Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

15.4. 查看违反详情

当您在 Violations 视图中选择一个违反时,会打开一个窗口,其中包含有关违反情况的更多信息。它提供按多个选项卡分组的详细信息。

15.4.1. 违反标签页
复制链接

Violation DetailsViolation 标签页解释了如何违反了策略。如果策略以 deploy-phase 属性为目标,您可以查看违反策略的特定值,如违反名称。如果策略以运行时活动为目标,您可以查看违反策略的进程的详细信息,包括其参数以及创建该策略的上级进程。

15.4.2. Deployment 标签页
复制链接

Details 面板的 Deployment 选项卡显示违反适用的部署详情。

15.4.2.1. 概述部分
复制链接

部署概述 部分列出了以下信息:

  • Deployment ID: 部署字母数字字符标识符。
  • Deployment name :部署的名称。
  • 部署类型 :部署的类型。
  • Cluster: 部署容器的集群名称。
  • Namespace :部署的集群的唯一标识符。
  • 副本 :复制部署的数量。
  • Created :创建部署的时间和日期。
  • 更新了 :部署更新的时间和日期。
  • Labels :应用到所选部署的标签。
  • Annotations:应用到所选部署。
  • Service Account :所选部署的服务帐户的名称。

15.4.2.2. 容器配置部分
复制链接

Container 配置部分 列出了以下信息:

  • 容器 :对于每个容器,提供以下信息:

    • 镜像名称 :所选部署的镜像的名称。点名称查看镜像的更多信息。

    • Resources: 本节提供以下字段的信息:

      • CPU 请求(内核) :容器请求的内核数。
      • CPU 限制(内核) :容器可以请求的最大内核数。
      • 内存请求(MB) :容器请求的内存大小。
      • 内存限制(MB) :容器可以请求的最大内存。
    • :挂载到容器中的卷(若有)。

    • Secret :与所选部署关联的 Secret。对于每个 secret,提供以下字段的信息:

      • 名称 :secret 的名称。
      • 容器路径 :存储 secret 的位置。
    • Name :挂载服务的位置的名称。
    • Source: 数据源路径。
    • Target: 存储数据的路径。
    • 类型 :卷的类型。

15.4.2.3. 端口配置部分
复制链接

Port 配置 部分提供有关部署中端口的信息,包括以下字段:

  • 端口 :部署公开的所有端口,以及与此部署和端口关联的任何 Kubernetes 服务(如果存在)。对于每个端口,会列出以下字段:

    • containerPort :部署公开的端口号。
    • 协议 :端口使用的协议,如 TCP 或 UDP。
    • 公开 :公开服务方法,如负载均衡器或节点端口。

    • exposureInfo :本节提供了以下字段的信息:

      • level :指示服务在内部或外部公开端口。
      • serviceName :Kubernetes 服务的名称。
      • serviceID :存储在 RHACS 中的 Kubernetes 服务的 ID。
      • serviceClusterIp集群中 另一个部署或服务的 IP 地址,可用于访问该服务。这不是外部 IP 地址。
      • servicePort :服务使用的端口。
      • NodePort :外部流量进入节点上的端口。
      • externalIPs :可用于从外部访问该服务的 IP 地址(如果存在)。此字段不适用于内部服务。

15.4.2.4. 安全上下文部分
复制链接

Security context 部分列出了容器是否作为特权容器运行。

  • 特权

    • 如果 特权 为,则为 true
    • 如果 它不特权,则为 false

15.4.2.5. 网络策略部分
复制链接

Network policy 部分列出了包含违反情况的命名空间中的命名空间和所有网络策略。点网络策略名称查看网络策略的完整 YAML 文件。

15.4.3. 策略标签页
复制链接

Details 面板的 Policy 选项卡显示导致违反情况的策略详情。

15.4.3.1. 策略概述部分
复制链接

Policy overview 部分列出了以下信息:

  • 严重性 :对于所需的关注量,对政策的排名(关键、高、中等或低)。
  • 类别 :策略类别。策略类别在 Policy categories 选项卡中的 Platform Configuration Policy Management 中列出。
  • 类型 :策略是用户生成的(用户创建的策略)或系统策略(默认为在 RHACS 中构建的策略)。
  • Description: 策略报警的详细说明。
  • Rationale:有关策略建立原因的信息及其重要原因。
  • 指导 :说明如何解决违反情况。
  • MITRE ATT&CK :指示存在适用于此政策的 MITRE 战术和技术

15.4.3.2. 策略行为
复制链接

Policy behavior 部分提供以下信息:

  • Lifecycle Stage: 策略所属的生命周期阶段:Build, Deploy, 或 Runtime

  • Event source: 此字段仅在生命周期阶段为 Runtime 时才适用。它可以是以下之一:

    • Deployment: RHACS 会在事件源包括进程和网络活动、pod 执行和 pod 端口转发时触发策略违反情况。
    • 审计日志 :当事件源与 Kubernetes 审计日志记录匹配时,RHACS 会触发策略违反情况。

  • 响应 :响应可以是以下之一:

    • inform: Policy violations 在违反列表中生成违反情况。
    • inform and enforce :强制违反情况。

  • 强制 :如果响应被设置为 Inform 和 enforce,请列出为以下阶段设置的强制类型:

    • 构建 :当镜像与策略条件匹配时,RHACS 将无法进行持续集成(CI)构建。

    • 部署 :对于 Deploy 阶段,RHACS 会阻止在 RHACS 准入控制器配置并运行时与策略条件匹配的部署创建或更新。

      • 在带有准入控制器强制的集群中,Kubernetes 或 OpenShift Container Platform API 服务器会阻止所有不合规的部署。在其他集群中,RHACS 编辑不合规的部署以防止调度 pod。
      • 对于现有部署,当 Kubernetes 事件发生时,策略更改只会导致在下一个条件检测时进行强制。有关强制的更多信息,请参阅"部署阶段强制"。
    • Runtime: RHACS 当 Pod 中的事件与策略条件匹配时,会删除所有 pod。

15.4.3.3. 策略标准部分
复制链接

Policy criteria 部分列出了策略的策略标准。

15.4.3.4. 部署阶段强制
复制链接

Red Hat Advanced Cluster Security for Kubernetes 支持对 deploy-time 策略的两种安全策略实施:通过准入控制器和 RHACS Sensor 进行软实施的硬强制。准入控制器会阻止创建或更新违反策略的部署。如果准入控制器被禁用或不可用,Sensor 可以将违反策略的部署缩减为 0 来执行强制。

警告

策略实施可能会影响运行应用程序或开发流程。在启用强制选项前,请通知所有利益相关者,并计划如何响应自动化执行操作。

15.4.4. 网络策略标签页
复制链接

Network policies 部分列出了与命名空间关联的网络策略。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat