4.3. デプロイ YAML ファイルの確認

手順

• 次のコマンドを実行して、YAML デプロイメントファイル内のセキュリティーポリシーのビルド時およびデプロイ時の違反を確認します。

  $ roxctl deployment check --file=<yaml_filename> \

  1

  
  --namespace=<cluster_namespace> \

  2

  
  --cluster=<cluster_name_or_id> \

  3

  
  --verbose 

  4

  1

  <yaml_filename> には、ポリシー評価のために Central に送信する 1 つ以上のデプロイメントを含む YAML ファイルを指定します。--file フラグ (--file=<yaml_filename1>、--file=<yaml_filename2> など) を使用して、ポリシー評価のために Central に送信する複数の YAML ファイルを指定することもできます。

  2

  <cluster_namespace> には、仕様に namespace がないデプロイメントのネットワークポリシー、ロールベースアクセス制御 (RBAC)、サービスなどのコンテキスト情報を使用して、デプロイメントを強化するための namespace を指定します。仕様で定義されている namespace は変更されません。デフォルト値は default です。

  3

  <cluster_name_or_id> には、クラスター固有の情報を使用した拡張デプロイメントを有効にするための評価のコンテキストとして使用するクラスター名または ID を指定します。

  4

  --verbose フラグを有効にすると、ポリシーチェック中に各デプロイメントに関する追加情報を受信できます。拡張情報には、RBAC 権限レベルと、適用されるネットワークポリシーの包括的なリストが含まれます。

  注記

  --verbose フラグを有効にするかどうかに関係なく、JSON 出力で各デプロイメントの追加情報を確認できます。

  形式は API リファレンスで定義されています。Red Hat Advanced Cluster Security for Kubernetes (RHACS) で、関連付けられたレジストリーとスキャナーからイメージメタデータおよびイメージスキャン結果を再プルするには、-force オプションを追加します。

  注記

  特定のイメージスキャン結果を確認するには、Image リソースの read および write の両方の権限を持つトークンが必要です。デフォルトの 継続的インテグレーション システムのロールには、すでに必要な権限があります。

  このコマンドは、以下の項目を検証します。

  • リソース制限や特権オプションなど、YAML ファイルの設定オプション
  • コンポーネントや脆弱性など、YAML ファイルで使用されるイメージの側面