Red Hat Summit22.3. DetectDeployTimeFromYAML
POST /v1/detect/deploy/yaml
DetectDeployTimeFromYAML は、指定のデプロイメント yaml がデプロイ時間ポリシーに違反するかどうかを確認します。
22.3.1. 説明
22.3.2. パラメーター
22.3.2.1. ボディパラメーター
| 名前 | 説明 | 必須 | デフォルト | Pattern |
|---|---|---|---|---|
| body | X |
22.3.3. 戻り値のタイプ
22.3.4. コンテンツタイプ
- application/json
22.3.5. レスポンス
| コード | メッセージ | データタイプ |
|---|---|---|
| 200 | 正常な応答。 | |
| 0 | 予期しないエラーの応答です。 |
22.3.6. サンプル
22.3.7. 共通のオブジェクト参照
22.3.7.1. AlertDeploymentContainer
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| image | |||||
| name | String |
22.3.7.2. AlertEnforcement
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| action | UNSET_ENFORCEMENT、SCALE_TO_ZERO_ENFORCEMENT、UNSATISFIABLE_NODE_CONSTRAINT_ENFORCEMENT、KILL_POD_ENFORCEMENT、FAIL_BUILD_ENFORCEMENT、FAIL_KUBE_REQUEST_ENFORCEMENT、FAIL_DEPLOYMENT_CREATE_ENFORCEMENT、FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT、FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT, | ||||
| message | String |
22.3.7.3. AlertProcessViolation
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| message | String | ||||
| processes | List of StorageProcessIndicator |
22.3.7.4. AlertResourceResourceType
| Enum 値 |
|---|
| UNKNOWN |
| SECRETS |
| CONFIGMAPS |
| CLUSTER_ROLES |
| CLUSTER_ROLE_BINDINGS |
| NETWORK_POLICIES |
| SECURITY_CONTEXT_CONSTRAINTS |
| EGRESS_FIREWALLS |
22.3.7.5. AlertViolation
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| message | String | ||||
| keyValueAttrs | |||||
| networkFlowInfo | |||||
| type | GENERIC、K8S_EVENT、NETWORK_FLOW、NETWORK_POLICY、 | ||||
| time | Date | 違反時間を示します。このフィールドは、ポリシーアラートが複数発生した場合にアラートが最後に発生した時刻を表す最上位フィールド 'time' とは異なります。55.0 の時点で、このフィールドは kubernetes イベント違反に対してのみ設定されていますが、将来制限される可能性はあります。 | date-time |
22.3.7.6. AlertViolationType
| Enum 値 |
|---|
| GENERIC |
| K8S_EVENT |
| NETWORK_FLOW |
| NETWORK_POLICY |
22.3.7.7. DeployDetectionResponseRun
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| name | String | ||||
| type | String | ||||
| alerts | StorageAlertの一覧 |
22.3.7.8. KeyValueAttrsKeyValueAttr
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| key | String | ||||
| value | String |
22.3.7.9. NetworkFlowInfoEntity
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| name | String | ||||
| entityType | UNKNOWN_TYPE, DEPLOYMENT, INTERNET, LISTEN_ENDPOINT, EXTERNAL_SOURCE, INTERNAL_ENTITIES, | ||||
| deploymentNamespace | String | ||||
| deploymentType | String | ||||
| port | Integer | int32 |
22.3.7.10. PolicyMitreAttackVectors
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| tactic | String | ||||
| テクニック |
|
22.3.7.11. ProcessSignalLineageInfo
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| parentUid | Long | int64 | |||
| parentExecFilePath | String |
22.3.7.12. ProtobufAny
any には、シリアライズされたメッセージの型を記述する URL とともに、任意のシリアライズされたプロトコルバッファーメッセージが含まれます。
Protobuf ライブラリーは、パック/アンパックをサポートします。任意の値は、ユーティリティー関数の形式で、または Any タイプの追加の生成されたメソッドになります。
例 1: C++ のメッセージをパックして展開します。
Foo foo = ...;
Any any;
any.PackFrom(foo);
...
if (any.UnpackTo(&foo)) {
...
}例 2: Java でメッセージをパックして解凍します。
Foo foo = ...;
Any any = Any.pack(foo);
...
if (any.is(Foo.class)) {
foo = any.unpack(Foo.class);
}
// or ...
if (any.isSameTypeAs(Foo.getDefaultInstance())) {
foo = any.unpack(Foo.getDefaultInstance());
}Example 3: Pack and unpack a message in Python.foo = Foo(...)
any = Any()
any.Pack(foo)
...
if any.Is(Foo.DESCRIPTOR):
any.Unpack(foo)
...Example 4: Pack and unpack a message in Gofoo := &pb.Foo{...}
any, err := anypb.New(foo)
if err != nil {
...
}
...
foo := &pb.Foo{}
if err := any.UnmarshalTo(foo); err != nil {
...
}protobuf ライブラリーが提供するパックメソッドは、デフォルトで type.googleapis.com/full.type.name をタイプ URL として使用し、unzip メソッドは、タイプ URL の最後の//のみを使用します。たとえば、"foo.bar.com/x/y.z" のように、"foo.bar.com/x/y.z" の型名 "y.z" が生成されます。
22.3.7.12.1. JSON 表現
Any 値の JSON 表現は、デシリアライズされた埋め込みメッセージの通常の表現を使用し、タイプ URL が含まれる追加のフィールド @type を使用します。以下に例を示します。
package google.profile;
message Person {
string first_name = 1;
string last_name = 2;
}{
"@type": "type.googleapis.com/google.profile.Person",
"firstName": <string>,
"lastName": <string>
}
埋め込みメッセージタイプがよく知られていて、カスタム JSON 表現がある場合、その表現は埋め込みされ、@type フィールドに加えてカスタム JSON を保持するフィールド 値 が追加されます。例(メッセージ [google.protobuf.Duration][] の場合):
{
"@type": "type.googleapis.com/google.protobuf.Duration",
"value": "1.212s"
}| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| typeUrl | String |
シリアライズされたプロトコルバッファーメッセージのタイプを一意に識別する URL/リソース名。この文字列には最低でも 1 つの \"/\" 文字を含める必要があります。URL のパスの最後のセグメントは、タイプの完全修飾名( | |||
| value | byte[] | 上記の指定されたタイプの有効なシリアライズされたプロトコルバッファーである必要があります。 | byte |
22.3.7.13. RuntimeError
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| error | String | ||||
| code | Integer | int32 | |||
| message | String | ||||
| details | ProtobufAnyのリスト |
22.3.7.14. StorageAlert
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| id | String | ||||
| policy | |||||
| lifecycleStage | DEPLOY、BUILD、RUNTIME | ||||
| clusterId | String | ||||
| clusterName | String | ||||
| namespace | String | ||||
| namespaceId | String | ||||
| deployment | |||||
| image | |||||
| resource | |||||
| violations | AlertViolationのリスト | ランタイムフェーズのアラートについては、最大 40 の違反が保持されます。 | |||
| processViolation | |||||
| Enforcement | |||||
| time | Date | date-time | |||
| firstOccurred | Date | date-time | |||
| resolvedAt | Date | アラートが解決された時間。ViolationState が RESOLVED である場合にのみ設定されます。 | date-time | ||
| state | ACTIVE、SNOOZED、解決済み、試行済み | ||||
| snoozeTill | Date | date-time |
22.3.7.15. StorageAlertDeployment
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| id | String | ||||
| name | String | ||||
| type | String | ||||
| namespace | String | ||||
| namespaceId | String | ||||
| labels |
| ||||
| clusterId | String | ||||
| clusterName | String | ||||
| containers | |||||
| annotations |
| ||||
| inactive | Boolean |
22.3.7.16. StorageAlertResource
Represents an alert on a kubernetes resource other than a deployment (configmaps, secrets, etc.)| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| resourceType | UNKNOWN、SECRETS、CONFIGMAP、CLUSTER_ROLES、CLUSTER_ROLE_BINDINGS、NETWORK_POLICIES、SECURITY_CONTEXT_CONSTRAINTS、EGRESS_FIREWALLS、 | ||||
| name | String | ||||
| clusterId | String | ||||
| clusterName | String | ||||
| namespace | String | ||||
| namespaceId | String |
22.3.7.17. StorageBooleanOperator
| Enum 値 |
|---|
| OR |
| AND |
22.3.7.18. StorageContainerImage
Next tag: 12| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| id | String | ||||
| name | |||||
| notPullable | Boolean | ||||
| isClusterLocal | Boolean |
22.3.7.19. StorageEnforcementAction
- FAIL_KUBE_REQUEST_ENFORCEMENT: FAIL_KUBE_REQUEST_ENFORCEMENT は、アドミッションコントロール Webhook が実行およびポート転送イベントをリッスンするように有効にされている場合にのみ有効になります。
- FAIL_DEPLOYMENT_CREATE_ENFORCEMENT: FAIL_DEPLOYMENT_CREATE_ENFORCEMENT は、オブジェクト作成を強制するように受付コントロール Webhook が設定されている場合にのみ有効です。
- FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT: FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT は、オブジェクトの更新を強制するように受付コントロール Webhook が設定されている場合にのみ有効になります。
| Enum 値 |
|---|
| UNSET_ENFORCEMENT |
| SCALE_TO_ZERO_ENFORCEMENT |
| UNSATISFIABLE_NODE_CONSTRAINT_ENFORCEMENT |
| KILL_POD_ENFORCEMENT |
| FAIL_BUILD_ENFORCEMENT |
| FAIL_KUBE_REQUEST_ENFORCEMENT |
| FAIL_DEPLOYMENT_CREATE_ENFORCEMENT |
| FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT |
22.3.7.20. StorageEventSource
| Enum 値 |
|---|
| NOT_APPLICABLE |
| DEPLOYMENT_EVENT |
| AUDIT_LOG_EVENT |
22.3.7.21. StorageExclusion
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| name | String | ||||
| deployment | |||||
| image | |||||
| 有効期限 | Date | date-time |
22.3.7.22. StorageExclusionDeployment
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| name | String | ||||
| scope |
22.3.7.23. StorageExclusionImage
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| name | String |
22.3.7.24. StorageImageName
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| registry | String | ||||
| remote | String | ||||
| tag | String | ||||
| fullName | String |
22.3.7.25. StorageL4Protocol
| Enum 値 |
|---|
| L4_PROTOCOL_UNKNOWN |
| L4_PROTOCOL_TCP |
| L4_PROTOCOL_UDP |
| L4_PROTOCOL_ICMP |
| L4_PROTOCOL_RAW |
| L4_PROTOCOL_SCTP |
| L4_PROTOCOL_ANY |
22.3.7.26. StorageLifecycleStage
| Enum 値 |
|---|
| DEPLOY |
| BUILD |
| RUNTIME (ランタイム) |
22.3.7.27. StorageNetworkEntityInfoType
- INTERNAL_ENTITIES: INTERNAL_ENTITIES は、単一のネットワークグラフノードですべての内部エンティティーをグループ化するためのものです。
| Enum 値 |
|---|
| UNKNOWN_TYPE |
| DEPLOYMENT |
| INTERNET |
| LISTEN_ENDPOINT |
| EXTERNAL_SOURCE |
| INTERNAL_ENTITIES |
22.3.7.28. StoragePolicy
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| id | String | ||||
| name | String | ||||
| description | String | ||||
| 理論的根拠 | String | ||||
| 修復 | String | ||||
| disabled | Boolean | ||||
| categories |
| ||||
| lifecycleStages | |||||
| eventSource | NOT_APPLICABLE、DEPLOYMENT_EVENT、AUDIT_LOG_EVENT、 | ||||
| 除外 | StorageExclusionのリスト | ||||
| scope | StorageScopeのリスト | ||||
| severity | UNSET_SEVERITY、LOW_SEVERITY、MEDIUM_SEVERITY、HIGH_SEVERITY、CRITICAL_SEVERITY、 | ||||
| enforcementActions | FAIL_DEPLOYMENT_CREATE_ENFORCEMENT は、受付コントロール Webhook がオブジェクトの作成/更新を強制するように設定されている場合にのみ有効です。FAIL_KUBE_REQUEST_ENFORCEMENT は、受付制御 Webhook が exec および port-forward イベントをリッスンするように有効にされている場合にのみ有効になります。FAIL_DEPLOYMENT_UPDATE_ENFORCEMENT は、アドミッションコントロール Webhook がオブジェクトの更新を強制するように設定されている場合にのみ有効です。 | ||||
| 通知機能 |
| ||||
| lastUpdated | Date | date-time | |||
| SORTName | String | 内部使用のみ。 | |||
| SORTLifecycleStage | String | 内部使用のみ。 | |||
| SORTEnforcement | Boolean | 内部使用のみ。 | |||
| policyVersion | String | ||||
| policySections | |||||
| mitreAttackVectors | |||||
| criteriaLocked | Boolean | 読み取り専用フィールド。true の場合、ポリシーの基準フィールドが読み取り専用でレンダリングされます。 | |||
| mitreVectorsLocked | Boolean | 読み取り専用フィールド。true の場合、ポリシーの MITRE ATT&CK フィールドが読み取り専用でレンダリングされます。 | |||
| isDefault | Boolean | 読み取り専用フィールド。true の場合はポリシーがデフォルトポリシーで、false の場合はカスタムポリシーを示します。 |
22.3.7.29. StoragePolicyGroup
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| fieldName | String | ||||
| booleanOperator | または、AND | ||||
| negate | Boolean | ||||
| values |
22.3.7.30. StoragePolicySection
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| sectionName | String | ||||
| policyGroups |
22.3.7.31. StoragePolicyValue
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| value | String |
22.3.7.32. StorageProcessIndicator
Next available tag: 13| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| id | String | ||||
| deploymentId | String | ||||
| containerName | String | ||||
| podId | String | ||||
| podUid | String | ||||
| signal | |||||
| clusterId | String | ||||
| namespace | String | ||||
| containerStartTime | Date | date-time | |||
| imageId | String |
22.3.7.33. StorageProcessSignal
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| id | String | メッセージを識別するための一意の UUID。各メッセージを自己含むため、最上位ではなくこれを持っています。 | |||
| containerId | String | ||||
| time | Date | date-time | |||
| name | String | ||||
| args | String | ||||
| execFilePath | String | ||||
| pid | Long | int64 | |||
| uid | Long | int64 | |||
| gid | Long | int64 | |||
| lineage |
| ||||
| scraped | Boolean | ||||
| lineageInfo | List of ProcessSignalLineageInfo |
22.3.7.34. StorageScope
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| cluster | String | ||||
| namespace | String | ||||
| label |
22.3.7.35. StorageScopeLabel
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| key | String | ||||
| value | String |
22.3.7.36. StorageSeverity
| Enum 値 |
|---|
| UNSET_SEVERITY |
| LOW_SEVERITY |
| MEDIUM_SEVERITY |
| HIGH_SEVERITY |
| CRITICAL_SEVERITY |
22.3.7.37. StorageViolationState
| Enum 値 |
|---|
| ACTIVE |
| SNOOZED |
| RESOLVED |
| ATTEMPTED |
22.3.7.38. V1DeployDetectionRemark
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| name | String | ||||
| permissionLevel | String | ||||
| appliedNetworkPolicies |
|
22.3.7.39. V1DeployDetectionResponse
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| 実行 | |||||
| ignoredObjectRefs |
| 参照の形式は namespace/name[/<version>, Kind=<kind>] になります。 | |||
| 備考 |
22.3.7.40. V1DeployYAMLDetectionRequest
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| yaml | String | ||||
| noExternalMetadata | Boolean | ||||
| enforcementOnly | Boolean | ||||
| force | Boolean | ||||
| policyCategories |
| ||||
| cluster | String | スキャンを委譲するクラスター。クラスターの名前または ID です。 | |||
| namespace | String |
22.3.7.41. ViolationKeyValueAttrs
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| attrs | List of KeyValueAttrsKeyValueAttr |
22.3.7.42. ViolationNetworkFlowInfo
| フィールド名 | 必須 | Null 許容型 | 型 | 説明 | 形式 |
|---|---|---|---|---|---|
| protocol | L4_PROTOCOL_UNKNOWN、L4_PROTOCOL_TCP、L4_PROTOCOL_UDP、L4_PROTOCOL_ICMP、L4_PROTOCOL_RAW、L4_PROTOCOL_SCTP、L4_PROTOCOL_ANY、 | ||||
| source | |||||
| destination |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}