0', '0x8000000000000000') || shardRange(object.metadata.uid, '0x8000000000000000', '0x10000000000000000') Шляхи полів використовують синтаксис CEL, що починається з обʼєкта (наприклад, "object.metadata.uid"), а не формат fieldSelector ("metadata.uid"). Наразі підтримуються такі шляхи:
|
timeoutSeconds | integer | Час очікування для виклику list/watch. Це обмежує тривалість виклику, незалежно від будь-якої активності чи неактивності. |
| Назва | Тип | Опис |
|---|---|---|
body | DeleteOptions |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | Status |
get ReadGET /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}
| Назва | Тип | Опис |
|---|---|---|
name | string | Назва ValidatingAdmissionPolicy |
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | ValidatingAdmissionPolicy |
get ListGET /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
allowWatchBookmarks | boolean | allowWatchBookmarks запитує події спостереження з типом "BOOKMARK". Сервери, які не реалізують закладки, можуть ігнорувати цей прапорець, а закладки надсилаються на розсуд сервера. Клієнти не повинні припускати, що закладки повертаються через певний інтервал, і не можуть припускати, що сервер надішле будь-яку подію BOOKMARK під час сеансу. Якщо це не спостереження, це поле ігнорується. |
continue | string | Опція continue повинна бути встановлена при отриманні додаткових результатів від сервера. Оскільки це значення визначається сервером, клієнти можуть використовувати значення continue лише з попереднього результату запиту з ідентичними параметрами запиту (крім значення continue), і сервер може відхилити значення continue, яке він не розпізнає. Якщо вказане значення continue більше не дійсне через закінчення терміну дії (зазвичай пʼять-пʼятнадцять хвилин) або зміну конфігурації на сервері, сервер відповість помилкою 410 ResourceExpired разом з токеном continue. Якщо клієнту потрібен послідовний список, він повинен перезапустити свій список без поля continue. В іншому випадку клієнт може надіслати ще один запит списку з токеном, отриманим з помилкою 410, сервер відповість списком, починаючи з наступного ключа, але з останнього знімка, що не відповідає попереднім результатам списку — обʼєкти, які були створені, змінені або видалені після першого запиту списку, будуть включені у відповідь, якщо їх ключі йдуть після "наступного ключа". Це поле не підтримується, коли watch встановлено в true. Клієнти можуть почати спостереження з останнього значення resourceVersion, повернутого сервером, і не пропустити жодних змін. |
fieldSelector | string | Селектор для обмеження списку обʼєктів, що повертаються, за їхніми полями. Зазвичай повертаються всі обʼєкти. |
labelSelector | string | Селектор для обмеження списку обʼєктів, що повертаються, за їхніми мітками. Зазвичай повертаються всі обʼєкти. |
limit | integer | limit є максимальним числом відповідей, які потрібно повернути для виклику списку. Якщо існує більше елементів, сервер встановить поле continue у метаданих списку на значення, яке можна використовувати з тим самим початковим запитом для отримання наступного набору результатів. Встановлення обмеження може повернути менше, ніж запитана кількість елементів (до нуля елементів) у випадку, якщо всі запитані обʼєкти відфільтровані, і клієнти повинні використовувати лише наявність поля continue, щоб визначити, чи доступні додаткові результати. Сервери можуть вирішити не підтримувати аргумент limit і повернуть усі доступні результати. Якщо limit вказано, а поле continue порожнє, клієнти можуть припустити, що результатів більше немає. Це поле не підтримується, якщо watch дорівнює true. Сервер гарантує, що обʼєкти, повернені при використанні continue, будуть ідентичні до виконання одного виклику списку без обмеження — тобто жодні обʼєкти, створені, змінені або видалені після першого запиту, не будуть включені в будь-які наступні продовжені запити. Це іноді називають послідовним знімком, і забезпечує, що клієнт, який використовує limit для отримання менших частин дуже великого результату, може бути впевнений, що він бачить усі можливі обʼєкти. Якщо обʼєкти оновлюються під час отримання часткового списку, повертається версія обʼєкта, яка була присутня на момент обчислення першого результату списку. |
resourceVersion | string | resourceVersion встановлює обмеження на те, з яких версій ресурсів може обслуговуватися запит. Див. https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions для деталей. Стандартне значення не встановлено |
resourceVersionMatch | string | resourceVersionMatch визначає, як resourceVersion застосовується до викликів списку. Рекомендується встановлювати resourceVersionMatch для викликів списку, де встановлено resourceVersion. Див. https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions для деталей. Стандартне значення не встановлено |
sendInitialEvents | boolean | sendInitialEvents=true може бути встановлено разом з watch=true. У цьому випадку потік спостереження почнеться з синтетичних подій для відтворення поточного стану обʼєктів у колекції. Після надсилання всіх таких подій буде надіслано синтетичну подію "Bookmark". Закладка повідомить ResourceVersion (RV), що відповідає набору обʼєктів, і буде позначена анотацією "k8s.io/initial-events-end": "true". Після цього потік спостереження продовжиться як зазвичай, надсилаючи події спостереження, що відповідають змінам (після RV) для спостережуваних обʼєктів. Коли встановлено опцію sendInitialEvents, ми вимагаємо також встановлення опції resourceVersionMatch. Семантика запиту спостереження наступна:
|
shardSelector | string | shardSelector обмежує список обʼєктів, що повертаються, за допомогою виразу вибору шардів на основі CEL. Формат використовує функцію shardRange() у поєднанні з || (логічне АБО) для вказівки одного або кількох діапазонів хешів: shardRange(object.metadata.uid, '0x0', '0x8000000000000000') shardRange(object.metadata.uid, '0x0', '0x8000000000000000') || shardRange(object.metadata.uid, '0x8000000000000000', '0x10000000000000000') Шляхи полів використовують синтаксис CEL, що починається з обʼєкта (наприклад, "object.metadata.uid"), а не формат fieldSelector ("metadata.uid"). Наразі підтримуються такі шляхи:
|
timeoutSeconds | integer | Час очікування для виклику list/watch. Це обмежує тривалість виклику, незалежно від будь-якої активності чи неактивності. |
watch | boolean | Спостерігати за змінами описаних ресурсів і повертати їх як потік сповіщень про додавання, оновлення та видалення. Вкажіть resourceVersion. |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | ValidatingAdmissionPolicyList |
get WatchGET /apis/admissionregistration.k8s.io/v1/watch/validatingadmissionpolicies/{name}
| Назва | Тип | Опис |
|---|---|---|
name | string | Назва ValidatingAdmissionPolicy |
| Назва | Тип | Опис |
|---|---|---|
allowWatchBookmarks | boolean | allowWatchBookmarks запитує події спостереження з типом "BOOKMARK". Сервери, які не реалізують закладки, можуть ігнорувати цей прапорець, а закладки надсилаються на розсуд сервера. Клієнти не повинні припускати, що закладки повертаються через певний інтервал, і не можуть припускати, що сервер надішле будь-яку подію BOOKMARK під час сеансу. Якщо це не спостереження, це поле ігнорується. |
continue | string | Опція continue повинна бути встановлена при отриманні додаткових результатів від сервера. Оскільки це значення визначається сервером, клієнти можуть використовувати значення continue лише з попереднього результату запиту з ідентичними параметрами запиту (крім значення continue), і сервер може відхилити значення continue, яке він не розпізнає. Якщо вказане значення continue більше не дійсне через закінчення терміну дії (зазвичай пʼять-пʼятнадцять хвилин) або зміну конфігурації на сервері, сервер відповість помилкою 410 ResourceExpired разом з токеном continue. Якщо клієнту потрібен послідовний список, він повинен перезапустити свій список без поля continue. В іншому випадку клієнт може надіслати ще один запит списку з токеном, отриманим з помилкою 410, сервер відповість списком, починаючи з наступного ключа, але з останнього знімка, що не відповідає попереднім результатам списку — обʼєкти, які були створені, змінені або видалені після першого запиту списку, будуть включені у відповідь, якщо їх ключі йдуть після "наступного ключа". Це поле не підтримується, коли watch встановлено в true. Клієнти можуть почати спостереження з останнього значення resourceVersion, повернутого сервером, і не пропустити жодних змін. |
fieldSelector | string | Селектор для обмеження списку обʼєктів, що повертаються, за їхніми полями. Зазвичай повертаються всі обʼєкти. |
labelSelector | string | Селектор для обмеження списку обʼєктів, що повертаються, за їхніми мітками. Зазвичай повертаються всі обʼєкти. |
limit | integer | limit є максимальним числом відповідей, які потрібно повернути для виклику списку. Якщо існує більше елементів, сервер встановить поле continue у метаданих списку на значення, яке можна використовувати з тим самим початковим запитом для отримання наступного набору результатів. Встановлення обмеження може повернути менше, ніж запитана кількість елементів (до нуля елементів) у випадку, якщо всі запитані обʼєкти відфільтровані, і клієнти повинні використовувати лише наявність поля continue, щоб визначити, чи доступні додаткові результати. Сервери можуть вирішити не підтримувати аргумент limit і повернуть усі доступні результати. Якщо limit вказано, а поле continue порожнє, клієнти можуть припустити, що результатів більше немає. Це поле не підтримується, якщо watch дорівнює true. Сервер гарантує, що обʼєкти, повернені при використанні continue, будуть ідентичні до виконання одного виклику списку без обмеження — тобто жодні обʼєкти, створені, змінені або видалені після першого запиту, не будуть включені в будь-які наступні продовжені запити. Це іноді називають послідовним знімком, і забезпечує, що клієнт, який використовує limit для отримання менших частин дуже великого результату, може бути впевнений, що він бачить усі можливі обʼєкти. Якщо обʼєкти оновлюються під час отримання часткового списку, повертається версія обʼєкта, яка була присутня на момент обчислення першого результату списку. |
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
resourceVersion | string | resourceVersion встановлює обмеження на те, з яких версій ресурсів може обслуговуватися запит. Див. https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions для деталей. Стандартне значення не встановлено |
resourceVersionMatch | string | resourceVersionMatch визначає, як resourceVersion застосовується до викликів списку. Рекомендується встановлювати resourceVersionMatch для викликів списку, де встановлено resourceVersion. Див. https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions для деталей. Стандартне значення не встановлено |
sendInitialEvents | boolean | sendInitialEvents=true може бути встановлено разом з watch=true. У цьому випадку потік спостереження почнеться з синтетичних подій для відтворення поточного стану обʼєктів у колекції. Після надсилання всіх таких подій буде надіслано синтетичну подію "Bookmark". Закладка повідомить ResourceVersion (RV), що відповідає набору обʼєктів, і буде позначена анотацією "k8s.io/initial-events-end": "true". Після цього потік спостереження продовжиться як зазвичай, надсилаючи події спостереження, що відповідають змінам (після RV) для спостережуваних обʼєктів. Коли встановлено опцію sendInitialEvents, ми вимагаємо також встановлення опції resourceVersionMatch. Семантика запиту спостереження наступна:
|
shardSelector | string | shardSelector обмежує список обʼєктів, що повертаються, за допомогою виразу вибору шардів на основі CEL. Формат використовує функцію shardRange() у поєднанні з || (логічне АБО) для вказівки одного або кількох діапазонів хешів: shardRange(object.metadata.uid, '0x0', '0x8000000000000000') shardRange(object.metadata.uid, '0x0', '0x8000000000000000') || shardRange(object.metadata.uid, '0x8000000000000000', '0x10000000000000000') Шляхи полів використовують синтаксис CEL, що починається з обʼєкта (наприклад, "object.metadata.uid"), а не формат fieldSelector ("metadata.uid"). Наразі підтримуються такі шляхи:
|
timeoutSeconds | integer | Час очікування для виклику list/watch. Це обмежує тривалість виклику, незалежно від будь-якої активності чи неактивності. |
watch | boolean | Спостерігати за змінами описаних ресурсів і повертати їх як потік сповіщень про додавання, оновлення та видалення. Вкажіть resourceVersion. |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | WatchEvent |
get Watch ListGET /apis/admissionregistration.k8s.io/v1/watch/validatingadmissionpolicies
| Назва | Тип | Опис |
|---|---|---|
allowWatchBookmarks | boolean | allowWatchBookmarks запитує події спостереження з типом "BOOKMARK". Сервери, які не реалізують закладки, можуть ігнорувати цей прапорець, а закладки надсилаються на розсуд сервера. Клієнти не повинні припускати, що закладки повертаються через певний інтервал, і не можуть припускати, що сервер надішле будь-яку подію BOOKMARK під час сеансу. Якщо це не спостереження, це поле ігнорується. |
continue | string | Опція continue повинна бути встановлена при отриманні додаткових результатів від сервера. Оскільки це значення визначається сервером, клієнти можуть використовувати значення continue лише з попереднього результату запиту з ідентичними параметрами запиту (крім значення continue), і сервер може відхилити значення continue, яке він не розпізнає. Якщо вказане значення continue більше не дійсне через закінчення терміну дії (зазвичай пʼять-пʼятнадцять хвилин) або зміну конфігурації на сервері, сервер відповість помилкою 410 ResourceExpired разом з токеном continue. Якщо клієнту потрібен послідовний список, він повинен перезапустити свій список без поля continue. В іншому випадку клієнт може надіслати ще один запит списку з токеном, отриманим з помилкою 410, сервер відповість списком, починаючи з наступного ключа, але з останнього знімка, що не відповідає попереднім результатам списку — обʼєкти, які були створені, змінені або видалені після першого запиту списку, будуть включені у відповідь, якщо їх ключі йдуть після "наступного ключа". Це поле не підтримується, коли watch встановлено в true. Клієнти можуть почати спостереження з останнього значення resourceVersion, повернутого сервером, і не пропустити жодних змін. |
fieldSelector | string | Селектор для обмеження списку обʼєктів, що повертаються, за їхніми полями. Зазвичай повертаються всі обʼєкти. |
labelSelector | string | Селектор для обмеження списку обʼєктів, що повертаються, за їхніми мітками. Зазвичай повертаються всі обʼєкти. |
limit | integer | limit є максимальним числом відповідей, які потрібно повернути для виклику списку. Якщо існує більше елементів, сервер встановить поле continue у метаданих списку на значення, яке можна використовувати з тим самим початковим запитом для отримання наступного набору результатів. Встановлення обмеження може повернути менше, ніж запитана кількість елементів (до нуля елементів) у випадку, якщо всі запитані обʼєкти відфільтровані, і клієнти повинні використовувати лише наявність поля continue, щоб визначити, чи доступні додаткові результати. Сервери можуть вирішити не підтримувати аргумент limit і повернуть усі доступні результати. Якщо limit вказано, а поле continue порожнє, клієнти можуть припустити, що результатів більше немає. Це поле не підтримується, якщо watch дорівнює true. Сервер гарантує, що обʼєкти, повернені при використанні continue, будуть ідентичні до виконання одного виклику списку без обмеження — тобто жодні обʼєкти, створені, змінені або видалені після першого запиту, не будуть включені в будь-які наступні продовжені запити. Це іноді називають послідовним знімком, і забезпечує, що клієнт, який використовує limit для отримання менших частин дуже великого результату, може бути впевнений, що він бачить усі можливі обʼєкти. Якщо обʼєкти оновлюються під час отримання часткового списку, повертається версія обʼєкта, яка була присутня на момент обчислення першого результату списку. |
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
resourceVersion | string | resourceVersion встановлює обмеження на те, з яких версій ресурсів може обслуговуватися запит. Див. https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions для деталей. Стандартне значення не встановлено |
resourceVersionMatch | string | resourceVersionMatch визначає, як resourceVersion застосовується до викликів списку. Рекомендується встановлювати resourceVersionMatch для викликів списку, де встановлено resourceVersion. Див. https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions для деталей. Стандартне значення не встановлено |
sendInitialEvents | boolean | sendInitialEvents=true може бути встановлено разом з watch=true. У цьому випадку потік спостереження почнеться з синтетичних подій для відтворення поточного стану обʼєктів у колекції. Після надсилання всіх таких подій буде надіслано синтетичну подію "Bookmark". Закладка повідомить ResourceVersion (RV), що відповідає набору обʼєктів, і буде позначена анотацією "k8s.io/initial-events-end": "true". Після цього потік спостереження продовжиться як зазвичай, надсилаючи події спостереження, що відповідають змінам (після RV) для спостережуваних обʼєктів. Коли встановлено опцію sendInitialEvents, ми вимагаємо також встановлення опції resourceVersionMatch. Семантика запиту спостереження наступна:
|
shardSelector | string | shardSelector обмежує список обʼєктів, що повертаються, за допомогою виразу вибору шардів на основі CEL. Формат використовує функцію shardRange() у поєднанні з || (логічне АБО) для вказівки одного або кількох діапазонів хешів: shardRange(object.metadata.uid, '0x0', '0x8000000000000000') shardRange(object.metadata.uid, '0x0', '0x8000000000000000') || shardRange(object.metadata.uid, '0x8000000000000000', '0x10000000000000000') Шляхи полів використовують синтаксис CEL, що починається з обʼєкта (наприклад, "object.metadata.uid"), а не формат fieldSelector ("metadata.uid"). Наразі підтримуються такі шляхи:
|
timeoutSeconds | integer | Час очікування для виклику list/watch. Це обмежує тривалість виклику, незалежно від будь-якої активності чи неактивності. |
watch | boolean | Спостерігати за змінами описаних ресурсів і повертати їх як потік сповіщень про додавання, оновлення та видалення. Вкажіть resourceVersion. |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | WatchEvent |
patch Patch StatusPATCH /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}/status
| Назва | Тип | Опис |
|---|---|---|
name | string | Назва ValidatingAdmissionPolicy |
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
dryRun | string | Коли параметр присутній, це вказує, що зміни не повинні зберігатися. Неправильна або нерозпізнана директива dryRun призведе до помилки та припинення обробки запиту. Дійсні значення:
|
fieldManager | string | fieldManager є імʼям, повʼязаним з а́ктором або сутністю, яка вносить ці зміни. Значення повинно бути менше або дорівнювати 128 символам і містити лише друковані символи, як визначено в https://golang.org/pkg/unicode/#IsPrint. Це поле є обовʼязковим для запитів apply (application/apply-patch), але необовʼязковим для інших типів патчів (JsonPatch, MergePatch, StrategicMergePatch). |
fieldValidation | string | fieldValidation інструктує сервер, як обробляти обʼєкти в запиті (POST/PUT/PATCH), що містять невідомі або дубльовані поля. Дійсні значення:
|
force | boolean | Force має на меті "примусово" застосовувати запити Apply. Це означає, що користувач повторно отримає конфліктні поля, що належать іншим користувачам. Прапорець Force повинен бути скасований для запитів, що не є патчами apply. |
| Назва | Тип | Опис |
|---|---|---|
body | Patch |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | ValidatingAdmissionPolicy |
| 201 | Created | ValidatingAdmissionPolicy |
get Read StatusGET /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}/status
| Назва | Тип | Опис |
|---|---|---|
name | string | Назва ValidatingAdmissionPolicy |
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
| Статус | Опис | Відповідь |
|---|---|---|
| 200 | OK | ValidatingAdmissionPolicy |
put Replace StatusPUT /apis/admissionregistration.k8s.io/v1/validatingadmissionpolicies/{name}/status
| Назва | Тип | Опис |
|---|---|---|
name | string | Назва ValidatingAdmissionPolicy |
| Назва | Тип | Опис |
|---|---|---|
pretty | string | Якщо 'true', то вихідні дані форматуються у зручному для читання вигляді. Зазвичай 'false', якщо user-agent не вказує оглядач або командний інструмент для роботи з HTTP (curl та wget). |
dryRun | string | Коли параметр присутній, це вказує, що зміни не повинні зберігатися. Неправильна або нерозпізнана директива dryRun призведе до помилки та припинення обробки запиту. Дійсні значення:
|
fieldManager | string | fieldManager є імʼям, повʼязаним з а́ктором або сутністю, яка вносить ці зміни. Значення повинно бути менше або дорівнювати 128 символам і містити лише друковані символи, як визначено в https://golang.org/pkg/unicode/#IsPrint. |
fieldValidation | string | fieldValidation інструктує сервер, як обробляти обʼєкти в запиті (POST/PUT/PATCH), що містять невідомі або дубльовані поля. Дійсні значення:
|
| Назва | Тип | Опис |
|---|---|---|
body | ValidatingAdmissionPolicy |
| Status | Опис | Відповідь |
|---|---|---|
| 200 | OK | ValidatingAdmissionPolicy |
| 201 | Created | ValidatingAdmissionPolicy |