15.2. 查看违反详情
当您在 Violations 视图中选择违反情况时,会打开一个窗口,其中包含有关违反情况的更多信息。它提供了按多个选项卡分组的详细信息。
15.2.1. 违反标签页
Violation Details 的 Violation 标签页解释了如何违反了策略。如果策略目标 deploy-phase 属性,您可以查看违反策略的特定值,如违反名称。如果策略目标运行时活动,您可以查看违反策略的进程的详细信息,包括其参数以及创建它的上级进程。
15.2.2. Deployment 标签页
Details 面板的 Deployment 选项卡显示违反情况的部署详情。
概述部分
部署概述 部分列出了以下信息:
- 部署 ID :部署的字母数字标识符。
- 部署名称 :部署的名称。
- 部署类型 :部署的类型。
- Cluster :部署容器的集群名称。
- Namespace :部署的集群的唯一标识符。
- 副本 :复制部署的数量。
- Created :创建部署的时间和日期。
- Updated :更新部署的时间和日期。
- Labels :应用到所选部署的标签。
- Annotations:应用到所选部署。
- Service Account :所选部署的服务帐户的名称。
容器配置部分
容器配置 部分列出以下信息:
容器 :对于每个容器,提供以下信息:
- 镜像名称 :所选部署的镜像名称。点名称查看有关镜像的更多信息。
资源 :本节提供以下字段的信息:
- CPU 请求(内核) :容器请求的内核数。
- CPU 限制(内核) :容器可请求的最大内核数。
- 内存请求(MB) :容器请求的内存大小。
- 内存限制(MB) :容器可请求的最大内存。
- 卷 :挂载到容器中的卷(若有)。
机密 :与所选部署关联的 Secret。对于每个 secret,提供以下字段的信息:
- 名称 :机密的名称。
- 容器路径 :存储 secret 的位置。
- 名称 :要挂载该服务的位置的名称。
- 源 :数据源路径。
- 目标 :存储数据的路径。
- 类型 :卷的类型。
端口配置部分
Port configuration 部分提供有关部署中端口的信息,包括以下字段:
端口 :由部署公开的所有端口,以及与此部署和端口关联的任何 Kubernetes 服务(如果存在)。对于每个端口,会列出以下字段:
- containerPort :部署公开的端口号。
- 协议 :端口使用的协议,如 TCP 或 UDP。
- exposure: 服务公开方法,如负载均衡器或节点端口。
exposureInfo :本节提供了以下字段的信息:
- 级别 :指示服务在内部或外部公开端口。
- serviceName :Kubernetes 服务的名称。
- serviceID :存储在 RHACS 中的 Kubernetes 服务的 ID。
- serviceClusterIp : 集群中 另一个部署或服务的 IP 地址,可用于访问该服务。这不是外部 IP 地址。
- Service Port: 服务使用的端口。
- NodePort :外部流量进入节点的节点上的端口。
- externalIPs :可用于从集群外部访问服务的 IP 地址(如果存在)。此字段不适用于内部服务。
安全上下文部分
Security context 部分列出了容器是否作为特权容器运行。
特权 :
-
如果为 特权,则为
true。 -
如果不是特权,则为
false。
-
如果为 特权,则为
网络策略部分
Network policy 部分列出了包含违反情况的命名空间中的命名空间和所有网络策略。点网络策略名称查看网络策略的完整 YAML 文件。
15.2.3. 策略标签页
Details 面板的 Policy 选项卡显示导致违反情况的策略详情。
策略概述部分
Policy overview 部分列出了以下信息:
- 严重性 :对政策(关键、高、中等或低)的等级。
-
类别 :策略的策略类别。策略类别在 Policy categories 选项卡中的 Platform Configuration
Policy Management 中列出。 - 类型 :策略是生成用户(由用户创建的策略)还是系统策略(默认为内置在 RHACS 中)。
- 描述 :有关策略警报的详细说明。
- Rationale:有关策略建立原因的信息及其重要原因。
- 指导 :对如何解决违反情况的效果。
- MITRE ATT&CK :指示是否有适用于此策略的 MITRE 战术和技术。
策略行为
Policy behavior 部分提供以下信息:
-
Lifecycle Stage: 策略所属的生命周期阶段:
Build,Deploy, 或Runtime。 事件源 :此字段仅在生命周期阶段为
Runtime时才适用。它可以是以下之一:- 部署 :当事件源包括进程和网络活动、pod exec 和 pod 端口转发时,RHACS 会触发策略违反情况。
- 审计日志 :当事件源与 Kubernetes 审计日志记录匹配时,RHACS 会触发策略违反情况。
响应 :响应可以是以下之一:
- inform :策略违反情况会在违反情况列表中生成违反情况。
- inform 和 enforce :强制使用违反情况。
强制 :如果响应被设置为 Inform and enforce,列出了为以下阶段设置的强制类型:
- 构建 :当镜像与策略条件匹配时,RHACS 无法构建您的持续集成(CI)。
- 部署: RHACS 块创建与策略条件匹配的部署。在带有准入控制器强制的集群中,Kubernetes 或 OpenShift Container Platform API 服务器会阻止所有不合规的部署。在其他集群中,RHACS 编辑不合规部署,以防止调度 pod。
- 运行时 :当 pod 中的事件与策略条件匹配时,RHACS 会删除所有 pod。
策略条件部分
Policy criteria 部分列出了策略的策略标准。
