第4章 MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]

説明: MutatingWebhookConfiguration は、オブジェクトを受け入れるか拒否し、変更する可能性のある Webhook の設定と承認を説明します。
型: object

4.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のオブジェクトメタデータ。詳細は https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`webhooks`	`array`	Webhook は、Webhook と影響を受けるリソースおよび操作のリストです。
`webhooks[]`	`object`	MutatingWebhook は、アドミッション Webhook と、それが適用されるリソースと操作を説明しています。

4.1.1. .webhooks

説明: Webhook は、Webhook と影響を受けるリソースおよび操作のリストです。
型: array

4.1.2. .webhooks[]

説明

MutatingWebhook は、アドミッション Webhook と、それが適用されるリソースと操作を説明しています。

型

object

必須

name
clientConfig
sideEffects
admissionReviewVersions

プロパティー	型	説明
`admissionReviewVersions`	`array (string)`	AdmissionReviewVersions は、Webhook が期待する優先 `AdmissionReview` バージョンの順序付きリストです。API サーバーは、サポートするリストの最初のバージョンを使用しようとします。このリストで指定されたバージョンのいずれも API サーバーでサポートされていない場合、このオブジェクトの検証は失敗します。永続化された Webhook 設定で許可されたバージョンが指定され、API サーバーに認識されているバージョンが含まれていない場合、Webhook の呼び出しは失敗し、失敗ポリシーの対象となります。
`clientConfig`	`object`	WebhookClientConfig には、Webhook との TLS 接続を確立するための情報が含まれています
`failurePolicy`	`string`	FailurePolicy は、アドミッションエンドポイントからの認識されないエラーの処理方法を定義します。許可される値は Ignore または Fail です。デフォルトは失敗です。
`matchPolicy`	`string`	matchPolicy は、"rules" リストを使用して受信リクエストを照合する方法を定義します。許可される値は "Exact" または "Equivalent" です。 - Exact: 指定されたルールにリクエストが完全に一致する場合にのみ、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更できても、"rules" に含まれているのが `apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]` だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは Webhook に送信されません。 - Equivalent: 別の API グループまたはバージョンを介してでも、ルールにリストされているリソースを変更する場合に、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更でき、"rules" に含まれているのが `apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"]` だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは、apps/v1 に変換され、Webhook に送信されます。デフォルトは同等
`name`	`string`	アドミッション Webhook の名前。名前は完全修飾する必要があります。たとえば、imagepolicy.kubernetes.io です。ここで、"imagepolicy" は Webhook の名前であり、kubernetes.io は組織の名前です。必須。
`namespaceSelector`	`LabelSelector`	NamespaceSelector は、オブジェクトの名前空間がセレクターと一致するかどうかに基づいて、オブジェクトで Webhook を実行するかどうかを決定します。オブジェクト自体が namespace である場合、object.metadata.labels に対して照合が実行されます。オブジェクトが別のクラスタースコープのリソースである場合、Webhook をスキップすることはありません。たとえば、"0" または "1" の "runlevel" に関連付けられていない namespace のオブジェクトに対して Webhook を実行するには、"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] } のようにセレクターを設定します。代わりに、名前空間が "prod" または "staging" の "environment" に関連付けられているオブジェクトに対してのみ Webhook を実行する場合。セレクターは "namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] } のように設定します。ラベルセレクターのその他の例は、https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/ を参照してください。デフォルトは空の LabelSelector で、すべてに一致します。
`objectSelector`	`LabelSelector`	ObjectSelector は、オブジェクトに一致するラベルがあるかどうかに基づいて、Webhook を実行するかどうかを決定します。objectSelector は、Webhook に送信される oldObject と newObject の両方に対して評価され、いずれかのオブジェクトがセレクターと一致する場合に一致すると見なされます。null オブジェクト (create の場合は oldObject、delete の場合は newObject) またはラベルを持つことができないオブジェクト (DeploymentRollback または PodProxyOptions オブジェクトなど) は一致するとは見なされません。エンドユーザーはラベルを設定することでアドミッション Webhook をスキップできるため、Webhook がオプトインの場合にのみオブジェクトセレクターを使用してください。デフォルトは空の LabelSelector で、すべてに一致します。
`reinvocationPolicy`	`string`	reinvocationPolicy は、単一のアドミッション評価の一部として、この Webhook を複数回呼び出す必要があるかどうかを示します。許可される値は "Never" と "IfNeeded" です。決して:Webhook は 1 回の入場評価で 2 回以上呼び出されることはありません。 IfNeeded: 最初の Webhook 呼び出しの後に、許可されているオブジェクトが他の許可プラグインによって変更された場合、許可評価の一部として Webhook が少なくとも 1 回追加で呼び出されます。このオプションを指定する Webhook はべき等であり、以前に許可したオブジェクトを処理できる必要があります。注:追加の呼び出しの数は、正確に 1 つであるとは限りません。追加の呼び出しによってオブジェクトがさらに変更された場合、Webhook が再度呼び出されることは保証されません。このオプションを使用する Webhook は、追加の呼び出しの数を最小限に抑えるために並べ替えられる場合があります。すべての変更が完了したことが保証された後でオブジェクトを検証するには、代わりに検証アドミッション Webhook を使用します。デフォルトはなしです。
`rules`	`array`	Rules は、Webhook が考慮するリソース/サブリソースに対する操作を表します。Webhook は、操作がいずれかのルールに一致する場合、その操作を考慮します。ただし、ValidatingAdmissionWebhooks と MutatingAdmissionWebhooks が、プラグインを完全に無効にしないと回復できない状態にクラスターを置くことを防ぐために、ValidatingAdmissionWebhooks と MutatingAdmissionWebhook は、ValidatingWebhookConfiguration オブジェクトと MutatingWebhookConfiguration オブジェクトの認可要求で呼び出されることはありません。
`rules[]`	`object`	RuleWithOperations は、操作とリソースのタプルです。すべてのタプル拡張が有効であることを確認することを推奨します。
`sideEffects`	`string`	SideEffects は、この Webhook に副作用があるかどうかを示します。許容される値は、None、NoneOnDryRun です (v1beta1 を介して作成された Webhook は、Some または Unknown を指定する場合もあります)。副作用のある Webhook は、調整システムを実装する必要があります。これは、リクエストがアドミッションチェーンの将来のステップで拒否される可能性があるため、副作用を元に戻す必要があるためです。dryRun 属性を持つリクエストは、sideEffects==Unknown または Some の Webhook と一致する場合に自動拒否されます。
`timeoutSeconds`	`integer`	TimeoutSeconds は、この Webhook のタイムアウトを指定します。タイムアウトが経過すると、Webhook 呼び出しは無視されるか、失敗ポリシーに基づいて API 呼び出しが失敗します。タイムアウト値は 1〜30 秒である必要があります。デフォルトは 10 秒です。

4.1.3. .webhooks[].clientConfig

説明: WebhookClientConfig には、Webhook との TLS 接続を確立するための情報が含まれています
型: object

プロパティー型説明

プロパティー	型	説明
`caBundle`	`string`	`caBundle` は、PEM でエンコードされた CA バンドルであり、Webhook のサーバー証明書を検証するために使用されます。指定しない場合、apiserver のシステム信頼ルートが使用されます。
`service`	`object`	ServiceReference は、Service.legacy.k8s.io への参照を保持します
`url`	`string`	`url` は、Webhook の場所を標準の URL 形式 (`scheme://host:port/path`) で示します。`URL` または `サービス` のいずれかを正確に指定する必要があります。 `ホスト` は、クラスターで実行されているサービスを参照しないでください。代わりに `サービス` フィールドを使用してください。一部の apiserver では、ホストが外部 DNS を介して解決される場合があります (たとえば、`kube-apiserver` は、階層化違反になるため、クラスター内 DNS を解決できません)。`ホスト` は IP アドレスの場合もあります。この Webhook を呼び出す必要がある可能性のある apiserver を実行するすべてのホストでこの Webhook を実行するように細心の注意を払わない限り、`ホスト` として `localhost` または `127.0.0.1` を使用することは危険であることに注意してください。このようなインストールは移植性がない可能性があります。つまり、新しいクラスターで簡単に起動することはできません。スキームは "https" である必要があります。URL は "https://" で始まる必要があります。パスはオプションであり、存在する場合は、URL で許可される任意の文字列にすることができます。パスを使用して、クラスター識別子などの任意の文字列を Webhook に渡すことができます。ユーザーまたは基本認証 ("user:password@" など) を使用することは許可されていません。フラグメント ("#…") とクエリーパラメーター ("?…") も許可されていません。

caBundle

string

caBundle は、PEM でエンコードされた CA バンドルであり、Webhook のサーバー証明書を検証するために使用されます。指定しない場合、apiserver のシステム信頼ルートが使用されます。

service

object

ServiceReference は、Service.legacy.k8s.io への参照を保持します

url

string

url は、Webhook の場所を標準の URL 形式 (scheme://host:port/path) で示します。URL または サービス のいずれかを正確に指定する必要があります。

ホスト は、クラスターで実行されているサービスを参照しないでください。代わりに サービス フィールドを使用してください。一部の apiserver では、ホストが外部 DNS を介して解決される場合があります (たとえば、kube-apiserver は、階層化違反になるため、クラスター内 DNS を解決できません)。ホスト は IP アドレスの場合もあります。

この Webhook を呼び出す必要がある可能性のある apiserver を実行するすべてのホストでこの Webhook を実行するように細心の注意を払わない限り、ホスト として localhost または 127.0.0.1 を使用することは危険であることに注意してください。このようなインストールは移植性がない可能性があります。つまり、新しいクラスターで簡単に起動することはできません。

スキームは "https" である必要があります。URL は "https://" で始まる必要があります。

パスはオプションであり、存在する場合は、URL で許可される任意の文字列にすることができます。パスを使用して、クラスター識別子などの任意の文字列を Webhook に渡すことができます。

ユーザーまたは基本認証 ("user:password@" など) を使用することは許可されていません。フラグメント ("#…") とクエリーパラメーター ("?…") も許可されていません。

4.1.4. .webhooks[].clientConfig.service

説明

ServiceReference は、Service.legacy.k8s.io への参照を保持します

型

object

必須

namespace
name

プロパティー	型	説明
`name`	`string`	`name` はサービスの名前です。必須
`namespace`	`string`	`namespace` は、サービスの名前空間です。必須
`path`	`string`	`path` は、このサービスへのリクエストで送信されるオプションの URL パスです。
`port`	`integer`	指定されている場合、Webhook をホストしているサービスのポート。下位互換性のために、デフォルトは 443 です。`ポート` は有効なポート番号 (1〜65535 を含む) である必要があります。

4.1.5. .webhooks[].rules

説明: Rules は、Webhook が考慮するリソース/サブリソースに対する操作を表します。Webhook は、操作が いずれか のルールに一致する場合、その操作を考慮します。ただし、ValidatingAdmissionWebhooks と MutatingAdmissionWebhooks が、プラグインを完全に無効にしないと回復できない状態にクラスターを置くことを防ぐために、ValidatingAdmissionWebhooks と MutatingAdmissionWebhook は、ValidatingWebhookConfiguration オブジェクトと MutatingWebhookConfiguration オブジェクトの認可要求で呼び出されることはありません。
型: array

4.1.6. .webhooks[].rules[]

説明: RuleWithOperations は、操作とリソースのタプルです。すべてのタプル拡張が有効であることを確認することを推奨します。
型: object

プロパティー	型	説明
`apiGroups`	`array (string)`	APIGroups は、リソースが属する API グループです。'' はすべてのグループです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。
`apiVersions`	`array (string)`	APIVersions は、リソースが属する API バージョンです。'' はすべてのバージョンです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。
`operations`	`array (string)`	操作は、アドミッションフックが気にする操作です - これらすべての操作および追加される将来のアドミッション操作に対して、CREATE、UPDATE、DELETE、CONNECT、または。'' が存在する場合、スライスの長さは 1 でなければなりません。必須。
`resources`	`array (string)`	リソースは、このルールが適用されるリソースのリストです。例: 'Pod' は Pod を意味します。'pods/log' は、Pod のログサブリソースを意味します。'' はすべてのリソースを意味しますが、サブリソースは意味しません。'pods/' は、Pod のすべてのサブリソースを意味します。'/scale' は、すべてのスケールサブリソースを意味します。'/*' は、すべてのリソースとそのサブリソースを意味します。ワイルドカードが存在する場合、検証ルールはリソースが互いに重複しないことを保証します。囲んでいるオブジェクトによっては、サブリソースが許可されない場合があります。必須。
`scope`	`string`	scope は、このルールのスコープを指定します。有効な値は、"Cluster"、"Namespaced"、および "" "クラスター" とは、クラスタースコープのリソースのみがこのルールに一致することを意味します。名前空間 API オブジェクトはクラスタースコープです。"Namespaced" は、名前空間付きのリソースのみがこのルールに一致することを意味します。"" は、スコープの制限がないことを意味します。サブリソースは、親リソースのスコープと一致します。デフォルトは "*" です。

第4章 MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]

4.1. 仕様

4.1.1. .webhooks

4.1.2. .webhooks[]

4.1.3. .webhooks[].clientConfig

4.1.4. .webhooks[].clientConfig.service

4.1.5. .webhooks[].rules

4.1.6. .webhooks[].rules[]

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Red Hat legal and privacy links

Red Hat legal and privacy links