第 4 章 BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- 描述
- BaselineAdminNetworkPolicy 是一个集群级别资源,属于 AdminNetworkPolicy API。
- 类型
-
object
- 必填
-
metadata
-
spec
-
4.1. 规格
属性 | 类型 | 描述 |
---|---|---|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
| 标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
| BaselineAdminNetworkPolicy 所需的行为规格。 |
|
| Status 是实现要报告的状态。 |
4.1.1. .spec
- 描述
- BaselineAdminNetworkPolicy 所需的行为规格。
- 类型
-
object
- 必填
-
subject
-
属性 | 类型 | 描述 |
---|---|---|
|
| 如果 Egress 规则与任何 AdminNetworkPolicy 或 NetworkPolicy 规则不匹配,则出口(egress)是要应用到所选 pod 的 Egress 规则列表。每个 BANP 实例中都允许总计 100 个 Egress 规则。在单个 BANP 对象中出口规则的相对优先级将由编写规则的顺序决定。因此,在出口规则顶部出现的规则将具有最高的优先级。没有出口规则的 BANP 不会影响出口流量。 支持:Core |
|
| BaselineAdminNetworkPolicyEgressRule 描述了一个操作,它适用于源自 BaselineAdminNetworkPolicy 的 Subject 字段选择的 pod 的特定流量集。<network-policy-api:experimental:validation> |
|
| 如果 Ingress 规则与任何 AdminNetworkPolicy 或 NetworkPolicy 规则不匹配,则 Ingress 是要应用到所选 pod 的 Ingress 规则列表。每个 BANP 实例中都允许 100 个 Ingress 规则。单个 BANP 对象中入口规则的相对优先级将由编写规则的顺序决定。因此,在入口规则顶部出现的规则将具有最高的优先级。没有入口规则的 BANP 不会影响入口流量。 支持:Core |
|
| BaselineAdminNetworkPolicyIngressRule 描述了一个操作,用于由 BaselineAdminNetworkPolicy 的 Subject 字段选择的特定流量集合。 |
|
| subject 定义此 BaselineAdminNetworkPolicy 应用到的 pod。请注意,主机网络的 pod 不包含在主题选择中。 支持:Core |
4.1.2. .spec.egress
- 描述
如果 Egress 规则与任何 AdminNetworkPolicy 或 NetworkPolicy 规则不匹配,则出口(egress)是要应用到所选 pod 的 Egress 规则列表。每个 BANP 实例中都允许总计 100 个 Egress 规则。在单个 BANP 对象中出口规则的相对优先级将由编写规则的顺序决定。因此,在出口规则顶部出现的规则将具有最高的优先级。没有出口规则的 BANP 不会影响出口流量。
支持:Core
- 类型
-
array
4.1.3. .spec.egress[]
- 描述
- BaselineAdminNetworkPolicyEgressRule 描述了一个操作,它适用于源自 BaselineAdminNetworkPolicy 的 Subject 字段选择的 pod 的特定流量集。<network-policy-api:experimental:validation>
- 类型
-
object
- 必填
-
action
-
至
-
属性 | 类型 | 描述 |
---|---|---|
|
| action 指定此规则对匹配流量的影响。目前支持以下操作: Allow: 允许所选流量 Deny: 拒绝所选流量 支持:Core |
|
| name 是此规则的标识符,长度不超过 100 个字符。实现应使用此字段来帮助改进任何应用的 BaselineAdminNetworkPolicies 的可观察性、可读性和错误报告。 支持:Core |
|
| 端口允许根据端口和协议匹配流量。此字段是传出出口流量的目标端口列表。如果没有设置 Ports,则规则不会通过端口过滤流量。 |
|
| AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。 |
|
| to 是此规则应用到的目的地列表。如果任何 AdminNetworkPolicyEgressPeer 与传出流量的目的地匹配,则会应用指定的操作。必须定义此字段并至少包含一个项。 支持:Core |
|
| AdminNetworkPolicyEgressPeer 定义了一个允许流量的对等点。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段,它们必须假定指定了未知选项,并且关闭失败。 |
4.1.4. .spec.egress[].ports
- 描述
- 端口允许根据端口和协议匹配流量。此字段是传出出口流量的目标端口列表。如果没有设置 Ports,则规则不会通过端口过滤流量。
- 类型
-
array
4.1.5. .spec.egress[].ports[]
- 描述
- AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| NamedPort 根据名称选择一个 pod 上的端口。 支持:扩展 <network-policy-api:experimental> |
|
| port 根据数字选择 pod 上的端口。 支持:Core |
|
| PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。 支持:Core |
4.1.6. .spec.egress[].ports[].portNumber
- 描述
port 根据数字选择 pod 上的端口。
支持:Core
- 类型
-
object
- 必填
-
port
-
protocol
-
属性 | 类型 | 描述 |
---|---|---|
|
| number 定义网络端口值。 支持:Core |
|
| 协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定,此字段默认为 TCP。 支持:Core |
4.1.7. .spec.egress[].ports[].portRange
- 描述
PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。
支持:Core
- 类型
-
object
- 必填
-
end
-
start
-
属性 | 类型 | 描述 |
---|---|---|
|
| end 定义端口范围末尾的网络端口,End 值必须大于 Start。 支持:Core |
|
| 协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定,此字段默认为 TCP。 支持:Core |
|
| start 定义端口范围起始的网络端口,Start 值必须小于 End。 支持:Core |
4.1.8. .spec.egress[].to
- 描述
to 是此规则应用到的目的地列表。如果任何 AdminNetworkPolicyEgressPeer 与传出流量的目的地匹配,则会应用指定的操作。必须定义此字段并至少包含一个项。
支持:Core
- 类型
-
array
4.1.9. .spec.egress[].to[]
- 描述
- AdminNetworkPolicyEgressPeer 定义了一个允许流量的对等点。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段,它们必须假定指定了未知选项,并且关闭失败。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| 命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意,主机网络的 pod 没有包含在这种对等状态中。 支持:Core |
|
|
网络定义了通过 CIDR 块选择对等点的方法。这用于表示集群外部的实体,这些实体不能被 pod、命名空间和节点对等点选择,但请注意,集群内部流量也会针对该规则进行检查。因此,如果您允许或拒绝到 Networks 中的每个项目都应该以 CIDR 格式提供,且应为 IPv4 或 IPv6,如 "10.0.0.0/8" 或 "fd00::/8"。 网络可以最多指定 25 个 CIDR。 支持:扩展 <network-policy-api:experimental> |
|
| 节点定义了选择集群中一组节点的方法。此字段遵循标准标签选择器语义;如果存在,它会选择所有节点。 支持:扩展 <network-policy-api:experimental> |
|
| Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意,主机网络的 pod 没有包含在这种对等状态中。 支持:Core |
4.1.10. .spec.egress[].to[].namespaces
- 描述
命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意,主机网络的 pod 没有包含在这种对等状态中。
支持:Core
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.11. .spec.egress[].to[].namespaces.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.12. .spec.egress[].to[].namespaces.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.13. .spec.egress[].to[].nodes
- 描述
节点定义了选择集群中一组节点的方法。此字段遵循标准标签选择器语义;如果存在,它会选择所有节点。
支持:扩展
<network-policy-api:experimental>
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.14. .spec.egress[].to[].nodes.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.15. .spec.egress[].to[].nodes.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.16. .spec.egress[].to[].pods
- 描述
Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意,主机网络的 pod 没有包含在这种对等状态中。
支持:Core
- 类型
-
object
- 必填
-
namespaceSelector
-
podSelector
-
属性 | 类型 | 描述 |
---|---|---|
|
| namespaceSelector 遵循标准标签选择器语义;如果为空,它会选择所有命名空间。 |
|
| podSelector 用于显式选择命名空间中的 pod;如果为空,它会选择所有 Pod。 |
4.1.17. .spec.egress[].to[].pods.namespaceSelector
- 描述
- namespaceSelector 遵循标准标签选择器语义;如果为空,它会选择所有命名空间。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.18. .spec.egress[].to[].pods.namespaceSelector.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.19. .spec.egress[].to[].pods.namespaceSelector.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.20. .spec.egress[].to[].pods.podSelector
- 描述
- podSelector 用于显式选择命名空间中的 pod;如果为空,它会选择所有 Pod。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.21. .spec.egress[].to[].pods.podSelector.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.22. .spec.egress[].to[].pods.podSelector.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.23. .spec.ingress
- 描述
如果 Ingress 规则与任何 AdminNetworkPolicy 或 NetworkPolicy 规则不匹配,则 Ingress 是要应用到所选 pod 的 Ingress 规则列表。每个 BANP 实例中都允许 100 个 Ingress 规则。单个 BANP 对象中入口规则的相对优先级将由编写规则的顺序决定。因此,在入口规则顶部出现的规则将具有最高的优先级。没有入口规则的 BANP 不会影响入口流量。
支持:Core
- 类型
-
array
4.1.24. .spec.ingress[]
- 描述
- BaselineAdminNetworkPolicyIngressRule 描述了一个操作,用于由 BaselineAdminNetworkPolicy 的 Subject 字段选择的特定流量集合。
- 类型
-
object
- 必填
-
action
-
from
-
属性 | 类型 | 描述 |
---|---|---|
|
| action 指定此规则对匹配流量的影响。目前支持以下操作: Allow: 允许所选流量 Deny: 拒绝所选流量 支持:Core |
|
| from 是此规则应用到的源列表。如果任何 AdminNetworkPolicyIngressPeer 与传入流量的来源匹配,则会应用指定的操作。必须定义此字段并至少包含一个项。 支持:Core |
|
| AdminNetworkPolicyIngressPeer 定义了一个集群内对等点,以允许来自的流量。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段,它们必须假定指定了未知选项,并且关闭失败。 |
|
| name 是此规则的标识符,长度不超过 100 个字符。实现应使用此字段来帮助改进任何应用的 BaselineAdminNetworkPolicies 的可观察性、可读性和错误报告。 支持:Core |
|
| 端口允许根据端口和协议匹配流量。此字段是一个端口列表,应在针对此策略选择的 pod 上匹配,例如策略的主题。因此,它与入口流量的目标端口上匹配。如果没有设置 Ports,则规则不会通过端口过滤流量。 支持:Core |
|
| AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。 |
4.1.25. .spec.ingress[].from
- 描述
from 是此规则应用到的源列表。如果任何 AdminNetworkPolicyIngressPeer 与传入流量的来源匹配,则会应用指定的操作。必须定义此字段并至少包含一个项。
支持:Core
- 类型
-
array
4.1.26. .spec.ingress[].from[]
- 描述
- AdminNetworkPolicyIngressPeer 定义了一个集群内对等点,以允许来自的流量。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段,它们必须假定指定了未知选项,并且关闭失败。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| 命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意,主机网络的 pod 没有包含在这种对等状态中。 支持:Core |
|
| Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意,主机网络的 pod 没有包含在这种对等状态中。 支持:Core |
4.1.27. .spec.ingress[].from[].namespaces
- 描述
命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意,主机网络的 pod 没有包含在这种对等状态中。
支持:Core
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.28. .spec.ingress[].from[].namespaces.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.29. .spec.ingress[].from[].namespaces.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.30. .spec.ingress[].from[].pods
- 描述
Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意,主机网络的 pod 没有包含在这种对等状态中。
支持:Core
- 类型
-
object
- 必填
-
namespaceSelector
-
podSelector
-
属性 | 类型 | 描述 |
---|---|---|
|
| namespaceSelector 遵循标准标签选择器语义;如果为空,它会选择所有命名空间。 |
|
| podSelector 用于显式选择命名空间中的 pod;如果为空,它会选择所有 Pod。 |
4.1.31. .spec.ingress[].from[].pods.namespaceSelector
- 描述
- namespaceSelector 遵循标准标签选择器语义;如果为空,它会选择所有命名空间。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.32. .spec.ingress[].from[].pods.namespaceSelector.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.33. .spec.ingress[].from[].pods.namespaceSelector.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.34. .spec.ingress[].from[].pods.podSelector
- 描述
- podSelector 用于显式选择命名空间中的 pod;如果为空,它会选择所有 Pod。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.35. .spec.ingress[].from[].pods.podSelector.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.36. .spec.ingress[].from[].pods.podSelector.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.37. .spec.ingress[].ports
- 描述
端口允许根据端口和协议匹配流量。此字段是一个端口列表,应在针对此策略选择的 pod 上匹配,例如策略的主题。因此,它与入口流量的目标端口上匹配。如果没有设置 Ports,则规则不会通过端口过滤流量。
支持:Core
- 类型
-
array
4.1.38. .spec.ingress[].ports[]
- 描述
- AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| NamedPort 根据名称选择一个 pod 上的端口。 支持:扩展 <network-policy-api:experimental> |
|
| port 根据数字选择 pod 上的端口。 支持:Core |
|
| PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。 支持:Core |
4.1.39. .spec.ingress[].ports[].portNumber
- 描述
port 根据数字选择 pod 上的端口。
支持:Core
- 类型
-
object
- 必填
-
port
-
protocol
-
属性 | 类型 | 描述 |
---|---|---|
|
| number 定义网络端口值。 支持:Core |
|
| 协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定,此字段默认为 TCP。 支持:Core |
4.1.40. .spec.ingress[].ports[].portRange
- 描述
PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。
支持:Core
- 类型
-
object
- 必填
-
end
-
start
-
属性 | 类型 | 描述 |
---|---|---|
|
| end 定义端口范围末尾的网络端口,End 值必须大于 Start。 支持:Core |
|
| 协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定,此字段默认为 TCP。 支持:Core |
|
| start 定义端口范围起始的网络端口,Start 值必须小于 End。 支持:Core |
4.1.41. .spec.subject
- 描述
subject 定义此 BaselineAdminNetworkPolicy 应用到的 pod。请注意,主机网络的 pod 不包含在主题选择中。
支持:Core
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| 命名空间用于通过命名空间选择器选择 pod。 |
|
| Pod 用于通过命名空间 AND pod 选择器选择 pod。 |
4.1.42. .spec.subject.namespaces
- 描述
- 命名空间用于通过命名空间选择器选择 pod。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.43. .spec.subject.namespaces.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.44. .spec.subject.namespaces.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.45. .spec.subject.pods
- 描述
- Pod 用于通过命名空间 AND pod 选择器选择 pod。
- 类型
-
object
- 必填
-
namespaceSelector
-
podSelector
-
属性 | 类型 | 描述 |
---|---|---|
|
| namespaceSelector 遵循标准标签选择器语义;如果为空,它会选择所有命名空间。 |
|
| podSelector 用于显式选择命名空间中的 pod;如果为空,它会选择所有 Pod。 |
4.1.46. .spec.subject.pods.namespaceSelector
- 描述
- namespaceSelector 遵循标准标签选择器语义;如果为空,它会选择所有命名空间。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.47. .spec.subject.pods.namespaceSelector.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.48. .spec.subject.pods.namespaceSelector.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.49. .spec.subject.pods.podSelector
- 描述
- podSelector 用于显式选择命名空间中的 pod;如果为空,它会选择所有 Pod。
- 类型
-
object
属性 | 类型 | 描述 |
---|---|---|
|
| matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。 |
|
| 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。 |
|
| matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素,其 key 字段是 "key",运算符是 "In",值数组仅包含 "value"。要求的逻辑关系是 AND。 |
4.1.50. .spec.subject.pods.podSelector.matchExpressions
- 描述
- matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。
- 类型
-
数组
4.1.51. .spec.subject.pods.podSelector.matchExpressions[]
- 描述
- 标签选择器要求是一个选择器,其中包含与键和值相关的值、键和值。
- 类型
-
object
- 必填
-
key
-
operator
-
属性 | 类型 | 描述 |
---|---|---|
|
| key 是选择器应用到的标签键。 |
|
| 运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。 |
|
| 值是字符串值的数组。如果运算符是 In 或 NotIn,则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist,则值数组必须为空。这个数组会在策略性合并补丁中被替换。 |
4.1.52. .status
- 描述
- Status 是实现要报告的状态。
- 类型
-
object
- 必填
-
conditions
-
属性 | 类型 | 描述 |
---|---|---|
|
| |
|
| 条件包含此 API 资源当前状态的一个方面的详情。--- 这个结构旨在直接用作字段路径 .status.conditions 中的数组。例如,
type FooStatus struct{ // Represents the observations of a foo's current state. // Known .status.conditions.type are: "Available", "Progressing", 和 "Degraded" // +patchMergeKey=type // +patchStrategy=merge // +listType=map // +listMapKey=type Conditions []metav1.Condition // other fields } |
4.1.53. .status.conditions
- 描述
- 类型
-
array
4.1.54. .status.conditions[]
- 描述
条件包含此 API 资源当前状态的一个方面的详情。--- 这个结构旨在直接用作字段路径 .status.conditions 中的数组。例如,
type FooStatus struct{ // Represents the observations of a foo's current state. // Known .status.conditions.type are: "Available", "Progressing", and "Degraded" // +patchMergeKey=type // +patchStrategy=merge // +listType=map // +listMapKey=type Conditions []metav1.Condition `json:"conditions,omitempty" patchStrategy:"merge" patchMergeKey:"type" protobuf:"bytes,1,rep,name=conditions"`
// other fields }
- 类型
-
object
- 必填
-
lastTransitionTime
-
message
-
reason
-
status
-
type
-
属性 | 类型 | 描述 |
---|---|---|
|
| lastTransitionTime 是条件从一个状态转换到另一个状态最后一次的时间。这应该是底层条件变化的时间。如果为未知,则使用 API 字段更改的时间是可以接受的。 |
|
| Message 是人类可读的消息,指示有关转换的详细信息。这可能是一个空字符串。 |
|
| observedGeneration 代表 .metadata.generation,这是条件设置所基于的条件。例如,如果 .metadata.generation 目前为 12,但 .status.conditions[x].observedGeneration 是 9,则代表条件与实例的当前状态已不匹配。 |
|
| reason 包含程序标识符,指示条件最后一次转换的原因。特定条件类型的制作者可能会定义预期的值和此字段的含义,以及这些值是否被视为有保证的 API。该值应该是 CamelCase 字符串。此字段可能不是空的。 |
|
| 条件的状态,True, False, Unknown 之一。 |
|
| CamelCase 或 foo.example.com/CamelCase 中的条件类型。-- Many .condition.type 值在资源间是一致的,但因为任意条件可能很有用(请参阅 .node.status.conditions),deconflict 的能力非常重要。它匹配的正则表达式是 (dns1123SubdomainFmt/)? (qualifiedNameFmt) |