红帽全球峰会4.3. 检查部署 YAML 文件
流程
以下命令检查 YAML 部署文件中的安全策略的构建时间和部署时间违反情况:
$ roxctl deployment check --file=<yaml_filename> \1 --namespace=<cluster_namespace> \2 --cluster=<cluster_name_or_id> \3 --verbose 4
- 1
- 对于 &
lt;yaml_filename>,使用一个或多个部署指定要发送到 Central 进行策略评估的 YAML 文件。您还可以使用 a-file 标志指定要发送到 Central 的多个 YAML 文件以进行策略评估,如 example-file=<yaml_filename1> ,--file=<yaml_filename2>,等等。 - 2
- 对于
<cluster_namespace>,指定一个命名空间来增强带有上下文信息的部署,如网络策略、基于角色的访问控制(RBAC)和服务,用于规格中没有命名空间的部署。规格中定义的命名空间不会被更改。默认值为default。 - 3
- 对于
<cluster_name_or_id>,请指定您要用作评估上下文的集群名称或 ID,以使用特定于集群的信息启用扩展部署。 - 4
- 通过启用
-verbose标志,您可以在策略检查过程中收到每个部署的附加信息。扩展信息包括 RBAC 权限级别以及应用的网络策略的完整列表。注意您可以看到 JSON 输出中每个部署的附加信息,无论是否启用
该标记。
格式在 API 引用中定义。要让 Red Hat Advanced Cluster Security for Kubernetes (RHACS)从关联的 registry 和扫描程序中拉取镜像元数据和镜像扫描结果,请添加-
force选项。注意要检查特定的镜像扫描结果,您必须具有
Image资源的read和write权限的令牌。默认的 Continuous Integration 系统角色已具有所需的权限。此命令验证以下项目:
- YAML 文件中的配置选项,如资源限值或特权选项
- YAML 文件中使用的镜像的各个方面,如组件或漏洞
