networking.gdc.goog/v1
软件包 v1 包含网络 v1 API 组的 API 架构定义。
AuthorizationPolicyRef
表示对生成的授权政策的引用。
来源: - OrganizationNetworkPolicyStatus
| 字段 | 说明 |
|---|---|
name 字符串 |
引用对象的名称。 |
namespace 字符串 |
引用对象的命名空间。 |
BGPPeerInterface
表示对 BGP 对等体的引用。
来源: - VPNBGPPeerSpec
| 字段 | 说明 |
|---|---|
name 字符串 |
BGP 对等方的名称。 |
ip 字符串 |
BGP 对等体的 IP 地址。 |
asn 整数 |
自治系统编号。 |
后端
标识负载均衡器的端点。
来源: - BackendList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
Backend |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec BackendSpec |
|
status BackendStatus |
BackendList
包含后端列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
BackendList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items 后端数组 |
BackendRef
包含后端的相关信息。
来源: - BackendServiceSpec
| 字段 | 说明 |
|---|---|
name 字符串 |
所引用后端对象的名称。所引用的后端必须与此后端服务位于同一命名空间中。此字段为必填字段。该字段不可更改。 |
BackendService
表示负载均衡器配置。
来源: - BackendServiceList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
BackendService |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec BackendServiceSpec |
|
status BackendServiceStatus |
BackendServiceList
包含 BackendService 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
BackendServiceList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items BackendService 数组 |
BackendServicePolicy
表示要应用于一个或多个负载平衡器的政策。
来源: - BackendServicePolicyList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
BackendServicePolicy |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec BackendServicePolicySpec |
|
status BackendServicePolicyStatus |
BackendServicePolicyList
包含 BackendServicePolicy 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
BackendServicePolicyList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items BackendServicePolicy 数组 |
BackendServicePolicySpec
描述用户对此后端政策的预期属性。
来源: - BackendServicePolicy
| 字段 | 说明 |
|---|---|
sessionAffinity SessionAffinity |
应用于后端政策的会话亲和性模式。此字段是可选字段。此字段不可更改。 允许的值:- NONE:请求将路由到任何后端。此设置为默认值。 - CLIENT_IP_DST_PORT_PROTO 来自同一四元组(源 IP、目标 IP、目标端口、协议)的请求将路由到同一目标后端。 如果多个政策与同一 BackendProject 相匹配,则这些政策会进行 OR 运算。如果影响后端服务的任何政策启用了会话亲和性,则该后端服务也会启用会话亲和性。 |
selectors LabelSelector |
用于定义相应政策所适用的 BackendService 的选择器。此字段为必填字段。该字段不可更改。 |
BackendServicePolicyStatus
表示后端服务政策的状态。
来源: - BackendServicePolicy
| 字段 | 说明 |
|---|---|
conditions 条件数组 |
描述后端服务政策当前状态的条件列表。已知条件类型包括:*“就绪” |
BackendServiceRef
包含后端的相关信息。
来源: - ForwardingRuleExternalSpec - ForwardingRuleInternalSpec - ForwardingRuleSpecCommon
| 字段 | 说明 |
|---|---|
name 字符串 |
所引用后端服务对象的名称。此字段为必填字段。该字段不可更改。 |
BackendServiceSpec
描述用户对此后端服务的预期属性。
来源: - BackendService
| 字段 | 说明 |
|---|---|
backendRefs BackendRef 数组 |
相应后端服务的后端列表。每个可用区或每个用户集群只能指定 1 个后端。此字段是可选字段。此字段可更改。 |
targetPorts TargetPort 数组 |
此 BackendService 将转换的目标端口的列表。此字段是可选字段。该字段不可更改。 |
healthCheckName 字符串 |
相应后端服务的健康检查参数对象的名称。HealthCheck 仅适用于虚拟机后端。它必须引用与此后端服务位于同一命名空间中的健康检查。此字段是可选字段。该字段不可更改。 |
BackendServiceStatus
表示 BackendService 的状态。
来源: - BackendService
| 字段 | 说明 |
|---|---|
conditions 条件数组 |
一个条件列表,用于描述后端服务的当前状态。已知条件类型包括:*“就绪” |
forwardingRuleRefs ForwardingRuleRef 数组 |
使用此后端服务的转发规则的列表。 |
BackendSpec
描述用户对后端的预期属性。
来源: - 后端
| 字段 | 说明 |
|---|---|
clusterName 字符串 |
集群的名称,用于限定所定义选择器的范围。此限制不适用于虚拟机工作负载。此字段是可选字段。该字段不可更改。 |
endpointsLabels LabelSelector |
用于定义此后端使用哪些端点(Pod 或虚拟机)的选择器。此字段为必填字段。该字段不可更改。 |
BackendStatus
表示后端的运行状态。
来源: - 后端
| 字段 | 说明 |
|---|---|
conditions 条件数组 |
一个条件列表,用于描述后端的当前状态。已知条件类型包括:*“就绪” |
CIDRRef
包含有关 CIDR 的信息。
来源: - ForwardingRuleExternalSpec - ForwardingRuleInternalSpec - ForwardingRuleSpecCommon
| 字段 | 说明 |
|---|---|
name 字符串 |
被引用 CIDR 对象的名称。此字段为必填字段。该字段不可更改。 |
ClusterNodeSelector
表示用于查找指定集群内一个或多个节点的信息。 必须指定集群和/或节点。
来源: - FlowLogFilter
| 字段 | 说明 |
|---|---|
cluster 字符串 |
集群的名称。如果未提供值,则会在所有集群中搜索所需的节点。 |
node 字符串 |
用于按节点名称进行搜索的通配符模式。例如 k8s* 或 *.domain.com。 |
FlowLog
定义用于查找相关流量的流量日志过滤条件列表。系统会记录符合任何提供的过滤规则的流量事件。
来源: - FlowLogList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
FlowLog |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec FlowLogSpec |
流日志的所需配置。 |
status FlowLogStatus |
流日志的观测状态。 |
FlowLogFilter
定义同时应用的一组过滤条件。
每个流日志过滤条件都包含多个可选的匹配字段。每个过滤条件的匹配逻辑遵循以下规则:
First, when a matching field is optional and not specified, it implies no
filtering is applied on this field of a flow.
For example, if no sources are provided, it means all sources are matched.
Next, when multiple fields are specified in one filter, all fields must match
the target flow.
For example, if a source value of `srcNS/pod1` and a destination value of `dstNS/pod2` are
specified at the same time, it matches the flow from pod `srcNS/pod1`
to destination `dstNS/pod2`.
Finally, when a field is a list, specifying it multiple times means matching
any of the values.
来源: - FlowLogSpec
| 字段 | 说明 |
|---|---|
source NetworkEndpointFilter |
一种按来源规则列表过滤流量事件的过滤器。 |
destination NetworkEndpointFilter |
一种过滤器,可按目标规则列表过滤流量事件。 |
endpoint NetworkEndpointFilter |
如果事件来源或目的地与此列表中的任何给定端点匹配,则端点会过滤流事件。如果设置了 endpoint,则不得指定 source 和 destination。如果指定了端点,则每个端点对应两个过滤条件:一个过滤条件的 source 设置为此端点,所有其他过滤条件字段保持不变;另一个过滤条件的 destination 设置为此端点,所有其他过滤条件字段保持不变。 |
l4Protocols 协议数组 |
一种过滤器,用于按 [v1.Protocol] 中定义的 L4 协议过滤流量事件。每种协议最多只能指定一次。 |
verdicts PolicyVerdict 数组 |
一种按判决分类过滤流量事件的过滤器。 |
clusterNodeSelectors ClusterNodeSelector 数组 |
用于匹配流量的集群和节点列表。 |
FlowLogList
定义流量日志资源列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
FlowLogList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items FlowLog 数组 |
流日志条目列表。 |
FlowLogSpec
表示已应用的网络流日志过滤条件。 如果存在多个过滤条件,则当至少有一个过滤条件与流程事件匹配时,系统会记录相应流程。
来源: - FlowLog
| 字段 | 说明 |
|---|---|
enable 布尔值 |
指定是否启用此流日志。停用后,后端流量过滤条件会被停用,并且不会收集相应的日志。如果未指定,则默认为 true。 |
filters FlowLogFilter 数组 |
用于匹配流量事件的过滤条件列表。系统会记录符合任何提供的过滤规则的流量事件。 |
lifetime 永久 |
相应流日志规则的应用时长。到达该时间后,流日志记录规则会被停用。如果为空,则此流量日志记录规则将无限期启用。 |
logDetailLevel LogDetailLevel |
针对匹配的流程事件记录的字段。如果为空,则默认为记录所有字段。 |
FlowLogStatus
定义观察到的流日志状态。
来源: - FlowLog
| 字段 | 说明 |
|---|---|
conditions 条件数组 |
流日志的当前状态。已知条件类型包括:Reconciled:流日志已成功完成协调和配置;Logging:流日志当前已完成协调并处于有效状态。 |
clusters PropagationStatus 数组 |
相应流日志在资源传播到的每个集群中的传播状态。如果此资源已同步到集群,则在 Conditions 中,Propagated 条件会设置为 true,并且其 ObservedGeneration 会设置为目标集群中传播资源的代际。如果成功从集群中剪除此资源,则必须从列表中移除相应的 PropagationStatus。 |
startTime 时间 |
流日志变为有效状态的时间。当协调器首次与对象互动时,或当 FlowLogSpec 资源发生更改时,协调器会设置此字段。 |
endTime 时间 |
流日志变为无效状态的时间。此字段由协调器按如下方式设置:
|
ForwardingRuleExternal
表示用于创建外部转发规则的前端 API。
来源: - ForwardingRuleExternalList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
ForwardingRuleExternal |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec ForwardingRuleExternalSpec |
|
status ForwardingRuleExternalStatus |
ForwardingRuleExternalList
包含 ForwardingRuleExternal 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
ForwardingRuleExternalList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items ForwardingRuleExternal 数组 |
ForwardingRuleExternalSpec
描述用户对转发规则的预期属性。
来源: - ForwardingRuleExternal
| 字段 | 说明 |
|---|---|
cidrRef CIDRRef |
对用于相应转发规则的 CIDR 的引用。它必须引用与此转发规则位于同一命名空间中的对象。如果未指定,系统将从全局或可用区 IP 地址池中自动预留一个 IPv4 /32 CIDR。此字段是可选字段。该字段不可更改。 |
ports 端口数组 |
数据包将转发到通过此转发规则配置的后端的 L4 端口列表。必须至少指定一个端口。对于同一 VPC 网络中的内部转发规则,如果两个或更多个转发规则共享至少一个端口号,则它们不能使用相同的 [CIDR, 协议] 对。此字段为必填字段。该字段不可更改。 |
backendServiceRef BackendServiceRef |
相应转发规则所使用的 BackendService 的引用。它必须引用与此转发规则位于同一命名空间中的 BackendService。此字段一经设置便不可更改。 |
ForwardingRuleExternalStatus
表示转发规则的状态。
来源: - ForwardingRuleExternal
| 字段 | 说明 |
|---|---|
cidr 字符串 |
相应转发规则使用的最终 CIDR 值。 |
conditions 条件数组 |
一个条件列表,用于描述转发规则的当前状态。已知条件类型包括:*“就绪” |
ForwardingRuleInternal
表示用于创建内部转发规则的前端 API。
来源: - ForwardingRuleInternalList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
ForwardingRuleInternal |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec ForwardingRuleInternalSpec |
|
status ForwardingRuleInternalStatus |
ForwardingRuleInternalList
包含 ForwardingRuleInternal 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
ForwardingRuleInternalList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items ForwardingRuleInternal 数组 |
ForwardingRuleInternalSpec
描述用户对转发规则的预期属性。
来源: - ForwardingRuleInternal
| 字段 | 说明 |
|---|---|
cidrRef CIDRRef |
对用于相应转发规则的 CIDR 的引用。它必须引用与此转发规则位于同一命名空间中的对象。如果未指定,系统将从全局或可用区 IP 地址池中自动预留一个 IPv4 /32 CIDR。此字段是可选字段。该字段不可更改。 |
ports 端口数组 |
数据包将转发到通过此转发规则配置的后端的 L4 端口列表。必须至少指定一个端口。对于同一 VPC 网络中的内部转发规则,如果两个或更多个转发规则共享至少一个端口号,则它们不能使用相同的 [CIDR, 协议] 对。此字段为必填字段。该字段不可更改。 |
backendServiceRef BackendServiceRef |
相应转发规则所使用的 BackendService 的引用。它必须引用与此转发规则位于同一命名空间中的 BackendService。此字段一经设置便不可更改。 |
ForwardingRuleInternalStatus
表示转发规则的状态。
来源: - ForwardingRuleInternal
| 字段 | 说明 |
|---|---|
cidr 字符串 |
相应转发规则使用的最终 CIDR 值。 |
conditions 条件数组 |
一个条件列表,用于描述转发规则的当前状态。已知条件类型包括:*“就绪” |
ForwardingRuleRef
包含有关转发规则的信息。
来源: - BackendServiceStatus
| 字段 | 说明 |
|---|---|
name 字符串 |
所引用转发规则对象的名称。此字段为必填字段。该字段不可更改。 |
ForwardingRuleSpecCommon
描述用户对转发规则的常见预期属性。
来源: - ForwardingRuleExternalSpec - ForwardingRuleInternalSpec
| 字段 | 说明 |
|---|---|
cidrRef CIDRRef |
对用于相应转发规则的 CIDR 的引用。它必须引用与此转发规则位于同一命名空间中的对象。如果未指定,系统将从全局或可用区 IP 地址池中自动预留一个 IPv4 /32 CIDR。此字段是可选字段。该字段不可更改。 |
ports 端口数组 |
数据包将转发到通过此转发规则配置的后端的 L4 端口列表。必须至少指定一个端口。对于同一 VPC 网络中的内部转发规则,如果两个或更多个转发规则共享至少一个端口号,则它们不能使用相同的 [CIDR, 协议] 对。此字段为必填字段。该字段不可更改。 |
backendServiceRef BackendServiceRef |
相应转发规则所使用的 BackendService 的引用。它必须引用与此转发规则位于同一命名空间中的 BackendService。此字段一经设置便不可更改。 |
ForwardingRuleStatusCommon
表示 ForwardingRule 的常见状态
来源: - ForwardingRuleExternalStatus - ForwardingRuleInternalStatus
| 字段 | 说明 |
|---|---|
cidr 字符串 |
相应转发规则使用的最终 CIDR 值。 |
conditions 条件数组 |
一个条件列表,用于描述转发规则的当前状态。已知条件类型包括:*“就绪” |
GatewayInterfaceRef
表示对 VPNGateway 或 PeerGateway 资源上的接口的引用。
来源: - VPNTunnelSpec
| 字段 | 说明 |
|---|---|
name 字符串 |
网关的名称。 |
namespace 字符串 |
网关的命名空间。 |
interface 字符串 |
接口的名称。 |
HealthCheck
指定后端服务健康检查。
来源: - HealthCheckList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
HealthCheck |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec HealthCheckSpec |
|
status HealthCheckStatus |
HealthCheckList
包含 HealthCheck 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
HealthCheckList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items HealthCheck数组 |
HealthCheckSpec
描述用户对健康检查的预期属性。
来源: - HealthCheck
| 字段 | 说明 |
|---|---|
tcpHealthCheck TCPHealthCheck |
使用 TCP 端口定义探测。 |
checkIntervalSec 整数 |
从一次探测开始到下一次探测开始之间的时间量(以秒为单位)。默认值为 5。该字段不可更改。 |
timeoutSec 整数 |
在声明失败之前等待的时间(以秒为单位)。默认值为 5。该字段不可更改。 |
healthyThreshold 整数 |
要将端点视为运行状况良好必须成功的连续探测次数。默认值为 2。该字段不可更改。 |
unhealthyThreshold 整数 |
要将端点视为运行状况不佳所必须失败的连续探测次数。默认值为 2。该字段不可更改。 |
HealthCheckStatus
表示健康检查的状态。
来源: - HealthCheck
| 字段 | 说明 |
|---|---|
conditions 条件数组 |
一个条件列表,用于描述健康检查的当前状态。已知条件类型包括:*“就绪” |
生命周期
定义流日志的生命周期。必须为 expiration 或 duration 指定值,但不能同时为两者指定值。
来源: - FlowLogSpec
| 字段 | 说明 |
|---|---|
expiration 时间 |
相应过滤规则的到期时间,到期后该规则将变为无效。失效时间必须是未来的时间。它包括将资源传播到子集群所需的时间,因此该值应考虑大约一分钟的额外缓冲时间,以确保所有集群都能开始记录日志并捕获必要的流量。 |
duration 时长 |
从流日志协调时开始,流日志处于有效状态的时间长度。它包括将资源传播到子集群所需的时间,因此该值应考虑大约一分钟的额外缓冲时间,以确保所有集群都能开始记录日志并捕获必要的流量。 |
LogDetailLevel
基础类型: string
捕获过滤后的流量事件时记录的预定义字段组合列表。
来源: - FlowLogSpec
ManagedServiceSubject
定义代管式服务的目标。
来源: - OrganizationNetworkPolicySubject
| 字段 | 说明 |
|---|---|
matchTypes 字符串数组 |
政策适用的组织代管式服务类型。 |
NamespacePodSelector
表示用于查找指定命名空间内的 pod 的信息。
为 namespace、pod 或 namespace 和 pod 指定值。
来源: - NetworkEndpointFilter
| 字段 | 说明 |
|---|---|
namespace 字符串 |
与命名空间名称匹配的流量事件。例如 kube-system。 |
pod 字符串 |
与指定 pod 名称前缀匹配的流量事件。例如,xwing、coredns-。 |
NetworkEndpointFilter
表示一种过滤器,用于根据指定的过滤条件选择一组网络端点。
来源: - FlowLogFilter
| 字段 | 说明 |
|---|---|
ipBlocks 字符串数组 |
用于选择与 IP 地址或 IP 地址范围匹配的流量事件的过滤条件。每个 IP 地址都可以指定为完全匹配(例如 1.1.1.1 或 1200:0000:AB00:1234:0000:2552:7777:1313),也可以指定为 CIDR 范围(例如 1.1.1.0/24 或 1200:0000:AB00:1234:0000:2552:7777:1313/120)。如果未指定,则匹配任何 IP 地址。 |
labels LabelSelector 数组 |
用于选择与标签选择器匹配的流量事件的过滤条件。选择器支持完整的 Kubernetes 标签选择器语法。 |
namespacePodSelectors NamespacePodSelector 数组 |
用于匹配流量的命名空间和 Pod 的列表。 |
ports IntOrString 数组 |
一种按 L4 端口选择流量的过滤条件。如果未提供此字段,则匹配所有端口号。单个端口的示例值为 80。如果存在,则仅匹配指定协议和端口上的流量。 |
OrganizationNetworkPolicy
定义 OrganizationNetworkPolicy API 的架构。
来源: - OrganizationNetworkPolicyList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
OrganizationNetworkPolicy |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec OrganizationNetworkPolicySpec |
OrganizationNetworkPolicy 的所需配置。 |
status OrganizationNetworkPolicyStatus |
OrganizationNetworkPolicy 的观测状态。 |
OrganizationNetworkPolicyIngressRule
为 OrganizationNetworkPolicy 资源定义单个入站流量规则。
来源: - OrganizationNetworkPolicySpec
| 字段 | 说明 |
|---|---|
from OrganizationNetworkPolicyPeer 数组 |
能够访问相应政策主题的来源列表。此列表中的项使用逻辑 OR 运算符合并。如果此字段为空或缺失,则此规则会匹配所有来源,流量不受来源限制。如果此字段包含至少一项,则只有当流量与 from 列表中的至少一项匹配时,此规则才允许流量通过。最多只能指定一项。 |
OrganizationNetworkPolicyList
定义 OrganizationNetworkPolicy 资源的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
OrganizationNetworkPolicyList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items OrganizationNetworkPolicy 数组 |
OrganizationNetworkPolicyPeer
定义允许流量来自的对等互连网络。
来源: - OrganizationNetworkPolicyIngressRule
| 字段 | 说明 |
|---|---|
ipBlock IPBlock |
特定 iPBlock 的政策。如果为空,则允许所有流量 (0.0.0.0/0)。 |
OrganizationNetworkPolicySpec
定义 OrganizationNetworkPolicy 资源的期望状态。
此政策的入站规则数组适用于指定的目标。
如果存在多条规则或多项政策,则每条规则的规则会以累加方式进行组合。如果流量与至少一条规则匹配,则允许该流量。
来源: - OrganizationNetworkPolicy
| 字段 | 说明 |
|---|---|
subject OrganizationNetworkPolicySubject |
组织网络政策的受管服务。 |
ingress OrganizationNetworkPolicyIngressRule 数组 |
流量的入站规则。如果 ingress 为空或缺失,则不允许任何流量。如果此字段包含至少一项内容,则只有当流量与 from 字段中的至少一项内容匹配时,此规则才允许流量通过。 |
OrganizationNetworkPolicyStatus
定义 OrganizationNetworkPolicy 资源的观测状态。
来源: - OrganizationNetworkPolicy
| 字段 | 说明 |
|---|---|
conditions 条件数组 |
如果 ready 为 true,则表示 OrganizationNetworkPolicy 资源已成功传播到 Management API 服务器。如果 ready 为 false,则表示 OrganizationNetworkPolicy 未能传播。 |
generatedauthorizationpolicies AuthorizationPolicyRef 数组 |
从 OrganizationNetworkPolicy 资源生成的授权政策列表。 |
OrganizationNetworkPolicySubject
表示组织服务目标。 为目标选择一个属性。
来源: - OrganizationNetworkPolicySpec
| 字段 | 说明 |
|---|---|
subjectType OrganizationNetworkPolicySubjectType |
政策规则所适用的实体类型。如果未设置,则默认为 ManagedService。 |
services ManagedServiceSubject |
要选择的服务。支持组织多租户服务,包括 UIConsole 和 APIServer。 |
OrganizationNetworkPolicySubjectType
基础类型: string
定义政策的目标类型。
来源: - OrganizationNetworkPolicySubject
PeerGateway
PeerGateway 表示远程 VPN 端点。PeerGateway 上的接口应由单个 VPNTunnel 用于建立与远程站点的加密隧道。
来源: - PeerGatewayList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
PeerGateway |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec PeerGatewaySpec |
|
status PeerGatewayStatus |
PeerGatewayInterface
表示已建立隧道的网关接口。
来源: - PeerGatewaySpec
| 字段 | 说明 |
|---|---|
name 字符串 |
接口的名称。 |
ip 字符串 |
接口的 IPv4 地址。 |
PeerGatewayList
PeerGatewayList 包含 PeerGateway 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
PeerGatewayList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items PeerGateway 数组 |
Items 是 PeerGateway 条目的列表。 |
PeerGatewaySpec
PeerGatewaySpec 定义 PeerGateway 的期望状态。
来源: - PeerGateway
| 字段 | 说明 |
|---|---|
interfaces PeerGatewayInterface 数组 |
对等网关上将用于 VPN 连接的接口列表。每个接口应供一个 VPNTunnel 使用。 |
PeerGatewayStatus
PeerGatewayStatus 定义了 PeerGateway 的观察状态。
来源: - PeerGateway
| 字段 | 说明 |
|---|---|
conditions 条件数组 |
指示 PeerGateway 的当前状态。已知条件类型包括: -“Ready”:对等网关已协调一致,并由 VPNTunnel 使用。 -“TunnelsEstablished”:对等网关上的每个接口都由 VPNTunnel 使用。 |
PolicyManagedServiceSubject
定义代管式服务的目标。
来源: - ProjectNetworkPolicySubject
| 字段 | 说明 |
|---|---|
matchTypes 字符串数组 |
政策适用的托管式服务类型。必须指定一个且只能指定一个项。 |
PolicyProjects
表示用于匹配一组项目的项目集合。
来源: - ProjectNetworkPolicyPeer - ProjectSelector
| 字段 | 说明 |
|---|---|
matchNames 字符串数组 |
所选项目是根据名称在组织内选择的。项目命名空间源自项目网络政策的命名空间。如果此字段为空或缺失,则此规则会匹配所有项目。最多只能指定一项。 |
PolicySubjectType
底层类型: string
定义网络政策的目标类型。
来源: - ProjectNetworkPolicySubject
PolicyType
底层类型: string
定义应用政策规则的流量方向。
来源: - ProjectNetworkPolicySpec
PolicyVerdict
底层类型: string
定义对流量进行分类的判决列表。
来源: - FlowLogFilter
端口
包含需要提供服务的 L4 端口的相关信息。
显示在: - ForwardingRuleExternalSpec - ForwardingRuleInternalSpec - ForwardingRuleSpecCommon - TargetPort
| 字段 | 说明 |
|---|---|
protocol 协议 |
指定流量必须匹配的第 4 层协议。仅支持 TCP 和 UDP。此字段为必填字段。该字段不可更改。 |
port 整数 |
此服务将公开的端口的端口号。此字段为必填字段。该字段不可更改。 |
ProbeHandler
定义健康检查的可用探测。 必须指定一个且仅一个字段。
来源: - HealthCheckSpec
| 字段 | 说明 |
|---|---|
tcpHealthCheck TCPHealthCheck |
使用 TCP 端口定义探测。 |
ProjectNetworkPolicy
包含 ProjectNetworkPolicy API 的架构。
来源: - ProjectNetworkPolicyList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
ProjectNetworkPolicy |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec ProjectNetworkPolicySpec |
ProjectNetworkPolicy 资源的所需配置。 |
status ProjectNetworkPolicyStatus |
ProjectNetworkPolicy 资源的观测状态。 |
ProjectNetworkPolicyEgressRule
为 ProjectNetworkPolicy 资源定义单个出站流量规则。
来源: - ProjectNetworkPolicySpec
| 字段 | 说明 |
|---|---|
ports ProjectNetworkPolicyPort 数组 |
显示出站流量的目标端口列表。此列表中的每个项都使用逻辑 OR 运算组合在一起。如果此字段为空或缺失,则此规则会匹配所有端口,流量不受端口限制。如果此字段存在且包含至少一项,则只有当流量与列表中的至少一个端口匹配时,此规则才允许流量通过。 |
to ProjectNetworkPolicyPeer 数组 |
相应规则的正文的出站流量的目的地列表。此列表中的项使用逻辑 OR 运算符合并。如果此字段为空或缺失,则此规则会匹配所有目的地,流量不受目的地限制。如果此字段包含至少一项,则只有当流量与 to 列表中的至少一项匹配时,此规则才允许流量通过。最多只能指定一项。 |
ProjectNetworkPolicyIngressRule
为 ProjectNetworkPolicy 资源定义单个入站流量规则。
来源: - ProjectNetworkPolicySpec
| 字段 | 说明 |
|---|---|
ports ProjectNetworkPolicyPort 数组 |
用于传入流量的端口列表。此列表中的每个项都使用逻辑 OR 运算组合在一起。如果此字段为空或缺失,则此规则会匹配所有端口,流量不受端口限制。如果此字段存在且包含至少一项,则只有当流量与列表中的至少一个端口匹配时,此规则才允许流量通过。 |
from ProjectNetworkPolicyPeer 数组 |
能够访问相应政策主题的来源列表。此列表中的项使用逻辑 OR 运算符合并。如果此字段为空或缺失,则此规则会匹配所有来源,流量不受来源限制。如果此字段包含至少一项,则只有当流量与 from 列表中的至少一项匹配时,此规则才允许流量通过。最多只能指定一项。 |
ProjectNetworkPolicyList
定义 ProjectNetworkPolicy 资源的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
ProjectNetworkPolicyList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items ProjectNetworkPolicy 数组 |
ProjectNetworkPolicyPeer
表示允许流量传入的对等方。 必须指定其中一个子字段。
来源: - ProjectNetworkPolicyEgressRule - ProjectNetworkPolicyIngressRule
| 字段 | 说明 |
|---|---|
projects PolicyProjects |
要应用网络政策的项目。 |
projectSelector ProjectSelector |
ProjectSelector 会选择项目以及这些项目中的工作负载作为流量来源。如果指定,则允许来自所选项目中与工作负载选择器匹配的工作负载的流量。 |
ipBlock IPBlock |
特定 iPBlock 的政策。如果为空,则选择组织中的所有外部 IP,但不包括 Kubernetes 节点和工作负载。 |
ipBlocks IPBlock 数组 |
针对特定 iPBlocks 的政策。如果为空,则选择组织中的所有外部 IP,但不包括 Kubernetes 节点和工作负载。 |
ProjectNetworkPolicyPort
表示允许流量通过的端口。 如果所有子字段均为空,则系统会选择所有 TCP 流量。
来源: - ProjectNetworkPolicyEgressRule - ProjectNetworkPolicyIngressRule
| 字段 | 说明 |
|---|---|
protocol 协议 |
流量必须匹配的协议。选项包括 TCP、UDP 或 SCTP。如果未指定,此字段默认为 TCP。 |
port IntOrString |
指定协议的端口。可以是 pod 上的数字端口或命名端口。如果未提供此字段,则匹配所有端口名称和编号。如果存在,则仅匹配指定协议和端口上的流量。 |
ProjectNetworkPolicySpec
定义 ProjectNetworkPolicy 资源的期望状态。
此政策的入站或出站规则数组适用于指定的正文或目标。
如果存在多条规则或多项政策,则每条规则的规则会以累加方式进行组合。换句话说,如果流量与至少一条规则匹配,则允许该流量。
来源: - ProjectNetworkPolicy
| 字段 | 说明 |
|---|---|
subject ProjectNetworkPolicySubject |
项目网络政策的目标。如果未指定,则会选择项目中的所有 pod(不包括受管服务)。 |
policyType PolicyType |
应用政策规则的流量方向。必须将其设置为 ingress 和 egress 中的一个。如果未设置,则默认为 ingress。 |
ingress ProjectNetworkPolicyIngressRule 数组 |
相应政策的入站规则列表。如果此字段为空,则 ProjectNetworkPolicy 资源不允许任何流量,仅用于确保其选择的正文默认处于隔离状态。 |
egress ProjectNetworkPolicyEgressRule 数组 |
相应政策的出站规则列表。如果此字段为空,则 ProjectNetworkPolicy 资源不允许任何流量,仅用于确保其选择的正文默认处于隔离状态。 |
ProjectNetworkPolicyStatus
定义观察到的 ProjectNetworkPolicy 资源的状态。
来源: - ProjectNetworkPolicy
| 字段 | 说明 |
|---|---|
conditions 条件数组 |
如果 ready 为 true,则表示所有网络政策都已成功传播到所有用户集群。如果 ready 为 false,则表示部分或所有网络政策传播失败。 |
propagatedName 字符串 |
在项目中的所有用户集群中实现的传播网络政策的名称。如果属性为 SubjectType="UserWorkload",则应设置此字段。 |
clusters ClusterStatus 数组 |
集群上的传播状态列表。如果属性为 SubjectType="UserWorkload",则应设置此字段。 |
propagatedManagedServiceNamespaces 字符串数组 |
政策传播到的代管式服务命名空间列表。如果属性为 SubjectType="ManagedService",则应设置此字段。 |
errorStatus ErrorStatus |
ErrorStatus 会保存最近的错误以及上次看到这些错误的时间。 |
ProjectNetworkPolicySubject
定义项目网络政策的目标。
来源: - ProjectNetworkPolicySpec
| 字段 | 说明 |
|---|---|
subjectType PolicySubjectType |
政策规则所适用的实体类型。必须将其设置为 userWorkload 或 managedService 中的一个。如果未设置,则默认为 userWorkload。如果设置为 userWorkload,则选择项目中的所有 pod(托管式服务除外)。如果设置为 managedService,则选择指定的受管服务。 |
managedServices PolicyManagedServiceSubject |
政策规则所适用的受管服务。只能使用 SubjectType="ManagedService" 指定。 |
workloadSelector LabelSelector |
WorkloadSelector 用于选择政策规则所适用的项目中的工作负载。如果此字段为 nil 或空,则此规则适用于项目中的所有工作负载。 |
ProjectSelector
ProjectSelector 用于选择项目和工作负载。
来源: - ProjectNetworkPolicyPeer
| 字段 | 说明 |
|---|---|
projects PolicyProjects |
要应用网络政策的项目。如果为空,则此规则匹配所有项目。 |
workloads LabelSelector |
要应用网络政策的工作负载。如果为空,则包含所选项目中的所有工作负载。 |
PropagationStatus
定义特定集群的传播状态。
来源: - FlowLogStatus
| 字段 | 说明 |
|---|---|
cluster 字符串 |
相应资源传播到的集群名称。 |
node 字符串 |
相应资源传播到的节点名称。 |
namespace 字符串 |
相应资源传播到的命名空间。 |
name 字符串 |
传播资源的名称。 |
conditions 条件数组 |
已编程资源的当前状态。 |
路由
表示通过隧道通告或接收的路由。
来源: - VPNBGPPeerStatus
| 字段 | 说明 |
|---|---|
prefix 字符串 |
相应路由的网络前缀。 |
SessionAffinity
底层类型: string
会话亲和性类型字符串
来源: - BackendServicePolicySpec
SessionState
底层类型: string
BGP 会话的状态,例如“已建立”或“未建立”。
来源: - VPNBGPPeerStatus
TCPHealthCheck
指定 TCP 健康检查探测的参数。
来源: - HealthCheckSpec - ProbeHandler
| 字段 | 说明 |
|---|---|
port 整数 |
将执行健康检查的端口号。默认值为 80。该字段不可更改。 |
TargetPort
用于保存有关将转换为指定 targetPort 的 L4 端口的信息。
来源: - BackendServiceSpec
| 字段 | 说明 |
|---|---|
protocol 协议 |
指定流量必须匹配的第 4 层协议。仅支持 TCP 和 UDP。此字段为必填字段。该字段不可更改。 |
port 整数 |
此服务将公开的端口的端口号。此字段为必填字段。该字段不可更改。 |
targetPort 整数 |
端口值将转换为的端口。给定对象中的 TargetPort 值不得重复。此字段为必填字段。该字段不可更改。 |
TunnelState
底层类型: string
隧道的状态,例如“已建立”或“正在连接”。
来源: - VPNTunnelStatus
VPNBGPPeer
VPNBGPPeer 表示通过 VPN 隧道的 BGP 会话。VPNBGPPeer 在组织中的 BGP 对等端与远程站点的 BGP 对等端之间通过单个 VPNTunnel 建立 BGP 会话。VPNBGPPeer 应由 VPNTunnel 使用。
来源: - VPNBGPPeerList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
VPNBGPPeer |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec VPNBGPPeerSpec |
|
status VPNBGPPeerStatus |
VPNBGPPeerList
VPNBGPPeerList 包含 VPNBGPPeer 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
VPNBGPPeerList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items VPNBGPPeer 数组 |
Items 是 VPNBGPPeer 条目的列表。 |
VPNBGPPeerSpec
VPNBGPPeerSpec 定义 VPNBGPPeer 的期望状态。远程和本地 BGP 对等互连的 IP 必须位于“169.254.0.0/16”范围内的同一“/30”块中。
来源: - VPNBGPPeer
| 字段 | 说明 |
|---|---|
remote BGPPeerInterface |
表示远程 BGP 对等方。 |
local BGPPeerInterface |
表示本地 BGP 对等体。 |
VPNBGPPeerStatus
VPNBGPPeerStatus 定义了观察到的 VPNBGPPeer 状态。组织将通过引用此 VPNBGPPeer 的 VPNTunnel 与远程站点创建 BGP 会话。本地 BGP 对等体将向远程 BGP 对等体通告组织的所有内部 CIDR。如果远程 BGP 对等方通告的 CIDR 与组织的内部 CIDR 冲突,则 VPNBGPPeer 的“就绪”条件将为 false。
来源: - VPNBGPPeer
| 字段 | 说明 |
|---|---|
state SessionState |
表示本地 BGP 对等方与远程 BGP 对等方之间的 BGP 会话状态。 |
advertised 路线数组 |
表示在 BGP 会话上向远程站点通告的路由。 |
received 路线数组 |
表示在 BGP 会话中从远程站点接收的路由。 |
conditions 条件数组 |
指示 VPNBGPPeer 的当前状态。已知条件类型包括: -“Ready”:对等网关已协调一致,并由 VPNTunnel 使用。 - "BGPSessionEstablished":对等网关上的每个接口都由一个 VPNTunnel 使用。- “ReceivedRoutesReady”:从远程 BGP 对等体接收的路由不会干扰组织内部 CIDR 中的路由。 |
VPNGateway
VPNGateway 表示组织 VPN 端点。VPNGateway 上的接口应由 VPNTunnel 用于建立与远程站点的加密隧道。
来源: - VPNGatewayList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
VPNGateway |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec VPNGatewaySpec |
|
status VPNGatewayStatus |
VPNGatewayInterface
表示网关上的接口。系统将为每个接口分配一个 IP,并将其添加到状态中。
来源: - VPNGatewaySpec
| 字段 | 说明 |
|---|---|
name 字符串 |
接口的名称。 |
VPNGatewayInterfaceStatus
表示已建立隧道的网关接口。
来源: - VPNGatewayStatus
| 字段 | 说明 |
|---|---|
name 字符串 |
接口的名称。 |
ip 字符串 |
接口的 IPv4 地址。 |
VPNGatewayList
VPNGatewayList 包含 VPNGateway 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
VPNGatewayList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items VPNGateway 数组 |
Items 是 VPNGateway 条目的列表。 |
VPNGatewaySpec
VPNGatewaySpec 定义所需的 VPNGateway 状态。定义应由 VPNGateway 分配外部 IPv4 地址的接口的名称。分配给接口的每个 IPv4 地址都是从外部地址池中自动选择的。
来源: - VPNGateway
| 字段 | 说明 |
|---|---|
interfaces VPNGatewayInterface 数组 |
每个接口的名称。VPNGateway 将为列表中的每个接口分配一个外部 IPv4 地址。 |
VPNGatewayStatus
VPNGatewayStatus 定义观察到的 VPNGateway 状态。
来源: - VPNGateway
| 字段 | 说明 |
|---|---|
interfaces VPNGatewayInterfaceStatus 数组 |
VPNGateway 上的接口列表。每个接口可供一个 VPNTunnel 使用。 |
conditions 条件数组 |
表示 VPNGateway 的当前状态。已知条件类型包括: -“Ready”:VPNGateway 已协调并被 VPNTunnel 使用。 -“IPsAssigned”:已为 VPNGateway 上的每个接口分配 IPv4 地址。- “TunnelsAttached”:VPNGateway 上的每个接口都由一个 VPNTunnel 使用。 |
VPNTunnel
VPNTunnel 表示组织网络与远程网络之间的加密 IPSec 隧道。它将 VPNGateway 接口连接到 PeerGateway 接口,并使用 VPNBGPPeer 通过隧道交换路由信息。
来源: - VPNTunnelList
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
VPNTunnel |
metadata ObjectMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
spec VPNTunnelSpec |
|
status VPNTunnelStatus |
VPNTunnelList
VPNTunnelList 包含 VPNTunnel 的列表。
| 字段 | 说明 |
|---|---|
apiVersion 字符串 |
networking.gdc.goog/v1 |
kind 字符串 |
VPNTunnelList |
metadata ListMeta |
如需了解 metadata 的字段,请参阅 Kubernetes API 文档。 |
items VPNTunnel 数组 |
Items 是 VPNTunnel 条目的列表。 |
VPNTunnelSpec
VPNTunnelSpec 定义 VPNTunnel 的期望状态。建立的隧道支持基于 PSK 的身份验证的 IKEv2 协议。通过隧道传输的数据包使用 IPSec 隧道模式进行加密,其中外部 IP 标头使用 VPNGateway 接口 IP 和 PeerGateway 接口 IP 构建。VPNTunnel 引用 VPNGateway 接口、PeerGateway 接口、VPNBGPPeer 资源以及包含身份验证预共享密钥的 Secret。
来源: - VPNTunnel
| 字段 | 说明 |
|---|---|
vpnInterface GatewayInterfaceRef |
VPNGateway 上用于隧道的接口。接口中的 IP 用作通过隧道发送到远程站点的 IP 数据包的源 IP。 |
peerInterface GatewayInterfaceRef |
对等网关上用于隧道的接口。接口的 IP 用作通过隧道发送到远程站点的 IP 数据包的目标 IP。 |
vpnBGPPeer ObjectReference |
对 VPNBGPPeer 的引用,用于指定通过隧道的动态路由。 |
ikeKey SecretReference |
包含网关初始身份验证的预共享密钥的 Secret。 |
VPNTunnelStatus
VPNTunnelStatus 定义观察到的 VPNTunnel 状态。
来源: - VPNTunnel
| 字段 | 说明 |
|---|---|
state TunnelState |
隧道的当前状态。 |
conditions 条件数组 |
指示 VPNTunnel 的当前状态。已知条件类型包括: -“Ready”:VPNTunnel 已协调,处于已建立状态。 -“TunnelEstablished”:隧道处于已建立状态。 |