第 4 章 安全 API
4.1. SecurityContextConstraints [security.openshift.io/v1]
- 描述
- SecurityContextConstraints (SCC)监管了影响应用到容器的 SecurityContext 的请求的能力。使用 security.openshift.io 组来管理 SecurityContextConstraints。兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。
- 类型
-
对象 - 必填
-
allowHostDirVolumePlugin -
allowHostIPC -
allowHostNetwork -
allowHostPID -
allowHostPorts -
allowPrivilegedContainer -
readOnlyRootFilesystem
-
4.1.1. 规格
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| AllowHostDirVolumePlugin 决定策略是否允许容器使用 HostDir 卷插件 |
|
|
| allowHostIPC 确定策略是否允许容器中的主机 ipc。 |
|
|
| allowHostNetwork 决定策略是否允许在 pod spec 中使用 HostNetwork。 |
|
|
| allowHostPID 确定策略是否允许容器中的 host pid。 |
|
|
| allowHostPorts 决定策略是否允许容器中的主机端口。 |
|
| `` | allowPrivilegeEscalation 决定 pod 是否请求允许特权升级。如果未指定,则默认为 true。 |
|
|
| allowPrivilegedContainer 决定容器是否可以请求以特权方式运行。 |
|
| `` | allowedCapabilities 是可请求添加到容器的功能列表。此字段中的功能可能会在 pod 作者自由裁量中添加。您不能列出 AllowedCapabilities 和 RequiredDropCapabilities 中的功能。要允许所有功能,您可以使用"Demo"。 |
|
| `` | AllowedFlexVolumes 是允许的 Flexvolumes 的白名单。empty 或 nil 表示可以使用所有 Flexvolumes。只有在"Volumes"字段中允许使用 Flexvolumes 时,这个参数才有效。 |
|
| `` | allowedUnsafeSysctls 是明确允许的不安全 sysctl 列表,默认为 none。每个条目都是普通 sysctl 名称,也可以是以 "" 结尾,在这种情况下,它被视为允许的 sysctl 的前缀。单站表示允许所有不安全 sysctl。kubelet 必须明确将所有允许的不安全 sysctl 列入白名单,以避免拒绝。示例:e.g. "foo/" allow "foo/bar", "foo/baz" 等,例如 "foo114" 允许 "foo.bar", "foo.baz" 等。 |
|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| `` | defaultAddCapabilities 是添加到容器的默认功能集,除非 pod 规格特别丢弃该功能。您不能在 DefaultAddCapabilities 和 RequiredDropCapabilities 中列出 capabiility。 |
|
| `` | defaultAllowPrivilegeEscalation 控制进程是否可以获得比父进程更多的特权的默认设置。 |
|
| `` | forbiddenSysctls 是明确禁止的 sysctl 列表,默认为 none。每个条目都是普通 sysctl 名称,也可以是以 "" 结尾,在这种情况下,它被视为禁止的 sysctl 前缀。单站表示所有 sysctl 都被禁止。示例:例如 "foo/" forbids "foo/bar", "foo/baz" 等,如 "foo the" forbids "foo.bar", "foo.baz" 等。 |
|
| `` | fsGroup 是指明 SecurityContext 使用什么 fs 组的策略。 |
|
| `` | 具有使用此安全性上下文约束权限的组 |
|
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
|
| 标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata |
|
| `` | 优先级根据 User and Groups 字段中的访问权限,决定在评估哪些 SCC 以先尝试给定 Pod 请求时 SCC 的排序顺序。int 越大,优先级更高。取消设置的值被视为 0 优先级。如果多个 SCC 的分数相等,则根据限制性最强到最强的排序。如果优先级和限制都相等,则 SCC 按照名称排序。 |
|
|
| 当设为 true 时,readOnlyRootFileSystem 将强制容器使用只读根文件系统运行。如果容器特别请求使用非读取的 root 文件系统运行,则 SCC 将拒绝 Pod。如果设置为 false,则容器可能以只读根文件系统运行(如果其希望但不会被强制运行)。 |
|
| `` | requiredDropCapabilities 是从容器中丢弃的功能。这些需要被丢弃且无法添加。 |
|
| `` | runAsUser 是策略,它将指明 SecurityContext 中使用什么 RunAsUser。 |
|
| `` | seLinuxContext 是策略,它将指明在 SecurityContext 中设置哪些标签。 |
|
| `` | seccompProfiles 列出了可为 pod 或容器的 seccomp 注解设置的允许的配置集。unset (nil)或空值意味着 pod 或容器没有覆盖配置集。通配符 'IANA' 可以用来允许所有配置集。当为 pod 生成值时,第一个非通配符配置集将用作默认值。 |
|
| `` | supplementalGroups 是策略,它将指明 SecurityContext 使用哪些补充组。 |
|
| `` | 具有使用此安全性上下文约束权限的用户 |
|
| `` | 卷是允许卷插件的白名单列表。fstype 直接与 VolumeSource 的字段名称对应(azureFile、configMap、emptyDir)。要允许所有卷,您可以使用"Demo"。要允许卷,设置为 ["none"]。 |
4.1.2. API 端点
可用的 API 端点如下:
/apis/security.openshift.io/v1/securitycontextconstraints-
DELETE:删除 SecurityContextConstraints 集合 -
GET: 列出 SecurityContextConstraints 类型的对象 -
POST:创建 SecurityContextConstraints
-
/apis/security.openshift.io/v1/watch/securitycontextconstraints-
GET: 观察对 SecurityContextConstraints 列表的各个更改。已弃用:将 'watch' 参数与列表操作一起使用。
-
/apis/security.openshift.io/v1/securitycontextconstraints/{name}-
DELETE: delete SecurityContextConstraints -
GET:读取指定的 SecurityContextConstraints -
PATCH:部分更新指定的 SecurityContextConstraints -
PUT:替换指定的 SecurityContextConstraints
-
/apis/security.openshift.io/v1/watch/securitycontextconstraints/{name}-
GET: 观察对类型为 SecurityContextConstraints 的对象的更改。已弃用:使用带有列表操作的 'watch' 参数,而是过滤到带有 'fieldSelector' 参数的单个项目。
-
4.1.2.1. /apis/security.openshift.io/v1/securitycontextconstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 如果 'true',则输出被用户友善。 |
- HTTP 方法
-
DELETE - 描述
- 删除 SecurityContextConstraints 集合
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签,由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回,也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视,则忽略此字段。 |
|
|
| 从服务器检索更多结果时,应设置 continue 选项。由于这个值是定义的服务器,因此客户端只能使用之前查询结果中的 continue 值,并带有相同的查询参数(除 continue 值除外),因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效,无论是因为过期时间(通常为 5 到十五分钟)还是服务器上的配置更改,服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表,它必须在没有 continue 字段的情况下重启其列表。否则,客户端可能会发送另一个列表请求,并带有 410 错误收到的令牌,服务器将通过从下一个密钥开始的列表进行响应,但从最新的快照(从最后一个列表结果中不一致) - 在第一个列表请求后创建、修改或删除的对象将包含在响应中,只要其密钥在"next key"后。 当 watch 为 true 时,不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值启动监视,而不丢失任何修改。 |
|
|
| 用于限制返回的对象列表的选择器。默认为任何内容。 |
|
|
| 通过标签限制返回的对象列表的选择器。默认为任何内容。 |
|
|
| 限制是列表调用要返回的最大响应数。如果存在更多项目,服务器会将列表元数据上的"continue"字段设置为可用于同一初始查询的值,以检索下一个结果集。在过滤所有请求的对象时,设置限制可能会返回比请求的项目数量少(最多为零项),客户端应只使用 continue 字段的存在来确定是否有更多结果可用。服务器可以选择不支持限制参数,并将返回所有可用的结果。如果指定了限制,并且 continue 字段为空,客户端可能会假设没有更多可用的结果。如果 watch 为 true,则不支持此字段。 服务器保证在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用相同 - 也就是说,在发出第一个请求后不会创建、修改或删除对象。这有时被称为一致的快照,并确保使用限制的客户端接收一个非常大的结果较小的块可以确保它们看到所有可能的对象。如果在块列出期间更新对象,则返回第一次列表结果时存在的对象版本。 |
|
|
| resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置 |
|
|
| resourceVersionMatch 决定 resourceVersion 如何应用到列出调用。强烈建议您为设置了 resourceVersion 的列表调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。 默认为未设置 |
|
|
| list/watch 调用的超时。这限制了调用的时间,无论任何活动或不活跃。 |
|
|
| 观察对描述的资源的更改,并将其作为添加、更新和删除通知流返回。指定 resourceVersion。 |
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空 |
- HTTP 方法
-
GET - 描述
- 列出 SecurityContextConstraints 类型的对象
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签,由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回,也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视,则忽略此字段。 |
|
|
| 从服务器检索更多结果时,应设置 continue 选项。由于这个值是定义的服务器,因此客户端只能使用之前查询结果中的 continue 值,并带有相同的查询参数(除 continue 值除外),因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效,无论是因为过期时间(通常为 5 到十五分钟)还是服务器上的配置更改,服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表,它必须在没有 continue 字段的情况下重启其列表。否则,客户端可能会发送另一个列表请求,并带有 410 错误收到的令牌,服务器将通过从下一个密钥开始的列表进行响应,但从最新的快照(从最后一个列表结果中不一致) - 在第一个列表请求后创建、修改或删除的对象将包含在响应中,只要其密钥在"next key"后。 当 watch 为 true 时,不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值启动监视,而不丢失任何修改。 |
|
|
| 用于限制返回的对象列表的选择器。默认为任何内容。 |
|
|
| 通过标签限制返回的对象列表的选择器。默认为任何内容。 |
|
|
| 限制是列表调用要返回的最大响应数。如果存在更多项目,服务器会将列表元数据上的"continue"字段设置为可用于同一初始查询的值,以检索下一个结果集。在过滤所有请求的对象时,设置限制可能会返回比请求的项目数量少(最多为零项),客户端应只使用 continue 字段的存在来确定是否有更多结果可用。服务器可以选择不支持限制参数,并将返回所有可用的结果。如果指定了限制,并且 continue 字段为空,客户端可能会假设没有更多可用的结果。如果 watch 为 true,则不支持此字段。 服务器保证在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用相同 - 也就是说,在发出第一个请求后不会创建、修改或删除对象。这有时被称为一致的快照,并确保使用限制的客户端接收一个非常大的结果较小的块可以确保它们看到所有可能的对象。如果在块列出期间更新对象,则返回第一次列表结果时存在的对象版本。 |
|
|
| resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置 |
|
|
| resourceVersionMatch 决定 resourceVersion 如何应用到列出调用。强烈建议您为设置了 resourceVersion 的列表调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。 默认为未设置 |
|
|
| list/watch 调用的超时。这限制了调用的时间,无论任何活动或不活跃。 |
|
|
| 观察对描述的资源的更改,并将其作为添加、更新和删除通知流返回。指定 resourceVersion。 |
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空 |
- HTTP 方法
-
POST - 描述
- 创建 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 出现时,表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应,且请求不会被进一步处理。有效值为: - All: 所有预演阶段都将被处理 |
|
|
| fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长,且仅包含可打印的字符,如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。 |
|
|
| fieldValidation 指示服务器如何处理包含未知或重复字段的请求中的对象(POST/PUT/PATCH),只要也启用了"ServerSideFieldValidation"功能门。有效值为:- Ignore:这将忽略任何从对象中静默丢弃的未知字段,并将忽略解码器遇到的最后一个重复字段。这是 v1.23 之前的默认行为,是禁用 'ServerSideFieldValidation' 功能门时的默认行为。- Warn: 这将通过来自对象丢弃的每个未知字段的标准警告响应标头发送警告。如果没有其他错误,请求仍会成功,并且仅保留任何重复字段的最后一个字段。当启用 'ServerSideFieldValidation' 功能门时,这是默认设置。- Strict: 如果从对象中丢弃了任何未知字段,则会失败,并带有 BadRequest 错误。从服务器返回的错误将包含遇到的所有未知和重复字段。 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空 |
4.1.2.2. /apis/security.openshift.io/v1/watch/securitycontextconstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签,由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回,也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视,则忽略此字段。 |
|
|
| 从服务器检索更多结果时,应设置 continue 选项。由于这个值是定义的服务器,因此客户端只能使用之前查询结果中的 continue 值,并带有相同的查询参数(除 continue 值除外),因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效,无论是因为过期时间(通常为 5 到十五分钟)还是服务器上的配置更改,服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表,它必须在没有 continue 字段的情况下重启其列表。否则,客户端可能会发送另一个列表请求,并带有 410 错误收到的令牌,服务器将通过从下一个密钥开始的列表进行响应,但从最新的快照(从最后一个列表结果中不一致) - 在第一个列表请求后创建、修改或删除的对象将包含在响应中,只要其密钥在"next key"后。 当 watch 为 true 时,不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值启动监视,而不丢失任何修改。 |
|
|
| 用于限制返回的对象列表的选择器。默认为任何内容。 |
|
|
| 通过标签限制返回的对象列表的选择器。默认为任何内容。 |
|
|
| 限制是列表调用要返回的最大响应数。如果存在更多项目,服务器会将列表元数据上的"continue"字段设置为可用于同一初始查询的值,以检索下一个结果集。在过滤所有请求的对象时,设置限制可能会返回比请求的项目数量少(最多为零项),客户端应只使用 continue 字段的存在来确定是否有更多结果可用。服务器可以选择不支持限制参数,并将返回所有可用的结果。如果指定了限制,并且 continue 字段为空,客户端可能会假设没有更多可用的结果。如果 watch 为 true,则不支持此字段。 服务器保证在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用相同 - 也就是说,在发出第一个请求后不会创建、修改或删除对象。这有时被称为一致的快照,并确保使用限制的客户端接收一个非常大的结果较小的块可以确保它们看到所有可能的对象。如果在块列出期间更新对象,则返回第一次列表结果时存在的对象版本。 |
|
|
| 如果 'true',则输出被用户友善。 |
|
|
| resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置 |
|
|
| resourceVersionMatch 决定 resourceVersion 如何应用到列出调用。强烈建议您为设置了 resourceVersion 的列表调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。 默认为未设置 |
|
|
| list/watch 调用的超时。这限制了调用的时间,无论任何活动或不活跃。 |
|
|
| 观察对描述的资源的更改,并将其作为添加、更新和删除通知流返回。指定 resourceVersion。 |
- HTTP 方法
-
GET - 描述
- 观察对 SecurityContextConstraints 列表的各个更改。已弃用:改为使用 'watch' 参数和列表操作。
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空 |
4.1.2.3. /apis/security.openshift.io/v1/securitycontextconstraints/{name}
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| SecurityContextConstraints 的名称 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 如果 'true',则输出被用户友善。 |
- HTTP 方法
-
DELETE - 描述
- delete SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 出现时,表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应,且请求不会被进一步处理。有效值为: - All: 所有预演阶段都将被处理 |
|
|
| 应该删除对象前的持续时间(以秒为单位)。值必须是非负整数。值零表示立即删除。如果这个值是 nil,则使用指定类型的默认宽限期。如果没有指定,则默认为每个对象值。零表示立即删除。 |
|
|
| 弃用:请使用 PropagationPolicy,此字段将在 1.7 中被弃用。应该依赖的对象被孤立。如果为 true/false,"orphan"终结器将从对象的终结器列表添加到/删除。可以设置此字段或 PropagationPolicy,但不能同时设置两者。 |
|
|
| 是否以及是否执行垃圾回收。此字段或 OrphanDependents 可以设置,但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值为: 'Orphan' - 孤立依赖; 'Background' - 允许垃圾收集器在后台删除依赖的依赖关系; 'Foreground' - 一个删除前台所有依赖的级联策略。 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
|
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空 |
- HTTP 方法
-
GET - 描述
- 读取指定的 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置 |
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空 |
- HTTP 方法
-
PATCH - 描述
- 部分更新指定的 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 出现时,表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应,且请求不会被进一步处理。有效值为: - All: 所有预演阶段都将被处理 |
|
|
| fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长,且仅包含可打印的字符,如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。 |
|
|
| fieldValidation 指示服务器如何处理包含未知或重复字段的请求中的对象(POST/PUT/PATCH),只要也启用了"ServerSideFieldValidation"功能门。有效值为:- Ignore:这将忽略任何从对象中静默丢弃的未知字段,并将忽略解码器遇到的最后一个重复字段。这是 v1.23 之前的默认行为,是禁用 'ServerSideFieldValidation' 功能门时的默认行为。- Warn: 这将通过来自对象丢弃的每个未知字段的标准警告响应标头发送警告。如果没有其他错误,请求仍会成功,并且仅保留任何重复字段的最后一个字段。当启用 'ServerSideFieldValidation' 功能门时,这是默认设置。- Strict: 如果从对象中丢弃了任何未知字段,则会失败,并带有 BadRequest 错误。从服务器返回的错误将包含遇到的所有未知和重复字段。 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
|
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空 |
- HTTP 方法
-
PUT - 描述
- 替换指定的 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 出现时,表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应,且请求不会被进一步处理。有效值为: - All: 所有预演阶段都将被处理 |
|
|
| fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长,且仅包含可打印的字符,如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。 |
|
|
| fieldValidation 指示服务器如何处理包含未知或重复字段的请求中的对象(POST/PUT/PATCH),只要也启用了"ServerSideFieldValidation"功能门。有效值为:- Ignore:这将忽略任何从对象中静默丢弃的未知字段,并将忽略解码器遇到的最后一个重复字段。这是 v1.23 之前的默认行为,是禁用 'ServerSideFieldValidation' 功能门时的默认行为。- Warn: 这将通过来自对象丢弃的每个未知字段的标准警告响应标头发送警告。如果没有其他错误,请求仍会成功,并且仅保留任何重复字段的最后一个字段。当启用 'ServerSideFieldValidation' 功能门时,这是默认设置。- Strict: 如果从对象中丢弃了任何未知字段,则会失败,并带有 BadRequest 错误。从服务器返回的错误将包含遇到的所有未知和重复字段。 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空 |
4.1.2.4. /apis/security.openshift.io/v1/watch/securitycontextconstraints/{name}
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| SecurityContextConstraints 的名称 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签,由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回,也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视,则忽略此字段。 |
|
|
| 从服务器检索更多结果时,应设置 continue 选项。由于这个值是定义的服务器,因此客户端只能使用之前查询结果中的 continue 值,并带有相同的查询参数(除 continue 值除外),因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效,无论是因为过期时间(通常为 5 到十五分钟)还是服务器上的配置更改,服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表,它必须在没有 continue 字段的情况下重启其列表。否则,客户端可能会发送另一个列表请求,并带有 410 错误收到的令牌,服务器将通过从下一个密钥开始的列表进行响应,但从最新的快照(从最后一个列表结果中不一致) - 在第一个列表请求后创建、修改或删除的对象将包含在响应中,只要其密钥在"next key"后。 当 watch 为 true 时,不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值启动监视,而不丢失任何修改。 |
|
|
| 用于限制返回的对象列表的选择器。默认为任何内容。 |
|
|
| 通过标签限制返回的对象列表的选择器。默认为任何内容。 |
|
|
| 限制是列表调用要返回的最大响应数。如果存在更多项目,服务器会将列表元数据上的"continue"字段设置为可用于同一初始查询的值,以检索下一个结果集。在过滤所有请求的对象时,设置限制可能会返回比请求的项目数量少(最多为零项),客户端应只使用 continue 字段的存在来确定是否有更多结果可用。服务器可以选择不支持限制参数,并将返回所有可用的结果。如果指定了限制,并且 continue 字段为空,客户端可能会假设没有更多可用的结果。如果 watch 为 true,则不支持此字段。 服务器保证在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用相同 - 也就是说,在发出第一个请求后不会创建、修改或删除对象。这有时被称为一致的快照,并确保使用限制的客户端接收一个非常大的结果较小的块可以确保它们看到所有可能的对象。如果在块列出期间更新对象,则返回第一次列表结果时存在的对象版本。 |
|
|
| 如果 'true',则输出被用户友善。 |
|
|
| resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置 |
|
|
| resourceVersionMatch 决定 resourceVersion 如何应用到列出调用。强烈建议您为设置了 resourceVersion 的列表调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。 默认为未设置 |
|
|
| list/watch 调用的超时。这限制了调用的时间,无论任何活动或不活跃。 |
|
|
| 观察对描述的资源的更改,并将其作为添加、更新和删除通知流返回。指定 resourceVersion。 |
- HTTP 方法
-
GET - 描述
- 观察对类型为 SecurityContextConstraints 的对象的更改。已弃用:使用带有列表操作的 'watch' 参数,而是过滤到带有 'fieldSelector' 参数的单个项目。
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空 |
