第5章 ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]

admissionReviewVersions

array (string)

AdmissionReviewVersions は、Webhook が期待する優先 AdmissionReview バージョンの順序付きリストです。API サーバーは、サポートするリストの最初のバージョンを使用しようとします。このリストで指定されたバージョンのいずれも API サーバーでサポートされていない場合、このオブジェクトの検証は失敗します。永続化された Webhook 設定で許可されたバージョンが指定され、API サーバーに認識されているバージョンが含まれていない場合、Webhook の呼び出しは失敗し、失敗ポリシーの対象となります。

clientConfig

object

WebhookClientConfig には、Webhook との TLS 接続を確立するための情報が含まれています

failurePolicy

string

FailurePolicy は、アドミッションエンドポイントからの認識されないエラーの処理方法を定義します。許可される値は Ignore または Fail です。デフォルトは失敗です。

matchPolicy

string

matchPolicy は、ルールリストを使用して着信要求を照合する方法を定義します。許可される値は正確または同等です。

- 完全: 指定されたルールに完全に一致する場合にのみ、要求に一致します。例えば、デプロイメントが apps/v1、apps/v1beta1、extensions/v1beta1 を通して変更できるのに、rule が apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] のみを含む場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは Webhook に送信されません。

- 同等: 別の API グループまたはバージョンを介してでも、ルールにリストされているリソースを変更する場合は、リクエストに一致します。例えば、deployments が apps/v1、apps/v1beta1、extensions/v1beta1 を介して変更可能で、rules が apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] のみ含むとします。apps/v1beta1 または extensions/v1beta1 へのリクエストは apps/v1 に変換されて Webhook に送信されます。

デフォルトは同等

name

string

アドミッション Webhook の名前。名前は完全修飾する必要があります。たとえば、imagepolicy.kubernetes.io です。ここで、imagepolicy は Webhook の名前であり、kubernetes.io は組織の名前です。必須。

namespaceSelector

LabelSelector

NamespaceSelector は、オブジェクトの名前空間がセレクターと一致するかどうかに基づいて、オブジェクトで Webhook を実行するかどうかを決定します。オブジェクト自体が名前空間である場合、マッチングは object.metadata.labels で実行されます。オブジェクトが別のクラスタースコープのリソースである場合、Webhook をスキップすることはありません。

たとえば、名前空間が 0 または 1 のランレベルに関連付けられていないオブジェクトで Webhook を実行するには、セレクターは次のように設定します。"namespaceSelector":{"matchExpressions":{"key": "runlevel"、"operator": "NotIn"、"values":"0"、"1"} }

代わりに、名前空間が prod または staging の environment に関連付けられているオブジェクトに対してのみ Webhook を実行する場合。セレクターは次のように設定します。"namespaceSelector":{"matchExpressions":{"key": "environment"、"operator": "In"、"values":"prod"、"staging"} }

ラベルセレクターのその他の例については、https://kubernetes.io/docs/concepts/overview/working-with-objects/labels を参照してください。

デフォルトは空の LabelSelector で、すべてに一致します。

objectSelector

LabelSelector

ObjectSelector は、オブジェクトに一致するラベルがあるかどうかに基づいて、Webhook を実行するかどうかを決定します。objectSelector は、Webhook に送信される oldObject と newObject の両方に対して評価され、いずれかのオブジェクトがセレクターと一致する場合に一致すると見なされます。null オブジェクト (create の場合は oldObject、delete の場合は newObject) またはラベルを持つことができないオブジェクト (DeploymentRollback または PodProxyOptions オブジェクトなど) は一致するとは見なされません。エンドユーザーはラベルを設定することでアドミッション Webhook をスキップできるため、Webhook がオプトインの場合にのみオブジェクトセレクターを使用してください。デフォルトは空の LabelSelector で、すべてに一致します。

rules

array

ルールは、Webhook が気にするリソース/サブリソースに対する操作を記述します。Webhook は、操作が いずれかの ルールに一致する場合、その操作を考慮します。ただし、ValidatingAdmissionWebhooks と MutatingAdmissionWebhooks が、プラグインを完全に無効にしないと回復できない状態にクラスターを置くことを防ぐために、ValidatingAdmissionWebhooks と MutatingAdmissionWebhook は、ValidatingWebhookConfiguration オブジェクトと MutatingWebhookConfiguration オブジェクトの認可要求で呼び出されることはありません。

rules[]

object

RuleWithOperations は、操作とリソースのタプルです。すべてのタプル拡張が有効であることを確認することを推奨します。

sideEffects

string

SideEffects は、この Webhook に副作用があるかどうかを示します。許容される値は、None、NoneOnDryRun です (v1beta1 を介して作成された Webhook は、Some または Unknown を指定する場合もあります)。副作用のある Webhook は、調整システムを実装する必要があります。これは、リクエストがアドミッションチェーンの将来のステップで拒否される可能性があるため、副作用を元に戻す必要があるためです。dryRun 属性を持つリクエストは、sideEffects==Unknown または Some の Webhook と一致する場合に自動拒否されます。

timeoutSeconds

integer

TimeoutSeconds は、この Webhook のタイムアウトを指定します。タイムアウトが経過すると、Webhook 呼び出しは無視されるか、失敗ポリシーに基づいて API 呼び出しが失敗します。タイムアウト値は 1〜30 秒である必要があります。デフォルトは 10 秒です。

caBundle

string

caBundle は、PEM でエンコードされた CA バンドルであり、Webhook のサーバー証明書を検証するために使用されます。指定しない場合、apiserver のシステム信頼ルートが使用されます。

service

object

ServiceReference は、Service.legacy.k8s.io への参照を保持します

url

string

url は、Webhook の場所を標準の URL 形式 (scheme://host:port/path) で示します。URL または サービス のいずれかを正確に指定する必要があります。

ホスト は、クラスターで実行されているサービスを参照しないでください。代わりに サービス フィールドを使用してください。一部の apiserver では、ホストが外部 DNS を介して解決される場合があります (たとえば、kube-apiserver は、階層化違反になるため、クラスター内 DNS を解決できません)。ホスト は IP アドレスの場合もあります。

この Webhook を呼び出す必要がある可能性のある apiserver を実行するすべてのホストでこの Webhook を実行するように細心の注意を払わない限り、ホスト として localhost または 127.0.0.1 を使用することは危険であることに注意してください。このようなインストールは移植性がない可能性があります。つまり、新しいクラスターで簡単に起動することはできません。

スキームは https である必要があります。URL は https://で始まる必要があります。

パスはオプションであり、存在する場合は、URL で許可される任意の文字列にすることができます。パスを使用して、クラスター識別子などの任意の文字列を Webhook に渡すことができます。

ユーザーまたは基本認証 (user:password @ など) を使用することは許可されていません。フラグメント ("#…") とクエリーパラメーター ("?…") も許可されていません。

name

string

name はサービスの名前です。必須

namespace

string

namespace は、サービスの名前空間です。必須

path

string

path は、このサービスへのリクエストで送信されるオプションの URL パスです。

port

integer

指定されている場合、Webhook をホストしているサービスのポート。下位互換性のために、デフォルトは 443 です。ポート は有効なポート番号 (1〜65535 を含む) である必要があります。

apiGroups

array (string)

APIGroups は、リソースが属する API グループです。'' はすべてのグループです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

apiVersions

array (string)

APIVersions は、リソースが属する API バージョンです。'' はすべてのバージョンです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

operations

array (string)

操作は、アドミッションフックが気にする操作です - これらすべての操作および追加される将来のアドミッション操作に対して、CREATE、UPDATE、DELETE、CONNECT、または*。'*' が存在する場合、スライスの長さは 1 でなければなりません。必須。

resources

array (string)

リソースは、このルールが適用されるリソースのリストです。

例:Pod は Pod を意味します。pods/log は、Pod のログサブリソースを意味します。' ' はすべてのリソースを意味しますが、サブリソースは意味しません。'pods/ ' は、Pod のすべてのサブリソースを意味します。' /scale' は、すべてのスケールサブリソースを意味します。/*は、すべてのリソースとそのサブリソースを意味します。

ワイルドカードが存在する場合、検証ルールはリソースが互いに重複しないことを保証します。

囲んでいるオブジェクトによっては、サブリソースが許可されない場合があります。必須。

scope

string

scope は、このルールのスコープを指定します。有効な値は、Cluster、Namespaced、およびクラスターとは、クラスタースコープのリソースのみがこのルールに一致することを意味します。名前空間 API オブジェクトはクラスタースコープです。名前空間は、名前空間付きのリソースのみがこのルールに一致することを意味します。は、スコープの制限がないことを意味します。サブリソースは、親リソースのスコープと一致します。デフォルトは "*" です。