第 2 章 AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]

属性	类型	描述
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata
`spec`	`object`	指定 AdminNetworkPolicy 所需的行为。
`status`	`object`	Status 是实现要报告的状态。

2.1.1. .spec

描述

指定 AdminNetworkPolicy 所需的行为。

类型

object

必填

priority
subject

属性	类型	描述
`egress`	`数组`	Egress 是要应用到所选 pod 的 Egress 规则列表。每个 ANP 实例中允许总计 100 个规则。单个 ANP 对象（所有共享优先级）中的出口规则的相对优先级将由编写规则的顺序决定。因此，在出口规则顶部出现的规则将具有最高的优先级。没有出口规则的 ANP 不会影响出口流量。支持：Core
`egress[]`	`object`	AdminNetworkPolicyEgressRule 描述了对来自 AdminNetworkPolicy 的 Subject 字段选择的 pod 的特定流量集合执行的操作。<network-policy-api:experimental:validation>
`ingress`	`数组`	Ingress 是要应用到所选 pod 的 Ingress 规则列表。每个 ANP 实例中允许总计 100 个规则。单个 ANP 对象（所有共享优先级）中的 ingress 规则的相对优先级将由编写规则的顺序决定。因此，在入口规则顶部出现的规则将具有最高的优先级。没有入口规则的 ANP 不会影响入口流量。支持：Core
`ingress[]`	`object`	AdminNetworkPolicyIngressRule 描述了对由 AdminNetworkPolicy 的 Subject 字段选择的特定流量集合执行的操作。
`priority`	`整数`	priority 是从 0 到 1000 的值。优先级值较低的规则具有更高的优先级，并在优先级较高的规则之前检查。所有 AdminNetworkPolicy 规则的优先级高于 NetworkPolicy 或 BaselineAdminNetworkPolicy 规则，如果两个 ANP 对象具有相同的优先级，则行为未定义。支持：Core
`subject`	`object`	subject 定义此 AdminNetworkPolicy 应用到的 pod。请注意，主机网络的 pod 不包含在主题选择中。支持：Core

2.1.2. .spec.egress

描述

Egress 是要应用到所选 pod 的 Egress 规则列表。每个 ANP 实例中允许总计 100 个规则。单个 ANP 对象（所有共享优先级）中的出口规则的相对优先级将由编写规则的顺序决定。因此，在出口规则顶部出现的规则将具有最高的优先级。没有出口规则的 ANP 不会影响出口流量。

支持：Core

类型

array

2.1.3. .spec.egress[]

描述

AdminNetworkPolicyEgressRule 描述了对来自 AdminNetworkPolicy 的 Subject 字段选择的 pod 的特定流量集合执行的操作。<network-policy-api:experimental:validation>

类型

object

必填

action
至

属性	类型	描述
`action`	`string`	action 指定此规则对匹配流量的影响。目前支持以下操作： Allow: 允许所选流量（即使被 NetworkPolicy 拒绝拒绝） Deny: 拒绝所选流量 Pass: 指示所选流量跳过任何剩余的 ANP 规则，然后将执行传递给选择 pod 的任何 NetworkPolicies。如果任何 NetworkPolicies 没有选择 pod，则执行会被传递给选择 pod 的任何 BaselineAdminNetworkPolicies。支持：Core
`名称`	`string`	name 是此规则的标识符，长度不超过 100 个字符。实现应使用此字段来帮助改进任何应用的 AdminNetworkPolicies 的可观察性、可读性和错误报告。支持：Core
`ports`	`数组`	端口允许根据端口和协议匹配流量。此字段是传出出口流量的目标端口列表。如果没有设置 Ports，则规则不会通过端口过滤流量。支持：Core
`ports[]`	`object`	AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。
`至`	`数组`	to 是此规则应用到的目的地列表。如果任何 AdminNetworkPolicyEgressPeer 与传出流量的目的地匹配，则会应用指定的操作。必须定义此字段并至少包含一个项。支持：Core
`to[]`	`object`	AdminNetworkPolicyEgressPeer 定义了一个允许流量的对等点。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段，它们必须假定指定了未知选项，并且关闭失败。

2.1.4. .spec.egress[].ports

描述

端口允许根据端口和协议匹配流量。此字段是传出出口流量的目标端口列表。如果没有设置 Ports，则规则不会通过端口过滤流量。

支持：Core

类型

array

2.1.5. .spec.egress[].ports[]

描述: AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。
类型: object

属性类型描述

属性	类型	描述
`namedPort`	`string`	NamedPort 根据名称选择一个 pod 上的端口。支持：扩展 <network-policy-api:experimental>
`portNumber`	`object`	port 根据数字选择 pod 上的端口。支持：Core
`portRange`	`object`	PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。支持：Core

namedPort

string

NamedPort 根据名称选择一个 pod 上的端口。

支持：扩展

<network-policy-api:experimental>

portNumber

object

port 根据数字选择 pod 上的端口。

支持：Core

portRange

object

PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。

支持：Core

2.1.6. .spec.egress[].ports[].portNumber

描述

port 根据数字选择 pod 上的端口。

支持：Core

类型

object

必填

port
protocol

属性类型描述

属性	类型	描述
`port`	`整数`	number 定义网络端口值。支持：Core
`protocol`	`string`	协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。支持：Core

port

整数

number 定义网络端口值。

支持：Core

protocol

string

协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

支持：Core

2.1.7. .spec.egress[].ports[].portRange

描述

PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。

支持：Core

类型

object

必填

end
start

属性类型描述

属性	类型	描述
`end`	`整数`	end 定义端口范围末尾的网络端口，End 值必须大于 Start。支持：Core
`protocol`	`string`	协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。支持：Core
`start`	`整数`	start 定义端口范围起始的网络端口，Start 值必须小于 End。支持：Core

end

整数

end 定义端口范围末尾的网络端口，End 值必须大于 Start。

支持：Core

protocol

string

协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

支持：Core

start

整数

start 定义端口范围起始的网络端口，Start 值必须小于 End。

支持：Core

2.1.8. .spec.egress[].to

描述

to 是此规则应用到的目的地列表。如果任何 AdminNetworkPolicyEgressPeer 与传出流量的目的地匹配，则会应用指定的操作。必须定义此字段并至少包含一个项。

支持：Core

类型

array

2.1.9. .spec.egress[].to[]

描述: AdminNetworkPolicyEgressPeer 定义了一个允许流量的对等点。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段，它们必须假定指定了未知选项，并且关闭失败。
类型: object

属性	类型	描述
`命名空间`	`object`	命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。支持：Core
`networks`	`数组（字符串）`	网络定义了通过 CIDR 块选择对等点的方法。这用于表示集群外部的实体，这些实体不能被 pod、命名空间和节点对等点选择，但请注意，集群内部流量也会针对该规则进行检查。因此，如果您允许或拒绝到 `"0.0.0.0/0"` 的流量，这将允许或拒绝所有 IPv4 pod 到 pod 流量。如果您不想这样做，请在网络规则前添加传递所有 pod 流量的规则。 Networks 中的每个项目都应该以 CIDR 格式提供，且应为 IPv4 或 IPv6，如 "10.0.0.0/8" 或 "fd00::/8"。网络可以最多指定 25 个 CIDR。支持：扩展 <network-policy-api:experimental>
`节点`	`object`	节点定义了选择集群中一组节点的方法。此字段遵循标准标签选择器语义；如果存在，它会选择所有节点。支持：扩展 <network-policy-api:experimental>
`pods`	`object`	Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。支持：Core

2.1.10. .spec.egress[].to[].namespaces

描述

命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

类型

object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.11. .spec.egress[].to[].namespaces.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.12. .spec.egress[].to[].namespaces.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.13. .spec.egress[].to[].nodes

描述

节点定义了选择集群中一组节点的方法。此字段遵循标准标签选择器语义；如果存在，它会选择所有节点。

支持：扩展

<network-policy-api:experimental>

类型

object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.14. .spec.egress[].to[].nodes.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.15. .spec.egress[].to[].nodes.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.16. .spec.egress[].to[].pods

描述

Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

类型

object

必填

namespaceSelector
podSelector

属性	类型	描述
`namespaceSelector`	`object`	namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。
`podSelector`	`object`	podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。

2.1.17. .spec.egress[].to[].pods.namespaceSelector

描述: namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。
类型: object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.18. .spec.egress[].to[].pods.namespaceSelector.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.19. .spec.egress[].to[].pods.namespaceSelector.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.20. .spec.egress[].to[].pods.podSelector

描述: podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。
类型: object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.21. .spec.egress[].to[].pods.podSelector.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.22. .spec.egress[].to[].pods.podSelector.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.23. .spec.ingress

描述

Ingress 是要应用到所选 pod 的 Ingress 规则列表。每个 ANP 实例中允许总计 100 个规则。单个 ANP 对象（所有共享优先级）中的 ingress 规则的相对优先级将由编写规则的顺序决定。因此，在入口规则顶部出现的规则将具有最高的优先级。没有入口规则的 ANP 不会影响入口流量。

支持：Core

类型

array

2.1.24. .spec.ingress[]

描述

AdminNetworkPolicyIngressRule 描述了对由 AdminNetworkPolicy 的 Subject 字段选择的特定流量集合执行的操作。

类型

object

必填

action
from

属性	类型	描述
`action`	`string`	action 指定此规则对匹配流量的影响。目前支持以下操作： Allow: 允许所选流量（即使被 NetworkPolicy 拒绝拒绝） Deny: 拒绝所选流量 Pass: 指示所选流量跳过任何剩余的 ANP 规则，然后将执行传递给选择 pod 的任何 NetworkPolicies。如果任何 NetworkPolicies 没有选择 pod，则执行会被传递给选择 pod 的任何 BaselineAdminNetworkPolicies。支持：Core
`from`	`数组`	from 是此规则应用到的源列表。如果任何 AdminNetworkPolicyIngressPeer 与传入流量的来源匹配，则会应用指定的操作。必须定义此字段并至少包含一个项。支持：Core
`from[]`	`object`	AdminNetworkPolicyIngressPeer 定义了一个集群内对等点，以允许来自的流量。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段，它们必须假定指定了未知选项，并且关闭失败。
`名称`	`string`	name 是此规则的标识符，长度不超过 100 个字符。实现应使用此字段来帮助改进任何应用的 AdminNetworkPolicies 的可观察性、可读性和错误报告。支持：Core
`ports`	`数组`	端口允许根据端口和协议匹配流量。此字段是一个端口列表，应在针对此策略选择的 pod 上匹配，例如策略的主题。因此，它与入口流量的目标端口上匹配。如果没有设置 Ports，则规则不会通过端口过滤流量。支持：Core
`ports[]`	`object`	AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。

2.1.25. .spec.ingress[].from

描述

from 是此规则应用到的源列表。如果任何 AdminNetworkPolicyIngressPeer 与传入流量的来源匹配，则会应用指定的操作。必须定义此字段并至少包含一个项。

支持：Core

类型

array

2.1.26. .spec.ingress[].from[]

描述: AdminNetworkPolicyIngressPeer 定义了一个集群内对等点，以允许来自的流量。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段，它们必须假定指定了未知选项，并且关闭失败。
类型: object

属性类型描述

命名空间

object

命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

pods

object

Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

2.1.27. .spec.ingress[].from[].namespaces

描述

命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

类型

object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.28. .spec.ingress[].from[].namespaces.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.29. .spec.ingress[].from[].namespaces.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.30. .spec.ingress[].from[].pods

描述

Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

类型

object

必填

namespaceSelector
podSelector

属性	类型	描述
`namespaceSelector`	`object`	namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。
`podSelector`	`object`	podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。

2.1.31. .spec.ingress[].from[].pods.namespaceSelector

描述: namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。
类型: object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.32. .spec.ingress[].from[].pods.namespaceSelector.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.33. .spec.ingress[].from[].pods.namespaceSelector.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.34. .spec.ingress[].from[].pods.podSelector

描述: podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。
类型: object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.35. .spec.ingress[].from[].pods.podSelector.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.36. .spec.ingress[].from[].pods.podSelector.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.37. .spec.ingress[].ports

描述

端口允许根据端口和协议匹配流量。此字段是一个端口列表，应在针对此策略选择的 pod 上匹配，例如策略的主题。因此，它与入口流量的目标端口上匹配。如果没有设置 Ports，则规则不会通过端口过滤流量。

支持：Core

类型

array

2.1.38. .spec.ingress[].ports[]

描述: AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。
类型: object

属性类型描述

属性	类型	描述
`namedPort`	`string`	NamedPort 根据名称选择一个 pod 上的端口。支持：扩展 <network-policy-api:experimental>
`portNumber`	`object`	port 根据数字选择 pod 上的端口。支持：Core
`portRange`	`object`	PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。支持：Core

namedPort

string

NamedPort 根据名称选择一个 pod 上的端口。

支持：扩展

<network-policy-api:experimental>

portNumber

object

port 根据数字选择 pod 上的端口。

支持：Core

portRange

object

PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。

支持：Core

2.1.39. .spec.ingress[].ports[].portNumber

描述

port 根据数字选择 pod 上的端口。

支持：Core

类型

object

必填

port
protocol

属性类型描述

属性	类型	描述
`port`	`整数`	number 定义网络端口值。支持：Core
`protocol`	`string`	协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。支持：Core

port

整数

number 定义网络端口值。

支持：Core

protocol

string

协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

支持：Core

2.1.40. .spec.ingress[].ports[].portRange

描述

PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。

支持：Core

类型

object

必填

end
start

属性类型描述

属性	类型	描述
`end`	`整数`	end 定义端口范围末尾的网络端口，End 值必须大于 Start。支持：Core
`protocol`	`string`	协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。支持：Core
`start`	`整数`	start 定义端口范围起始的网络端口，Start 值必须小于 End。支持：Core

end

整数

end 定义端口范围末尾的网络端口，End 值必须大于 Start。

支持：Core

protocol

string

协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

支持：Core

start

整数

start 定义端口范围起始的网络端口，Start 值必须小于 End。

支持：Core

2.1.41. .spec.subject

描述

subject 定义此 AdminNetworkPolicy 应用到的 pod。请注意，主机网络的 pod 不包含在主题选择中。

支持：Core

类型

object

属性	类型	描述
`命名空间`	`object`	命名空间用于通过命名空间选择器选择 pod。
`pods`	`object`	Pod 用于通过命名空间 AND pod 选择器选择 pod。

2.1.42. .spec.subject.namespaces

描述: 命名空间用于通过命名空间选择器选择 pod。
类型: object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.43. .spec.subject.namespaces.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.44. .spec.subject.namespaces.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.45. .spec.subject.pods

描述

Pod 用于通过命名空间 AND pod 选择器选择 pod。

类型

object

必填

namespaceSelector
podSelector

属性	类型	描述
`namespaceSelector`	`object`	namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。
`podSelector`	`object`	podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。

2.1.46. .spec.subject.pods.namespaceSelector

描述: namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。
类型: object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.47. .spec.subject.pods.namespaceSelector.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.48. .spec.subject.pods.namespaceSelector.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.49. .spec.subject.pods.podSelector

描述: podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。
类型: object

属性	类型	描述
`matchExpressions`	`array`	matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
`matchExpressions[]`	`对象`	标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。
`matchLabels`	`对象（字符串）`	matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

2.1.50. .spec.subject.pods.podSelector.matchExpressions

描述: matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
类型: 数组

2.1.51. .spec.subject.pods.podSelector.matchExpressions[]

描述

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

类型

object

必填

key
operator

属性	类型	描述
`key`	`字符串`	key 是选择器应用到的标签键。
`operator`	`字符串`	运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。
`值`	`数组（字符串）`	值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

2.1.52. .status

描述

Status 是实现要报告的状态。

类型

object

必填

conditions

属性类型描述

属性	类型	描述
`conditions`	`array`
`conditions[]`	`对象`	条件包含此 API 资源当前状态的一个方面的详情。--- 这个结构旨在直接用作字段路径 .status.conditions 中的数组。例如， type FooStatus struct{ // Represents the observations of a foo's current state. // Known .status.conditions.type are: "Available", "Progressing", 和 "Degraded" // +patchMergeKey=type // +patchStrategy=merge // +listType=map // +listMapKey=type Conditions []metav1.Condition `json:"conditions, omitempty" patchStrategy:"merge" patchMergeKey:"type" protobuf:"bytes,1,rep,name=conditions`" // other fields }

conditions

array

conditions[]

对象

条件包含此 API 资源当前状态的一个方面的详情。--- 这个结构旨在直接用作字段路径 .status.conditions 中的数组。例如，

type FooStatus struct{ // Represents the observations of a foo's current state. // Known .status.conditions.type are: "Available", "Progressing", 和 "Degraded" // +patchMergeKey=type // +patchStrategy=merge // +listType=map // +listMapKey=type Conditions []metav1.Condition json:"conditions, omitempty" patchStrategy:"merge" patchMergeKey:"type" protobuf:"bytes,1,rep,name=conditions"

// other fields }

2.1.53. .status.conditions

描述
类型: array

2.1.54. .status.conditions[]

描述

条件包含此 API 资源当前状态的一个方面的详情。--- 这个结构旨在直接用作字段路径 .status.conditions 中的数组。例如，

type FooStatus struct{
    // Represents the observations of a foo's current state.
    // Known .status.conditions.type are: "Available", "Progressing", and "Degraded"
    // +patchMergeKey=type
    // +patchStrategy=merge
    // +listType=map
    // +listMapKey=type
    Conditions []metav1.Condition `json:"conditions,omitempty" patchStrategy:"merge" patchMergeKey:"type" protobuf:"bytes,1,rep,name=conditions"`

    // other fields
}

类型

object

必填

lastTransitionTime
message
reason
status
type

属性	类型	描述
`lastTransitionTime`	`字符串`	lastTransitionTime 是条件从一个状态转换到另一个状态最后一次的时间。这应该是底层条件变化的时间。如果为未知，则使用 API 字段更改的时间是可以接受的。
`message`	`字符串`	Message 是人类可读的消息，指示有关转换的详细信息。这可能是一个空字符串。
`observedGeneration`	`整数`	observedGeneration 代表 .metadata.generation，这是条件设置所基于的条件。例如，如果 .metadata.generation 目前为 12，但 .status.conditions[x].observedGeneration 是 9，则代表条件与实例的当前状态已不匹配。
`reason`	`字符串`	reason 包含程序标识符，指示条件最后一次转换的原因。特定条件类型的制作者可能会定义预期的值和此字段的含义，以及这些值是否被视为有保证的 API。该值应该是 CamelCase 字符串。此字段可能不是空的。
`status`	`字符串`	条件的状态，True, False, Unknown 之一。
`type`	`字符串`	CamelCase 或 foo.example.com/CamelCase 中的条件类型。-- Many .condition.type 值在资源间是一致的，但因为任意条件可能很有用（请参阅 .node.status.conditions），deconflict 的能力非常重要。它匹配的正则表达式是 (dns1123SubdomainFmt/)? (qualifiedNameFmt)

第 2 章 AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]

2.1. 规格

2.1.1. .spec

2.1.2. .spec.egress

2.1.3. .spec.egress[]

2.1.4. .spec.egress[].ports

2.1.5. .spec.egress[].ports[]

2.1.6. .spec.egress[].ports[].portNumber

2.1.7. .spec.egress[].ports[].portRange

2.1.8. .spec.egress[].to

2.1.9. .spec.egress[].to[]

2.1.10. .spec.egress[].to[].namespaces

2.1.11. .spec.egress[].to[].namespaces.matchExpressions

2.1.12. .spec.egress[].to[].namespaces.matchExpressions[]

2.1.13. .spec.egress[].to[].nodes

2.1.14. .spec.egress[].to[].nodes.matchExpressions

2.1.15. .spec.egress[].to[].nodes.matchExpressions[]

2.1.16. .spec.egress[].to[].pods

2.1.17. .spec.egress[].to[].pods.namespaceSelector

2.1.18. .spec.egress[].to[].pods.namespaceSelector.matchExpressions

2.1.19. .spec.egress[].to[].pods.namespaceSelector.matchExpressions[]

2.1.20. .spec.egress[].to[].pods.podSelector

2.1.21. .spec.egress[].to[].pods.podSelector.matchExpressions

2.1.22. .spec.egress[].to[].pods.podSelector.matchExpressions[]

2.1.23. .spec.ingress

2.1.24. .spec.ingress[]

2.1.25. .spec.ingress[].from

2.1.26. .spec.ingress[].from[]

2.1.27. .spec.ingress[].from[].namespaces

2.1.28. .spec.ingress[].from[].namespaces.matchExpressions

2.1.29. .spec.ingress[].from[].namespaces.matchExpressions[]

2.1.30. .spec.ingress[].from[].pods

2.1.31. .spec.ingress[].from[].pods.namespaceSelector

2.1.32. .spec.ingress[].from[].pods.namespaceSelector.matchExpressions

2.1.33. .spec.ingress[].from[].pods.namespaceSelector.matchExpressions[]

2.1.34. .spec.ingress[].from[].pods.podSelector

2.1.35. .spec.ingress[].from[].pods.podSelector.matchExpressions

2.1.36. .spec.ingress[].from[].pods.podSelector.matchExpressions[]

2.1.37. .spec.ingress[].ports

2.1.38. .spec.ingress[].ports[]

2.1.39. .spec.ingress[].ports[].portNumber

2.1.40. .spec.ingress[].ports[].portRange

2.1.41. .spec.subject

2.1.42. .spec.subject.namespaces

2.1.43. .spec.subject.namespaces.matchExpressions

2.1.44. .spec.subject.namespaces.matchExpressions[]

2.1.45. .spec.subject.pods

2.1.46. .spec.subject.pods.namespaceSelector

2.1.47. .spec.subject.pods.namespaceSelector.matchExpressions

2.1.48. .spec.subject.pods.namespaceSelector.matchExpressions[]

2.1.49. .spec.subject.pods.podSelector

2.1.50. .spec.subject.pods.podSelector.matchExpressions

2.1.51. .spec.subject.pods.podSelector.matchExpressions[]

2.1.52. .status

2.1.53. .status.conditions

2.1.54. .status.conditions[]

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links