24.2. SecurityContextConstraints [security.openshift.io/v1]
- 説明
- SecurityContextConstraints は、コンテナーに適用される SecurityContext に影響を与える要求を行う機能を管理します。歴史的な理由から、SCC はコア KubernetesAPI グループの下で公開されていました。このエクスポージャーは非推奨であり、将来のリリースで削除される予定です。代わりに、ユーザーは security.openshift.io グループを使用して SecurityContextConstraints を管理する必要があります。互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- 型
-
object - 必須
-
allowHostDirVolumePlugin -
allowHostIPC -
allowHostNetwork -
allowHostPID -
allowHostPorts -
allowPrivilegedContainer -
readOnlyRootFilesystem
-
24.2.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| AllowHostDirVolumePlugin は、ポリシーがコンテナーに HostDir ボリュームプラグインの使用を許可するかどうかを決定します |
|
|
| AllowHostIPC は、ポリシーがコンテナー内のホスト ipc を許可するかどうかを決定します。 |
|
|
| AllowHostNetwork は、ポリシーが Pod 仕様で HostNetwork の使用を許可するかどうかを決定します。 |
|
|
| AllowHostPID は、ポリシーがコンテナー内のホスト pid を許可するかどうかを決定します。 |
|
|
| AllowHostPorts は、ポリシーがコンテナー内のホストポートを許可するかどうかを決定します。 |
|
| `` | AllowPrivilegeEscalation は、Pod が特権の昇格を許可するように要求できるかどうかを決定します。指定しない場合は、デフォルトで true になります。 |
|
|
| AllowPrivilegedContainer は、コンテナーが特権としての実行を要求できるかどうかを判別します。 |
|
| `` | AllowedCapabilities は、コンテナーに追加するように要求できる機能のリストです。このフィールドの機能は、Pod 作成者の判断で追加される場合があります。AllowedCapabilities と RequiredDropCapabilities の両方に機能を追加することはできません。すべての機能を許可するには、'*' を使用できます。 |
|
| `` | AllowedFlexVolumes は、許可された Flexvolume のホワイトリストです。空または nil は、すべての Flexvolume を使用できることを示します。このパラメーターは、"Volumes" フィールドで Flexvolumes の使用が許可されている場合にのみ有効です。 |
|
| `` | AllowedUnsafeSysctls は、明示的に許可された安全でない sysctl のリストであり、デフォルトは none です。各エントリーは、プレーンな sysctl 名であるか、"" で終わります。この場合は、許可された sysctl の接頭辞と見なされます。1 つの * は、すべての安全でない sysctl が許可されることを意味します。Kubelet は、拒否を回避するために、許可されているすべての安全でない sysctl を明示的にホワイトリストに登録する必要があります。例: たとえば、"foo/" は、"foo/bar"、"foo/baz" などを許可し、"foo.*" は、"foo.bar"、"foo.baz" などを許可します。 |
|
|
| APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
| `` | DefaultAddCapabilities は、Pod 仕様で機能が明確に削除されない限り、コンテナーに追加されるデフォルトの機能セットです。DefaultAddCapabilities と RequiredDropCapabilities の両方に機能をリストすることはできません。 |
|
| `` | DefaultAllowPrivilegeEscalation は、プロセスが親プロセスよりも多くの特権を取得できるかどうかのデフォルト設定を制御します。 |
|
| `` | ForbiddenSysctls は、明示的に禁止されている sysctl のリストであり、デフォルトは none です。各エントリーは、プレーンな sysctl 名であるか、"" で終わります。この場合は、禁止されている sysctl の接頭辞と見なされます。1 つの * は、すべての sysctl が禁止されていることを意味します。例: たとえば、"foo/" は、"foo/bar"、"foo/baz" などを禁止し、"foo.*" は、"foo.bar"、"foo.baz" などを禁止します。 |
|
| `` | FSGroup は、SecurityContext によって使用される fs グループを決定するストラテジーです。 |
|
| `` | このセキュリティーコンテキスト制約を使用する権限を持つグループ |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。更新はできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
|
| 標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
| `` | 優先度は、Users フィールドおよび Groups フィールドのアクセスに基づいて、特定の Pod 要求に対して最初に試行する SCC を評価するときに SCC の並べ替え順序に影響を与えます。int が高いほど、優先度が高くなります。値を設定しないと、優先度が 0 と見なされます。複数の SCC のスコアが等しい場合は、最も制限の厳しいものから最も制限の少ないものへと並び替えられます。優先度および制限のどちらも等しい場合、SCC は名前順に並べ替えられます。 |
|
|
| ReadOnlyRootFilesystem を true に設定すると、コンテナーは読み取り専用のルートファイルシステムで実行します。コンテナーが読み取り専用ではないルートファイルシステムでの実行を特に要求する場合、SCC は Pod を拒否する必要があります。false に設定すると、コンテナーは必要に応じて読み取り専用のルートファイルシステムで実行できますが、強制されることはありません。 |
|
| `` | RequiredDropCapabilities は、コンテナーから削除するケイパビリティーです。これらは削除する必要があり、追加はできません。 |
|
| `` | RunAsUser は、SecurityContext で使用される RunAsUser を決定するストラテジーです。 |
|
| `` | SELinuxContext は、SecurityContext に設定されるラベルを指示するストラテジーです。 |
|
| `` | SeccompProfiles は、Pod またはコンテナーの seccomp アノテーションに設定できる許可されるプロファイルをリスト表示します。未設定 (nil) または空の値は、Pod またはコンテナーによってプロファイルを指定できないことを意味します。ワイルドカード '*' を使用して、すべてのプロファイルを許可できます。Pod の値を生成するために使用される場合は、最初のワイルドカード以外のプロファイルがデフォルトとして使用されます。 |
|
| `` | SupplementalGroups は、SecurityContext によって使用される補足グループを指示するストラテジーです。 |
|
| `` | このセキュリティーコンテキストの制約を使用する権限を持つユーザー |
|
| `` | ボリュームは、許可されたボリュームプラグインのホワイトリストです。FSType は、VolumeSource のフィールド名 (azureFile、configMap、emptyDir) に直接対応します。すべてのボリュームを許可するには、"*" を使用できます。ボリュームを許可しない場合は、["none"] に設定します。 |
24.2.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/security.openshift.io/v1/securitycontextconstraints-
DELETE: SecurityContextConstraints のコレクションを削除します。 -
GET: Kind が SecurityContextConstraints のオブジェクトを一覧表示します。 -
POST: SecurityContextConstraints を作成します。
-
/apis/security.openshift.io/v1/securitycontextconstraints/{name}-
DELETE: SecurityContextConstraints を削除します。 -
GET: 指定された SecurityContextConstraints を読み取ります。 -
PATCH: 指定された SecurityContextConstraints を部分的に更新します。 -
PUT: 指定された SecurityContextConstraints を置き換えます。
-
24.2.2.1. /apis/security.openshift.io/v1/securitycontextconstraints
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| true の場合は、出力が整形表示 (Pretty-print) されます。 |
- HTTP メソッド
-
DELETE - 説明
- SecurityContextConstraints のコレクションを削除します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| allowWatchBookmarks は、タイプが BOOKMARK の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返される、またはサーバーがセッション中に BOOKMARK イベントを送信すると想定するべきではありません。これが watch でない場合は、このフィールドが無視されます。 |
|
|
| サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で、以前のクエリー結果からの continue 値のみを使用でき、サーバーは認識できない continue 値を拒否する可能性があります。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。必要としない場合、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから取得するため、以前のリストの結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。 watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。 |
|
|
| 返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。 |
|
|
| 返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。 |
|
|
| limit は、リスト呼び出しに対して返される応答の最大数です。他にもアイテムが存在する場合は、サーバーは、リストのメタデータ上の `continue` フィールドを、同じ初期クエリーで使用できる値に設定して、次の結果セットを取得します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしない場合もあり、その場合は利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。 サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、limit を使用して非常にサイズの大きい結果が小さめのチャンクに分けて受信することで、考えられるオブジェクトがすべて表示されるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。 |
|
|
| resourceVersion は、要求を処理できるリソースのバージョンに関する制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| `sendInitialEvents=true` may be set together with `watch=true`.その場合、監視ストリームは合成イベントで始まり、コレクション内のオブジェクトの現在の状態を生成します。このようなイベントがすべて送信されると、合成的 "Bookmark" イベントが送信されます。ブックマークはオブジェクトのセットに対応する ResourceVersion (RV) を報告し、`"k8s.io/initial-events-end": "true"` アノテーションが付けられます。その後、監視ストリームは通常どおり続行され、(RV に続く) 変更に対応する監視イベントが監視対象のオブジェクトに送信されます。 'sendInitialEvents' オプションが設定されている場合、resourceVersionMatch オプションも設定する必要があります。監視リクエストのセマンティクスとして、`resourceVersionMatch` = NotOlderThan は、最低でも、指定された `resourceVersion` と同程度に新しいデータとして解釈され、最低でも状態が ListOptions が指定したものと同程度に新しい `resourceVersion` に同期される場合にブックバークイベントが送信されます。 `resourceVersion` が設定されていない場合、"consistent read" として解釈され、少なくともリクエストの処理が開始された瞬間までの状態が同期されると、ブックマークイベントが送信されます。- `resourceVersionMatch` を他の値に設定するか、未設定にすると、無効なエラーが返されます。 `resourceVersion=""` または `resourceVersion="0"` (下位互換性の目的) の場合、デフォルトは true、それ以外の場合は false です。 |
|
|
| リスト/ウォッチ呼び出しのタイムアウト。これにより、アクティビティーの有無に関係なく、呼び出し時間が制限されます。 |
|
|
| 記述されたリソースへの変更を監視し、追加、更新、および削除通知のストリームとして返します。resourceVersion を指定します。 |
| HTTP コード | 応答本文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- Kind が SecurityContextConstraints のオブジェクトを一覧表示します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| allowWatchBookmarks は、タイプが BOOKMARK の監視イベントを要求します。ブックマークを実装していないサーバーはこのフラグを無視する可能性があり、ブックマークはサーバーの判断で送信されます。クライアントは、ブックマークが特定の間隔で返される、またはサーバーがセッション中に BOOKMARK イベントを送信すると想定するべきではありません。これが watch でない場合は、このフィールドが無視されます。 |
|
|
| サーバーからさらに結果を取得する場合は、continue オプションを設定する必要があります。この値はサーバー定義であるため、クライアントは同じクエリーパラメーター (continue の値を除く) で、以前のクエリー結果からの continue 値のみを使用でき、サーバーは認識できない continue 値を拒否する可能性があります。指定された continue の値が有効期限切れ (通常 5-15 分) やサーバーでの設定変更により無効となった場合、サーバーは 410 ResourceExpired エラーと continue トークンを返します。クライアントが一貫性のあるリストを必要とする場合は、続行フィールドなしでリストを再起動する必要があります。必要としない場合、クライアントは 410 エラーで受信したトークンを使用して別のリスト要求を送信できます。サーバーは次のキーから始まるリストで応答しますが、最新のスナップショットから取得するため、以前のリストの結果とは矛盾します。作成、変更、または削除されたオブジェクトは、キーが「次のキー」の後にある限り応答に含まれます。 watch が true の場合、このフィールドはサポートされません。クライアントは、サーバーから返された最後の resourceVersion 値から監視を開始し、変更を見逃すことはありません。 |
|
|
| 返されるオブジェクトのリストをフィールドごとに制限するセレクター。デフォルトは everything です。 |
|
|
| 返されるオブジェクトのリストをラベルで制限するためのセレクター。デフォルトは everything です。 |
|
|
| limit は、リスト呼び出しに対して返される応答の最大数です。他にもアイテムが存在する場合は、サーバーは、リストのメタデータ上の `continue` フィールドを、同じ初期クエリーで使用できる値に設定して、次の結果セットを取得します。制限を設定すると、要求されたすべてのオブジェクトが除外された場合に、要求された量より少ないアイテム (最大 0 個のアイテム) が返される場合があります。クライアントは、続行フィールドの存在のみを使用して、より多くの結果が利用可能かどうかを判断する必要があります。サーバーは limit 引数をサポートしない場合もあり、その場合は利用可能なすべての結果を返します。制限が指定され、続行フィールドが空の場合、クライアントはこれ以上結果が利用できないと想定する場合があります。watch が true の場合、このフィールドはサポートされません。 サーバーは、continue を使用したときに返されるオブジェクトが、制限なしで単一のリスト呼び出しを発行するのと同じであることを保証します。つまり、最初の要求が発行された後に作成、変更、または削除されたオブジェクトは、後続の継続要求に含まれません。これは、一貫性のあるスナップショットと呼ばれることもあり、limit を使用して非常にサイズの大きい結果が小さめのチャンクに分けて受信することで、考えられるオブジェクトがすべて表示されるようにします。チャンクリスト中にオブジェクトが更新された場合は、最初のリスト結果が計算されたときに存在していたオブジェクトのバージョンが返されます。 |
|
|
| resourceVersion は、要求を処理できるリソースのバージョンに関する制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| resourceVersionMatch は、resourceVersion をリスト呼び出しに適用する方法を決定します。resourceVersion が設定されているリスト呼び出しには resourceVersionMatch を設定することが強く推奨されます。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
|
|
| `sendInitialEvents=true` may be set together with `watch=true`.その場合、監視ストリームは合成イベントで始まり、コレクション内のオブジェクトの現在の状態を生成します。このようなイベントがすべて送信されると、合成的 "Bookmark" イベントが送信されます。ブックマークはオブジェクトのセットに対応する ResourceVersion (RV) を報告し、`"k8s.io/initial-events-end": "true"` アノテーションが付けられます。その後、監視ストリームは通常どおり続行され、(RV に続く) 変更に対応する監視イベントが監視対象のオブジェクトに送信されます。 'sendInitialEvents' オプションが設定されている場合、resourceVersionMatch オプションも設定する必要があります。監視リクエストのセマンティクスとして、`resourceVersionMatch` = NotOlderThan は、最低でも、指定された `resourceVersion` と同程度に新しいデータとして解釈され、最低でも状態が ListOptions が指定したものと同程度に新しい `resourceVersion` に同期される場合にブックバークイベントが送信されます。 `resourceVersion` が設定されていない場合、"consistent read" として解釈され、少なくともリクエストの処理が開始された瞬間までの状態が同期されると、ブックマークイベントが送信されます。- `resourceVersionMatch` を他の値に設定するか、未設定にすると、無効なエラーが返されます。 `resourceVersion=""` または `resourceVersion="0"` (下位互換性の目的) の場合、デフォルトは true、それ以外の場合は false です。 |
|
|
| リスト/ウォッチ呼び出しのタイムアウト。これにより、アクティビティーの有無に関係なく、呼び出し時間が制限されます。 |
|
|
| 記述されたリソースへの変更を監視し、追加、更新、および削除通知のストリームとして返します。resourceVersion を指定します。 |
| HTTP コード | 応答本文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
POST - 説明
- SecurityContextConstraints を作成します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。 |
|
|
| fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答本文 |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空白 |
24.2.2.2. /apis/security.openshift.io/v1/securitycontextconstraints/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| SecurityContextConstraints の名前 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| true の場合は、出力が整形表示 (Pretty-print) されます。 |
- HTTP メソッド
-
DELETE - 説明
- SecurityContextConstraints を削除します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。 |
|
|
| オブジェクトが削除されるまでの時間 (秒)。値は負の値ではない整数にする必要があります。値をゼロに指定すると、ただちに削除されます。この値が nil の場合は、指定されたタイプのデフォルトの猶予期間が使用されます。指定しない場合は、デフォルトでオブジェクトごとの値になります。ゼロはすぐに削除することを意味します。 |
|
|
| 非推奨。PropagationPolicy を使用してください。このフィールドは 1.7 で非推奨となります。依存オブジェクトが孤立している必要があります。true/false の場合は、孤立したファイナライザーがオブジェクトのファイナライザー一覧で追加/削除されます。このフィールドまたは PropagationPolicy のいずれかを設定できますが、両方を設定できません。 |
|
|
| ガベージコレクションが実行されるかどうか、およびその方法。このフィールドまたは OrphanDependents のどちらかを設定できますが、両方を設定できません。デフォルトポリシーは、metadata.finalizers に設定されている既存のファイナライザーとリソース固有のデフォルトポリシーによって決定されます。許容値は次のとおりです。'Orphan' - 依存を削除して孤立させます。'Background' - ガベージコレクターがバックグラウンドで依存関係を削除できるようにします。'Foreground' - フォアグラウンド内のすべての依存関係を削除するカスケードポリシーです。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答本文 |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 指定された SecurityContextConstraints を読み込みます。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| resourceVersion は、要求を処理できるリソースのバージョンに関する制約を設定します。詳細は、https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions を参照してください。 デフォルトは unset です。 |
| HTTP コード | 応答本文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された SecurityContextConstraints を部分的に更新します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。 |
|
|
| fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。このフィールドは、apply 要求 (application/apply-patch) の場合は必須ですが、apply 以外のパッチタイプ (JsonPatch、MergePatch、StrategicMergePatch) の場合は任意です。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
|
|
| Force は、Apply 要求を強制します。これは、ユーザーが他の人が所有する競合するフィールドを再取得することを意味します。非適用パッチ要求の場合は、強制フラグを設定解除する必要があります。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答本文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された SecurityContextConstraints を置き換えます。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合は、エラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。 |
|
|
| fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです - Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合、リクエストは BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答本文 |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | Empty |
