2.6.6. 管理镜像漏洞策略
配置策略控制器负责监控镜像漏洞策略的状态。应用镜像漏洞策略可检查容器是否有漏洞。了解如何创建、应用、查看和更新您的镜像漏洞策略。
2.6.6.1. 创建镜像漏洞策略
您可以使用命令行界面 (CLI) 或者从控制台为镜像漏洞策略创建 YAML。查看以下部分以创建镜像漏洞策略:
2.6.6.1.1. 通过 CLI 创建镜像漏洞策略
完成以下步骤,通过 CLI 创建镜像漏洞策略:
运行以下命令,为您的镜像漏洞策略创建 YAML 文件:
kubectl create -f imagevulnpolicy-1.yaml
运行以下命令来应用策略:
kubectl apply -f <imagevuln-policy-file-name> --namespace=<namespace>
运行以下命令,列出并验证策略:
kubectl get imagevulnpolicy --namespace=<namespace>
您的镜像漏洞策略已创建。
2.6.6.1.1.1. 通过 CLI 查看您的镜像漏洞策略
完成以下步骤,通过 CLI 查看您的镜像漏洞策略:
运行以下命令,查看具体镜像漏洞策略的详情:
kubectl get imagevulnpolicy <policy-name> -n <namespace> -o yaml
运行以下命令,查看您的镜像漏洞策略的描述:
kubectl describe imagevulnpolicy <name> -n <namespace>
2.6.6.1.2. 从控制台创建镜像漏洞策略
从控制台创建镜像漏洞策略时,也会在 YAML 编辑器中创建 YAML 文件。完成以下步骤,从控制台创建镜像漏洞策略:
- 从控制台登录到集群。
- 在导航菜单中点 Governance。
- 点击 Create policy。
- 从 Specifications 字段中选择 ImageManifestVulnPolicy。参数值会自动设置。您可以编辑值。
- 点击 Create。
镜像漏洞策略已创建。
2.6.6.1.3. 从控制台查看镜像漏洞违反情况
- 在导航菜单中点 Governance 来查看您的策略的表列表。
选择
policy-imagemanifestvulnpolicy> Status 来查看违反策略的集群位置。您的镜像安全漏洞违反情况可能类似如下:
imagemanifestvulns exist and should be deleted: [sha256.7ac7819e1523911399b798309025935a9968b277d86d50e5255465d6592c0266] in namespace default; [sha256.4109631e69d1d562f014dd49d5166f1c18b4093f4f311275236b94b21c0041c0] in namespace calamari; [sha256.573e9e0a1198da4e29eb9a8d7757f7afb7ad085b0771bc6aa03ef96dedc5b743, sha256.a56d40244a544693ae18178a0be8af76602b89abe146a43613eaeac84a27494e, sha256.b25126b194016e84c04a64a0ad5094a90555d70b4761d38525e4aed21d372820] in namespace open-cluster-management-agent-addon; [sha256.64320fbf95d968fc6b9863581a92d373bc75f563a13ae1c727af37450579f61a] in namespace openshift-cluster-version
- 选择 Cluster 链接以导航到 OpenShift Container Platform 控制台。
- 在 OpenShift Container Platform 控制台的导航菜单中点击 Administration = > Custom Resource Definitions。
-
选择
imagemanifestvulns> Instances 选项卡来查看所有imagemanifestvulns实例。 - 选择一个条目来查看更多详情。
