网络 API

namespaceSelector

object

namespaceSelector 标签选择器，其命名空间网络应该可用。

network

object

Network 是用户定义的 spec

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

layer2

object

Layer2 是 Layer2 拓扑配置。

layer3

object

Layer3 是 Layer3 拓扑配置。

localnet

object

localnet 是 Localnet 拓扑配置。

topology

string

拓扑描述了网络配置。

允许的值是 "Layer3", "Layer2" 和 "Localnet"。Layer3 拓扑会为每个节点创建一个第 2 层段，各自有不同的子网。第 3 层路由用于互连节点子网。Layer2 拓扑创建一个供所有节点共享的逻辑交换机。localnet 拓扑基于第 2 层拓扑，但也允许连接到现有的（配置）物理网络，为工作负载提供南北流量。

ipam

object

IPAM 部分包含与网络相关的 IPAM 配置。

joinSubnets

数组（字符串）

JoinSubnets 在 OVN 网络拓扑中使用。

双栈集群可以设置 2 个子网（每个 IP 系列一个），否则只允许 1 个子网。此字段仅允许"Primary"网络。不建议在不明确需要和了解 OVN 网络拓扑的情况下设置此字段。省略时，平台将选择一个合理的默认值，该默认值可能会随时间变化。

mtu

整数

MTU 是网络的最大传输单元。如果没有提供 MTU，则 OVN-Kubernetes 中全局配置的值（默认为 1400）用于网络。

role

string

Role 描述了 pod 中的 network 角色。

允许的值是 "Secondary"。二级网络只分配给使用 k8s.v1.cni.cncf.io/networks 注解来选择给定网络的 pod。

subnets

数组（字符串）

子网用于集群中的 pod 网络。双栈集群可以设置 2 个子网（每个 IP 系列一个），否则只允许 1 个子网。

格式应该与标准 CIDR 表示法匹配（例如 "10.128.0.0/16"）。如果 ipam.mode 为 Disabled，则必须省略此字段。

生命周期

string

生命周期控制 IP 地址管理生命周期。

唯一允许的值是 Persistent。设置后，OVN Kubernetes 分配的 IP 地址将保留在 ipamclaims.k8s.cni.cncf.io 对象中。如果请求，其他 pod 将重复使用这些 IP 地址。仅在 启用 模式时支持。

模式

string

模式 控制 OVN 管理 IP 配置的数量。启用 意味着 OVN-Kubernetes 会将 IP 配置应用到 SDN 基础架构，它还会将 IP 从所选子网分配给单个 pod。禁用 意味着 OVN-Kubernetes 将只分配 MAC 地址并提供第 2 层通信，允许用户为 pod 配置 IP 地址。disabled 仅适用于二级网络。禁用 IPAM 后，任何依赖于 IP 选择 pod 的 Kubernetes 功能将不再起作用（如网络策略、服务等）。此外，附加到这个网络的接口也会禁用 IP 端口安全性。默认为 已启用。

joinSubnets

数组（字符串）

JoinSubnets 在 OVN 网络拓扑中使用。

双栈集群可以设置 2 个子网（每个 IP 系列一个），否则只允许 1 个子网。此字段仅允许"Primary"网络。不建议在不明确需要和了解 OVN 网络拓扑的情况下设置此字段。省略时，平台将选择一个合理的默认值，该默认值可能会随时间变化。

mtu

整数

MTU 是网络的最大传输单元。

如果没有提供 MTU，则 OVN-Kubernetes 中全局配置的值（默认为 1400）用于网络。

role

string

Role 描述了 pod 中的 network 角色。

允许的值是 "Primary" 和 "Secondary"。主网络会自动分配给在同一命名空间中创建的每个 pod。二级网络只分配给使用 k8s.v1.cni.cncf.io/networks 注解来选择给定网络的 pod。

subnets

数组

子网用于集群中的 pod 网络。

双栈集群可以设置 2 个子网（每个 IP 系列一个），否则只允许 1 个子网。给定子网被分成较小的子网。

subnets[]

object

cidr

string

CIDR 指定 L3Subnet，每个节点被分成较小的子网。

hostSubnet

整数

HostSubnet 指定每个节点的子网大小。

如果没有设置，则会自动分配。

excludeSubnets

数组（字符串）

excludeSubnets 是要从 子网 中指定 CIDR 中删除的 CIDR 列表。此列表中的 CIDR 必须包括在子网 . excludeSubnets 中指定的至少一个 子网 范围内。当省略没有 IP 地址时，子网 中指定的所有 IP 地址都可能会分配。格式应该与标准 CIDR 表示法匹配（例如 "10.128.0.0/16"）。如果未设置 子网，或者 ipam.mode 为 Disabled，则必须省略此字段。当 physicalNetworkName 指向具有保留 IP 地址（不应由 OVN-Kubernetes 分配）的网络的 OVS 网桥映射时，不会分配指定的 CIDR。例如：Given: subnets: "10.0.0.0/24", excludeSubnets: "10.0.0.200/30"，不会为 pod 分配以下地址： '10.0.0.201,10.0.0.202。

ipam

object

network 的 IPAM 配置。ipam 是可选的。省略时，必须指定 子网。当 ipam.mode 为 Disabled 时，必须省略子网。ipam.mode 控制 OVN 管理 IP 配置的数量。启用后，OVN-Kubernetes 会将 IP 配置应用到 SDN infra，并将所选子网的 IP 分配给 pod。当禁用 时，OVN-Kubernetes 只分配 MAC 地址并提供 layer2 通信，并允许用户在 pod 上配置 IP 地址。ipam.lifecycle 控制 IP 地址管理生命周期。当设置为 'Persistent' 时，分配的 IP 地址将保留在 ipamclaims.k8s.cni.cncf.io 对象中。对于虚拟机，在重启和迁移后，IP 地址将会被保留。当 ipam.mode 为 Enabled 时支持。

mtu

整数

MTU 是网络的最大传输单元。mtu 是可选的。如果省略时，OVN-Kubernetes 中配置的值（默认为 localnet 拓扑）用于网络。IPv4 子网的最小值是 576，IPv6 子网的值是 1280。最大值为 65536。在场景 physicalNetworkName 指向配置了某些 MTU 设置的网络的 OVS 网桥映射中，此字段允许在 pod 接口上配置相同的 MTU，使 pod MTU 与网络 MTU 保持一致。堆栈中的错误对齐 MTU （例如： pod 具有 MTU X，节点 NIC 具有 MTU Y），可能会导致网络中断和性能不当。

physicalNetworkName

string

physicalNetworkName 指向节点上配置的 OVS 网桥映射的 network-name 需要。最小长度为 1，最大长度为 253，不能包含 , 或 : 字符。如果 OVS bridge-mapping 由带有 NodeNetworkConfigurationPolicy (NNCP)的 Kubernetes-nmstate 定义，此字段应指向 NNCP spec.desiredState.ovn.bridge-mappings 项的 localnet 值。

role

string

Role 描述了 pod 中需要的网络角色。控制 pod 接口是否充当主要还是次要。localnet 拓扑仅支持 Secondary。网络将分配给具有 k8s.v1.cni.cncf.io/networks 注解的 pod，以指向 subject。

subnets

数组（字符串）

子网是用于集群中此 localnet 网络中 pod 的子网列表。列表可以是 1 个 IPv4 子网、1 IPv6 子网或每个 IP 系列中的 1 个。设置后，OVN-Kubernetes 将指定 CIDR 的 IP 地址分配给连接的 pod，无需手动 IP 分配或依赖外部 IPAM 服务（如 DHCP 服务器）。子网是可选的。当省略 OVN-Kubernetes 时，不会自动分配 IP 地址。双栈集群可以设置 2 个子网（每个 IP 系列一个），否则只允许 1 个子网。格式应该与标准 CIDR 表示法匹配（例如 "10.128.0.0/16"）。如果 ipam.mode 为 Disabled，则必须省略此字段。当 physicalNetworkName 指向提供 IPAM 服务（如 DHCP 服务器）的网络的 OVS 网桥映射时，ipam.mode 应该设置为 Disabled。这会关闭 OVN-Kubernetes IPAM，并避免与此 localnet 网络上现有的 IPAM 服务冲突。

vlan

object

network 的 VLAN 配置。vlan.mode 是 VLAN 模式。当设置了 "Access" 时，OVN-Kubernetes 以访问模式配置网络逻辑交换机端口。vlan.access 是访问 VLAN 配置。vlan.access.id 是要在网络逻辑交换机端口上设置的 VLAN ID (VID)。在忽略底层网络默认 VLAN 时，将是可选的。设置后，OVN-Kubernetes 会将 VLAN 配置应用到 SDN infra 并连接到连接的 pod。

生命周期

string

生命周期控制 IP 地址管理生命周期。

唯一允许的值是 Persistent。设置后，OVN Kubernetes 分配的 IP 地址将保留在 ipamclaims.k8s.cni.cncf.io 对象中。如果请求，其他 pod 将重复使用这些 IP 地址。仅在 启用 模式时支持。

模式

string

模式 控制 OVN 管理 IP 配置的数量。启用 意味着 OVN-Kubernetes 会将 IP 配置应用到 SDN 基础架构，它还会将 IP 从所选子网分配给单个 pod。禁用 意味着 OVN-Kubernetes 将只分配 MAC 地址并提供第 2 层通信，允许用户为 pod 配置 IP 地址。disabled 仅适用于二级网络。禁用 IPAM 后，任何依赖于 IP 选择 pod 的 Kubernetes 功能将不再起作用（如网络策略、服务等）。此外，附加到这个网络的接口也会禁用 IP 端口安全性。默认为 已启用。

access

object

访问是访问 VLAN 配置

模式

string

模式描述网络 VLAN 模式。允许的值是 "Access"。访问以访问模式设置网络逻辑交换机端口，具体取决于配置。

id

整数

ID 是要为网络设置的 VLAN ID (VID)。id 应高于 0，小于 4095。

conditions

数组

指示 ClusterUserDefineNetwork 状态详情的条件对象片段。

conditions[]

object

condition 包含此 API 资源当前状态的一个方面的详细信息。

lastTransitionTime

字符串

lastTransitionTime 是条件从一个状态转换到另一个状态最后一次的时间。这应该是底层条件变化的时间。如果为未知，则使用 API 字段更改的时间是可以接受的。

message

字符串

Message 是人类可读的消息，指示有关转换的详细信息。这可能是一个空字符串。

observedGeneration

整数

observedGeneration 代表 .metadata.generation，这是条件设置所基于的条件。例如，如果 .metadata.generation 目前为 12，但 .status.conditions[x].observedGeneration 是 9，则代表条件与实例的当前状态已不匹配。

reason

字符串

reason 包含程序标识符，指示条件最后一次转换的原因。特定条件类型的制作者可能会定义预期的值和此字段的含义，以及这些值是否被视为有保证的 API。该值应该是 CamelCase 字符串。此字段可能不是空的。

status

字符串

条件的状态，True, False, Unknown 之一。

type

字符串

CamelCase 或 foo.example.com/CamelCase 中的条件类型。

200 - OK

Status 模式

401 - Unauthorized

空

200 - OK

ClusterUserDefinedNetworkList schema

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

正文（body）

ClusterUserDefinedNetwork schema

200 - OK

ClusterUserDefinedNetwork schema

201 - Created

ClusterUserDefinedNetwork schema

202 - Accepted

ClusterUserDefinedNetwork schema

401 - Unauthorized

空

name

string

ClusterUserDefinedNetwork 的名称

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

200 - OK

Status 模式

202 - Accepted

Status 模式

401 - Unauthorized

空

200 - OK

ClusterUserDefinedNetwork schema

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

200 - OK

ClusterUserDefinedNetwork schema

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

正文（body）

ClusterUserDefinedNetwork schema

200 - OK

ClusterUserDefinedNetwork schema

201 - Created

ClusterUserDefinedNetwork schema

401 - Unauthorized

空

name

string

ClusterUserDefinedNetwork 的名称

200 - OK

ClusterUserDefinedNetwork schema

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

200 - OK

ClusterUserDefinedNetwork schema

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

正文（body）

ClusterUserDefinedNetwork schema

200 - OK

ClusterUserDefinedNetwork schema

201 - Created

ClusterUserDefinedNetwork schema

401 - Unauthorized

空

egress

数组

Egress 是要应用到所选 pod 的 Egress 规则列表。每个 ANP 实例中允许总计 100 个规则。单个 ANP 对象（所有共享优先级）中的出口规则的相对优先级将由编写规则的顺序决定。因此，在出口规则顶部出现的规则将具有最高的优先级。没有出口规则的 ANP 不会影响出口流量。

支持：Core

egress[]

object

AdminNetworkPolicyEgressRule 描述了对来自 AdminNetworkPolicy 的 Subject 字段选择的 pod 的特定流量集合执行的操作。<network-policy-api:experimental:validation>

ingress

数组

Ingress 是要应用到所选 pod 的 Ingress 规则列表。每个 ANP 实例中允许总计 100 个规则。单个 ANP 对象（所有共享优先级）中的 ingress 规则的相对优先级将由编写规则的顺序决定。因此，在入口规则顶部出现的规则将具有最高的优先级。没有入口规则的 ANP 不会影响入口流量。

支持：Core

ingress[]

object

AdminNetworkPolicyIngressRule 描述了对由 AdminNetworkPolicy 的 Subject 字段选择的特定流量集合执行的操作。

priority

整数

priority 是从 0 到 1000 的值。优先级值较低的规则具有更高的优先级，并在优先级较高的规则之前检查。所有 AdminNetworkPolicy 规则的优先级高于 NetworkPolicy 或 BaselineAdminNetworkPolicy 规则，如果两个 ANP 对象具有相同的优先级，则行为未定义。

支持：Core

subject

object

subject 定义此 AdminNetworkPolicy 应用到的 pod。请注意，主机网络的 pod 不包含在主题选择中。

支持：Core

action

string

action 指定此规则对匹配流量的影响。目前支持以下操作： Allow: 允许所选流量（即使被 NetworkPolicy 拒绝拒绝） Deny: 拒绝所选流量 Pass: 指示所选流量跳过任何剩余的 ANP 规则，然后将执行传递给选择 pod 的任何 NetworkPolicies。如果任何 NetworkPolicies 没有选择 pod，则执行会被传递给选择 pod 的任何 BaselineAdminNetworkPolicies。

支持：Core

name

string

name 是此规则的标识符，长度不超过 100 个字符。实现应使用此字段来帮助改进任何应用的 AdminNetworkPolicies 的可观察性、可读性和错误报告。

支持：Core

ports

数组

端口允许根据端口和协议匹配流量。此字段是传出出口流量的目标端口列表。如果没有设置 Ports，则规则不会通过端口过滤流量。

支持：Core

ports[]

object

AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。

至

数组

to 是此规则应用到的目的地列表。如果任何 AdminNetworkPolicyEgressPeer 与传出流量的目的地匹配，则会应用指定的操作。必须定义此字段并至少包含一个项。

支持：Core

to[]

object

AdminNetworkPolicyEgressPeer 定义了一个允许流量的对等点。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段，它们必须假定指定了未知选项，并且关闭失败。

namedPort

string

NamedPort 根据名称选择一个 pod 上的端口。

支持：扩展

<network-policy-api:experimental>

portNumber

object

port 根据数字选择 pod 上的端口。

支持：Core

portRange

object

PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。

支持：Core

port

整数

number 定义网络端口值。

支持：Core

protocol

string

协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

支持：Core

end

整数

end 定义端口范围末尾的网络端口，End 值必须大于 Start。

支持：Core

protocol

string

协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

支持：Core

start

整数

start 定义端口范围起始的网络端口，Start 值必须小于 End。

支持：Core

命名空间

object

命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

networks

数组（字符串）

网络定义了通过 CIDR 块选择对等点的方法。这用于表示集群外部的实体，这些实体不能被 pod、命名空间和节点对等点选择，但请注意，集群内部流量也会针对该规则进行检查。因此，如果您允许或拒绝到 "0.0.0.0/0" 的流量，这将允许或拒绝所有 IPv4 pod 到 pod 流量。如果您不想这样做，请在网络规则前添加传递所有 pod 流量的规则。

Networks 中的每个项目都应该以 CIDR 格式提供，且应为 IPv4 或 IPv6，如 "10.0.0.0/8" 或 "fd00::/8"。

网络可以最多指定 25 个 CIDR。

支持：扩展

<network-policy-api:experimental>

节点

object

节点定义了选择集群中一组节点的方法。此字段遵循标准标签选择器语义；如果存在，它会选择所有节点。

支持：扩展

<network-policy-api:experimental>

pods

object

Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

namespaceSelector

object

namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。

podSelector

object

podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

action

string

action 指定此规则对匹配流量的影响。目前支持以下操作： Allow: 允许所选流量（即使被 NetworkPolicy 拒绝拒绝） Deny: 拒绝所选流量 Pass: 指示所选流量跳过任何剩余的 ANP 规则，然后将执行传递给选择 pod 的任何 NetworkPolicies。如果任何 NetworkPolicies 没有选择 pod，则执行会被传递给选择 pod 的任何 BaselineAdminNetworkPolicies。

支持：Core

from

数组

from 是此规则应用到的源列表。如果任何 AdminNetworkPolicyIngressPeer 与传入流量的来源匹配，则会应用指定的操作。必须定义此字段并至少包含一个项。

支持：Core

from[]

object

AdminNetworkPolicyIngressPeer 定义了一个集群内对等点，以允许来自的流量。必须为给定的对等点设置其中一个选择器指针。如果消费者观察没有设置其字段，它们必须假定指定了未知选项，并且关闭失败。

name

string

name 是此规则的标识符，长度不超过 100 个字符。实现应使用此字段来帮助改进任何应用的 AdminNetworkPolicies 的可观察性、可读性和错误报告。

支持：Core

ports

数组

端口允许根据端口和协议匹配流量。此字段是一个端口列表，应在针对此策略选择的 pod 上匹配，例如策略的主题。因此，它与入口流量的目标端口上匹配。如果没有设置 Ports，则规则不会通过端口过滤流量。

支持：Core

ports[]

object

AdminNetworkPolicyPort 描述了如何选择 pod 上的网络端口。必须设置一个字段。

命名空间

object

命名空间定义了选择一组命名空间中的所有 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

pods

object

Pod 定义了在一组命名空间中选择一组 pod 的方法。请注意，主机网络的 pod 没有包含在这种对等状态中。

支持：Core

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

namespaceSelector

object

namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。

podSelector

object

podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

namedPort

string

NamedPort 根据名称选择一个 pod 上的端口。

支持：扩展

<network-policy-api:experimental>

portNumber

object

port 根据数字选择 pod 上的端口。

支持：Core

portRange

object

PortRange 根据提供的 start 和 end 值在 pod 上选择一个端口范围。

支持：Core

port

整数

number 定义网络端口值。

支持：Core

protocol

string

协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

支持：Core

end

整数

end 定义端口范围末尾的网络端口，End 值必须大于 Start。

支持：Core

protocol

string

协议是流量必须匹配的网络协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

支持：Core

start

整数

start 定义端口范围起始的网络端口，Start 值必须小于 End。

支持：Core

命名空间

object

命名空间用于通过命名空间选择器选择 pod。

pods

object

Pod 用于通过命名空间 AND pod 选择器选择 pod。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

namespaceSelector

object

namespaceSelector 遵循标准标签选择器语义；如果为空，它会选择所有命名空间。

podSelector

object

podSelector 用于显式选择命名空间中的 pod；如果为空，它会选择所有 Pod。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

conditions

array

conditions[]

对象

条件包含此 API 资源当前状态的一个方面的详情。--- 这个结构旨在直接用作字段路径 .status.conditions 中的数组。例如，

type FooStatus struct{ // Represents the observations of a foo's current state. // Known .status.conditions.type are: "Available", "Progressing", 和 "Degraded" // +patchMergeKey=type // +patchStrategy=merge // +listType=map // +listMapKey=type Conditions []metav1.Condition json:"conditions, omitempty" patchStrategy:"merge" patchMergeKey:"type" protobuf:"bytes,1,rep,name=conditions"

// other fields }

lastTransitionTime

字符串

lastTransitionTime 是条件从一个状态转换到另一个状态最后一次的时间。这应该是底层条件变化的时间。如果为未知，则使用 API 字段更改的时间是可以接受的。

message

字符串

Message 是人类可读的消息，指示有关转换的详细信息。这可能是一个空字符串。

observedGeneration

整数

observedGeneration 代表 .metadata.generation，这是条件设置所基于的条件。例如，如果 .metadata.generation 目前为 12，但 .status.conditions[x].observedGeneration 是 9，则代表条件与实例的当前状态已不匹配。

reason

字符串

reason 包含程序标识符，指示条件最后一次转换的原因。特定条件类型的制作者可能会定义预期的值和此字段的含义，以及这些值是否被视为有保证的 API。该值应该是 CamelCase 字符串。此字段可能不是空的。

status

字符串

条件的状态，True, False, Unknown 之一。

type

字符串

CamelCase 或 foo.example.com/CamelCase 中的条件类型。-- Many .condition.type 值在资源间是一致的，但因为任意条件可能很有用（请参阅 .node.status.conditions），deconflict 的能力非常重要。它匹配的正则表达式是 (dns1123SubdomainFmt/)? (qualifiedNameFmt)

200 - OK

Status 模式

401 - Unauthorized

空

200 - OK

AdminNetworkPolicyList 模式

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

正文（body）

AdminNetworkPolicy 模式

200 - OK

AdminNetworkPolicy 模式

201 - Created

AdminNetworkPolicy 模式

202 - Accepted

AdminNetworkPolicy 模式

401 - Unauthorized

空

name

string

AdminNetworkPolicy 的名称

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

200 - OK

Status 模式

202 - Accepted

Status 模式

401 - Unauthorized

空

200 - OK

AdminNetworkPolicy 模式

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

200 - OK

AdminNetworkPolicy 模式

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

正文（body）

AdminNetworkPolicy 模式

200 - OK

AdminNetworkPolicy 模式

201 - Created

AdminNetworkPolicy 模式

401 - Unauthorized

空

name

string

AdminNetworkPolicy 的名称

200 - OK

AdminNetworkPolicy 模式

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

200 - OK

AdminNetworkPolicy 模式

401 - Unauthorized

空

dryRun

string

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldValidation

string

fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

正文（body）

AdminNetworkPolicy 模式

200 - OK

AdminNetworkPolicy 模式

201 - Created

AdminNetworkPolicy 模式

401 - Unauthorized

空

from

object

from 定义将决定目标命名空间到此 CR 的选择器。

nextHops

object

NextHops 定义两种类型的跃点： Static 和 Dynamic。每个跃点至少定义一个外部网关 IP。

namespaceSelector

object

namespaceSelector 定义了一个选择器，用于决定此 CR 将针对哪些命名空间

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

dynamic

数组

DynamicHops 定义 DynamicHop 的片段。此字段是可选的。

dynamic[]

object

DynamicHop 定义动态外部网关接口的配置。这些接口围绕位于集群内部的 pod 对象进行嵌套。字段 NetworkAttachmentName 捕获检索要使用的网关 IP 时使用的 multus 网络名称。PodSelector 和 NamespaceSelector 是必填字段。

static

数组

StaticHops 定义了 StaticHop 的一个片段。此字段是可选的。

static[]

object

StaticHop 定义作为外部网关接口的静态 IP 配置。IP 字段是必需的。

bfdEnabled

布尔值

BFDEnabled 确定接口是否实现双向转发检测协议。默认为false。

namespaceSelector

object

namespaceSelector 定义选择器，用于过滤 pod 网关所在的命名空间。

networkAttachmentName

string

NetworkAttachmentName 决定在检索要用作网关 IP 的 pod IP 时使用的 multus 网络名称。当此字段为空时，逻辑假设 pod 被配置为 HostNetwork，并使用节点的 IP 作为网关。

podSelector

object

podSelector 定义选择器来过滤外部网关的 pod。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。

matchExpressions

array

matchExpressions 是标签选择器要求列表。要求的逻辑关系是 AND。

matchExpressions[]

对象

标签选择器要求是一个选择器，其中包含与键和值相关的值、键和值。

matchLabels

对象（字符串）

matchLabels 是 {key,value} 对的映射。MatchLabels 映射中的单个 {key,value} 等同于 matchExpressions 的一个元素，其 key 字段是 "key"，运算符是 "In"，值数组仅包含 "value"。要求的逻辑关系是 AND。

key

字符串

key 是选择器应用到的标签键。

operator

字符串

运算符代表一个键与一组值的关系。有效的运算符是 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

值是字符串值的数组。如果运算符是 In 或 NotIn，则值数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则值数组必须为空。这个数组会在策略性合并补丁中被替换。