第4章 セキュリティー API
4.1. SecurityContextConstraints [security.openshift.io/v1]
- 説明
- SecurityContextConstraints (SCC) は、コンテナーに適用される SecurityContext に影響を与える要求を行う機能を管理します。security.openshift.io グループを使用して、SecurityContextConstraints を管理します。互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- 型
-
object - 必須
-
allowHostDirVolumePlugin -
allowHostIPC -
allowHostNetwork -
allowHostPID -
allowHostPorts -
allowPrivilegedContainer -
readOnlyRootFilesystem
-
4.1.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| AllowHostDirVolumePlugin は、ポリシーがコンテナーに HostDir ボリュームプラグインの使用を許可するかどうかを決定します |
|
|
| AllowHostIPC は、ポリシーがコンテナー内のホスト ipc を許可するかどうかを決定します。 |
|
|
| AllowHostNetwork は、ポリシーが Pod 仕様で HostNetwork の使用を許可するかどうかを決定します。 |
|
|
| AllowHostPID は、ポリシーがコンテナー内のホスト pid を許可するかどうかを決定します。 |
|
|
| AllowHostPorts は、ポリシーがコンテナー内のホストポートを許可するかどうかを決定します。 |
|
| `` | AllowPrivilegeEscalation は、Pod が特権の昇格を許可するように要求できるかどうかを決定します。指定しない場合は、デフォルトで true になります。 |
|
|
| AllowPrivilegedContainer は、コンテナーが特権としての実行を要求できるかどうかを判別します。 |
|
| `` | AllowedCapabilities は、コンテナーに追加するように要求できる機能のリストです。このフィールドの機能は、Pod 作成者の判断で追加される場合があります。AllowedCapabilities と RequiredDropCapabilities の両方に機能を追加することはできません。すべての機能を許可するには、'*' を使用できます。 |
|
| `` | AllowedFlexVolumes は、許可された Flexvolume のホワイトリストです。空または nil は、すべての Flexvolume を使用できることを示します。このパラメーターは、"Volumes" フィールドで Flexvolumes の使用が許可されている場合にのみ有効です。 |
|
| `` | AllowedUnsafeSysctls は、明示的に許可された安全でない sysctl のリストであり、デフォルトは none です。各エントリーは、プレーンな sysctl 名であるか、"" で終わります。この場合は、許可された sysctl の接頭辞と見なされます。1 つの * は、すべての安全でない sysctl が許可されることを意味します。Kubelet は、拒否を回避するために、許可されているすべての安全でない sysctl を明示的にホワイトリストに登録する必要があります。例: たとえば、"foo/" は、"foo/bar"、"foo/baz" などを許可し、"foo.*" は、"foo.bar"、"foo.baz" などを許可します。 |
|
|
| APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
| `` | DefaultAddCapabilities は、Pod 仕様で機能が明確に削除されない限り、コンテナーに追加されるデフォルトの機能セットです。DefaultAddCapabilities と RequiredDropCapabilities の両方に機能をリストすることはできません。 |
|
| `` | DefaultAllowPrivilegeEscalation は、プロセスが親プロセスよりも多くの特権を取得できるかどうかのデフォルト設定を制御します。 |
|
| `` | ForbiddenSysctls は、明示的に禁止されている sysctl のリストであり、デフォルトは none です。各エントリーは、プレーンな sysctl 名であるか、"" で終わります。この場合は、禁止されている sysctl の接頭辞と見なされます。1 つの * は、すべての sysctl が禁止されていることを意味します。例: たとえば、"foo/" は、"foo/bar"、"foo/baz" などを禁止し、"foo.*" は、"foo.bar"、"foo.baz" などを禁止します。 |
|
| `` | FSGroup は、SecurityContext によって使用される fs グループを決定する戦略です。 |
|
| `` | このセキュリティーコンテキスト制約を使用する権限を持つグループ |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これを更新することはできません。CamelCase の場合、詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
|
|
| 標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 |
|
| `` | 優先度は、Users フィールドおよび Groups フィールドのアクセスに基づいて、特定の Pod 要求に対して最初に試行する SCC を評価するときに SCC の並べ替え順序に影響を与えます。int が高いほど、優先度が高くなります。値を設定しないと、優先度が 0 と見なされます。複数の SCC のスコアが等しい場合は、最も制限の厳しいものから最も制限の少ないものへと並び替えられます。優先度および制限のどちらも等しい場合、SCC は名前順に並べ替えられます。 |
|
|
| ReadOnlyRootFilesystem を true に設定すると、コンテナーは読み取り専用のルートファイルシステムで実行します。コンテナーが読み取り専用ではないルートファイルシステムでの実行を特に要求する場合、SCC は Pod を拒否する必要があります。false に設定すると、コンテナーは必要に応じて読み取り専用のルートファイルシステムで実行できますが、強制されることはありません。 |
|
| `` | RequiredDropCapabilities は、コンテナーからドロップされる機能です。これらは削除する必要があり、追加することはできません。 |
|
| `` | RunAsUser は、SecurityContext で使用される RunAsUser を決定する戦略です。 |
|
| `` | SELinuxContext は、SecurityContext に設定されるラベルを指示する戦略です。 |
|
| `` | SeccompProfiles は、Pod またはコンテナーの seccomp アノテーションに設定できる許可されるプロファイルを一覧表示します。未設定 (nil) または空の値は、Pod またはコンテナーによってプロファイルを指定できないことを意味します。ワイルドカード '*' を使用して、すべてのプロファイルを許可できます。Pod の値を生成するために使用される場合は、最初のワイルドカード以外のプロファイルがデフォルトとして使用されます。 |
|
| `` | SupplementalGroups は、SecurityContext によって使用される補足グループを指示する戦略です。 |
|
| `` | このセキュリティーコンテキストの制約を使用する権限を持つユーザー |
|
| `` | ボリュームは、許可されたボリュームプラグインのホワイトリストです。FSType は、VolumeSource のフィールド名 (azureFile、configMap、emptyDir) に直接対応します。すべてのボリュームを許可するには、"*" を使用できます。ボリュームを許可しない場合は、["none"] に設定します。 |
4.1.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/security.openshift.io/v1/securitycontextconstraints-
DELETE: SecurityContextConstraints のコレクションを削除する -
GET: SecurityContextConstraints 種類のオブジェクトを一覧表示する -
POST: SecurityContextConstraints を作成する
-
/apis/security.openshift.io/v1/watch/securitycontextconstraints-
GET: SecurityContextConstraints のリストに対する個々の変更を監視します。非推奨です。代わりに、リスト操作で watch パラメーターを使用してください。
-
/apis/security.openshift.io/v1/securitycontextconstraints/{name}-
DELETE: SecurityContextConstraints を削除する -
GET: 指定された SecurityContextConstraints を読み取る -
PATCH: 指定された SecurityContextConstraints を部分的に更新する -
PUT: 指定された SecurityContextConstraints を置き換える
-
/apis/security.openshift.io/v1/watch/securitycontextconstraints/{name}-
GET: SecurityContextConstraints 種類のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で watch パラメーターを使用し、fieldSelector パラメーターで単一の項目にフィルター処理します。
-
4.1.2.1. /apis/security.openshift.io/v1/securitycontextconstraints
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| true の場合は、出力がきれいに印刷されます。 |
- HTTP メソッド
-
DELETE - 説明
- SecurityContextConstraints のコレクションを削除します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| allowWatchBookmarks は、タイプが BOOKMARK の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返されると想定したり、サーバーがセッション中に BOOKMARK イベントを送信すると想定したりすることはできません。これが watch でない場合は、このフィールドが無視されます。 |
|
|
| サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で前のクエリー結果からの continue 値のみを使用でき、サーバーは認識しない continue 値を拒否できます。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。それ以外の場合は、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから始まるため、以前のリスト結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。 watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。 |
|
|
| 返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。 |
|
|
| 返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。 |
|
|
| limit は、リスト呼び出しに対して返される応答の最大数です。さらにアイテムが存在する場合、サーバーはリストメタデータの continue フィールドを、同じ初期クエリーで使用して次の結果セットを取得できる値に設定します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしないことを選択でき、利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。 サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、制限を使用して非常に大きな結果の小さなチャンクを受信するクライアントが、すべての可能なオブジェクトを確実に表示できるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。 |
|
|
| resourceVersion は、リクエストが提供される可能性のあるリソースバージョンに制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| リスト/ウォッチコールのタイムアウト。これにより、アクティビティーまたは非アクティブに関係なく、通話時間が制限されます。 |
|
|
| 説明されているリソースへの変更を監視し、それらを追加、更新、および削除の通知のストリームとして返します。resourceVersion を指定します。 |
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- SecurityContextConstraints 種類のオブジェクトを一覧表示します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| allowWatchBookmarks は、タイプが BOOKMARK の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返されると想定したり、サーバーがセッション中に BOOKMARK イベントを送信すると想定したりすることはできません。これが watch でない場合は、このフィールドが無視されます。 |
|
|
| サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で前のクエリー結果からの continue 値のみを使用でき、サーバーは認識しない continue 値を拒否できます。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。それ以外の場合は、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから始まるため、以前のリスト結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。 watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。 |
|
|
| 返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。 |
|
|
| 返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。 |
|
|
| limit は、リスト呼び出しに対して返される応答の最大数です。さらにアイテムが存在する場合、サーバーはリストメタデータの continue フィールドを、同じ初期クエリーで使用して次の結果セットを取得できる値に設定します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしないことを選択でき、利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。 サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、制限を使用して非常に大きな結果の小さなチャンクを受信するクライアントが、すべての可能なオブジェクトを確実に表示できるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。 |
|
|
| resourceVersion は、リクエストが提供される可能性のあるリソースバージョンに制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| リスト/ウォッチコールのタイムアウト。これにより、アクティビティーまたは非アクティブに関係なく、通話時間が制限されます。 |
|
|
| 説明されているリソースへの変更を監視し、それらを追加、更新、および削除の通知のストリームとして返します。resourceVersion を指定します。 |
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
POST - 説明
- SecurityContextConstraints を作成します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これが指定されている場合は、変更を永続化してはならないことを示します。無効または認識されない dryRun ディレクティブは、エラーレスポンスを引き起こし、リクエストをそれ以上処理しません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。 |
|
|
| fieldValidation は、`ServerSideFieldValidation` 機能ゲートも有効になっている場合に、不明または重複するフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` 機能ゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された未知のフィールドと、検出された重複したフィールごとに、標準の警告レスポンスヘッダーを介して警告を送ります。他にエラーがなければリクエストは成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` 機能ゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空白 |
4.1.2.2. /apis/security.openshift.io/v1/watch/securitycontextconstraints
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| allowWatchBookmarks は、タイプが BOOKMARK の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返されると想定したり、サーバーがセッション中に BOOKMARK イベントを送信すると想定したりすることはできません。これが watch でない場合は、このフィールドが無視されます。 |
|
|
| サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で前のクエリー結果からの continue 値のみを使用でき、サーバーは認識しない continue 値を拒否できます。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。それ以外の場合は、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから始まるため、以前のリスト結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。 watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。 |
|
|
| 返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。 |
|
|
| 返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。 |
|
|
| limit は、リスト呼び出しに対して返される応答の最大数です。さらにアイテムが存在する場合、サーバーはリストメタデータの continue フィールドを、同じ初期クエリーで使用して次の結果セットを取得できる値に設定します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしないことを選択でき、利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。 サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、制限を使用して非常に大きな結果の小さなチャンクを受信するクライアントが、すべての可能なオブジェクトを確実に表示できるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。 |
|
|
| true の場合は、出力がきれいに印刷されます。 |
|
|
| resourceVersion は、リクエストが提供される可能性のあるリソースバージョンに制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| リスト/ウォッチコールのタイムアウト。これにより、アクティビティーまたは非アクティブに関係なく、通話時間が制限されます。 |
|
|
| 説明されているリソースへの変更を監視し、それらを追加、更新、および削除の通知のストリームとして返します。resourceVersion を指定します。 |
- HTTP メソッド
-
GET - 説明
- SecurityContextConstraints のリストに対する個々の変更を監視します。非推奨です。代わりに、リスト操作で watch パラメーターを使用してください。
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
4.1.2.3. /apis/security.openshift.io/v1/securitycontextconstraints/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| SecurityContextConstraints の名前 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| true の場合は、出力がきれいに印刷されます。 |
- HTTP メソッド
-
DELETE - 説明
- SecurityContextConstraints を削除します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これが指定されている場合は、変更を永続化してはならないことを示します。無効または認識されない dryRun ディレクティブは、エラーレスポンスを引き起こし、リクエストをそれ以上処理しません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| オブジェクトが削除されるまでの時間 (秒)。値は負の値ではない整数にする必要があります。値をゼロに指定すると、ただちに削除されます。この値が nil の場合は、指定されたタイプのデフォルトの猶予期間が使用されます。指定しない場合は、デフォルトでオブジェクトごとの値になります。ゼロはすぐに削除することを意味します。 |
|
|
| 非推奨。PropagationPolicy を使用してください。このフィールドは 1.7 で非推奨となります。依存オブジェクトが孤立している必要があります。true/false の場合は、孤立したファイナライザーがオブジェクトのファイナライザー一覧で追加/削除されます。このフィールドまたは PropagationPolicy のいずれかを設定できますが、両方を設定することはできません。 |
|
|
| ガベージコレクションが実行されるかどうか、およびその方法。このフィールドまたは OrphanDependents のどちらかを設定できますが、両方を設定することはできません。デフォルトポリシーは、metadata.finalizers に設定されている既存のファイナライザーとリソース固有のデフォルトポリシーによって決定されます。許容値は次のとおりです。'Orphan' - 依存を削除して孤立させます。'Background' - ガベージコレクターがバックグラウンドで依存関係を削除できるようにします。'Foreground' - フォアグラウンド内のすべての依存関係を削除するカスケードポリシーです。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 指定された SecurityContextConstraints を読み込みます。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| resourceVersion は、リクエストが提供される可能性のあるリソースバージョンに制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された SecurityContextConstraints を部分的に更新します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これが指定されている場合は、変更を永続化してはならないことを示します。無効または認識されない dryRun ディレクティブは、エラーレスポンスを引き起こし、リクエストをそれ以上処理しません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。 |
|
|
| fieldValidation は、`ServerSideFieldValidation` 機能ゲートも有効になっている場合に、不明または重複するフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` 機能ゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された未知のフィールドと、検出された重複したフィールごとに、標準の警告レスポンスヘッダーを介して警告を送ります。他にエラーがなければリクエストは成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` 機能ゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された SecurityContextConstraints を置き換えます。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これが指定されている場合は、変更を永続化してはならないことを示します。無効または認識されない dryRun ディレクティブは、エラーレスポンスを引き起こし、リクエストをそれ以上処理しません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。 |
|
|
| fieldValidation は、`ServerSideFieldValidation` 機能ゲートも有効になっている場合に、不明または重複するフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` 機能ゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された未知のフィールドと、検出された重複したフィールごとに、標準の警告レスポンスヘッダーを介して警告を送ります。他にエラーがなければリクエストは成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` 機能ゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空白 |
4.1.2.4. /apis/security.openshift.io/v1/watch/securitycontextconstraints/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| SecurityContextConstraints の名前 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| allowWatchBookmarks は、タイプが BOOKMARK の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返されると想定したり、サーバーがセッション中に BOOKMARK イベントを送信すると想定したりすることはできません。これが watch でない場合は、このフィールドが無視されます。 |
|
|
| サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で前のクエリー結果からの continue 値のみを使用でき、サーバーは認識しない continue 値を拒否できます。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。それ以外の場合は、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから始まるため、以前のリスト結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。 watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。 |
|
|
| 返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。 |
|
|
| 返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。 |
|
|
| limit は、リスト呼び出しに対して返される応答の最大数です。さらにアイテムが存在する場合、サーバーはリストメタデータの continue フィールドを、同じ初期クエリーで使用して次の結果セットを取得できる値に設定します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしないことを選択でき、利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。 サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、制限を使用して非常に大きな結果の小さなチャンクを受信するクライアントが、すべての可能なオブジェクトを確実に表示できるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。 |
|
|
| true の場合は、出力がきれいに印刷されます。 |
|
|
| resourceVersion は、リクエストが提供される可能性のあるリソースバージョンに制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| リスト/ウォッチコールのタイムアウト。これにより、アクティビティーまたは非アクティブに関係なく、通話時間が制限されます。 |
|
|
| 説明されているリソースへの変更を監視し、それらを追加、更新、および削除の通知のストリームとして返します。resourceVersion を指定します。 |
- HTTP メソッド
-
GET - 説明
- SecurityContextConstraints 種類のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で watch パラメーターを使用し、fieldSelector パラメーターで単一の項目にフィルター処理します。
| HTTP コード | レスポンス本文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
