RBAC API

OpenShift Container Platform 4.12

RBAC API 的参考指南

Red Hat OpenShift Documentation Team

法律通告

摘要

本文档描述了 OpenShift Container Platform RBAC API 对象及其详细规格。

第 1 章 RBAC API
复制链接

1.1. ClusterRoleBinding [rbac.authorization.k8s.io/v1]
复制链接

描述: ClusterRoleBinding 引用 ClusterRole，但不包含它。它可以引用全局命名空间中的 ClusterRole，并通过 Subject 添加哪些信息。
类型: 对象

1.2. ClusterRole [rbac.authorization.k8s.io/v1]
复制链接

描述: ClusterRole 是一个集群级别，PolicyRules 的逻辑分组，可由 RoleBinding 或 ClusterRoleBinding 作为单元引用。
类型: 对象

1.3. RoleBinding [rbac.authorization.k8s.io/v1]
复制链接

描述: Rolebinding 引用角色，但不包含该角色。它可以引用同一命名空间中的角色，或引用全局命名空间中的 ClusterRole。它通过 Subjects 和命名空间信息添加它所在的命名空间的信息。给定命名空间中的 rolebindings 仅在该命名空间中有效。
类型: 对象

1.4. Role [rbac.authorization.k8s.io/v1]
复制链接

描述: Role (role)是一个命名空间(PolicyRules)的逻辑分组，它可以被 RoleBinding 作为单元引用。
类型: 对象

第 2 章 ClusterRoleBinding [rbac.authorization.k8s.io/v1]
复制链接

描述

ClusterRoleBinding 引用 ClusterRole，但不包含它。它可以引用全局命名空间中的 ClusterRole，并通过 Subject 添加哪些信息。

类型

object

必填

roleRef

2.1. 规格
复制链接

Expand

属性	类型	描述
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。
`roleRef`	`对象`	roleRef 包含指向正在使用的角色的信息
`subjects`	`array`	subjects 包含对角色适用的对象的引用。
`subjects[]`	`对象`	subject 包含对角色绑定应用到的对象或用户身份的引用。这可以保存直接 API 对象引用，也可以是非对象（如用户和组群名称）的值。

2.1.1. .roleRef
复制链接

描述

roleRef 包含指向正在使用的角色的信息

类型

object

必填

apiGroup
kind
name

Expand

属性	类型	描述
`apiGroup`	`字符串`	APIGroup 是所引用资源的组
`kind`	`字符串`	kind 是被引用的资源类型
`name`	`字符串`	name 是被引用的资源的名称

2.1.2. .subjects
复制链接

描述: subjects 包含对角色适用的对象的引用。
类型: array

2.1.3. .subjects[]
复制链接

描述

subject 包含对角色绑定应用到的对象或用户身份的引用。这可以保存直接 API 对象引用，也可以是非对象（如用户和组群名称）的值。

类型

object

必填

kind
name

Expand

属性	类型	描述
`apiGroup`	`字符串`	APIGroup 包含引用的主题的 API 组。ServiceAccount 主题默认为 ""。对于 User 和 Group 主题，默认为 "rbac.authorization.k8s.io"。
`kind`	`字符串`	被引用的对象类型。此 API 组定义的值为 "User", "Group", 和 "ServiceAccount"。如果 Authorizer 没有识别 kind 值，则 Authorizer 应该报告错误。
`name`	`字符串`	被引用的对象名称。
`namespace`	`字符串`	所引用对象的命名空间。如果对象类型是非命名空间，如 "User" 或 "Group"，则这个值不会为空，Authorizer 应该报告错误。

2.2. API 端点
复制链接

可用的 API 端点如下：

/apis/rbac.authorization.k8s.io/v1/clusterrolebindings
- DELETE ：删除 ClusterRoleBinding 的集合
- GET: 列出或监视类型为 ClusterRoleBinding 的对象
- POST ：创建 ClusterRoleBinding
/apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings
- GET: 观察单个对 ClusterRoleBinding 列表的更改。已弃用：使用带有 list 操作的 'watch' 参数。
/apis/rbac.authorization.k8s.io/v1/clusterrolebindings/{name}
- DELETE ：删除 ClusterRoleBinding
- GET ：读取指定的 ClusterRoleBinding
- PATCH: 部分更新指定的 ClusterRoleBinding
- PUT ：替换指定的 ClusterRoleBinding
/apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings/{name}
- GET: 观察对类型为 ClusterRoleBinding 的对象的更改。已弃用：使用带有 list 操作的 'watch' 参数，而是过滤为带有 'fieldSelector' 参数的单个项目。

2.2.1. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings
复制链接

Expand

表 2.1. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。

HTTP 方法: DELETE
描述: 删除 ClusterRoleBinding 集合

Expand

表 2.2. 查询参数
参数	类型	描述
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值为零表示立即删除。如果这个值是 nil，则会使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false，则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy，但不能同时设置。
`propagationPolicy`	`字符串`	是否执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有： 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项，"Foreground' - 删除前台所有依赖的级联策略。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。

Expand

表 2.3. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 2.4. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 ClusterRoleBinding 的对象

Expand

表 2.5. 查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

Expand

表 2.6. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBindingList` 模式
401 - Unauthorized	空

HTTP 方法: POST
描述: 创建 ClusterRoleBinding

Expand

表 2.7. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。

Expand

表 2.8. 主体参数
参数	类型	描述
`正文（body）`	`ClusterRoleBinding` 模式

Expand

表 2.9. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBinding` 模式
201 - Created	`ClusterRoleBinding` 模式
202 - Accepted	`ClusterRoleBinding` 模式
401 - Unauthorized	空

2.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings
复制链接

Expand

表 2.10. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察单个对 ClusterRoleBinding 列表的更改。已弃用：使用带列表操作的 'watch' 参数。

Expand

表 2.11. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

2.2.3. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/{name}
复制链接

Expand

表 2.12. 全局路径参数
参数	类型	描述
`name`	`字符串`	ClusterRoleBinding 的名称

Expand

表 2.13. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。

HTTP 方法: DELETE
描述: 删除 ClusterRoleBinding

Expand

表 2.14. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值为零表示立即删除。如果这个值是 nil，则会使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false，则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy，但不能同时设置。
`propagationPolicy`	`字符串`	是否执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有： 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项，"Foreground' - 删除前台所有依赖的级联策略。

Expand

表 2.15. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 2.16. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 阅读指定的 ClusterRoleBinding

Expand

表 2.17. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBinding` 模式
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的 ClusterRoleBinding

Expand

表 2.18. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求(application/apply-patch)需要此字段，但对非应用补丁类型(JsonPatch、MergePatch、MergePatch)是可选的。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。
`force`	`布尔值`	强制要"强制"应用请求。这意味着用户将重新分配由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

Expand

表 2.19. 主体参数
参数	类型	描述
`正文（body）`	`Patch` 模式

Expand

表 2.20. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBinding` 模式
201 - Created	`ClusterRoleBinding` 模式
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的 ClusterRoleBinding

Expand

表 2.21. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。

Expand

表 2.22. 主体参数
参数	类型	描述
`正文（body）`	`ClusterRoleBinding` 模式

Expand

表 2.23. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBinding` 模式
201 - Created	`ClusterRoleBinding` 模式
401 - Unauthorized	空

2.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings/{name}
复制链接

Expand

表 2.24. 全局路径参数
参数	类型	描述
`name`	`字符串`	ClusterRoleBinding 的名称

Expand

表 2.25. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察对类型为 ClusterRoleBinding 的对象的更改。已弃用：使用带列表操作的 'watch' 参数，而是过滤成带有 'fieldSelector' 参数的单个项目。

Expand

表 2.26. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

第 3 章 ClusterRole [rbac.authorization.k8s.io/v1]
复制链接

描述: ClusterRole 是一个集群级别，PolicyRules 的逻辑分组，可由 RoleBinding 或 ClusterRoleBinding 作为单元引用。
类型: 对象

3.1. 规格
复制链接

Expand

属性	类型	描述
`aggregationRule`	`对象`	AggregationRule 描述了如何定位 ClusterRole 以聚合到 ClusterRole
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。
`rules`	`array`	规则包含此 ClusterRole 的所有 PolicyRules
`rules[]`	`object`	PolicyRule 包含描述策略规则的信息，但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。

3.1.1. .aggregationRule
复制链接

描述: AggregationRule 描述了如何定位 ClusterRole 以聚合到 ClusterRole
类型: object

Expand

属性	类型	描述
`clusterRoleSelectors`	`数组(LabelSelector)`	ClusterRoleSelectors 包含用来查找 ClusterRole 并创建规则的选择器列表。如果任何选择器匹配，则会添加 ClusterRole 的权限

3.1.2. .rules
复制链接

描述: 规则包含此 ClusterRole 的所有 PolicyRules
类型: array

3.1.3. .rules[]
复制链接

描述

PolicyRule 包含描述策略规则的信息，但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。

类型

object

必填

verbs

Expand

属性	类型	描述
`apiGroups`	`数组（字符串）`	APIGroups 是包含资源的 APIGroup 的名称。如果指定了多个 API 组，则允许针对任何 API 组中的一个枚举资源请求的任何操作。"" 代表核心 API 组，"*"代表所有 API 组。
`nonResourceURLs`	`数组（字符串）`	NonResourceURLs 是一组用户应该有权访问的部分 url。OpenShift 被允许，但只作为完整的、最终的步骤在路径 Since 非资源 URL 中不是命名空间，此字段仅适用于从 ClusterRoleBinding 引用的 ClusterRole。规则可以应用到 API 资源（如 "pods" 或 "secrets"）或非资源 URL 路径（如 "/api"），但不能同时应用这两个资源。
`resourceNames`	`数组（字符串）`	resourceNames 是一个可选的规则应用到的名称白名单。空集表示所有都会被允许。
`resources`	`数组（字符串）`	resources 是此规则应用到的资源列表。'*' 代表所有资源。
`verbs`	`数组（字符串）`	verbs 是一个 Verbs 列表，适用于此规则中包含的 all ResourceKinds。'*' 代表所有操作动词。

3.2. API 端点
复制链接

可用的 API 端点如下：

/apis/rbac.authorization.k8s.io/v1/clusterroles
- DELETE ：删除 ClusterRole 集合
- GET: 列出或监视类型为 ClusterRole 的对象
- POST ：创建 ClusterRole
/apis/rbac.authorization.k8s.io/v1/watch/clusterroles
- GET: 观察单个对 ClusterRole 列表的更改。已弃用：使用带有 list 操作的 'watch' 参数。
/apis/rbac.authorization.k8s.io/v1/clusterroles/{name}
- DELETE ：删除 ClusterRole
- GET ：读取指定的 ClusterRole
- PATCH: 部分更新指定的 ClusterRole
- PUT ：替换指定的 ClusterRole
/apis/rbac.authorization.k8s.io/v1/watch/clusterroles/{name}
- GET: 观察对类型为 ClusterRole 的对象的更改。已弃用：使用带有 list 操作的 'watch' 参数，而是过滤到带有 'fieldSelector' 参数的单个项目。

3.2.1. /apis/rbac.authorization.k8s.io/v1/clusterroles
复制链接

Expand

表 3.1. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。

HTTP 方法: DELETE
描述: 删除 ClusterRole 集合

Expand

表 3.2. 查询参数
参数	类型	描述
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值为零表示立即删除。如果这个值是 nil，则会使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false，则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy，但不能同时设置。
`propagationPolicy`	`字符串`	是否执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有： 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项，"Foreground' - 删除前台所有依赖的级联策略。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。

Expand

表 3.3. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 3.4. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 ClusterRole 的对象

Expand

表 3.5. 查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

Expand

表 3.6. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleList` 模式
401 - Unauthorized	空

HTTP 方法: POST
描述: 创建 ClusterRole

Expand

表 3.7. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。

Expand

表 3.8. 主体参数
参数	类型	描述
`正文（body）`	`ClusterRole` 模式

Expand

表 3.9. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRole` 模式
201 - Created	`ClusterRole` 模式
202 - Accepted	`ClusterRole` 模式
401 - Unauthorized	空

3.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles
复制链接

Expand

表 3.10. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察单个对 ClusterRole 列表的更改。已弃用：使用带有列表操作的 'watch' 参数。

Expand

表 3.11. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

3.2.3. /apis/rbac.authorization.k8s.io/v1/clusterroles/{name}
复制链接

Expand

表 3.12. 全局路径参数
参数	类型	描述
`name`	`字符串`	ClusterRole 的名称

Expand

表 3.13. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。

HTTP 方法: DELETE
描述: 删除 ClusterRole

Expand

表 3.14. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值为零表示立即删除。如果这个值是 nil，则会使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false，则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy，但不能同时设置。
`propagationPolicy`	`字符串`	是否执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有： 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项，"Foreground' - 删除前台所有依赖的级联策略。

Expand

表 3.15. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 3.16. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 读取指定的 ClusterRole

Expand

表 3.17. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRole` 模式
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的 ClusterRole

Expand

表 3.18. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求(application/apply-patch)需要此字段，但对非应用补丁类型(JsonPatch、MergePatch、MergePatch)是可选的。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。
`force`	`布尔值`	强制要"强制"应用请求。这意味着用户将重新分配由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

Expand

表 3.19. 主体参数
参数	类型	描述
`正文（body）`	`Patch` 模式

Expand

表 3.20. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRole` 模式
201 - Created	`ClusterRole` 模式
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的 ClusterRole

Expand

表 3.21. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。

Expand

表 3.22. 主体参数
参数	类型	描述
`正文（body）`	`ClusterRole` 模式

Expand

表 3.23. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRole` 模式
201 - Created	`ClusterRole` 模式
401 - Unauthorized	空

3.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles/{name}
复制链接

Expand

表 3.24. 全局路径参数
参数	类型	描述
`name`	`字符串`	ClusterRole 的名称

Expand

表 3.25. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察对类型为 ClusterRole 的对象的更改。已弃用：使用带有列表操作的 'watch' 参数，而是过滤成带有 'fieldSelector' 参数的单个项目。

Expand

表 3.26. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

第 4 章 RoleBinding [rbac.authorization.k8s.io/v1]
复制链接

描述

Rolebinding 引用角色，但不包含该角色。它可以引用同一命名空间中的角色，或引用全局命名空间中的 ClusterRole。它通过 Subjects 和命名空间信息添加它所在的命名空间的信息。给定命名空间中的 rolebindings 仅在该命名空间中有效。

类型

object

必填

roleRef

4.1. 规格
复制链接

Expand

属性	类型	描述
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。
`roleRef`	`对象`	roleRef 包含指向正在使用的角色的信息
`subjects`	`array`	subjects 包含对角色适用的对象的引用。
`subjects[]`	`对象`	subject 包含对角色绑定应用到的对象或用户身份的引用。这可以保存直接 API 对象引用，也可以是非对象（如用户和组群名称）的值。

4.1.1. .roleRef
复制链接

描述

roleRef 包含指向正在使用的角色的信息

类型

object

必填

apiGroup
kind
name

Expand

属性	类型	描述
`apiGroup`	`字符串`	APIGroup 是所引用资源的组
`kind`	`字符串`	kind 是被引用的资源类型
`name`	`字符串`	name 是被引用的资源的名称

4.1.2. .subjects
复制链接

描述: subjects 包含对角色适用的对象的引用。
类型: array

4.1.3. .subjects[]
复制链接

描述

subject 包含对角色绑定应用到的对象或用户身份的引用。这可以保存直接 API 对象引用，也可以是非对象（如用户和组群名称）的值。

类型

object

必填

kind
name

Expand

属性	类型	描述
`apiGroup`	`字符串`	APIGroup 包含引用的主题的 API 组。ServiceAccount 主题默认为 ""。对于 User 和 Group 主题，默认为 "rbac.authorization.k8s.io"。
`kind`	`字符串`	被引用的对象类型。此 API 组定义的值为 "User", "Group", 和 "ServiceAccount"。如果 Authorizer 没有识别 kind 值，则 Authorizer 应该报告错误。
`name`	`字符串`	被引用的对象名称。
`namespace`	`字符串`	所引用对象的命名空间。如果对象类型是非命名空间，如 "User" 或 "Group"，则这个值不会为空，Authorizer 应该报告错误。

4.2. API 端点
复制链接

可用的 API 端点如下：

/apis/rbac.authorization.k8s.io/v1/rolebindings
- GET ：列出或监视类型为 RoleBinding 的对象
/apis/rbac.authorization.k8s.io/v1/watch/rolebindings
- GET: 观察单个对 RoleBinding 列表的更改。已弃用：使用带有 list 操作的 'watch' 参数。
/apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings
- DELETE ：删除 RoleBinding 集合
- GET ：列出或监视类型为 RoleBinding 的对象
- POST ：创建 RoleBinding
/apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings
- GET: 观察单个对 RoleBinding 列表的更改。已弃用：使用带有 list 操作的 'watch' 参数。
/apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings/{name}
- DELETE ：删除 RoleBinding
- GET ：读取指定的 RoleBinding
- PATCH: 部分更新指定的 RoleBinding
- PUT ：替换指定的 RoleBinding
/apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings/{name}
- GET: 观察对类型为 RoleBinding 的对象的更改。已弃用：使用带有 list 操作的 'watch' 参数，而是过滤到带有 'fieldSelector' 参数的单个项目。

4.2.1. /apis/rbac.authorization.k8s.io/v1/rolebindings
复制链接

Expand

表 4.1. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 列出或监视类型为 RoleBinding 的对象

Expand

表 4.2. HTTP 响应
HTTP 代码	响应正文
200 - OK	`RoleBindingList` 模式
401 - Unauthorized	空

4.2.2. /apis/rbac.authorization.k8s.io/v1/watch/rolebindings
复制链接

Expand

表 4.3. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察单个对 RoleBinding 列表的更改。已弃用：改为使用 'watch' 参数和列表操作。

Expand

表 4.4. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

4.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings
复制链接

Expand

表 4.5. 全局路径参数
参数	类型	描述
`namespace`	`字符串`	对象名称和身份验证范围，如团队（team）和项目（project）

Expand

表 4.6. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。

HTTP 方法: DELETE
描述: 删除 RoleBinding 集合

Expand

表 4.7. 查询参数
参数	类型	描述
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值为零表示立即删除。如果这个值是 nil，则会使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false，则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy，但不能同时设置。
`propagationPolicy`	`字符串`	是否执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有： 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项，"Foreground' - 删除前台所有依赖的级联策略。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。

Expand

表 4.8. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 4.9. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 RoleBinding 的对象

Expand

表 4.10. 查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

Expand

表 4.11. HTTP 响应
HTTP 代码	响应正文
200 - OK	`RoleBindingList` 模式
401 - Unauthorized	空

HTTP 方法: POST
描述: 创建 RoleBinding

Expand

表 4.12. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。

Expand

表 4.13. 主体参数
参数	类型	描述
`正文（body）`	`Rolebinding` 模式

Expand

表 4.14. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Rolebinding` 模式
201 - Created	`Rolebinding` 模式
202 - Accepted	`Rolebinding` 模式
401 - Unauthorized	空

4.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings
复制链接

Expand

表 4.15. 全局路径参数
参数	类型	描述
`namespace`	`字符串`	对象名称和身份验证范围，如团队（team）和项目（project）

Expand

表 4.16. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察单个对 RoleBinding 列表的更改。已弃用：改为使用 'watch' 参数和列表操作。

Expand

表 4.17. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

4.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings/{name}
复制链接

Expand

表 4.18. 全局路径参数
参数	类型	描述
`name`	`字符串`	RoleBinding 的名称
`namespace`	`字符串`	对象名称和身份验证范围，如团队（team）和项目（project）

Expand

表 4.19. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。

HTTP 方法: DELETE
描述: 删除 RoleBinding

Expand

表 4.20. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值为零表示立即删除。如果这个值是 nil，则会使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false，则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy，但不能同时设置。
`propagationPolicy`	`字符串`	是否执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有： 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项，"Foreground' - 删除前台所有依赖的级联策略。

Expand

表 4.21. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 4.22. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 读取指定的 RoleBinding

Expand

表 4.23. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Rolebinding` 模式
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的 RoleBinding

Expand

表 4.24. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求(application/apply-patch)需要此字段，但对非应用补丁类型(JsonPatch、MergePatch、MergePatch)是可选的。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。
`force`	`布尔值`	强制要"强制"应用请求。这意味着用户将重新分配由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

Expand

表 4.25. 主体参数
参数	类型	描述
`正文（body）`	`Patch` 模式

Expand

表 4.26. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Rolebinding` 模式
201 - Created	`Rolebinding` 模式
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的 RoleBinding

Expand

表 4.27. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。

Expand

表 4.28. 主体参数
参数	类型	描述
`正文（body）`	`Rolebinding` 模式

Expand

表 4.29. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Rolebinding` 模式
201 - Created	`Rolebinding` 模式
401 - Unauthorized	空

4.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings/{name}
复制链接

Expand

表 4.30. 全局路径参数
参数	类型	描述
`name`	`字符串`	RoleBinding 的名称
`namespace`	`字符串`	对象名称和身份验证范围，如团队（team）和项目（project）

Expand

表 4.31. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察对类型为 RoleBinding 的对象的更改。已弃用：使用带有列表操作的 'watch' 参数，而是过滤成带有 'fieldSelector' 参数的单个项目。

Expand

表 4.32. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

第 5 章 Role [rbac.authorization.k8s.io/v1]
复制链接

描述: Role (role)是一个命名空间(PolicyRules)的逻辑分组，它可以被 RoleBinding 作为单元引用。
类型: 对象

5.1. 规格
复制链接

Expand

属性	类型	描述
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。
`rules`	`array`	规则包含此角色的所有 PolicyRules
`rules[]`	`object`	PolicyRule 包含描述策略规则的信息，但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。

5.1.1. .rules
复制链接

描述: 规则包含此角色的所有 PolicyRules
类型: array

5.1.2. .rules[]
复制链接

描述

PolicyRule 包含描述策略规则的信息，但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。

类型

object

必填

verbs

Expand

属性	类型	描述
`apiGroups`	`数组（字符串）`	APIGroups 是包含资源的 APIGroup 的名称。如果指定了多个 API 组，则允许针对任何 API 组中的一个枚举资源请求的任何操作。"" 代表核心 API 组，"*"代表所有 API 组。
`nonResourceURLs`	`数组（字符串）`	NonResourceURLs 是一组用户应该有权访问的部分 url。OpenShift 被允许，但只作为完整的、最终的步骤在路径 Since 非资源 URL 中不是命名空间，此字段仅适用于从 ClusterRoleBinding 引用的 ClusterRole。规则可以应用到 API 资源（如 "pods" 或 "secrets"）或非资源 URL 路径（如 "/api"），但不能同时应用这两个资源。
`resourceNames`	`数组（字符串）`	resourceNames 是一个可选的规则应用到的名称白名单。空集表示所有都会被允许。
`resources`	`数组（字符串）`	resources 是此规则应用到的资源列表。'*' 代表所有资源。
`verbs`	`数组（字符串）`	verbs 是一个 Verbs 列表，适用于此规则中包含的 all ResourceKinds。'*' 代表所有操作动词。

5.2. API 端点
复制链接

可用的 API 端点如下：

/apis/rbac.authorization.k8s.io/v1/roles
- GET ：列出或监视类型为 Role 的对象
/apis/rbac.authorization.k8s.io/v1/watch/roles
- GET: 观察单个对 Role 列表的更改。已弃用：改为使用 'watch' 参数及列表操作。
/apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles
- DELETE ：删除角色集合
- GET ：列出或监视类型为 Role 的对象
- POST ：创建角色
/apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles
- GET: 观察单个对 Role 列表的更改。已弃用：改为使用 'watch' 参数及列表操作。
/apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles/{name}
- DELETE ：删除角色
- GET ：读取指定的角色
- PATCH: 部分更新指定的角色
- PUT ：替换指定的角色
/apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles/{name}
- GET: 观察对类型为 Role 的对象的更改。已弃用：使用带有 list 操作的 'watch' 参数，而是过滤到带有 'fieldSelector' 参数的单个项目。

5.2.1. /apis/rbac.authorization.k8s.io/v1/roles
复制链接

Expand

表 5.1. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 列出或监视类型为 Role 的对象

Expand

表 5.2. HTTP 响应
HTTP 代码	响应正文
200 - OK	`RoleList` 模式
401 - Unauthorized	空

5.2.2. /apis/rbac.authorization.k8s.io/v1/watch/roles
复制链接

Expand

表 5.3. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察单个对 Role 列表的更改。已弃用：改为使用 'watch' 参数以及列表操作。

Expand

表 5.4. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

5.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles
复制链接

Expand

表 5.5. 全局路径参数
参数	类型	描述
`namespace`	`字符串`	对象名称和身份验证范围，如团队（team）和项目（project）

Expand

表 5.6. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。

HTTP 方法: DELETE
描述: 删除角色集合

Expand

表 5.7. 查询参数
参数	类型	描述
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值为零表示立即删除。如果这个值是 nil，则会使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false，则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy，但不能同时设置。
`propagationPolicy`	`字符串`	是否执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有： 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项，"Foreground' - 删除前台所有依赖的级联策略。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。

Expand

表 5.8. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 5.9. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 Role 的对象

Expand

表 5.10. 查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

Expand

表 5.11. HTTP 响应
HTTP 代码	响应正文
200 - OK	`RoleList` 模式
401 - Unauthorized	空

HTTP 方法: POST
描述: 创建角色

Expand

表 5.12. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。

Expand

表 5.13. 主体参数
参数	类型	描述
`正文（body）`	`Role` 模式

Expand

表 5.14. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Role` 模式
201 - Created	`Role` 模式
202 - Accepted	`Role` 模式
401 - Unauthorized	空

5.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles
复制链接

Expand

表 5.15. 全局路径参数
参数	类型	描述
`namespace`	`字符串`	对象名称和身份验证范围，如团队（team）和项目（project）

Expand

表 5.16. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察单个对 Role 列表的更改。已弃用：改为使用 'watch' 参数以及列表操作。

Expand

表 5.17. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

5.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles/{name}
复制链接

Expand

表 5.18. 全局路径参数
参数	类型	描述
`name`	`字符串`	角色的名称
`namespace`	`字符串`	对象名称和身份验证范围，如团队（team）和项目（project）

Expand

表 5.19. 全局查询参数
参数	类型	描述
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。

HTTP 方法: DELETE
描述: 删除角色

Expand

表 5.20. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`gracePeriodSeconds`	`整数`	应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值为零表示立即删除。如果这个值是 nil，则会使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。
`orphanDependents`	`布尔值`	弃用：请使用 PropagationPolicy，此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false，则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy，但不能同时设置。
`propagationPolicy`	`字符串`	是否执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有： 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项，"Foreground' - 删除前台所有依赖的级联策略。

Expand

表 5.21. 主体参数
参数	类型	描述
`正文（body）`	`DeleteOptions` 模式

Expand

表 5.22. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 读取指定的角色

Expand

表 5.23. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Role` 模式
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的角色

Expand

表 5.24. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求(application/apply-patch)需要此字段，但对非应用补丁类型(JsonPatch、MergePatch、MergePatch)是可选的。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。
`force`	`布尔值`	强制要"强制"应用请求。这意味着用户将重新分配由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

Expand

表 5.25. 主体参数
参数	类型	描述
`正文（body）`	`Patch` 模式

Expand

表 5.26. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Role` 模式
201 - Created	`Role` 模式
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的角色

Expand

表 5.27. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldManager`	`字符串`	fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理请求(POST/PUT/PATCH)中包含未知或重复字段的对象，只要 `ServerSideFieldValidation` 功能门也被启用。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 之前的默认行为，是 `ServerSideFieldValidation` 功能门被禁用时的默认行为。- Warn: 这将通过从对象丢弃的每个未知字段的标准警告响应标头发送警告，以及遇到的每个重复字段。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。当 `ServerSideFieldValidation` 功能门被启用时，这是默认设置。- Strict: 如果从对象中丢弃任何未知字段，则会失败并带有 BadRequest 错误，或者存在任何重复字段。从服务器返回的错误将包含遇到的，以及重复的字段。

Expand

表 5.28. 主体参数
参数	类型	描述
`正文（body）`	`Role` 模式

Expand

表 5.29. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Role` 模式
201 - Created	`Role` 模式
401 - Unauthorized	空

5.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles/{name}
复制链接

Expand

表 5.30. 全局路径参数
参数	类型	描述
`name`	`字符串`	角色的名称
`namespace`	`字符串`	对象名称和身份验证范围，如团队（team）和项目（project）

Expand

表 5.31. 全局查询参数
参数	类型	描述
`allowWatchBookmarks`	`布尔值`	allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。不实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。
`继续`	`字符串`	从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，它必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误接收的令牌的列表请求，服务器将以从下一个密钥开始开始的列表响应，但从最新的快照开始，这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中，只要它们的密钥位于 "next key" 后。当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不丢失任何修改。
`fieldSelector`	`字符串`	一个选择器，用于限制其字段返回的对象列表。默认为任何内容。
`labelSelector`	`字符串`	一个选择器，用于限制其标签返回的对象列表。默认为任何内容。
`limit`	`整数`	limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 `continue` 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤所有请求的对象，则设置限制可能会返回少于请求项目数量（最多为零项），并且客户端只应使用 continue 字段的存在，以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数，并返回所有可用的结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假定没有更多结果可用。如果 watch 为 true，则不支持此字段。服务器保证，在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说，在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照，并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象，则返回第一个列表结果时存在的对象版本。
`pretty`	`字符串`	如果为 'true'，则输出会经过 pretty print 处理。
`resourceVersion`	`字符串`	resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置
`resourceVersionMatch`	`字符串`	resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。默认为未设置
`timeoutSeconds`	`整数`	列表/watch 调用的超时。这限制了调用的持续时间，无论任何活动或不活跃。
`watch`	`布尔值`	观察对所描述资源的更改，并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。

HTTP 方法: GET
描述: 观察对类型为 Role 的对象的更改。已弃用：使用带列表操作的 'watch' 参数，而是过滤成带有 'fieldSelector' 参数的单个项目。

Expand

表 5.32. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

Legal Notice
复制链接

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

返回顶部

RBAC API

RBAC API 的参考指南

第 1 章 RBAC API复制链接链接已复制到粘贴板!

1.1. ClusterRoleBinding [rbac.authorization.k8s.io/v1]复制链接链接已复制到粘贴板!

1.2. ClusterRole [rbac.authorization.k8s.io/v1]复制链接链接已复制到粘贴板!

1.3. RoleBinding [rbac.authorization.k8s.io/v1]复制链接链接已复制到粘贴板!

1.4. Role [rbac.authorization.k8s.io/v1]复制链接链接已复制到粘贴板!

第 2 章 ClusterRoleBinding [rbac.authorization.k8s.io/v1]复制链接链接已复制到粘贴板!

2.1. 规格复制链接链接已复制到粘贴板!

2.1.1. .roleRef复制链接链接已复制到粘贴板!

2.1.2. .subjects复制链接链接已复制到粘贴板!

2.1.3. .subjects[]复制链接链接已复制到粘贴板!

2.2. API 端点复制链接链接已复制到粘贴板!

2.2.1. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings复制链接链接已复制到粘贴板!

2.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings复制链接链接已复制到粘贴板!

2.2.3. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/{name}复制链接链接已复制到粘贴板!

2.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings/{name}复制链接链接已复制到粘贴板!

第 3 章 ClusterRole [rbac.authorization.k8s.io/v1]复制链接链接已复制到粘贴板!

3.1. 规格复制链接链接已复制到粘贴板!

3.1.1. .aggregationRule复制链接链接已复制到粘贴板!

3.1.2. .rules复制链接链接已复制到粘贴板!

3.1.3. .rules[]复制链接链接已复制到粘贴板!

3.2. API 端点复制链接链接已复制到粘贴板!

3.2.1. /apis/rbac.authorization.k8s.io/v1/clusterroles复制链接链接已复制到粘贴板!

3.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles复制链接链接已复制到粘贴板!

3.2.3. /apis/rbac.authorization.k8s.io/v1/clusterroles/{name}复制链接链接已复制到粘贴板!

3.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles/{name}复制链接链接已复制到粘贴板!

第 4 章 RoleBinding [rbac.authorization.k8s.io/v1]复制链接链接已复制到粘贴板!

4.1. 规格复制链接链接已复制到粘贴板!

4.1.1. .roleRef复制链接链接已复制到粘贴板!

4.1.2. .subjects复制链接链接已复制到粘贴板!

4.1.3. .subjects[]复制链接链接已复制到粘贴板!

4.2. API 端点复制链接链接已复制到粘贴板!

4.2.1. /apis/rbac.authorization.k8s.io/v1/rolebindings复制链接链接已复制到粘贴板!

4.2.2. /apis/rbac.authorization.k8s.io/v1/watch/rolebindings复制链接链接已复制到粘贴板!

4.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings复制链接链接已复制到粘贴板!

4.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings复制链接链接已复制到粘贴板!

4.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings/{name}复制链接链接已复制到粘贴板!

4.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings/{name}复制链接链接已复制到粘贴板!

第 5 章 Role [rbac.authorization.k8s.io/v1]复制链接链接已复制到粘贴板!

5.1. 规格复制链接链接已复制到粘贴板!

5.1.1. .rules复制链接链接已复制到粘贴板!

5.1.2. .rules[]复制链接链接已复制到粘贴板!

5.2. API 端点复制链接链接已复制到粘贴板!

5.2.1. /apis/rbac.authorization.k8s.io/v1/roles复制链接链接已复制到粘贴板!

5.2.2. /apis/rbac.authorization.k8s.io/v1/watch/roles复制链接链接已复制到粘贴板!

5.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles复制链接链接已复制到粘贴板!

5.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles复制链接链接已复制到粘贴板!

5.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles/{name}复制链接链接已复制到粘贴板!

5.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles/{name}复制链接链接已复制到粘贴板!

Legal Notice 复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 1 章 RBAC API
复制链接

1.1. ClusterRoleBinding [rbac.authorization.k8s.io/v1]
复制链接

1.2. ClusterRole [rbac.authorization.k8s.io/v1]
复制链接

1.3. RoleBinding [rbac.authorization.k8s.io/v1]
复制链接

1.4. Role [rbac.authorization.k8s.io/v1]
复制链接

第 2 章 ClusterRoleBinding [rbac.authorization.k8s.io/v1]
复制链接

2.1. 规格
复制链接

2.1.1. .roleRef
复制链接

2.1.2. .subjects
复制链接

2.1.3. .subjects[]
复制链接

2.2. API 端点
复制链接

2.2.1. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings
复制链接

2.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings
复制链接

2.2.3. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/{name}
复制链接

2.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings/{name}
复制链接

第 3 章 ClusterRole [rbac.authorization.k8s.io/v1]
复制链接

3.1. 规格
复制链接

3.1.1. .aggregationRule
复制链接

3.1.2. .rules
复制链接

3.1.3. .rules[]
复制链接

3.2. API 端点
复制链接

3.2.1. /apis/rbac.authorization.k8s.io/v1/clusterroles
复制链接

3.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles
复制链接

3.2.3. /apis/rbac.authorization.k8s.io/v1/clusterroles/{name}
复制链接

3.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles/{name}
复制链接

第 4 章 RoleBinding [rbac.authorization.k8s.io/v1]
复制链接

4.1. 规格
复制链接

4.1.1. .roleRef
复制链接

4.1.2. .subjects
复制链接

4.1.3. .subjects[]
复制链接

4.2. API 端点
复制链接

4.2.1. /apis/rbac.authorization.k8s.io/v1/rolebindings
复制链接

4.2.2. /apis/rbac.authorization.k8s.io/v1/watch/rolebindings
复制链接

4.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings
复制链接

4.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings
复制链接

4.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings/{name}
复制链接

4.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings/{name}
复制链接

第 5 章 Role [rbac.authorization.k8s.io/v1]
复制链接

5.1. 规格
复制链接

5.1.1. .rules
复制链接

5.1.2. .rules[]
复制链接

5.2. API 端点
复制链接

5.2.1. /apis/rbac.authorization.k8s.io/v1/roles
复制链接

5.2.2. /apis/rbac.authorization.k8s.io/v1/watch/roles
复制链接

5.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles
复制链接

5.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles
复制链接

5.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles/{name}
复制链接

5.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles/{name}
复制链接

Legal Notice
复制链接