多网络策略 [k8s.cni.cncf.io/v1beta1]

egress

数组

应用于所选 Pod 的出站规则列表。如果没有任何 NetworkPolicy 选择 Pod（并且集群策略允许流量），或者如果流量与所有 podSelector 与 Pod 匹配的 NetworkPolicy 对象中的至少一条出站规则匹配，则允许出站流量。如果此字段为空，则此 NetworkPolicy 限制所有出站流量（并且仅用于确保其选择的 Pod 默认情况下是隔离的）。此字段在 1.8 中处于测试阶段。

egress[]

对象

NetworkPolicyEgressRule 描述一组允许从 NetworkPolicySpec 的 podSelector 匹配的 Pod 中传出的特定流量。流量必须同时匹配端口和目标。此类型在 1.8 中处于测试阶段。

ingress

数组

应用于所选 Pod 的入站规则列表。如果没有任何 NetworkPolicy 选择 Pod（并且集群策略允许流量），或者如果流量来源是 Pod 的本地节点，或者如果流量与所有 podSelector 与 Pod 匹配的 NetworkPolicy 对象中的至少一条入站规则匹配，则允许流量进入 Pod。如果此字段为空，则此 NetworkPolicy 不允许任何流量（并且仅用于确保其选择的 Pod 默认情况下是隔离的）。

ingress[]

对象

NetworkPolicyIngressRule 描述一组允许进入 NetworkPolicySpec 的 podSelector 匹配的 Pod 的特定流量。流量必须同时匹配端口和来源。

podSelector

对象

这是一个选择 Pod 的标签选择器。此字段遵循标准标签选择器语义；如果存在但为空，则选择所有 Pod。如果也设置了 NamespaceSelector，则 NetworkPolicyPeer 将选择 NamespaceSelector 选择的 Namespace 中与 PodSelector 匹配的 Pod。否则，它将选择策略自身 Namespace 中与 PodSelector 匹配的 Pod。

policyTypes

数组（字符串）

NetworkPolicy 相关的规则类型列表。有效选项为“Ingress”、“Egress”或“Ingress,Egress”。如果未指定此字段，则将根据 Ingress 或 Egress 规则的存在情况进行默认设置；包含 Egress 部分的策略假定会影响 Egress，所有策略（无论是否包含 Ingress 部分）都假定会影响 Ingress。如果要编写仅限 Egress 的策略，则必须显式指定 policyTypes ['Egress']。同样，如果要编写指定不允许任何 Egress 的策略，则必须指定包含 'Egress' 的 policyTypes 值（因为此类策略不包含 Egress 部分，否则默认为 ['Ingress']）。此字段在 1.8 中处于测试阶段。

ports

数组

出站流量的目标端口列表。此列表中的每个项目都使用逻辑 OR 组合。如果此字段为空或缺失，则此规则匹配所有端口（流量不受端口限制）。如果此字段存在并包含至少一个项目，则只有当流量与列表中的至少一个端口匹配时，此规则才允许流量。

ports[]

对象

NetworkPolicyPort 描述允许流量通过的端口。

to

数组

为此规则选择的 Pod 的出站流量的目标列表。此列表中的项目使用逻辑 OR 操作组合。如果此字段为空或缺失，则此规则匹配所有目标（流量不受目标限制）。如果此字段存在并包含至少一个项目，则只有当流量与 to 列表中的至少一个项目匹配时，此规则才允许流量。

to[]

对象

NetworkPolicyPeer 描述允许流量来自的端点。只允许某些字段组合。

port

整数或字符串

给定协议上的端口。这可以是 Pod 上的数字端口或命名端口。如果未提供此字段，则匹配所有端口名称和编号。

protocol

字符串

流量必须匹配的协议 (TCP、UDP 或 SCTP)。如果未指定，此字段默认为 TCP。

ipBlock

对象

IPBlock 定义特定 IP 块上的策略。如果设置此字段，则其他字段都不能设置。

namespaceSelector

对象

使用集群范围的标签选择 Namespace。此字段遵循标准标签选择器语义；如果存在但为空，则选择所有 Namespace。如果也设置了 PodSelector，则 NetworkPolicyPeer 将选择 NamespaceSelector 选择的 Namespace 中与 PodSelector 匹配的 Pod。否则，它将选择 NamespaceSelector 选择的 Namespace 中的所有 Pod。

podSelector

对象

这是一个选择 Pod 的标签选择器。此字段遵循标准标签选择器语义；如果存在但为空，则选择所有 Pod。如果也设置了 NamespaceSelector，则 NetworkPolicyPeer 将选择 NamespaceSelector 选择的 Namespace 中与 PodSelector 匹配的 Pod。否则，它将选择策略自身 Namespace 中与 PodSelector 匹配的 Pod。

cidr

字符串

CIDR 是表示 IP 块的字符串。有效示例为“192.168.1.1/24”。

except

数组（字符串）

Except 是一个 CIDR 切片，不应包含在 IP 块中。有效示例为“192.168.1.1/24”。如果 Except 值超出 CIDR 范围，则会被拒绝。

matchExpressions

数组

matchExpressions 是标签选择器要求列表。这些要求使用 AND 连接。

matchExpressions[]

对象

标签选择器需求是一个包含值、键和关联键和值的运算符的选择器。

matchLabels

对象 (字符串)

matchLabels 是一个 {key,value} 对的映射。matchLabels 映射中的单个 {key,value} 等效于 matchExpressions 的一个元素，其 key 字段为 'key'，运算符为 'In'，而 values 数组仅包含 'value'。这些需求使用 AND 运算连接。

键

字符串

key 是选择器应用到的标签键。

运算符

字符串

operator 表示键与一组值的关系。有效的运算符为 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

values 是一个字符串值数组。如果运算符是 In 或 NotIn，则 values 数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则 values 数组必须为空。此数组在策略性合并补丁期间会被替换。

matchExpressions

数组

matchExpressions 是标签选择器要求列表。这些要求使用 AND 连接。

matchExpressions[]

对象

标签选择器需求是一个包含值、键和关联键和值的运算符的选择器。

matchLabels

对象 (字符串)

matchLabels 是一个 {key,value} 对的映射。matchLabels 映射中的单个 {key,value} 等效于 matchExpressions 的一个元素，其 key 字段为 'key'，运算符为 'In'，而 values 数组仅包含 'value'。这些需求使用 AND 运算连接。

键

字符串

key 是选择器应用到的标签键。

运算符

字符串

operator 表示键与一组值的关系。有效的运算符为 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

values 是一个字符串值数组。如果运算符是 In 或 NotIn，则 values 数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则 values 数组必须为空。此数组在策略性合并补丁期间会被替换。

来源

数组

应该能够访问为此规则选择的 Pod 的来源列表。此列表中的项目使用逻辑 OR 运算组合。如果此字段为空或缺失，则此规则匹配所有来源（流量不受来源限制）。如果此字段存在且包含至少一个项目，则此规则仅在流量与 from 列表中的至少一个项目匹配时才允许流量。

from[]

对象

NetworkPolicyPeer 描述允许流量来自的端点。只允许某些字段组合。

ports

数组

应在此规则选择的 Pod 上启用访问的端口列表。此列表中的每个项目都使用逻辑 OR 组合。如果此字段为空或缺失，则此规则匹配所有端口（流量不受端口限制）。如果此字段存在且包含至少一个项目，则此规则仅在流量与列表中的至少一个端口匹配时才允许流量。

ports[]

对象

NetworkPolicyPort 描述允许流量通过的端口。

ipBlock

对象

IPBlock 定义特定 IP 块上的策略。如果设置此字段，则其他字段都不能设置。

namespaceSelector

对象

使用集群范围的标签选择 Namespace。此字段遵循标准标签选择器语义；如果存在但为空，则选择所有 Namespace。如果也设置了 PodSelector，则 NetworkPolicyPeer 将选择 NamespaceSelector 选择的 Namespace 中与 PodSelector 匹配的 Pod。否则，它将选择 NamespaceSelector 选择的 Namespace 中的所有 Pod。

podSelector

对象

这是一个选择 Pod 的标签选择器。此字段遵循标准标签选择器语义；如果存在但为空，则选择所有 Pod。如果也设置了 NamespaceSelector，则 NetworkPolicyPeer 将选择 NamespaceSelector 选择的 Namespace 中与 PodSelector 匹配的 Pod。否则，它将选择策略自身 Namespace 中与 PodSelector 匹配的 Pod。

cidr

字符串

CIDR 是表示 IP 块的字符串。有效示例为“192.168.1.1/24”。

except

数组（字符串）

Except 是一个 CIDR 切片，不应包含在 IP 块中。有效示例为“192.168.1.1/24”。如果 Except 值超出 CIDR 范围，则会被拒绝。

matchExpressions

数组

matchExpressions 是标签选择器要求列表。这些要求使用 AND 连接。

matchExpressions[]

对象

标签选择器需求是一个包含值、键和关联键和值的运算符的选择器。

matchLabels

对象 (字符串)

matchLabels 是一个 {key,value} 对的映射。matchLabels 映射中的单个 {key,value} 等效于 matchExpressions 的一个元素，其 key 字段为 'key'，运算符为 'In'，而 values 数组仅包含 'value'。这些需求使用 AND 运算连接。

键

字符串

key 是选择器应用到的标签键。

运算符

字符串

operator 表示键与一组值的关系。有效的运算符为 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

values 是一个字符串值数组。如果运算符是 In 或 NotIn，则 values 数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则 values 数组必须为空。此数组在策略性合并补丁期间会被替换。

matchExpressions

数组

matchExpressions 是标签选择器要求列表。这些要求使用 AND 连接。

matchExpressions[]

对象

标签选择器需求是一个包含值、键和关联键和值的运算符的选择器。

matchLabels

对象 (字符串)

matchLabels 是一个 {key,value} 对的映射。matchLabels 映射中的单个 {key,value} 等效于 matchExpressions 的一个元素，其 key 字段为 'key'，运算符为 'In'，而 values 数组仅包含 'value'。这些需求使用 AND 运算连接。

键

字符串

key 是选择器应用到的标签键。

运算符

字符串

operator 表示键与一组值的关系。有效的运算符为 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

values 是一个字符串值数组。如果运算符是 In 或 NotIn，则 values 数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则 values 数组必须为空。此数组在策略性合并补丁期间会被替换。

port

整数或字符串

给定协议上的端口。这可以是 Pod 上的数字端口或命名端口。如果未提供此字段，则匹配所有端口名称和编号。

protocol

字符串

流量必须匹配的协议 (TCP、UDP 或 SCTP)。如果未指定，此字段默认为 TCP。

matchExpressions

数组

matchExpressions 是标签选择器要求列表。这些要求使用 AND 连接。

matchExpressions[]

对象

标签选择器需求是一个包含值、键和关联键和值的运算符的选择器。

matchLabels

对象 (字符串)

键

字符串

key 是选择器应用到的标签键。

运算符

字符串

operator 表示键与一组值的关系。有效的运算符为 In、NotIn、Exists 和 DoesNotExist。

值

数组（字符串）

values 是一个字符串值数组。如果运算符是 In 或 NotIn，则 values 数组必须是非空的。如果运算符是 Exists 或 DoesNotExist，则 values 数组必须为空。此数组在策略性合并补丁期间会被替换。

200 - OK

MultiNetworkPolicyList 模式

401 - 未授权

空

200 - OK

Status 模式

401 - 未授权

空

200 - OK

MultiNetworkPolicyList 模式

401 - 未授权

空

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

fieldValidation

字符串

fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略对象中静默删除的任何未知字段，并将忽略解码器遇到的最后一个重复字段以外的所有重复字段。这是 v1.23 之前的默认行为。- Warn：这将通过标准警告响应标头为对象中删除的每个未知字段以及遇到的每个重复字段发送警告。如果没有任何其他错误，请求仍将成功，并且只会保留任何重复字段中的最后一个。这是 v1.23+ 中的默认值 - Strict：如果对象中会删除任何未知字段，或者存在任何重复字段，则这将使用 BadRequest 错误使请求失败。服务器返回的错误将包含遇到的所有未知和重复字段。

主体

MultiNetworkPolicy 模式

200 - OK

MultiNetworkPolicy 模式

201 - 已创建

MultiNetworkPolicy 模式

202 - 已接受

MultiNetworkPolicy 模式

401 - 未授权

空

名称

字符串

MultiNetworkPolicy 的名称

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

200 - OK

Status 模式

202 - 已接受

Status 模式

401 - 未授权

空

200 - OK

MultiNetworkPolicy 模式

401 - 未授权

空

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

fieldValidation

字符串

fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略对象中静默删除的任何未知字段，并将忽略解码器遇到的最后一个重复字段以外的所有重复字段。这是 v1.23 之前的默认行为。- Warn：这将通过标准警告响应标头为对象中删除的每个未知字段以及遇到的每个重复字段发送警告。如果没有任何其他错误，请求仍将成功，并且只会保留任何重复字段中的最后一个。这是 v1.23+ 中的默认值 - Strict：如果对象中会删除任何未知字段，或者存在任何重复字段，则这将使用 BadRequest 错误使请求失败。服务器返回的错误将包含遇到的所有未知和重复字段。

200 - OK

MultiNetworkPolicy 模式

401 - 未授权

空

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

fieldValidation

字符串

fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略对象中静默删除的任何未知字段，并将忽略解码器遇到的最后一个重复字段以外的所有重复字段。这是 v1.23 之前的默认行为。- Warn：这将通过标准警告响应标头为对象中删除的每个未知字段以及遇到的每个重复字段发送警告。如果没有任何其他错误，请求仍将成功，并且只会保留任何重复字段中的最后一个。这是 v1.23+ 中的默认值 - Strict：如果对象中会删除任何未知字段，或者存在任何重复字段，则这将使用 BadRequest 错误使请求失败。服务器返回的错误将包含遇到的所有未知和重复字段。

主体

MultiNetworkPolicy 模式

200 - OK

MultiNetworkPolicy 模式

201 - 已创建

MultiNetworkPolicy 模式

401 - 未授权

空