OpenShift 文档正在迁移,不久之后将仅在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

PostPolicy

POST /v1/policies

PostPolicy 创建一个新的策略。

描述

参数

请求体参数

名称 描述 必填 默认值 模式

策略

存储策略

查询参数

名称 描述 必填 默认值 模式

enableStrictValidation (启用严格验证)

-

返回类型

存储策略

内容类型

  • application/json

响应

表1. HTTP响应代码
代码 消息 数据类型

200

成功的响应。

存储策略

0

意外的错误响应。

GooglerpcStatus

示例

常用对象参考

GooglerpcStatus

字段名称 必填 可空 类型 描述 格式

代码

整数

int32

消息

字符串

详细信息

ProtobufAny 列表

PolicyMitreAttackVectors

字段名称 必填 可空 类型 描述 格式

战术

字符串

技术

string 列表

ProtobufAny

Any包含任意序列化的协议缓冲区消息以及描述序列化消息类型的URL。

Protobuf库提供支持,以实用函数或Any类型的附加生成方法的形式打包/解包Any值。

示例1:在C++中打包和解包消息。

Foo foo = ...;
Any any;
any.PackFrom(foo);
...
if (any.UnpackTo(&foo)) {
  ...
}

示例2:在Java中打包和解包消息。

Foo foo = ...;
Any any = Any.pack(foo);
...
if (any.is(Foo.class)) {
  foo = any.unpack(Foo.class);
}
// or ...
if (any.isSameTypeAs(Foo.getDefaultInstance())) {
  foo = any.unpack(Foo.getDefaultInstance());
}
Example 3: Pack and unpack a message in Python.
foo = Foo(...)
any = Any()
any.Pack(foo)
...
if any.Is(Foo.DESCRIPTOR):
  any.Unpack(foo)
  ...
Example 4: Pack and unpack a message in Go
foo := &pb.Foo{...}
any, err := anypb.New(foo)
if err != nil {
  ...
}
...
foo := &pb.Foo{}
if err := any.UnmarshalTo(foo); err != nil {
  ...
}

protobuf 库提供的打包方法默认使用 'type.googleapis.com/full.type.name' 作为类型 URL,解包方法仅使用类型 URL 中最后一个 '/' 后的完全限定类型名称,例如 "foo.bar.com/x/y.z" 将产生类型名称 "y.z"。

JSON 表示

Any 值的 JSON 表示使用反序列化的嵌入式消息的常规表示,并添加一个包含类型 URL 的附加字段 @type。示例

package google.profile;
message Person {
  string first_name = 1;
  string last_name = 2;
}
{
  "@type": "type.googleapis.com/google.profile.Person",
  "firstName": <string>,
  "lastName": <string>
}

如果嵌入式消息类型是众所周知的并且具有自定义 JSON 表示,则该表示将被嵌入,并添加一个字段 value,该字段除了 @type 字段外还包含自定义 JSON。示例(对于消息 [google.protobuf.Duration][])

{
  "@type": "type.googleapis.com/google.protobuf.Duration",
  "value": "1.212s"
}
字段名称 必填 可空 类型 描述 格式

@type

字符串

一个唯一标识序列化协议缓冲区消息类型的 URL/资源名称。此字符串必须包含至少一个“/”字符。URL 路径的最后一个段必须表示类型的完全限定名称(如 path/google.protobuf.Duration)。名称应采用规范形式(例如,不接受前导“.”)。在实践中,团队通常会将其预期在 Any 上下文中使用的所有类型预编译到二进制文件中。但是,对于使用方案 httphttps 或无方案的 URL,可以选择设置一个类型服务器,将类型 URL 映射到消息定义,如下所示:* 如果未提供方案,则假定为 https。* 对 URL 的 HTTP GET 必须产生二进制格式的 [google.protobuf.Type][] 值,或产生错误。* 应用程序允许根据 URL 缓存查找结果,或将其预编译到二进制文件中以避免任何查找。因此,需要在类型更改时保留二进制兼容性。(使用版本化的类型名称来管理重大更改。)注意:此功能当前在官方 protobuf 版本中不可用,并且不用于以 type.googleapis.com 开头的类型 URL。截至 2023 年 5 月,没有广泛使用的类型服务器实现,也没有计划实现一个。可以使用具有特定于实现的语义的 httphttps(或空方案)以外的方案。

StorageBooleanOperator

枚举值

OR

AND

StorageEnforcementAction

  • FAIL_KUBE_REQUEST_ENFORCEMENT:仅当启用准入控制 Webhook 以侦听 exec 和端口转发事件时,FAIL_KUBE_REQUEST_ENFORCEMENT 才会生效。

  • FAIL_DEPLOYMENT_CREATE_ENFORCEMENT:仅当准入控制 Webhook 配置为在对象创建时强制执行时,FAIL_DEPLOYMENT_CREATE_ENFORCEMENT 才会生效。

  • FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT:仅当准入控制 Webhook 配置为在对象更新时强制执行时,FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT 才会生效。

枚举值

UNSET_ENFORCEMENT

SCALE_TO_ZERO_ENFORCEMENT

UNSATISFIABLE_NODE_CONSTRAINT_ENFORCEMENT

KILL_POD_ENFORCEMENT

FAIL_BUILD_ENFORCEMENT

FAIL_KUBE_REQUEST_ENFORCEMENT

FAIL_DEPLOYMENT_CREATE_ENFORCEMENT

FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT

StorageEventSource

枚举值

NOT_APPLICABLE

DEPLOYMENT_EVENT

AUDIT_LOG_EVENT

StorageExclusion

字段名称 必填 可空 类型 描述 格式

名称

字符串

部署

StorageExclusionDeployment

镜像

StorageExclusionImage

过期时间

日期

日期时间

StorageExclusionDeployment

字段名称 必填 可空 类型 描述 格式

名称

字符串

范围

StorageScope

StorageExclusionImage

字段名称 必填 可空 类型 描述 格式

名称

字符串

StorageLifecycleStage

枚举值

部署

构建

运行时

StoragePolicy

Next tag: 28
字段名称 必填 可空 类型 描述 格式

ID

字符串

名称

字符串

策略名称。必须唯一。

描述

字符串

此策略的自由格式文本描述。

基本原理

字符串

补救措施

字符串

描述如何补救此策略的违规。

已禁用

布尔值

切换此策略是否将执行并主动触发警报。

类别

string 列表

此策略所属的类别列表。类别名称必须已存在于中心。

生命周期阶段

StorageLifecycleStage 列表

描述此策略适用的策略生命周期阶段。选项为部署、构建和运行时。

事件源

StorageEventSource

NOT_APPLICABLE、DEPLOYMENT_EVENT、AUDIT_LOG_EVENT、

排除项

StorageExclusion 列表

定义应从此策略中排除的部署或镜像。

范围

StorageScope 列表

定义应包含在此策略中的集群、命名空间和部署。未定义的范围包括所有内容。

严重性

StorageSeverity

UNSET_SEVERITY、LOW_SEVERITY、MEDIUM_SEVERITY、HIGH_SEVERITY、CRITICAL_SEVERITY、

执行操作

StorageEnforcementAction 列表

FAIL_DEPLOYMENT_CREATE_ENFORCEMENT 仅当准入控制 Webhook 配置为在对象创建/更新时强制执行时才生效。FAIL_KUBE_REQUEST_ENFORCEMENT 仅当启用准入控制 Webhook 以侦听 exec 和端口转发事件时才生效。FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT 仅当准入控制 Webhook 配置为在对象更新时强制执行时才生效。列出识别此策略的违规时要采取的执行操作。可能的值为 UNSET_ENFORCEMENT、SCALE_TO_ZERO_ENFORCEMENT、UNSATISFIABLE_NODE_CONSTRAINT_ENFORCEMENT、KILL_POD_ENFORCEMENT、FAIL_BUILD_ENFORCEMENT、FAIL_KUBE_REQUEST_ENFORCEMENT 和 FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT。

通知程序

string 列表

应在识别此策略的违规时触发的通知程序 ID 列表。ID 应为 UUID 格式,可通过中心 API 找到。

上次更新时间

日期

日期时间

SORTName

字符串

仅供内部使用。

SORTLifecycleStage

字符串

仅供内部使用。

SORTEnforcement

布尔值

仅供内部使用。

策略版本

字符串

策略部分

StoragePolicySection 列表

PolicySections 定义此策略的违规条件。

MITRE 攻击向量

PolicyMitreAttackVectors 列表

条件已锁定

布尔值

只读字段。如果为 true,则策略的条件字段将被设置为只读。

MITRE 向量已锁定

布尔值

只读字段。如果为 true,则策略的 MITRE ATT&CK 字段将被设置为只读。

是否为默认值

布尔值

只读字段。如果为 true,则表示该策略为默认策略;如果为 false,则表示该策略为自定义策略。

来源

StoragePolicySource

IMPERATIVE、DECLARATIVE、

StoragePolicyGroup

字段名称 必填 可空 类型 描述 格式

字段名称

字符串

定义此 PolicyGroup 评估的部署或镜像上的哪个字段。有关可能值的完整列表,请参阅 http://docs.openshift.org.cn/acs/operating/manage-security-policies.html#policy-criteria_manage-security-policies

布尔运算符

StorageBooleanOperator

OR、AND、

否定

布尔值

确定此 PolicyGroup 的评估是否被否定。默认为 false。

StoragePolicyValue 列表

StoragePolicySection

字段名称 必填 可空 类型 描述 格式

部分名称

字符串

策略组

StoragePolicyGroup 列表

构成此部分的策略组集。每个组都可以被认为是一个单独的条件。

StoragePolicySource

枚举值

IMPERATIVE

DECLARATIVE

StoragePolicyValue

字段名称 必填 可空 类型 描述 格式

字符串

存储范围

字段名称 必填 可空 类型 描述 格式

集群

字符串

命名空间

字符串

标签

存储范围标签

存储范围标签

字段名称 必填 可空 类型 描述 格式

字符串

字符串

存储严重性

枚举值

未设置严重性

低严重性

中严重性

高严重性

危急严重性