拡張 API

caBundle

string

CABundle は、API サーバーのサービング証明書を検証するために使用される PEM エンコードされた CA バンドルです。指定しない場合、apiserver のシステム信頼ルートが使用されます。

group

string

Group は、このサーバーがホストする API グループ名です。

groupPriorityMinimum

integer

GroupPriorityMinimum は、このグループが最低限持つべき優先度です。優先度が高いということは、優先度の低いグループよりもグループがクライアントに優先されることを意味します。このグループの他のバージョンにより、グループ全体の優先度が高くなるように、さらに高い GroupPriorityMinimum 値が指定される場合があることに注意してください。プライマリーソートは GroupPriorityMinimum に基づいており、最大数から最小値 (10 の前に 20) の順に並べられます。二次ソートは、オブジェクトの名前のアルファベット順の比較に基づいています。(v1.foo より前の v1.bar) 次のようなものを推奨します:18000 の* .k8s.io (拡張機能を除く) および PaaS(OpenShift、Deis) は 2000 年代に推奨されます

insecureSkipTLSVerify

boolean

InsecureSkipTLSVerify は、このサーバーと通信するときに TLS 証明書の検証を無効にします。これは強く推奨しません。代わりに CABundle を使用する必要があります。

service

object

ServiceReference は、Service.legacy.k8s.io への参照を保持します

version

string

バージョンは、このサーバーがホストする API バージョンです。たとえば、"v1"

versionPriority

integer

VersionPriority は、グループ内のこの API バージョンの順序を制御します。ゼロより大きくなければなりません。プライマリーソートは VersionPriority に基づいており、最高から最低の順に並べられています (10 の前に 20)。グループ内にあるため、数は少なく、おそらく 10 代になる可能性があります。バージョンの優先度が等しい場合は、バージョン文字列を使用してグループ内の順序を計算します。バージョン文字列が "kube-like" の場合、辞書式順序で並べられた "kube-like" ではないバージョン文字列の上に並べ替えられます。"Kube のような" バージョンは "v" で始まり、その後に数字 (メジャーバージョン) が続き、オプションで文字列 "alpha" または "beta" と別の数字 (マイナーバージョン) が続きます。これらは、最初に GA > ベータ > アルファ (GA はベータやアルファなどの接尾辞のないバージョン) でソートされ、次にメジャーバージョン、次にマイナーバージョンでソートされます。バージョンのソート済みリストの例: v10、v2、v1、v11beta2、v10beta3、v3beta1、v12alpha1、v11alpha2、foo1、foo10。

name

string

名前はサービスの名前です

namespace

string

名前空間はサービスの名前空間です

port

integer

指定されている場合、Webhook をホストしているサービスのポート。下位互換性のために、デフォルトは 443 です。ポート は有効なポート番号 (1〜65535 を含む) である必要があります。

conditions

array

apiService の現在のサービス状態。

conditions[]

object

APIServiceCondition は、特定の時点での APIService の状態を表します。

lastTransitionTime

Time

最後にある状態から別の状態に遷移した時間。

message

string

最後にある状態から別の状態に遷移した時間。

reason

string

条件の最後の遷移の一意の 1 単語の CamelCase 理由。

status

string

ステータスは、状態のステータスです。True、False、Unknown の場合があります。

type

string

タイプは条件のタイプです。

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

APIServiceList スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIService スキーマ

200 - OK

APIService スキーマ

201 - Created

APIService スキーマ

202 - Accepted

APIService スキーマ

401 - Unauthorized

空白

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

APIService の名前

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

APIService スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

APIService スキーマ

201 - Created

APIService スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIService スキーマ

200 - OK

APIService スキーマ

201 - Created

APIService スキーマ

401 - Unauthorized

空白

name

string

APIService の名前

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

APIService の名前

200 - OK

APIService スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

APIService スキーマ

201 - Created

APIService スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

APIService スキーマ

200 - OK

APIService スキーマ

201 - Created

APIService スキーマ

401 - Unauthorized

空白

変換

object

CustomResourceConversion は、CR のさまざまなバージョンを変換する方法を説明します。

group

string

group は、定義されたカスタムリソースの API グループです。カスタムリソースは /apis/<group>/… の下で提供されます。CustomResourceDefinition の名前 (<names.plural>。<group> の形式) と一致する必要があります。

names

object

CustomResourceDefinitionNames は、この CustomResourceDefinition を提供する名前を示します

preserveUnknownFields

boolean

preserveUnknownFields は、OpenAPI スキーマで指定されていないオブジェクトフィールドを、ストレージに永続化するときに保持する必要があることを示します。apiVersion、kind、metadata、およびメタデータ内の既知のフィールドは常に保持されます。このフィールドは、spec.versions[*].schema.openAPIV3Schema で x-preserve-unknown-fields を true に設定するために非推奨になりました。詳細は、https://kubernetes.io/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/#field-pruning を参照してください。

scope

string

スコープは、定義されたカスタムリソースがクラスタースコープか名前空間スコープかを示します。許可される値は、クラスター と 名前空間 です。

versions

array

version は、定義されたカスタムリソースのすべての API バージョンのリストです。バージョン名は、提供されたバージョンが API ディスカバリーにリストされる順序を計算するために使用されます。バージョン文字列が "kube-like" の場合、辞書式順序で並べられた "kube-like" ではないバージョン文字列の上に並べ替えられます。"Kube のような" バージョンは "v" で始まり、その後に数字 (メジャーバージョン) が続き、オプションで文字列 "alpha" または "beta" と別の数字 (マイナーバージョン) が続きます。これらは、最初に GA > ベータ > アルファ (GA はベータやアルファなどの接尾辞のないバージョン) でソートされ、次にメジャーバージョン、次にマイナーバージョンでソートされます。バージョンのソート済みリストの例: v10、v2、v1、v11beta2、v10beta3、v3beta1、v12alpha1、v11alpha2、foo1、foo10。

versions[]

object

CustomResourceDefinitionVersion は、CRD のバージョンを表します。

strategy

string

ストラテジーは、カスタムリソースがバージョン間でどのように変換されるかを指定します。使用可能な値は "None": コンバーターは apiVersion のみを変更し、カスタムリソースの他のフィールドにはアクセスしません。- "Webhook": API サーバーは外部 Webhook を呼び出して変換を行います) です。このオプションには追加情報が必要です。これには、spec.preserveUnknownFields が false であり、spec.conversion.webhook が設定されている必要があります。

webhook

object

WebhookConversion は、変換 Webhook を呼び出す方法を説明します

clientConfig

object

WebhookClientConfig には、Webhook との TLS 接続を確立するための情報が含まれています。

conversionReviewVersions

array (string)

conversionReviewVersions は、Webhook が期待する優先される ConversionReview バージョンの順序付きリストです。API サーバーは、サポートするリストの最初のバージョンを使用します。このリストで指定されているバージョンのいずれも API サーバーでサポートされていない場合、カスタムリソースの変換は失敗します。永続化された Webhook 設定で許可されたバージョンが指定されており、API サーバーに認識されているバージョンが含まれていない場合、Webhook の呼び出しは失敗します。

caBundle

string

caBundle は、PEM でエンコードされた CA バンドルであり、Webhook のサーバー証明書を検証するために使用されます。指定しない場合、apiserver のシステム信頼ルートが使用されます。

service

object

ServiceReference は、Service.legacy.k8s.io への参照を保持します

url

string

url は、Webhook の場所を標準の URL 形式 (scheme://host:port/path) で示します。URL または サービス のいずれかを正確に指定する必要があります。

ホスト は、クラスターで実行されているサービスを参照しないでください。代わりに サービス フィールドを使用してください。一部の apiserver では、ホストが外部 DNS を介して解決される場合があります (たとえば、kube-apiserver は、階層化違反になるため、クラスター内 DNS を解決できません)。ホスト は IP アドレスの場合もあります。

この Webhook を呼び出す必要がある可能性のある apiserver を実行するすべてのホストでこの Webhook を実行するように細心の注意を払わない限り、ホスト として localhost または 127.0.0.1 を使用することは危険であることに注意してください。このようなインストールは移植性がない可能性があります。つまり、新しいクラスターで簡単に起動することはできません。

スキームは "https" である必要があります。URL は "https://" で始まる必要があります。

パスはオプションであり、存在する場合は、URL で許可される任意の文字列にすることができます。パスを使用して、クラスター識別子などの任意の文字列を Webhook に渡すことができます。

ユーザーまたは基本認証 ("user:password@" など) を使用することは許可されていません。フラグメント ("#…") とクエリーパラメーター ("?…") も許可されていません。

name

string

name はサービスの名前です。必須

namespace

string

namespace は、サービスの名前空間です。必須

path

string

path は、Webhook が接続されるオプションの URL パスです。

port

integer

port は、Webhook が接続されるオプションのサービスポートです。ポート は有効なポート番号 (1〜65535 を含む) である必要があります。下位互換性のために、デフォルトは 443 です。

categories

array (string)

カテゴリーは、このカスタムリソースが属するグループ化されたリソースのリストです (例: 'すべて')。これは API 検出ドキュメントで公開され、クライアントが kubectl get all などの呼び出しをサポートするために使用します。

kind

string

kind は、リソースのシリアル化された種類です。通常は CamelCase で単数です。カスタムリソースインスタンスは、この値を API 呼び出しの kind 属性として使用します。

listKind

string

listKind は、このリソースのリストのシリアル化された種類です。デフォルトは "`kind`List" です。

複数

string

複数形は、提供するリソースの複数形の名前です。カスタムリソースは /apis/<group>/<version>/…/<plural> で提供されます。CustomResourceDefinition の名前 (<names.plural>。<group> の形式) と一致する必要があります。すべて小文字である必要があります。

shortNames

array (string)

shortNames はリソースの短縮名であり、API 検出ドキュメントで公開され、クライアントが kubectl get <shortname> などの呼び出しをサポートするために使用します。すべて小文字である必要があります。

特異な

string

singular は、リソースの単数名です。すべて小文字である必要があります。デフォルトは小文字 です。

additionalPrinterColumns

array

additionalPrinterColumns は、テーブル出力で返される追加の列を指定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#receiving-resources-as-tables を参照してください。列が指定されていない場合、カスタムリソースの経過時間を表示する単一の列が使用されます。

additionalPrinterColumns[]

object

CustomResourceColumnDefinition は、サーバー側の印刷用の列を指定します。

deprecated

boolean

deprecated は、このバージョンのカスタムリソース API が非推奨であることを示します。true に設定すると、このバージョンへの API リクエストは、サーバー応答で警告ヘッダーを受け取ります。デフォルトは false です。

deprecationWarning

string

deprecationWarning は、API クライアントに返されるデフォルトの警告を上書きします。非推奨 が true の場合にのみ設定できます。デフォルトの警告は、このバージョンが非推奨であることを示しており、安定性が同等以上の最新のバージョンが存在する場合はそれを使用することを推奨します。

name

string

name はバージョン名です。たとえば、"v1"、"v2beta1" などです。カスタムリソースは、このバージョンで /apis/<group>/<version>/… で提供されます。提供 される場合は true です。

schema

object

CustomResourceValidation は、CustomResources の検証メソッドのリストです。

selectableFields

array

selectableFields は、フィールドセレクターとして使用できるフィールドへのパスを指定します。最大 8 つの選択可能なフィールドが許可されます。https://kubernetes.io/docs/concepts/overview/working-with-objects/field-selectors を参照してください。

selectableFields[]

object

SelectableField は、フィールドセレクターで使用できるフィールドの JSON パスを指定します。

served

boolean

提供は、このバージョンが REST API を介して提供されることを有効/無効にするフラグです。

storage

boolean

storage は、カスタムリソースをストレージに永続化するときにこのバージョンを使用する必要があることを示します。storage=true のバージョンが 1 つだけ存在する必要があります。

subresources

object

CustomResourceSubresources は、CustomResources のステータスとスケールサブリソースを定義します。

description

string

description は、この列の人間が読める形式の説明です。

format

string

format は、この列のオプションの OpenAPI タイプ定義です。'name' 形式は、クライアントが列がリソース名であることを識別するのを支援するために、1 次 ID 列に適用されます。詳細は、https://github.com/OAI/OpenAPI-Specification/blob/master/versions/2.0.md#data-types を参照してください。

jsonPath

string

jsonPath は、この列の値を生成するために各カスタムリソースに対して評価される単純な JSON パス (つまり、配列表記を使用) です。

name

string

name は、人間が読める形式の列の名前です。

priority

integer

priority は、他の列と比較したこの列の相対的な重要度を定義する整数です。数値が小さいほど優先度が高いと見なされます。限られたスペースのシナリオで省略される可能性のある列には、0 より大きい優先順位を与える必要があります。

type

string

type は、この列の OpenAPI 型定義です。詳細は、https://github.com/OAI/OpenAPI-Specification/blob/master/versions/2.0.md#data-types を参照してください。

openAPIV3Schema

``

openAPIV3Schema は、検証とプルーニングに使用する OpenAPIv3 スキーマです。

jsonPath

string

jsonPath は、各カスタムリソースに対して評価され、フィールドセレクター値を生成する単純な JSON パスです。配列表記のない JSON パスのみが許可されます。文字列型、ブール型、または整数型のフィールドを参照する必要があります。列挙値を持つ型とフォーマットを持つ文字列が許可されます。jsonPath がリソース内の存在しないフィールドを参照する場合、jsonPath は空の文字列として評価されます。メタデータフィールドを参照しないでください。必須。

scale

object

CustomResourceSubresourceScale は、CustomResources のスケールサブリソースを提供する方法を定義します。

status

object

CustomResourceSubresourceStatus は、CustomResources のステータスサブリソースを提供する方法を定義します。ステータスは、CustomResource 内の .status JSON パスで表されます。設定すると、*カスタムリソースの/status サブリソースを公開します*/status サブリソースへの PUT リクエストはカスタムリソースオブジェクトを取得し、ステータススタンザ以外の変更を無視します*カスタムリソースへの PUT/POST/PATCH リクエストは変更を無視しますステータススタンザ

labelSelectorPath

string

labelSelectorPath は、Scalestatus.selector に対応するカスタムリソース内の JSON パスを定義します。配列表記のない JSON パスのみが許可されます。.status または .spec の下の JSON パスである必要があります。HorizontalPodAutoscaler と連動するように設定する必要があります。この JSON パスが指すフィールドは、文字列形式のシリアル化されたラベルセレクターを含む文字列フィールド (複雑なセレクター構造体ではない) である必要があります。詳細: https://kubernetes.io/docs/tasks/access-kubernetes-api/custom-resources/custom-resource-definitions#scale-subresource カスタムリソース内の指定されたパスの下に値がない場合は、/scale サブリソース内の status.selector 値は空の文字列にデフォルト設定されます。

specReplicasPath

string

specReplicasPath は、Scalespec.replicas に対応するカスタムリソース内の JSON パスを定義します。配列表記のない JSON パスのみが許可されます。.spec の下の JSON パスである必要があります。カスタムリソースの指定されたパスの下に値がない場合、/scale サブリソースは GET でエラーを返します。

statusReplicasPath

string

statusReplicasPath は、Scalestatus.replicas に対応するカスタムリソース内の JSON パスを定義します。配列表記のない JSON パスのみが許可されます。.status の下の JSON パスである必要があります。カスタムリソースの指定されたパスの下に値がない場合、/scale サブリソースの status.replicas 値はデフォルトで 0 になります。

acceptedNames

object

CustomResourceDefinitionNames は、この CustomResourceDefinition を提供する名前を示します

conditions

array

条件は、CustomResourceDefinition の特定の側面の状態を示します

conditions[]

object

CustomResourceDefinitionCondition には、この Pod の現在の状態の詳細が含まれています。

storedVersions

array (string)

storedVersions は、これまでに永続化された CustomResources のすべてのバージョンをリスト表示します。これらのバージョンを追跡すると、etcd に保存されているバージョンの移行パスが可能になります。このフィールドは変更可能であるため、移行コントローラーは別のバージョンへの移行を完了し (古いオブジェクトがストレージに残っていないことを確認)、残りのバージョンをこのリストから削除できます。このリストに存在するバージョンは、spec.versions から削除できません。

categories

array (string)

カテゴリーは、このカスタムリソースが属するグループ化されたリソースのリストです (例: 'すべて')。これは API 検出ドキュメントで公開され、クライアントが kubectl get all などの呼び出しをサポートするために使用します。

kind

string

kind は、リソースのシリアル化された種類です。通常は CamelCase で単数です。カスタムリソースインスタンスは、この値を API 呼び出しの kind 属性として使用します。

listKind

string

listKind は、このリソースのリストのシリアル化された種類です。デフォルトは "`kind`List" です。

複数

string

複数形は、提供するリソースの複数形の名前です。カスタムリソースは /apis/<group>/<version>/…/<plural> で提供されます。CustomResourceDefinition の名前 (<names.plural>。<group> の形式) と一致する必要があります。すべて小文字である必要があります。

shortNames

array (string)

shortNames はリソースの短縮名であり、API 検出ドキュメントで公開され、クライアントが kubectl get <shortname> などの呼び出しをサポートするために使用します。すべて小文字である必要があります。

特異な

string

singular は、リソースの単数名です。すべて小文字である必要があります。デフォルトは小文字 です。

lastTransitionTime

Time

lastTransitionTime は、ある状態から別の状態に最後に遷移した時間です。

message

string

message は、最後の遷移の詳細を示す人が判読できるメッセージです。

reason

string

理由は、条件の最後の遷移の一意の 1 単語の CamelCase 理由です。

status

string

status は、状態のステータスです。True、False、Unknown の場合があります。

type

string

type は、条件のタイプです。タイプには、Established、NamesAccepted、および Terminating が含まれます。

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

CustomResourceDefinitionList スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

CustomResourceDefinition スキーマ

200 - OK

CustomResourceDefinition スキーマ

201 - Created

CustomResourceDefinition スキーマ

202 - Accepted

CustomResourceDefinition スキーマ

401 - Unauthorized

空白

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

CustomResourceDefinition の名前

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

CustomResourceDefinition スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

CustomResourceDefinition スキーマ

201 - Created

CustomResourceDefinition スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

CustomResourceDefinition スキーマ

200 - OK

CustomResourceDefinition スキーマ

201 - Created

CustomResourceDefinition スキーマ

401 - Unauthorized

空白

name

string

CustomResourceDefinition の名前

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

CustomResourceDefinition の名前

200 - OK

CustomResourceDefinition スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

CustomResourceDefinition スキーマ

201 - Created

CustomResourceDefinition スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

CustomResourceDefinition スキーマ

200 - OK

CustomResourceDefinition スキーマ

201 - Created

CustomResourceDefinition スキーマ

401 - Unauthorized

空白

admissionReviewVersions

array (string)

AdmissionReviewVersions は、Webhook が期待する優先 AdmissionReview バージョンの順序付きリストです。API サーバーは、サポートするリストの最初のバージョンを使用しようとします。このリストで指定されたバージョンのいずれも API サーバーでサポートされていない場合、このオブジェクトの検証は失敗します。永続化された Webhook 設定で許可されたバージョンが指定され、API サーバーに認識されているバージョンが含まれていない場合、Webhook の呼び出しは失敗し、失敗ポリシーの対象となります。

clientConfig

object

WebhookClientConfig には、Webhook との TLS 接続を確立するための情報が含まれています

failurePolicy

string

FailurePolicy は、アドミッションエンドポイントからの認識されないエラーの処理方法を定義します。許可される値は Ignore または Fail です。デフォルトは Fail です。

使用可能な列挙値: - "Fail" は、Webhook 呼び出しエラーにより受付が失敗することを意味します。- "Ignore" は、Webhook を呼び出すエラーが無視されることを意味します。

matchConditions

array

MatchConditions は、この Webhook にリクエストを送信するために満たす必要がある条件のリストです。matchConditions は、ルール、namespaceSelector、および objectSelector ですでに一致しているリクエストをフィルター処理します。matchConditions の空のリストは、すべてのリクエストに一致します。最大 64 個の一致条件が使用できます。

正確な一致ロジック (処理順序) は次のとおりです。1. いずれかの matchCondition が FALSE と評価された場合、Webhook はスキップされます。2. すべての matchConditions が TRUE と評価された場合、Webhook が呼び出されます。3. いずれかの matchCondition がエラーと評価された場合 (ただし、どれも FALSE ではない): - failurePolicy=Fail の場合、リクエストは拒否されます。- failurePolicy=Ignore の場合、エラーは無視され、Webhook はスキップされます。

matchConditions[]

object

MatchCondition は、リクエストが Webhook に送信されるために満たされる必要がある条件を表します。

matchPolicy

string

matchPolicy は、"rules" リストを使用して受信リクエストを照合する方法を定義します。許可される値は "Exact" または "Equivalent" です。

- Exact: 指定されたルールにリクエストが完全に一致する場合にのみ、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更できても、"rules" に含まれているのが apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは Webhook に送信されません。

- Equivalent: 別の API グループまたはバージョンを介してでも、ルールにリストされているリソースを変更する場合に、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更でき、"rules" に含まれているのが apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは、apps/v1 に変換され、Webhook に送信されます。

デフォルトは "Equivalent" です。

使用可能な列挙値: - "Equivalent" は、ルールにリストされているリソースを別の API グループまたはバージョン経由で変更する場合、リクエストが Webhook に送信される必要があることを意味します。- "Exact" は、リクエストが特定のルールに正確に一致する場合にのみ Webhook に送信されることを意味します。

name

string

アドミッション Webhook の名前。名前は完全修飾する必要があります。たとえば、imagepolicy.kubernetes.io です。ここで、"imagepolicy" は Webhook の名前であり、kubernetes.io は組織の名前です。必須。

namespaceSelector

LabelSelector

NamespaceSelector は、オブジェクトの名前空間がセレクターと一致するかどうかに基づいて、オブジェクトで Webhook を実行するかどうかを決定します。オブジェクト自体が namespace である場合、object.metadata.labels に対して照合が実行されます。オブジェクトが別のクラスタースコープのリソースである場合、Webhook をスキップすることはありません。

たとえば、"0" または "1" の "runlevel" に関連付けられていない namespace のオブジェクトに対して Webhook を実行するには、"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] } のようにセレクターを設定します。

代わりに、名前空間が "prod" または "staging" の "environment" に関連付けられているオブジェクトに対してのみ Webhook を実行する場合。セレクターは "namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] } のように設定します。

ラベルセレクターのその他の例は、https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/ を参照してください。

デフォルトは空の LabelSelector で、すべてに一致します。

objectSelector

LabelSelector

ObjectSelector は、オブジェクトに一致するラベルがあるかどうかに基づいて、Webhook を実行するかどうかを決定します。objectSelector は、Webhook に送信される oldObject と newObject の両方に対して評価され、いずれかのオブジェクトがセレクターと一致する場合に一致すると見なされます。null オブジェクト (create の場合は oldObject、delete の場合は newObject) またはラベルを持つことができないオブジェクト (DeploymentRollback または PodProxyOptions オブジェクトなど) は一致するとは見なされません。エンドユーザーはラベルを設定することでアドミッション Webhook をスキップできるため、Webhook がオプトインの場合にのみオブジェクトセレクターを使用してください。デフォルトは空の LabelSelector で、すべてに一致します。

reinvocationPolicy

string

reinvocationPolicy は、単一のアドミッション評価の一部として、この Webhook を複数回呼び出す必要があるかどうかを示します。許可される値は "Never" と "IfNeeded" です。

決して:Webhook は 1 回の入場評価で 2 回以上呼び出されることはありません。

IfNeeded: 最初の Webhook 呼び出しの後に、許可されているオブジェクトが他の許可プラグインによって変更された場合、許可評価の一部として Webhook が少なくとも 1 回追加で呼び出されます。このオプションを指定する Webhook はべき等であり、以前に許可したオブジェクトを処理できる 必要 があります。注:*追加の呼び出しの数は、正確に 1 つであるとは限りません。*追加の呼び出しによってオブジェクトがさらに変更された場合、Webhook が再度呼び出されることは保証されません。*このオプションを使用する Webhook は、追加の呼び出しの数を最小限に抑えるために並べ替えられる場合があります。*すべての変更が完了したことが保証された後でオブジェクトを検証するには、代わりに検証アドミッション Webhook を使用します。

デフォルトは "Never" です。

使用可能な列挙値: - "IfNeeded" は、最初の Webhook 呼び出し後に許可されるオブジェクトが他の受付プラグインによって変更された場合に、受付評価の一部として Webhook が少なくとも 1 回追加で呼び出される可能性があることを示します。- "Never" は、1 回の受付評価で Webhook を複数回呼び出してはいけないことを示します。

rules

array

Rules は、Webhook が考慮するリソース/サブリソースに対する操作を表します。Webhook は、操作が いずれか のルールに一致する場合、その操作を考慮します。ただし、ValidatingAdmissionWebhooks と MutatingAdmissionWebhooks が、プラグインを完全に無効にしないと回復できない状態にクラスターを置くことを防ぐために、ValidatingAdmissionWebhooks と MutatingAdmissionWebhook は、ValidatingWebhookConfiguration オブジェクトと MutatingWebhookConfiguration オブジェクトの認可要求で呼び出されることはありません。

rules[]

object

RuleWithOperations は、操作とリソースのタプルです。すべてのタプル拡張が有効であることを確認することを推奨します。

sideEffects

string

SideEffects は、この Webhook に副作用があるかどうかを示します。許容される値は、None、NoneOnDryRun です (v1beta1 を介して作成された Webhook は、Some または Unknown を指定する場合もあります)。副作用のある Webhook は、調整システムを実装する必要があります。これは、リクエストがアドミッションチェーンの将来のステップで拒否される可能性があるため、副作用を元に戻す必要があるためです。dryRun 属性を持つリクエストは、sideEffects==Unknown または Some の Webhook と一致する場合に自動拒否されます。

使用可能な列挙値: - "None" は、Webhook の呼び出しに副作用がないことを意味します。- "NoneOnDryRun" は、Webhook の呼び出しには副作用が発生する可能性がありますが、レビュー対象のリクエストに dry-run 属性がある場合、副作用は抑制されることを意味します。- "Some" は、Webhook の呼び出しに副作用がある可能性があることを意味します。属性が dry-run のリクエストがこの Webhook への呼び出しをトリガーする場合、リクエストは失敗します。- "Unknown" は、Webhook 呼び出しの副作用に関する情報が不明であることを意味します。属性が dry-run のリクエストがこの Webhook への呼び出しをトリガーする場合、そのリクエストは失敗します。

timeoutSeconds

integer

TimeoutSeconds は、この Webhook のタイムアウトを指定します。タイムアウトが経過すると、Webhook 呼び出しは無視されるか、失敗ポリシーに基づいて API 呼び出しが失敗します。タイムアウト値は 1〜30 秒である必要があります。デフォルトは 10 秒です。

caBundle

string

caBundle は、PEM でエンコードされた CA バンドルであり、Webhook のサーバー証明書を検証するために使用されます。指定しない場合、apiserver のシステム信頼ルートが使用されます。

service

object

ServiceReference は、Service.legacy.k8s.io への参照を保持します

url

string

url は、Webhook の場所を標準の URL 形式 (scheme://host:port/path) で示します。URL または サービス のいずれかを正確に指定する必要があります。

ホスト は、クラスターで実行されているサービスを参照しないでください。代わりに サービス フィールドを使用してください。一部の apiserver では、ホストが外部 DNS を介して解決される場合があります (たとえば、kube-apiserver は、階層化違反になるため、クラスター内 DNS を解決できません)。ホスト は IP アドレスの場合もあります。

この Webhook を呼び出す必要がある可能性のある apiserver を実行するすべてのホストでこの Webhook を実行するように細心の注意を払わない限り、ホスト として localhost または 127.0.0.1 を使用することは危険であることに注意してください。このようなインストールは移植性がない可能性があります。つまり、新しいクラスターで簡単に起動することはできません。

スキームは "https" である必要があります。URL は "https://" で始まる必要があります。

パスはオプションであり、存在する場合は、URL で許可される任意の文字列にすることができます。パスを使用して、クラスター識別子などの任意の文字列を Webhook に渡すことができます。

ユーザーまたは基本認証 ("user:password@" など) を使用することは許可されていません。フラグメント ("#…") とクエリーパラメーター ("?…") も許可されていません。

name

string

name はサービスの名前です。必須

namespace

string

namespace は、サービスの名前空間です。必須

path

string

path は、このサービスへのリクエストで送信されるオプションの URL パスです。

port

integer

指定されている場合、Webhook をホストしているサービスのポート。下位互換性のために、デフォルトは 443 です。port は有効なポート番号 (1〜65535 を含む) である必要があります。

expression

string

expression は、CEL によって評価される式を表します。ブール値に対して評価する必要があります。CEL 式は、CEL 変数として整理された AdmissionRequest および Authorizer の内容にアクセスできます。

'object' - 受信リクエストのオブジェクト。DELETE 要求の値は null です。'oldObject' - 既存のオブジェクト。CREATE リクエストの場合、値は null です。'request' - 受付リクエストの属性 (/pkg/apis/admission/types.go#AdmissionRequest)。'authorizer' - CEL オーソライザー。リクエストのプリンシパル (ユーザーまたはサービスアカウント) の承認チェックを実行するために使用される場合があります。https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz 'authorizer.requestResource' ('authorizer' から構築され、リクエストリソースで設定された CEL ResourceCheck) を参照してください。CEL に関するドキュメント: https://kubernetes.io/docs/reference/using-api/cel/

必須。

name

string

Name はこの一致条件の識別子であり、MatchConditions の戦略的なマージに使用されるほか、ログ記録用の識別子としても使用されます。適切な名前は、関連する式を説明するものでなければなりません。name は、英数字、'-'、''、または '.' で構成される修飾名で、先頭と末尾が英数字である必要があります (例: 'MyName'、'my.name'、'123-abc'。検証に使用される正規表現は '([A-Za-z0-9][-A-Za-z0-9.]*)?[A-Za-z0-9]')。必要に応じて、DNS サブドメイン接頭辞および '/' を指定します (例: 'example.com/MyName')。

必須。

apiGroups

array (string)

APIGroups は、リソースが属する API グループです。'' はすべてのグループです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

apiVersions

array (string)

APIVersions は、リソースが属する API バージョンです。'' はすべてのバージョンです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

operations

array (string)

操作は、アドミッションフックが気にする操作です - これらすべての操作および追加される将来のアドミッション操作に対して、CREATE、UPDATE、DELETE、CONNECT、または*。'*' が存在する場合、スライスの長さは 1 でなければなりません。必須。

resources

array (string)

リソースは、このルールが適用されるリソースのリストです。

例: 'Pod' は Pod を意味します。'pods/log' は、Pod のログサブリソースを意味します。'' はすべてのリソースを意味しますが、サブリソースは意味しません。'pods/' は、Pod のすべてのサブリソースを意味します。'/scale' は、すべてのスケールサブリソースを意味します。'/*' は、すべてのリソースとそのサブリソースを意味します。

ワイルドカードが存在する場合、検証ルールはリソースが互いに重複しないことを保証します。

囲んでいるオブジェクトによっては、サブリソースが許可されない場合があります。必須。

scope

string

scope は、このルールのスコープを指定します。有効な値は、"Cluster"、"Namespaced"、および "" "クラスター" とは、クラスタースコープのリソースのみがこのルールに一致することを意味します。名前空間 API オブジェクトはクラスタースコープです。"Namespaced" は、名前空間付きのリソースのみがこのルールに一致することを意味します。"" は、スコープの制限がないことを意味します。サブリソースは、親リソースのスコープと一致します。デフォルトは "*" です。

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

MutatingWebhookConfigurationList スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

MutatingWebhookConfiguration スキーマ

200 - OK

MutatingWebhookConfiguration スキーマ

201 - Created

MutatingWebhookConfiguration スキーマ

202 - Accepted

MutatingWebhookConfiguration スキーマ

401 - Unauthorized

空白

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

MutatingWebhookConfiguration の名前

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

MutatingWebhookConfiguration スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

MutatingWebhookConfiguration スキーマ

201 - Created

MutatingWebhookConfiguration スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

MutatingWebhookConfiguration スキーマ

200 - OK

MutatingWebhookConfiguration スキーマ

201 - Created

MutatingWebhookConfiguration スキーマ

401 - Unauthorized

空白

name

string

MutatingWebhookConfiguration の名前

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

auditAnnotations

array

auditAnnotations には、API リクエストの監査イベント用の監査アノテーションを生成するために使用する CEL 式を含めます。validations と auditAnnotations の両方を空にすることはできません。validations または auditAnnotations のどちらかが少なくとも必要です。

auditAnnotations[]

object

AuditAnnotation は、API リクエストの監査アノテーションを生成する方法を表します。

failurePolicy

string

failurePolicy は、アドミッションポリシーの失敗を処理する方法を定義します。失敗は、CEL 式の解析エラー、型チェックエラー、ランタイムエラー、および無効な、または誤った設定のポリシー定義またはバインディングによって発生する可能性があります。

存在しない Kind を spec.paramKind が参照している場合、ポリシーは無効です。存在しないリソースを spec.paramRef.name が参照している場合、バインディングは無効です。

failurePolicy は、false と評価される検証の処理方法は定義しません。

failurePolicy が Fail に設定されている場合、ValidatingAdmissionPolicyBinding の validationActions によって失敗の適用方法が定義されます。

許可される値は、Ignore または Fail です。デフォルトは Fail です。

使用可能な列挙値: - "Fail" は、Webhook 呼び出しエラーにより受付が失敗することを意味します。- "Ignore" は、Webhook を呼び出すエラーが無視されることを意味します。

matchConditions

array

MatchConditions は、リクエストを検証するために満たす必要がある条件のリストです。matchConditions は、ルール、namespaceSelector、および objectSelector ですでに一致しているリクエストをフィルター処理します。matchConditions の空のリストは、すべてのリクエストに一致します。最大 64 個の一致条件が使用できます。

パラメーターオブジェクトが提供されている場合は、検証式と同じ方法で params ハンドルを介してそのパラメーターオブジェクトにアクセスできます。

正確な一致ロジック (処理順序) は次のとおりです。1. いずれかの matchCondition が FALSE と評価された場合、ポリシーはスキップされます。2. すべての matchConditions が TRUE と評価された場合、ポリシーは評価されます。3. いずれかの matchCondition がエラーと評価された場合 (ただし、FALSE と評価されたものがない場合): - failurePolicy=Fail の場合、リクエストは拒否されます。- failurePolicy=Ignore の場合、ポリシーはスキップされます。

matchConditions[]

object

MatchCondition は、リクエストが Webhook に送信されるために満たされる必要がある条件を表します。

matchConstraints

object

MatchResources は、一致基準を満たしているかどうかに基づいて、オブジェクトに対してアドミッションコントロールポリシーを実行するかどうかを決定します。除外ルールは包含ルールよりも優先されます (リソースが両方に一致する場合は除外されます)。

paramKind

object

ParamKind は、グループの種類とバージョンのタプルです。

validations

array

Validations には、検証を適用するために使用する CEL 式を含めます。Validations と AuditAnnotations の両方を空にすることはできません。Validations または AuditAnnotations のどちらかが少なくとも必要です。

validations[]

object

Validation は、検証を適用するために使用する CEL 式を指定します。

variables

array

Variables には、他の式を構成するのに使用できる変数の定義を含めます。各変数は名前付き CEL 式として定義します。ここで定義した変数は、MatchConditions を除くポリシーの他の式の variables で使用できます。MatchConditions は、ポリシーの他の部分よりも先に評価されるため、除外されます。

変数の式は、リスト内の前に定義された他の変数を参照できますが、後続の変数を参照することはできません。したがって、変数は出現順および非循環的に並べる必要があります。

variables[]

object

変数は、構成に使用する変数の定義です。変数は名前付きの式として定義します。

key

string

key は監査アノテーションキーを指定します。ValidatingAdmissionPolicy の監査アノテーションキーは一意である必要があります。キーは、長さが 63 バイト以内の修飾名 ([A-Za-z0-9][-A-Za-z0-9_.]*) である必要があります。

キーは、ValidatingAdmissionPolicy のリソース名と組み合わされて、監査アノテーションキー "{ValidatingAdmissionPolicy name}/{key}" を構成します。

アドミッション Webhook がこの ValidatingAdmissionPolicy と同じリソース名と同じ監査アノテーションキーを使用する場合、アノテーションキーは同一になります。この場合、キーを使用して書き込まれた最初のアノテーションが監査イベントに含まれ、同じキーを持つ後続のアノテーションがすべて破棄されます。

必須。

valueExpression

string

valueExpression は、監査アノテーション値を生成するために CEL によって評価される式を表します。式は文字列または null 値のいずれかに評価される必要があります。式が文字列に評価された場合、監査アノテーションは文字列値に含まれます。式が null または空の文字列に評価された場合、監査アノテーションは省略されます。valueExpression は 5kb 以下の長さにする必要があります。valueExpression の結果の長さが 10kb を超える場合、10kb に切り捨てられます。

複数の ValidatingAdmissionPolicyBinding リソースが API リクエストと一致する場合、各バインディングに対して valueExpression が評価されます。valueExpression によって生成される一意の値は、すべてコンマ区切りのリストに結合されます。

必須。

expression

string

expression は、CEL によって評価される式を表します。ブール値に対して評価する必要があります。CEL 式は、CEL 変数として整理された AdmissionRequest および Authorizer の内容にアクセスできます。

'object' - 受信リクエストのオブジェクト。DELETE 要求の値は null です。'oldObject' - 既存のオブジェクト。CREATE リクエストの場合、値は null です。'request' - 受付リクエストの属性 (/pkg/apis/admission/types.go#AdmissionRequest)。'authorizer' - CEL オーソライザー。リクエストのプリンシパル (ユーザーまたはサービスアカウント) の承認チェックを実行するために使用される場合があります。https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz 'authorizer.requestResource' ('authorizer' から構築され、リクエストリソースで設定された CEL ResourceCheck) を参照してください。CEL に関するドキュメント: https://kubernetes.io/docs/reference/using-api/cel/

必須。

name

string

Name はこの一致条件の識別子であり、MatchConditions の戦略的なマージに使用されるほか、ログ記録用の識別子としても使用されます。適切な名前は、関連する式を説明するものでなければなりません。name は、英数字、'-'、''、または '.' で構成される修飾名で、先頭と末尾が英数字である必要があります (例: 'MyName'、'my.name'、'123-abc'。検証に使用される正規表現は '([A-Za-z0-9][-A-Za-z0-9.]*)?[A-Za-z0-9]')。必要に応じて、DNS サブドメイン接頭辞および '/' を指定します (例: 'example.com/MyName')。

必須。

excludeResourceRules

array

ExcludeResourceRules は、ValidatingAdmissionPolicy で考慮しないリソース/サブリソースに対する操作を表します。除外ルールは包含ルールよりも優先されます (リソースが両方に一致する場合は除外されます)。

excludeResourceRules[]

object

NamedRuleWithOperations は、ResourceNames を持つ操作とリソースのタプルです。

matchPolicy

string

matchPolicy は、"MatchResources" リストを使用して受信リクエストを照合する方法を定義します。許可される値は "Exact" または "Equivalent" です。

- Exact: 指定されたルールにリクエストが完全に一致する場合にのみ、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更できても、"rules" に含まれているのが apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは ValidatingAdmissionPolicy に送信されません。

- Equivalent: 別の API グループまたはバージョンを介してでも、ルールにリストされているリソースを変更する場合に、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更でき、"rules" に含まれているのが apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは、apps/v1 に変換され、ValidatingAdmissionPolicy に送信されます。

デフォルトは "Equivalent" です。

使用可能な列挙値: - "Equivalent" は、ルールにリストされているリソースを別の API グループまたはバージョン経由で変更する場合、リクエストが Webhook に送信される必要があることを意味します。- "Exact" は、リクエストが特定のルールに正確に一致する場合にのみ Webhook に送信されることを意味します。

namespaceSelector

LabelSelector

NamespaceSelector は、オブジェクトの namespace がセレクターと一致するかどうかに基づいて、オブジェクトに対してアドミッションコントロールポリシーを実行するかどうかを決定します。オブジェクト自体が namespace である場合、object.metadata.labels に対して照合が実行されます。オブジェクトがクラスタースコープの別のリソースである場合、ポリシーはスキップされません。

たとえば、"0" または "1" の "runlevel" に関連付けられていない namespace のオブジェクトに対して Webhook を実行するには、"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] } のようにセレクターを設定します。

代わりに、"prod" または "staging" の "environment" に関連付けられている namespace のオブジェクトに対してのみポリシーを実行する場合は、"namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] } のようにセレクターを設定します。

ラベルセレクターのその他の例は、https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/ を参照してください。

デフォルトは空の LabelSelector で、すべてに一致します。

objectSelector

LabelSelector

ObjectSelector は、オブジェクトに一致するラベルがあるかどうかに基づいて検証を実行するかどうかを決定します。objectSelector は、cel 検証に送信される oldObject と newObject の両方に対して評価され、いずれかのオブジェクトがセレクターに一致する場合、一致すると見なされます。null オブジェクト (create の場合は oldObject、delete の場合は newObject) またはラベルを持つことができないオブジェクト (DeploymentRollback または PodProxyOptions オブジェクトなど) は一致するとは見なされません。エンドユーザーはラベルを設定することでアドミッション Webhook をスキップできるため、Webhook がオプトインの場合にのみオブジェクトセレクターを使用してください。デフォルトは空の LabelSelector で、すべてに一致します。

resourceRules

array

ResourceRules は、ValidatingAdmissionPolicy で照合する、リソース/サブリソースに対する操作を表します。ポリシーは、操作が いずれか のルールに一致する場合、その操作を考慮します。

resourceRules[]

object

NamedRuleWithOperations は、ResourceNames を持つ操作とリソースのタプルです。

apiGroups

array (string)

APIGroups は、リソースが属する API グループです。'' はすべてのグループです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

apiVersions

array (string)

APIVersions は、リソースが属する API バージョンです。'' はすべてのバージョンです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

operations

array (string)

操作は、アドミッションフックが気にする操作です - これらすべての操作および追加される将来のアドミッション操作に対して、CREATE、UPDATE、DELETE、CONNECT、または*。'*' が存在する場合、スライスの長さは 1 でなければなりません。必須。

resourceNames

array (string)

ResourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。

resources

array (string)

リソースは、このルールが適用されるリソースのリストです。

例: 'Pod' は Pod を意味します。'pods/log' は、Pod のログサブリソースを意味します。'' はすべてのリソースを意味しますが、サブリソースは意味しません。'pods/' は、Pod のすべてのサブリソースを意味します。'/scale' は、すべてのスケールサブリソースを意味します。'/*' は、すべてのリソースとそのサブリソースを意味します。

ワイルドカードが存在する場合、検証ルールはリソースが互いに重複しないことを保証します。

囲んでいるオブジェクトによっては、サブリソースが許可されない場合があります。必須。

scope

string

scope は、このルールのスコープを指定します。有効な値は、"Cluster"、"Namespaced"、および "" "クラスター" とは、クラスタースコープのリソースのみがこのルールに一致することを意味します。名前空間 API オブジェクトはクラスタースコープです。"Namespaced" は、名前空間付きのリソースのみがこのルールに一致することを意味します。"" は、スコープの制限がないことを意味します。サブリソースは、親リソースのスコープと一致します。デフォルトは "*" です。

apiGroups

array (string)

APIGroups は、リソースが属する API グループです。'' はすべてのグループです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

apiVersions

array (string)

APIVersions は、リソースが属する API バージョンです。'' はすべてのバージョンです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

operations

array (string)

操作は、アドミッションフックが気にする操作です - これらすべての操作および追加される将来のアドミッション操作に対して、CREATE、UPDATE、DELETE、CONNECT、または*。'*' が存在する場合、スライスの長さは 1 でなければなりません。必須。

resourceNames

array (string)

ResourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。

resources

array (string)

リソースは、このルールが適用されるリソースのリストです。

例: 'Pod' は Pod を意味します。'pods/log' は、Pod のログサブリソースを意味します。'' はすべてのリソースを意味しますが、サブリソースは意味しません。'pods/' は、Pod のすべてのサブリソースを意味します。'/scale' は、すべてのスケールサブリソースを意味します。'/*' は、すべてのリソースとそのサブリソースを意味します。

ワイルドカードが存在する場合、検証ルールはリソースが互いに重複しないことを保証します。

囲んでいるオブジェクトによっては、サブリソースが許可されない場合があります。必須。

scope

string

scope は、このルールのスコープを指定します。有効な値は、"Cluster"、"Namespaced"、および "" "クラスター" とは、クラスタースコープのリソースのみがこのルールに一致することを意味します。名前空間 API オブジェクトはクラスタースコープです。"Namespaced" は、名前空間付きのリソースのみがこのルールに一致することを意味します。"" は、スコープの制限がないことを意味します。サブリソースは、親リソースのスコープと一致します。デフォルトは "*" です。

apiVersion

string

APIVersion は、リソースが属する API グループのバージョンです。形式は "グループ/バージョン" です。必須。

kind

string

Kind は、リソースが属する API の種類です。必須。

expression

string

Expression は、CEL によって評価される式を表します。https://github.com/google/cel-spec を参照してください。CEL 式は、以下に示す CEL 変数に整理された API リクエスト/レスポンスの内容と、その他の便利な変数にアクセスできます。

- 'object' - 受信リクエストのオブジェクト。DELETE リクエストの場合、値は null です。- 'oldObject' - 既存のオブジェクト。CREATE リクエストの場合、値は null です。- 'request' - API リクエストの属性 ([ref](/pkg/apis/admission/types.go#AdmissionRequest))。- 'params' - 評価対象のポリシーバインディングによって参照されるパラメーターリソース。ポリシーに ParamKind がある場合にのみ入力されます。- 'namespaceObject' - 受信オブジェクトが属する namespace オブジェクト。クラスタースコープのリソースの場合、値は null です。- 'variables' - 複合変数のマップ (変数名から遅延評価される値へのマップ)。たとえば、'foo' という名前の変数に、'variables.foo' としてアクセスできます。- 'authorizer' - CEL オーソライザー。リクエストのプリンシパル (ユーザーまたはサービスアカウント) の承認チェックを実行するために使用される場合があります。https://pkg.go.dev/k8s.io/apiserver/pkg/cel/library#Authz - 'authorizer.requestResource' ('authorizer' から構築され、リクエストリソースで設定された CEL ResourceCheck) を参照してください。

apiVersion、kind、metadata.name、および metadata.generateName は、常にオブジェクトのルートからアクセスできます。その他のメタデータプロパティーにはアクセスできません。

[a-zA-Z_.-/][a-zA-Z0-9_.-/]* 形式のプロパティー名にのみアクセスできます。アクセス可能なプロパティー名は、式でアクセスされるときに、次のルールに従ってエスケープされます。- '' は 'underscores' にエスケープされます。- '.' は 'dot' にエスケープされます。- '-' は 'dash' にエスケープされます。- '/' は 'slash' にエスケープされます。- CEL RESERVED キーワードに完全一致するプロパティー名は '{keyword}' にエスケープされます。キーワードは、"true"、"false"、"null"、"in"、"as"、"break"、"const"、"continue"、"else"、"for"、"function"、"if"、"import"、"let"、"loop"、"package"、"namespace"、"return" です。例: - "namespace" という名前のプロパティーにアクセスする式: {"Expression": "object.namespace > 0"} - "x-prop" という名前のプロパティーにアクセスする式: {"Expression": "object.xdashprop > 0"} - "redactd" という名前のプロパティーにアクセスする式: {"Expression": "object.redactunderscoresd > 0"}

リストタイプが 'set' または 'map' である配列が等値の場合、要素の順序は無視されます (つまり [1, 2] == [2, 1])。x-kubernetes-list-type による配列の連結では、リストタイプのセマンティクスを使用します。- 'set': X + Y は、X の全要素の配列位置が保存され、Yの交差のない要素が追加される連結を実施し、部分的な順序を維持します。- 'map': X + Y は、X のすべての鍵の配列位置が保持されますが、X and Y の鍵セットが交差する場合は、これらの値は Y の値により上書きされます。鍵が交差していない Y の要素が追加され、部分的な順序が保持されます。必須。

message

string

message は、検証が失敗したときに表示されるメッセージを表します。式に改行が含まれている場合、メッセージは必須です。メッセージに改行を含めることはできません。設定されていない場合、メッセージは "failed rule: {Rule}" になります。例: "spec.host に一致するホストを含む URL である必要があります"。式に改行が含まれている場合、メッセージは必須です。メッセージに改行を含めることはできません。設定されていない場合、メッセージは "failed Expression: {Expression}" になります。

messageExpression

string

messageExpression は、このルールが失敗した場合に返される検証失敗メッセージを評価する CEL 式を宣言します。messageExpression は失敗メッセージとして使用されるため、文字列として評価される必要があります。検証時に message と messageExpression の両方が存在する場合、検証が失敗したときに messageExpression が使用されます。messageExpression の結果としてランタイムエラーが発生した場合、そのランタイムエラーがログに記録され、messageExpression フィールドが設定されていない場合と同様に検証失敗メッセージが生成されます。messageExpression が空の文字列、スペースのみの文字列、または改行を含む文字列に評価された場合も、messageExpression フィールドが設定されていない場合と同様に検証失敗メッセージが生成され、messageExpression が空の文字列/スペースのみの文字列/改行を含む文字列を生成したことがログに記録されます。messageExpression は、'authorizer' と 'authorizer.requestResource' を除く、expression と同じ変数すべてにアクセスできます。例: "object.x は最大値 ("string (params.max)") より小さくする必要があります"

reason

string

reason は、この検証が失敗した理由を機械可読形式で表します。これがリスト内の失敗した最初の検証である場合、この理由と対応する HTTP レスポンスコードが、クライアントへの HTTP レスポンスで使用されます。現在サポートされている理由は、"Unauthorized"、"Forbidden"、"Invalid"、"RequestEntityTooLarge" です。設定されていない場合は、クライアントへの応答に StatusReasonInvalid が使用されます。

expression

string

Expression は、変数の値として評価される式です。CEL 式は、検証の CEL 式と同じ識別子にアクセスできます。

name

string

Name は変数の名前です。名前は、有効な CEL 識別子であり、すべての変数の中で一意である必要があります。変数には、variables を介して他の式でアクセスできます。たとえば、名前が "foo" 変数は、variables.foo として使用できます。

conditions

array (条件)

conditions は、ポリシーの現在の状態に関する最新の利用可能な観測値を表します。

observedGeneration

integer

コントローラーによって監視される世代。

typeChecking

object

TypeChecking には ValidatingAdmissionPolicy 内の式の型チェックの結果が格納されます。

expressionWarnings

array

各式の型チェックの警告。

expressionWarnings[]

object

ExpressionWarning は特定の式を対象とした警告情報です。

fieldRef

string

式を参照するフィールドへのパス。たとえば、検証の最初の項目である式への参照は、"spec.validations[0].expression" です。

warning

string

人間が判読できる形式の型チェック情報の内容。警告の各行には、式のチェック対象の型と、コンパイラーからの型チェックエラーが含まれています。

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

ValidatingAdmissionPolicyList スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ValidatingAdmissionPolicy スキーマ

200 - OK

ValidatingAdmissionPolicy スキーマ

201 - Created

ValidatingAdmissionPolicy スキーマ

202 - Accepted

ValidatingAdmissionPolicy スキーマ

401 - Unauthorized

空白

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

ValidatingAdmissionPolicy の名前

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

ValidatingAdmissionPolicy スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

ValidatingAdmissionPolicy スキーマ

201 - Created

ValidatingAdmissionPolicy スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ValidatingAdmissionPolicy スキーマ

200 - OK

ValidatingAdmissionPolicy スキーマ

201 - Created

ValidatingAdmissionPolicy スキーマ

401 - Unauthorized

空白

name

string

ValidatingAdmissionPolicy の名前

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

ValidatingAdmissionPolicy の名前

200 - OK

ValidatingAdmissionPolicy スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

ValidatingAdmissionPolicy スキーマ

201 - Created

ValidatingAdmissionPolicy スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ValidatingAdmissionPolicy スキーマ

200 - OK

ValidatingAdmissionPolicy スキーマ

201 - Created

ValidatingAdmissionPolicy スキーマ

401 - Unauthorized

空白

matchResources

object

MatchResources は、一致基準を満たしているかどうかに基づいて、オブジェクトに対してアドミッションコントロールポリシーを実行するかどうかを決定します。除外ルールは包含ルールよりも優先されます (リソースが両方に一致する場合は除外されます)。

paramRef

object

ParamRef は、ポリシーバインディングによって適用されるルールの式への入力として使用するパラメーターを検索する方法を表します。

policyName

string

PolicyName は、ValidatingAdmissionPolicyBinding のバインド先の ValidatingAdmissionPolicy 名を参照します。参照されるリソースが存在しない場合、このバインディングは無効とみなされ、無視されます。必須です。

validationActions

array (string)

validationActions は、参照される ValidatingAdmissionPolicy の検証を適用する方法を宣言します。検証が false と評価された場合、これらのアクションに従って、検証が常に適用されます。

ValidatingAdmissionPolicy の FailurePolicy によって定義された失敗は、FailurePolicy が Fail に設定されている場合にのみ、これらのアクションに従って適用されます。それ以外の場合、失敗は無視されます。これには、コンパイルエラー、ランタイムエラー、ポリシーの誤った設定が含まれます。

validationActions はアクション値のセットとして宣言されます。順序は関係ありません。validationActions に同じアクションを重複して含めることはできません。

サポートされているアクション値は次のとおりです。

"Deny" を指定すると、検証が失敗した場合にリクエストが拒否されます。

"Warn" を指定すると、警告コード 299 とともに、HTTP 警告ヘッダーで検証の失敗がリクエストクライアントに報告されます。許可されたアドミッションレスポンスと拒否されたアドミッションレスポンスの両方に対して警告を送信できます。

"Audit" を指定すると、リクエストに対して公開される監査イベントに検証の失敗が含まれます。監査イベントには、validation.policy.admission.k8s.io/validation_failure 監査アノテーションが、検証失敗の詳細を含む値とともに含まれます。この値は、オブジェクトの JSON リストとしてフォーマットされます。各オブジェクトには次のフィールドが含まれます。- message: 検証失敗メッセージ文字列 - policy: ValidatingAdmissionPolicy のリソース名 - binding: ValidatingAdmissionPolicyBinding のリソース名 - expressionIndex: ValidatingAdmissionPolicy 内の失敗した検証のインデックス - validationActions: 検証の失敗に対して実施された適用アクション。監査アノテーションの例: "validation.policy.admission.k8s.io/validation_failure": "[{"message": "Invalid value", {"policy": "policy.example.com", {"binding": "policybinding.example.com", {"expressionIndex": "1", {"validationActions": ["Audit"]}]"

クライアントは、認識されない値を無視して追加の値を処理することを想定する必要があります。

"Deny" と "Warn" を一緒に使用することはできません。API レスポンスボディーと HTTP 警告ヘッダーで検証の失敗が余計に重複するためです。

必須。

excludeResourceRules

array

ExcludeResourceRules は、ValidatingAdmissionPolicy で考慮しないリソース/サブリソースに対する操作を表します。除外ルールは包含ルールよりも優先されます (リソースが両方に一致する場合は除外されます)。

excludeResourceRules[]

object

NamedRuleWithOperations は、ResourceNames を持つ操作とリソースのタプルです。

matchPolicy

string

matchPolicy は、"MatchResources" リストを使用して受信リクエストを照合する方法を定義します。許可される値は "Exact" または "Equivalent" です。

- Exact: 指定されたルールにリクエストが完全に一致する場合にのみ、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更できても、"rules" に含まれているのが apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは ValidatingAdmissionPolicy に送信されません。

- Equivalent: 別の API グループまたはバージョンを介してでも、ルールにリストされているリソースを変更する場合に、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更でき、"rules" に含まれているのが apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは、apps/v1 に変換され、ValidatingAdmissionPolicy に送信されます。

デフォルトは "Equivalent" です。

使用可能な列挙値: - "Equivalent" は、ルールにリストされているリソースを別の API グループまたはバージョン経由で変更する場合、リクエストが Webhook に送信される必要があることを意味します。- "Exact" は、リクエストが特定のルールに正確に一致する場合にのみ Webhook に送信されることを意味します。

namespaceSelector

LabelSelector

NamespaceSelector は、オブジェクトの namespace がセレクターと一致するかどうかに基づいて、オブジェクトに対してアドミッションコントロールポリシーを実行するかどうかを決定します。オブジェクト自体が namespace である場合、object.metadata.labels に対して照合が実行されます。オブジェクトがクラスタースコープの別のリソースである場合、ポリシーはスキップされません。

たとえば、"0" または "1" の "runlevel" に関連付けられていない namespace のオブジェクトに対して Webhook を実行するには、"namespaceSelector": { "matchExpressions": [ { "key": "runlevel", "operator": "NotIn", "values": [ "0", "1" ] } ] } のようにセレクターを設定します。

代わりに、"prod" または "staging" の "environment" に関連付けられている namespace のオブジェクトに対してのみポリシーを実行する場合は、"namespaceSelector": { "matchExpressions": [ { "key": "environment", "operator": "In", "values": [ "prod", "staging" ] } ] } のようにセレクターを設定します。

ラベルセレクターのその他の例は、https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/ を参照してください。

デフォルトは空の LabelSelector で、すべてに一致します。

objectSelector

LabelSelector

ObjectSelector は、オブジェクトに一致するラベルがあるかどうかに基づいて検証を実行するかどうかを決定します。objectSelector は、cel 検証に送信される oldObject と newObject の両方に対して評価され、いずれかのオブジェクトがセレクターに一致する場合、一致すると見なされます。null オブジェクト (create の場合は oldObject、delete の場合は newObject) またはラベルを持つことができないオブジェクト (DeploymentRollback または PodProxyOptions オブジェクトなど) は一致するとは見なされません。エンドユーザーはラベルを設定することでアドミッション Webhook をスキップできるため、Webhook がオプトインの場合にのみオブジェクトセレクターを使用してください。デフォルトは空の LabelSelector で、すべてに一致します。

resourceRules

array

ResourceRules は、ValidatingAdmissionPolicy で照合する、リソース/サブリソースに対する操作を表します。ポリシーは、操作が いずれか のルールに一致する場合、その操作を考慮します。

resourceRules[]

object

NamedRuleWithOperations は、ResourceNames を持つ操作とリソースのタプルです。

apiGroups

array (string)

APIGroups は、リソースが属する API グループです。'' はすべてのグループです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

apiVersions

array (string)

APIVersions は、リソースが属する API バージョンです。'' はすべてのバージョンです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

operations

array (string)

操作は、アドミッションフックが気にする操作です - これらすべての操作および追加される将来のアドミッション操作に対して、CREATE、UPDATE、DELETE、CONNECT、または*。'*' が存在する場合、スライスの長さは 1 でなければなりません。必須。

resourceNames

array (string)

ResourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。

resources

array (string)

リソースは、このルールが適用されるリソースのリストです。

例: 'Pod' は Pod を意味します。'pods/log' は、Pod のログサブリソースを意味します。'' はすべてのリソースを意味しますが、サブリソースは意味しません。'pods/' は、Pod のすべてのサブリソースを意味します。'/scale' は、すべてのスケールサブリソースを意味します。'/*' は、すべてのリソースとそのサブリソースを意味します。

ワイルドカードが存在する場合、検証ルールはリソースが互いに重複しないことを保証します。

囲んでいるオブジェクトによっては、サブリソースが許可されない場合があります。必須。

scope

string

scope は、このルールのスコープを指定します。有効な値は、"Cluster"、"Namespaced"、および "" "クラスター" とは、クラスタースコープのリソースのみがこのルールに一致することを意味します。名前空間 API オブジェクトはクラスタースコープです。"Namespaced" は、名前空間付きのリソースのみがこのルールに一致することを意味します。"" は、スコープの制限がないことを意味します。サブリソースは、親リソースのスコープと一致します。デフォルトは "*" です。

apiGroups

array (string)

APIGroups は、リソースが属する API グループです。'' はすべてのグループです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

apiVersions

array (string)

APIVersions は、リソースが属する API バージョンです。'' はすべてのバージョンです。もしも '' が存在する場合、スライスの長さは 1 でなければなりません。必須。

operations

array (string)

操作は、アドミッションフックが気にする操作です - これらすべての操作および追加される将来のアドミッション操作に対して、CREATE、UPDATE、DELETE、CONNECT、または*。'*' が存在する場合、スライスの長さは 1 でなければなりません。必須。

resourceNames

array (string)

ResourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。

resources

array (string)

リソースは、このルールが適用されるリソースのリストです。

例: 'Pod' は Pod を意味します。'pods/log' は、Pod のログサブリソースを意味します。'' はすべてのリソースを意味しますが、サブリソースは意味しません。'pods/' は、Pod のすべてのサブリソースを意味します。'/scale' は、すべてのスケールサブリソースを意味します。'/*' は、すべてのリソースとそのサブリソースを意味します。

ワイルドカードが存在する場合、検証ルールはリソースが互いに重複しないことを保証します。

囲んでいるオブジェクトによっては、サブリソースが許可されない場合があります。必須。

scope

string

scope は、このルールのスコープを指定します。有効な値は、"Cluster"、"Namespaced"、および "" "クラスター" とは、クラスタースコープのリソースのみがこのルールに一致することを意味します。名前空間 API オブジェクトはクラスタースコープです。"Namespaced" は、名前空間付きのリソースのみがこのルールに一致することを意味します。"" は、スコープの制限がないことを意味します。サブリソースは、親リソースのスコープと一致します。デフォルトは "*" です。

name

string

name は、参照されるリソースの名前です。

name または selector のいずれかを設定する必要があります。ただし、name と selector は相互に排他的なプロパティーです。一方が設定されている場合、もう一方を設定解除する必要があります。

name フィールドを設定し、selector を空白のままにして、paramKind が namespace スコープの場合は namespace を設定することで、すべてのアドミッションリクエストに使用される単一のパラメーターを設定できます。

namespace

string

namespace は、参照されるリソースの namespace です。パラメーターの検索を特定の namespace に制限できます。name フィールドと selector フィールドの両方に適用されます。

ポリシーで namespace スコープの paramKind を指定し、このフィールドを空のままにしておくと、namespace ごとのパラメーターを使用できます。

- paramKind がクラスタースコープの場合、このフィールドを設定解除する必要があります。このフィールドを設定すると、設定エラーが発生します。

- paramKind が namespace スコープの場合、このフィールドが設定されていないと、アドミッションのために評価されるオブジェクトの namespace が使用されます。これを空のままにすると、バインディングがクラスタースコープのリソースと一致しなくなり、エラーが発生するので注意してください。

parameterNotFoundAction

string

parameterNotFoundAction は、リソースが存在し、name または selector が有効であるが、バインディングに一致するパラメーターがない場合のバインディングの動作を制御します。値を Allow に設定すると、一致するパラメーターがない場合、バインディングによって検証が成功したものとして扱われます。Deny に設定すると、一致したパラメーターがポリシーの failurePolicy の対象になりません。

許可される値は Allow または Deny です。

必須

selector

LabelSelector

selector を使用すると、ラベルに基づいて複数のパラメーターオブジェクトを一致させることができます。ParamKind のすべてのリソースに一致させるには、selector: {} を指定します。

複数のパラメーターが見つかった場合、それらはすべてポリシー式で評価され、結果が AND 演算されます。

name または selector のいずれかを設定する必要があります。ただし、name と selector は相互に排他的なプロパティーです。一方が設定されている場合、もう一方を設定解除する必要があります。

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

401 - Unauthorized

空白

200 - OK

ValidatingAdmissionPolicyBindingList スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ValidatingAdmissionPolicyBinding スキーマ

200 - OK

ValidatingAdmissionPolicyBinding スキーマ

201 - Created

ValidatingAdmissionPolicyBinding スキーマ

202 - Accepted

ValidatingAdmissionPolicyBinding スキーマ

401 - Unauthorized

空白

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

name

string

ValidatingAdmissionPolicyBinding の名前

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

200 - OK

Status スキーマ

202 - Accepted

Status スキーマ

401 - Unauthorized

空白

200 - OK

ValidatingAdmissionPolicyBinding スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

200 - OK

ValidatingAdmissionPolicyBinding スキーマ

201 - Created

ValidatingAdmissionPolicyBinding スキーマ

401 - Unauthorized

空白

dryRun

string

これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ValidatingAdmissionPolicyBinding スキーマ

200 - OK

ValidatingAdmissionPolicyBinding スキーマ

201 - Created

ValidatingAdmissionPolicyBinding スキーマ

401 - Unauthorized

空白

name

string

ValidatingAdmissionPolicyBinding の名前

200 - OK

WatchEvent スキーマ

401 - Unauthorized

空白

admissionReviewVersions

array (string)

AdmissionReviewVersions は、Webhook が期待する優先 AdmissionReview バージョンの順序付きリストです。API サーバーは、サポートするリストの最初のバージョンを使用しようとします。このリストで指定されたバージョンのいずれも API サーバーでサポートされていない場合、このオブジェクトの検証は失敗します。永続化された Webhook 設定で許可されたバージョンが指定され、API サーバーに認識されているバージョンが含まれていない場合、Webhook の呼び出しは失敗し、失敗ポリシーの対象となります。

clientConfig

object

WebhookClientConfig には、Webhook との TLS 接続を確立するための情報が含まれています

failurePolicy

string

FailurePolicy は、アドミッションエンドポイントからの認識されないエラーの処理方法を定義します。許可される値は Ignore または Fail です。デフォルトは Fail です。

使用可能な列挙値: - "Fail" は、Webhook 呼び出しエラーにより受付が失敗することを意味します。- "Ignore" は、Webhook を呼び出すエラーが無視されることを意味します。

matchConditions

array

MatchConditions は、この Webhook にリクエストを送信するために満たす必要がある条件のリストです。matchConditions は、ルール、namespaceSelector、および objectSelector ですでに一致しているリクエストをフィルター処理します。matchConditions の空のリストは、すべてのリクエストに一致します。最大 64 個の一致条件が使用できます。

正確な一致ロジック (処理順序) は次のとおりです。1. いずれかの matchCondition が FALSE と評価された場合、Webhook はスキップされます。2. すべての matchConditions が TRUE と評価された場合、Webhook が呼び出されます。3. いずれかの matchCondition がエラーと評価された場合 (ただし、どれも FALSE ではない): - failurePolicy=Fail の場合、リクエストは拒否されます。- failurePolicy=Ignore の場合、エラーは無視され、Webhook はスキップされます。

matchConditions[]

object

MatchCondition は、リクエストが Webhook に送信されるために満たされる必要がある条件を表します。

matchPolicy

string

matchPolicy は、"rules" リストを使用して受信リクエストを照合する方法を定義します。許可される値は "Exact" または "Equivalent" です。

- Exact: 指定されたルールにリクエストが完全に一致する場合にのみ、リクエストを一致させます。たとえば、apps/v1、apps/v1beta1、extensions/v1beta1 を介してデプロイメントを変更できても、"rules" に含まれているのが apiGroups:["apps"], apiVersions:["v1"], resources: ["deployments"] だけである場合、apps/v1beta1 または extensions/v1beta1 へのリクエストは Webhook に送信されません。