18.4. NetworkPolicy [networking.k8s.io/v1]

egress

array

egress 是要应用到所选 pod 的出口规则列表。如果没有 NetworkPolicies 选择 pod （集群策略其他允许流量），或者流量至少匹配 podSelector 与 podSelector 匹配的所有 NetworkPolicy 对象，则允许传出流量。如果此字段为空，则此 NetworkPolicy 会限制所有传出流量（仅提供确保默认隔离它的 pod）。这个字段在 1.8 中是 beta 级

egress[]

对象

NetworkPolicyEgressRule 描述了一组特定的流量，这些流量允许来自 NetworkPolicySpec 的 podSelector 匹配的 pod。流量必须匹配端口 和。这个类型是 1.8 中的 beta 级别

ingress

array

Ingress 是要应用到所选 pod 的入站规则列表。如果没有 NetworkPolicies 选择 pod （否则集群策略允许流量），或者流量源是 pod 的本地节点，或者流量源是 pod 的本地节点，或者流量在 podSelector 匹配的所有 NetworkPolicy 对象中至少匹配一个入口规则，或者流量在 podSelector 匹配的所有 NetworkPolicy 对象中至少匹配一个入口规则。如果此字段为空，则此 NetworkPolicy 不允许任何流量（仅提供确保默认隔离它的 pod）

ingress[]

对象

NetworkPolicyIngressRule 描述了允许与 NetworkPolicySpec 的 pod 匹配的 pod 的特定流量集合。流量必须与端口 和 from 匹配。

podSelector

LabelSelector

podSelector 选择此 NetworkPolicy 对象应用到的 pod。入口规则的数组应用于此字段选择的任何 pod。多个网络策略可以选择同一组 pod。在这种情况下，每个系统的入站规则组合使用。此字段不是可选，并遵循标准标签选择器语义。空 podSelector 匹配此命名空间中的所有 pod。

policyTypes

数组（字符串）

policyTypes 是 NetworkPolicy 相关的规则类型列表。有效选项为 ["Ingress"], ["Egress"], 或 ["Ingress", "Egress"]。如果没有指定此字段，它将默认基于入口或出口规则存在；包含 egress 部分的策略会被假定为影响出口，所有策略（无论它们是否包含 ingress 部分）都假定为影响 ingress。如果要编写仅出口策略，您必须明确指定 policyTypes [ "Egress" ]。同样，如果您想要编写指定不允许出口的策略，您必须指定包含 "Egress" 的 policyTypes 值（因为这样的策略不包括 egress 部分，否则默认为 [ "Ingress" ]。这个字段在 1.8 中是 beta 级

ports

array

端口是传出流量的目标端口列表。此列表中的每个项目都使用逻辑 OR 合并。如果此字段为空或缺失，则该规则匹配所有端口（不受端口限制的流量）。如果存在此字段并至少包含一个项目，则此规则仅在流量与列表中至少匹配一个端口时才允许流量。

ports[]

对象

NetworkPolicyPort 描述了允许流量的端口

至

array

to 是为这个规则选择的 pod 传出流量的目的地列表。此列表中的项目使用逻辑 OR 操作组合。如果此字段为空或缺失，则该规则匹配所有目的地（不受目的地限制的流量）。如果此字段存在并至少包含一个项目，则该规则仅在流量与要列表中的至少一个项目匹配时才允许流量。

to[]

对象

NetworkPolicyPeer 描述允许流量到/来自的对等点。只允许某些字段组合

endPort

整数

endPort 表示策略应允许端口的范围从端口到 endPort。如果没有定义 port 字段，或者 port 字段定义为 named （字符串）端口，则无法定义此字段。endPort 必须等于或大于 port。

port

IntOrString

port 代表给定协议上的端口。这可以是 pod 上的数字或指定端口。如果没有提供此字段，这将匹配所有端口名称和数字。如果存在，则仅匹配指定协议和端口上的流量。

protocol

字符串

protocol 代表流量必须匹配的协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

可能的值有： - "SCTP" 是 SCTP 协议。- "TCP" 是 TCP 协议。- "UDP" 是 UDP 协议。

ipBlock

对象

IPBlock 描述了特定的 CIDR (Ex)。"192.168.1.0/24","2001:db8::/64"），允许与 NetworkPolicySpec 的 podSelector 匹配的 pod。之外的条目描述了此规则中不应包含的 CIDR。

namespaceSelector

LabelSelector

namespaceSelector 使用集群范围的标签选择命名空间。此字段遵循标准标签选择器语义；如果存在但为空，它会选择所有命名空间。

如果还设置了 podSelector，则 NetworkPolicyPeer 作为整个设置会选择与 namespaceSelector 选择的命名空间中与 podSelector 匹配的 pod。否则，它会选择 namespaceSelector 选择的命名空间中的所有 pod。

podSelector

LabelSelector

podSelector 是一个选择 pod 的标签选择器。此字段遵循标准标签选择器语义；如果存在但为空，它会选择所有 pod。

如果还设置了 namespaceSelector，则 NetworkPolicyPeer 作为整个策略选择的命名空间 中与 podSelector 匹配的 pod。否则，它会在策略自己的命名空间中选择匹配的 podSelector。

cidr

字符串

CIDR 是一个代表 IPBlock Valid 示例的字符串，即 "192.168.1.0/24" 或 "2001:db8::/64"

例外

数组（字符串）

除了 是不应包含在 IPBlock Valid 示例中的 CIDR 的片段为 "192.168.1.0/24" 或 "2001:db8::/64" Except 值（如果它们不在 cidr 范围外），则会被拒绝

from

array

from 是源列表，应该可以访问为此规则选择的 pod。此列表中的项目使用逻辑 OR 操作组合。如果此字段为空或缺失，则该规则匹配所有源（不受源限制的流量）。如果此字段存在并至少包含一个项目，则此规则仅在流量与 from 列表中的至少一个项目匹配时才允许流量。

from[]

对象

NetworkPolicyPeer 描述允许流量到/来自的对等点。只允许某些字段组合

ports

array

端口是应在为此规则选择的 pod 上访问的端口列表。此列表中的每个项目都使用逻辑 OR 合并。如果此字段为空或缺失，则该规则匹配所有端口（不受端口限制的流量）。如果存在此字段并至少包含一个项目，则此规则仅在流量与列表中至少匹配一个端口时才允许流量。

ports[]

对象

NetworkPolicyPort 描述了允许流量的端口

ipBlock

对象

IPBlock 描述了特定的 CIDR (Ex)。"192.168.1.0/24","2001:db8::/64"），允许与 NetworkPolicySpec 的 podSelector 匹配的 pod。之外的条目描述了此规则中不应包含的 CIDR。

namespaceSelector

LabelSelector

namespaceSelector 使用集群范围的标签选择命名空间。此字段遵循标准标签选择器语义；如果存在但为空，它会选择所有命名空间。

如果还设置了 podSelector，则 NetworkPolicyPeer 作为整个设置会选择与 namespaceSelector 选择的命名空间中与 podSelector 匹配的 pod。否则，它会选择 namespaceSelector 选择的命名空间中的所有 pod。

podSelector

LabelSelector

podSelector 是一个选择 pod 的标签选择器。此字段遵循标准标签选择器语义；如果存在但为空，它会选择所有 pod。

如果还设置了 namespaceSelector，则 NetworkPolicyPeer 作为整个策略选择的命名空间 中与 podSelector 匹配的 pod。否则，它会在策略自己的命名空间中选择匹配的 podSelector。

cidr

字符串

CIDR 是一个代表 IPBlock Valid 示例的字符串，即 "192.168.1.0/24" 或 "2001:db8::/64"

例外

数组（字符串）

除了 是不应包含在 IPBlock Valid 示例中的 CIDR 的片段为 "192.168.1.0/24" 或 "2001:db8::/64" Except 值（如果它们不在 cidr 范围外），则会被拒绝

endPort

整数

endPort 表示策略应允许端口的范围从端口到 endPort。如果没有定义 port 字段，或者 port 字段定义为 named （字符串）端口，则无法定义此字段。endPort 必须等于或大于 port。

port

IntOrString

port 代表给定协议上的端口。这可以是 pod 上的数字或指定端口。如果没有提供此字段，这将匹配所有端口名称和数字。如果存在，则仅匹配指定协议和端口上的流量。

protocol

字符串

protocol 代表流量必须匹配的协议(TCP、UDP 或 SCTP)。如果没有指定，此字段默认为 TCP。

可能的值有： - "SCTP" 是 SCTP 协议。- "TCP" 是 TCP 协议。- "UDP" 是 UDP 协议。

conditions

数组(Condition)

conditions 包含一组 metav1.Condition，用于描述 NetworkPolicy 的状态。当前服务状态

allowWatchBookmarks

布尔值

allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。

继续

字符串

从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，则必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误的令牌的列表请求，服务器将使用从下一个密钥开始的列表进行响应，但从最新的快照开始，从上一个列表结果（创建、修改或删除）后，创建、修改或删除第一个列表请求将包含在响应中，只要它们的键位于"下一密钥"后。

当监视为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不错过任何修改。

fieldSelector

字符串

用于按字段限制返回对象列表的选择器。默认为任何内容。

labelSelector

字符串

一个选择器，用于按标签限制返回的对象列表。默认为任何内容。

limit

整数

limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 'continue' 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤了所有请求的对象，设置限制可能会小于请求的项目数量（最多零项），并且客户端应该只使用 continue 字段的存在来确定是否有可用的结果。服务器可能选择不支持 limit 参数，并将返回所有可用结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假设没有更多结果可用。如果 watch 为 true，则不支持此字段。

服务器保证，在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用时返回的对象将相同，即在发出第一个请求后没有创建、修改或删除的对象。这有时被称为一致的快照，并确保使用限制的客户端接收大量结果的较小的块可以确保它们可以看到所有可能的对象。如果在块列表列表期间更新对象，则返回第一个列表结果时存在的对象版本。

pretty

字符串

如果 'true'，则输出会输出。

resourceVersion

字符串

resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions

默认为未设置

resourceVersionMatch

字符串

resourceVersionMatch 决定 resourceVersion 如何应用到列表调用。强烈建议您为设置 resourceVersion 的列表调用设置 resourceVersionMatch，详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。

默认为未设置

sendInitialEvents

布尔值

'sendInitialEvents=true' 可以与 'watch=true' 一起设置。在这种情况下，监视流将以 synthetic 事件开头，以生成集合中对象的当前状态。发送完所有此类事件后，将发送一个合成"Bookmark"事件。书签将报告与一组对象对应的 ResourceVersion (RV)，并标有 '"k8s.io/initial-events-end": "true"' 注解。之后，监视流会照常进行，将与更改对应的监控事件(subsequent to the RV)发送到被监视的对象。

当设置了 'sendInitialEvents' 选项时，我们还需要设置 'resourceVersionMatch' 选项。监视请求的语义如下： - 'resourceVersionMatch' = NotOlderThan 解释为 "data at the provided as the provided as the provided 'resourceVersion'"，当状态同步到 'resourceVersion' 时，书签事件至少作为 ListOptions 提供的 "resourceVersion" 提供。如果未设置 'resourceVersion'，则会将其解释为 "consistent read"，并且当状态在请求开始处理时至少同步时，会发送书签事件。- 'resourceVersionMatch' 设置为任何其他值或取消设置 Invalid 错误。

如果 'resourceVersion="" 或 'resourceVersion="0"' （用于向后兼容的原因）和 false，则默认为 true。

timeoutSeconds

整数

list/watch 调用的超时。这限制了调用的持续时间，而不考虑任何活动或不活跃。

watch

布尔值

观察对上述资源的更改，并将其恢复为添加、更新和删除通知的流。指定 resourceVersion。

200 - OK

NetworkPolicyList 模式

401 - Unauthorized

空

allowWatchBookmarks

布尔值

allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。

继续

字符串

从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，则必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误的令牌的列表请求，服务器将使用从下一个密钥开始的列表进行响应，但从最新的快照开始，从上一个列表结果（创建、修改或删除）后，创建、修改或删除第一个列表请求将包含在响应中，只要它们的键位于"下一密钥"后。

当监视为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不错过任何修改。

fieldSelector

字符串

用于按字段限制返回对象列表的选择器。默认为任何内容。

labelSelector

字符串

一个选择器，用于按标签限制返回的对象列表。默认为任何内容。

limit

整数

limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 'continue' 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤了所有请求的对象，设置限制可能会小于请求的项目数量（最多零项），并且客户端应该只使用 continue 字段的存在来确定是否有可用的结果。服务器可能选择不支持 limit 参数，并将返回所有可用结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假设没有更多结果可用。如果 watch 为 true，则不支持此字段。

服务器保证，在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用时返回的对象将相同，即在发出第一个请求后没有创建、修改或删除的对象。这有时被称为一致的快照，并确保使用限制的客户端接收大量结果的较小的块可以确保它们可以看到所有可能的对象。如果在块列表列表期间更新对象，则返回第一个列表结果时存在的对象版本。

pretty

字符串

如果 'true'，则输出会输出。

resourceVersion

字符串

resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions

默认为未设置

resourceVersionMatch

字符串

resourceVersionMatch 决定 resourceVersion 如何应用到列表调用。强烈建议您为设置 resourceVersion 的列表调用设置 resourceVersionMatch，详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。

默认为未设置

sendInitialEvents

布尔值

'sendInitialEvents=true' 可以与 'watch=true' 一起设置。在这种情况下，监视流将以 synthetic 事件开头，以生成集合中对象的当前状态。发送完所有此类事件后，将发送一个合成"Bookmark"事件。书签将报告与一组对象对应的 ResourceVersion (RV)，并标有 '"k8s.io/initial-events-end": "true"' 注解。之后，监视流会照常进行，将与更改对应的监控事件(subsequent to the RV)发送到被监视的对象。

当设置了 'sendInitialEvents' 选项时，我们还需要设置 'resourceVersionMatch' 选项。监视请求的语义如下： - 'resourceVersionMatch' = NotOlderThan 解释为 "data at the provided as the provided as the provided 'resourceVersion'"，当状态同步到 'resourceVersion' 时，书签事件至少作为 ListOptions 提供的 "resourceVersion" 提供。如果未设置 'resourceVersion'，则会将其解释为 "consistent read"，并且当状态在请求开始处理时至少同步时，会发送书签事件。- 'resourceVersionMatch' 设置为任何其他值或取消设置 Invalid 错误。

如果 'resourceVersion="" 或 'resourceVersion="0"' （用于向后兼容的原因）和 false，则默认为 true。

timeoutSeconds

整数

list/watch 调用的超时。这限制了调用的持续时间，而不考虑任何活动或不活跃。

watch

布尔值

观察对上述资源的更改，并将其恢复为添加、更新和删除通知的流。指定 resourceVersion。

200 - OK

WatchEvent 模式

401 - Unauthorized

空

namespace

字符串

对象名称和身份验证范围，如团队和项目

pretty

字符串

如果 'true'，则输出会输出。

继续

字符串

从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，则必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误的令牌的列表请求，服务器将使用从下一个密钥开始的列表进行响应，但从最新的快照开始，从上一个列表结果（创建、修改或删除）后，创建、修改或删除第一个列表请求将包含在响应中，只要它们的键位于"下一密钥"后。

当监视为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不错过任何修改。

dryRun

字符串

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldSelector

字符串

用于按字段限制返回对象列表的选择器。默认为任何内容。

gracePeriodSeconds

整数

应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值零表示立即删除。如果这个值为 nil，则使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。

labelSelector

字符串

一个选择器，用于按标签限制返回的对象列表。默认为任何内容。

limit

整数

limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 'continue' 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤了所有请求的对象，设置限制可能会小于请求的项目数量（最多零项），并且客户端应该只使用 continue 字段的存在来确定是否有可用的结果。服务器可能选择不支持 limit 参数，并将返回所有可用结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假设没有更多结果可用。如果 watch 为 true，则不支持此字段。

服务器保证，在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用时返回的对象将相同，即在发出第一个请求后没有创建、修改或删除的对象。这有时被称为一致的快照，并确保使用限制的客户端接收大量结果的较小的块可以确保它们可以看到所有可能的对象。如果在块列表列表期间更新对象，则返回第一个列表结果时存在的对象版本。

orphanDependents

布尔值

deprecated ：请使用 PropagationPolicy，此字段将在 1.7 中弃用。依赖的对象应该被孤立。如果为 true/false，则"orphan"终结器将从对象的终结器列表添加到/删除。可以设置此字段或 PropagationPolicy，但不能同时设置这两个字段。

propagationPolicy

字符串

是否以及如何执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置这两个字段。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受值为：'Orphan' - 孤立依赖项; 'Background' - 允许垃圾收集器删除后台依赖的依赖项；'Foreground' - 一个级联策略，会删除前台所有依赖的级联策略。

resourceVersion

字符串

resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions

默认为未设置

resourceVersionMatch

字符串

resourceVersionMatch 决定 resourceVersion 如何应用到列表调用。强烈建议您为设置 resourceVersion 的列表调用设置 resourceVersionMatch，详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。

默认为未设置

sendInitialEvents

布尔值

'sendInitialEvents=true' 可以与 'watch=true' 一起设置。在这种情况下，监视流将以 synthetic 事件开头，以生成集合中对象的当前状态。发送完所有此类事件后，将发送一个合成"Bookmark"事件。书签将报告与一组对象对应的 ResourceVersion (RV)，并标有 '"k8s.io/initial-events-end": "true"' 注解。之后，监视流会照常进行，将与更改对应的监控事件(subsequent to the RV)发送到被监视的对象。

当设置了 'sendInitialEvents' 选项时，我们还需要设置 'resourceVersionMatch' 选项。监视请求的语义如下： - 'resourceVersionMatch' = NotOlderThan 解释为 "data at the provided as the provided as the provided 'resourceVersion'"，当状态同步到 'resourceVersion' 时，书签事件至少作为 ListOptions 提供的 "resourceVersion" 提供。如果未设置 'resourceVersion'，则会将其解释为 "consistent read"，并且当状态在请求开始处理时至少同步时，会发送书签事件。- 'resourceVersionMatch' 设置为任何其他值或取消设置 Invalid 错误。

如果 'resourceVersion="" 或 'resourceVersion="0"' （用于向后兼容的原因）和 false，则默认为 true。

timeoutSeconds

整数

list/watch 调用的超时。这限制了调用的持续时间，而不考虑任何活动或不活跃。

正文（body）

DeleteOptions 模式

200 - OK

Status 模式

401 - Unauthorized

空

allowWatchBookmarks

布尔值

allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。

继续

字符串

从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，则必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误的令牌的列表请求，服务器将使用从下一个密钥开始的列表进行响应，但从最新的快照开始，从上一个列表结果（创建、修改或删除）后，创建、修改或删除第一个列表请求将包含在响应中，只要它们的键位于"下一密钥"后。

当监视为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不错过任何修改。

fieldSelector

字符串

用于按字段限制返回对象列表的选择器。默认为任何内容。

labelSelector

字符串

一个选择器，用于按标签限制返回的对象列表。默认为任何内容。

limit

整数

limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 'continue' 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤了所有请求的对象，设置限制可能会小于请求的项目数量（最多零项），并且客户端应该只使用 continue 字段的存在来确定是否有可用的结果。服务器可能选择不支持 limit 参数，并将返回所有可用结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假设没有更多结果可用。如果 watch 为 true，则不支持此字段。

服务器保证，在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用时返回的对象将相同，即在发出第一个请求后没有创建、修改或删除的对象。这有时被称为一致的快照，并确保使用限制的客户端接收大量结果的较小的块可以确保它们可以看到所有可能的对象。如果在块列表列表期间更新对象，则返回第一个列表结果时存在的对象版本。

resourceVersion

字符串

resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions

默认为未设置

resourceVersionMatch

字符串

resourceVersionMatch 决定 resourceVersion 如何应用到列表调用。强烈建议您为设置 resourceVersion 的列表调用设置 resourceVersionMatch，详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。

默认为未设置

sendInitialEvents

布尔值

'sendInitialEvents=true' 可以与 'watch=true' 一起设置。在这种情况下，监视流将以 synthetic 事件开头，以生成集合中对象的当前状态。发送完所有此类事件后，将发送一个合成"Bookmark"事件。书签将报告与一组对象对应的 ResourceVersion (RV)，并标有 '"k8s.io/initial-events-end": "true"' 注解。之后，监视流会照常进行，将与更改对应的监控事件(subsequent to the RV)发送到被监视的对象。

当设置了 'sendInitialEvents' 选项时，我们还需要设置 'resourceVersionMatch' 选项。监视请求的语义如下： - 'resourceVersionMatch' = NotOlderThan 解释为 "data at the provided as the provided as the provided 'resourceVersion'"，当状态同步到 'resourceVersion' 时，书签事件至少作为 ListOptions 提供的 "resourceVersion" 提供。如果未设置 'resourceVersion'，则会将其解释为 "consistent read"，并且当状态在请求开始处理时至少同步时，会发送书签事件。- 'resourceVersionMatch' 设置为任何其他值或取消设置 Invalid 错误。

如果 'resourceVersion="" 或 'resourceVersion="0"' （用于向后兼容的原因）和 false，则默认为 true。

timeoutSeconds

整数

list/watch 调用的超时。这限制了调用的持续时间，而不考虑任何活动或不活跃。

watch

布尔值

观察对上述资源的更改，并将其恢复为添加、更新和删除通知的流。指定 resourceVersion。

200 - OK

NetworkPolicyList 模式

401 - Unauthorized

空

dryRun

字符串

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldManager

字符串

fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。

fieldValidation

字符串

fieldValidation 指示服务器如何处理包含未知或重复字段的请求(POST/PUT/PATCH)中的对象。有效值为： - Ignore ：这将忽略从对象静默丢弃的所有未知字段，并将忽略所有但解码器遇到的最后重复字段。这是 v1.23. - Warn: 在 v1.23 之前的默认行为：这会通过从对象丢弃的每个未知字段以及遇到的每个重复字段来发送警告。如果没有其他错误，请求仍会成功，且只保留任何重复字段的最后一个。这是 v1.23+ - Strict 的默认值：如果从对象中删除任何未知字段，或者存在任何重复字段，则会失败并显示 BadRequest 错误。从服务器返回的错误将包含遇到的所有未知和重复字段。

正文（body）

NetworkPolicy 模式

200 - OK

NetworkPolicy 模式

201 - Created

NetworkPolicy 模式

202 - Accepted

NetworkPolicy 模式

401 - Unauthorized

空

namespace

字符串

对象名称和身份验证范围，如团队和项目

allowWatchBookmarks

布尔值

allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。

继续

字符串

从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，则必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误的令牌的列表请求，服务器将使用从下一个密钥开始的列表进行响应，但从最新的快照开始，从上一个列表结果（创建、修改或删除）后，创建、修改或删除第一个列表请求将包含在响应中，只要它们的键位于"下一密钥"后。

当监视为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不错过任何修改。

fieldSelector

字符串

用于按字段限制返回对象列表的选择器。默认为任何内容。

labelSelector

字符串

一个选择器，用于按标签限制返回的对象列表。默认为任何内容。

limit

整数

limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 'continue' 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤了所有请求的对象，设置限制可能会小于请求的项目数量（最多零项），并且客户端应该只使用 continue 字段的存在来确定是否有可用的结果。服务器可能选择不支持 limit 参数，并将返回所有可用结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假设没有更多结果可用。如果 watch 为 true，则不支持此字段。

服务器保证，在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用时返回的对象将相同，即在发出第一个请求后没有创建、修改或删除的对象。这有时被称为一致的快照，并确保使用限制的客户端接收大量结果的较小的块可以确保它们可以看到所有可能的对象。如果在块列表列表期间更新对象，则返回第一个列表结果时存在的对象版本。

pretty

字符串

如果 'true'，则输出会输出。

resourceVersion

字符串

resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions

默认为未设置

resourceVersionMatch

字符串

resourceVersionMatch 决定 resourceVersion 如何应用到列表调用。强烈建议您为设置 resourceVersion 的列表调用设置 resourceVersionMatch，详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。

默认为未设置

sendInitialEvents

布尔值

'sendInitialEvents=true' 可以与 'watch=true' 一起设置。在这种情况下，监视流将以 synthetic 事件开头，以生成集合中对象的当前状态。发送完所有此类事件后，将发送一个合成"Bookmark"事件。书签将报告与一组对象对应的 ResourceVersion (RV)，并标有 '"k8s.io/initial-events-end": "true"' 注解。之后，监视流会照常进行，将与更改对应的监控事件(subsequent to the RV)发送到被监视的对象。

当设置了 'sendInitialEvents' 选项时，我们还需要设置 'resourceVersionMatch' 选项。监视请求的语义如下： - 'resourceVersionMatch' = NotOlderThan 解释为 "data at the provided as the provided as the provided 'resourceVersion'"，当状态同步到 'resourceVersion' 时，书签事件至少作为 ListOptions 提供的 "resourceVersion" 提供。如果未设置 'resourceVersion'，则会将其解释为 "consistent read"，并且当状态在请求开始处理时至少同步时，会发送书签事件。- 'resourceVersionMatch' 设置为任何其他值或取消设置 Invalid 错误。

如果 'resourceVersion="" 或 'resourceVersion="0"' （用于向后兼容的原因）和 false，则默认为 true。

timeoutSeconds

整数

list/watch 调用的超时。这限制了调用的持续时间，而不考虑任何活动或不活跃。

watch

布尔值

观察对上述资源的更改，并将其恢复为添加、更新和删除通知的流。指定 resourceVersion。

200 - OK

WatchEvent 模式

401 - Unauthorized

空

name

字符串

NetworkPolicy 的名称

namespace

字符串

对象名称和身份验证范围，如团队和项目

pretty

字符串

如果 'true'，则输出会输出。

dryRun

字符串

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

gracePeriodSeconds

整数

应该删除对象前的持续时间（以秒为单位）。值必须是非负整数。值零表示立即删除。如果这个值为 nil，则使用指定类型的默认宽限期。如果没有指定，则默认为每个对象值。零表示立即删除。

orphanDependents

布尔值

deprecated ：请使用 PropagationPolicy，此字段将在 1.7 中弃用。依赖的对象应该被孤立。如果为 true/false，则"orphan"终结器将从对象的终结器列表添加到/删除。可以设置此字段或 PropagationPolicy，但不能同时设置这两个字段。

propagationPolicy

字符串

是否以及如何执行垃圾回收。可以设置此字段或 OrphanDependents，但不能同时设置这两个字段。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受值为：'Orphan' - 孤立依赖项; 'Background' - 允许垃圾收集器删除后台依赖的依赖项；'Foreground' - 一个级联策略，会删除前台所有依赖的级联策略。

正文（body）

DeleteOptions 模式

200 - OK

Status 模式

202 - Accepted

Status 模式

401 - Unauthorized

空

200 - OK

NetworkPolicy 模式

401 - Unauthorized

空

dryRun

字符串

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldManager

字符串

fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求需要此字段(application/apply-patch)，但对于非应用补丁类型(JsonPatch、MergePatch、strategicMergePatch)是可选的。

fieldValidation

字符串

fieldValidation 指示服务器如何处理包含未知或重复字段的请求(POST/PUT/PATCH)中的对象。有效值为： - Ignore ：这将忽略从对象静默丢弃的所有未知字段，并将忽略所有但解码器遇到的最后重复字段。这是 v1.23. - Warn: 在 v1.23 之前的默认行为：这会通过从对象丢弃的每个未知字段以及遇到的每个重复字段来发送警告。如果没有其他错误，请求仍会成功，且只保留任何重复字段的最后一个。这是 v1.23+ - Strict 的默认值：如果从对象中删除任何未知字段，或者存在任何重复字段，则会失败并显示 BadRequest 错误。从服务器返回的错误将包含遇到的所有未知和重复字段。

force

布尔值

强制尝试"强制"应用请求。这意味着用户将重新排序由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

正文（body）

Patch 模式

200 - OK

NetworkPolicy 模式

201 - Created

NetworkPolicy 模式

401 - Unauthorized

空

dryRun

字符串

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldManager

字符串

fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。

fieldValidation

字符串

fieldValidation 指示服务器如何处理包含未知或重复字段的请求(POST/PUT/PATCH)中的对象。有效值为： - Ignore ：这将忽略从对象静默丢弃的所有未知字段，并将忽略所有但解码器遇到的最后重复字段。这是 v1.23. - Warn: 在 v1.23 之前的默认行为：这会通过从对象丢弃的每个未知字段以及遇到的每个重复字段来发送警告。如果没有其他错误，请求仍会成功，且只保留任何重复字段的最后一个。这是 v1.23+ - Strict 的默认值：如果从对象中删除任何未知字段，或者存在任何重复字段，则会失败并显示 BadRequest 错误。从服务器返回的错误将包含遇到的所有未知和重复字段。

正文（body）

NetworkPolicy 模式

200 - OK

NetworkPolicy 模式

201 - Created

NetworkPolicy 模式

401 - Unauthorized

空

name

字符串

NetworkPolicy 的名称

namespace

字符串

对象名称和身份验证范围，如团队和项目

allowWatchBookmarks

布尔值

allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签，由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回，也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视，则忽略此字段。

继续

字符串

从服务器检索更多结果时，应设置 continue 选项。由于这个值是定义的服务器，因此客户端只能使用之前查询结果中的 continue 值，并带有相同的查询参数（除 continue 值除外），因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效，无论是因为过期时间（通常为 5 到十五分钟）还是服务器上的配置更改，服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表，则必须重启其列表，而无需 continue 字段。否则，客户端可能会发送另一个带有 410 错误的令牌的列表请求，服务器将使用从下一个密钥开始的列表进行响应，但从最新的快照开始，从上一个列表结果（创建、修改或删除）后，创建、修改或删除第一个列表请求将包含在响应中，只要它们的键位于"下一密钥"后。

当监视为 true 时，不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视，而不错过任何修改。

fieldSelector

字符串

用于按字段限制返回对象列表的选择器。默认为任何内容。

labelSelector

字符串

一个选择器，用于按标签限制返回的对象列表。默认为任何内容。

limit

整数

limit 是列表调用返回的最大响应数。如果存在更多项目，服务器会将列表元数据上的 'continue' 字段设置为可用于同一初始查询的值，以检索下一个结果集合。如果过滤了所有请求的对象，设置限制可能会小于请求的项目数量（最多零项），并且客户端应该只使用 continue 字段的存在来确定是否有可用的结果。服务器可能选择不支持 limit 参数，并将返回所有可用结果。如果指定了 limit，并且 continue 字段为空，客户端可能会假设没有更多结果可用。如果 watch 为 true，则不支持此字段。

服务器保证，在使用 continue 时返回的对象与在没有限制的情况下发出单个列表调用时返回的对象将相同，即在发出第一个请求后没有创建、修改或删除的对象。这有时被称为一致的快照，并确保使用限制的客户端接收大量结果的较小的块可以确保它们可以看到所有可能的对象。如果在块列表列表期间更新对象，则返回第一个列表结果时存在的对象版本。

pretty

字符串

如果 'true'，则输出会输出。

resourceVersion

字符串

resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions

默认为未设置

resourceVersionMatch

字符串

resourceVersionMatch 决定 resourceVersion 如何应用到列表调用。强烈建议您为设置 resourceVersion 的列表调用设置 resourceVersionMatch，详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。

默认为未设置

sendInitialEvents

布尔值

'sendInitialEvents=true' 可以与 'watch=true' 一起设置。在这种情况下，监视流将以 synthetic 事件开头，以生成集合中对象的当前状态。发送完所有此类事件后，将发送一个合成"Bookmark"事件。书签将报告与一组对象对应的 ResourceVersion (RV)，并标有 '"k8s.io/initial-events-end": "true"' 注解。之后，监视流会照常进行，将与更改对应的监控事件(subsequent to the RV)发送到被监视的对象。

当设置了 'sendInitialEvents' 选项时，我们还需要设置 'resourceVersionMatch' 选项。监视请求的语义如下： - 'resourceVersionMatch' = NotOlderThan 解释为 "data at the provided as the provided as the provided 'resourceVersion'"，当状态同步到 'resourceVersion' 时，书签事件至少作为 ListOptions 提供的 "resourceVersion" 提供。如果未设置 'resourceVersion'，则会将其解释为 "consistent read"，并且当状态在请求开始处理时至少同步时，会发送书签事件。- 'resourceVersionMatch' 设置为任何其他值或取消设置 Invalid 错误。

如果 'resourceVersion="" 或 'resourceVersion="0"' （用于向后兼容的原因）和 false，则默认为 true。

timeoutSeconds

整数

list/watch 调用的超时。这限制了调用的持续时间，而不考虑任何活动或不活跃。

watch

布尔值

观察对上述资源的更改，并将其恢复为添加、更新和删除通知的流。指定 resourceVersion。

200 - OK

WatchEvent 模式

401 - Unauthorized

空

name

字符串

NetworkPolicy 的名称

namespace

字符串

对象名称和身份验证范围，如团队和项目

pretty

字符串

如果 'true'，则输出会输出。

200 - OK

NetworkPolicy 模式

401 - Unauthorized

空

dryRun

字符串

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldManager

字符串

fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求需要此字段(application/apply-patch)，但对于非应用补丁类型(JsonPatch、MergePatch、strategicMergePatch)是可选的。

fieldValidation

字符串

fieldValidation 指示服务器如何处理包含未知或重复字段的请求(POST/PUT/PATCH)中的对象。有效值为： - Ignore ：这将忽略从对象静默丢弃的所有未知字段，并将忽略所有但解码器遇到的最后重复字段。这是 v1.23. - Warn: 在 v1.23 之前的默认行为：这会通过从对象丢弃的每个未知字段以及遇到的每个重复字段来发送警告。如果没有其他错误，请求仍会成功，且只保留任何重复字段的最后一个。这是 v1.23+ - Strict 的默认值：如果从对象中删除任何未知字段，或者存在任何重复字段，则会失败并显示 BadRequest 错误。从服务器返回的错误将包含遇到的所有未知和重复字段。

force

布尔值

强制尝试"强制"应用请求。这意味着用户将重新排序由其他人员拥有的冲突字段。对于非应用补丁请求，必须取消设置 force 标志。

正文（body）

Patch 模式

200 - OK

NetworkPolicy 模式

201 - Created

NetworkPolicy 模式

401 - Unauthorized

空

dryRun

字符串

出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

fieldManager

字符串

fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长，且仅包含可打印的字符，如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。

fieldValidation

字符串

fieldValidation 指示服务器如何处理包含未知或重复字段的请求(POST/PUT/PATCH)中的对象。有效值为： - Ignore ：这将忽略从对象静默丢弃的所有未知字段，并将忽略所有但解码器遇到的最后重复字段。这是 v1.23. - Warn: 在 v1.23 之前的默认行为：这会通过从对象丢弃的每个未知字段以及遇到的每个重复字段来发送警告。如果没有其他错误，请求仍会成功，且只保留任何重复字段的最后一个。这是 v1.23+ - Strict 的默认值：如果从对象中删除任何未知字段，或者存在任何重复字段，则会失败并显示 BadRequest 错误。从服务器返回的错误将包含遇到的所有未知和重复字段。

正文（body）

NetworkPolicy 模式

200 - OK

NetworkPolicy 模式

201 - Created

NetworkPolicy 模式

401 - Unauthorized

空