4.3. 检查部署 YAML 文件

流程

• 以下命令检查 YAML 部署文件中的安全策略的构建时间和部署时间违反情况：

  $ roxctl deployment check --file=<yaml_filename> \
  --namespace=<cluster_namespace> \
  --cluster=<cluster_name_or_id> \
  --verbose

  其中：

  <yaml_filename>

  使用一个或多个要发送到 Central 进行策略评估的部署指定 YAML 文件。

  <cluster_namespace>

  指定命名空间，以使用上下文信息（如网络策略、基于角色的访问控制(RBAC)）增强部署，以及用于在其规格中没有命名空间的部署。规格中定义的命名空间不会被更改。默认值为 default。

  <cluster_name_or_id>

  指定您要用作评估上下文的集群名称或 ID，以使用特定于集群的信息启用扩展部署。

  --verbose

  指定您在策略检查过程中收到每个部署的额外信息，包括 RBAC 权限级别和应用的网络策略的完整列表。

  格式在 API 引用中定义。要让 Red Hat Advanced Cluster Security for Kubernetes (RHACS)从关联的 registry 和扫描程序中拉取镜像元数据和镜像扫描结果，请添加- force 选项。

  注意

  要检查特定的镜像扫描结果，您必须具有 Image 资源的 read 和 write 权限的令牌。默认的 Continuous Integration 系统角色已具有所需的权限。

  此命令验证以下项目：

  • YAML 文件中的配置选项，如资源限值或特权选项
  • YAML 文件中使用的镜像的各个方面，如组件或漏洞