4.3. 检查部署 YAML 文件
流程
以下命令检查 YAML 部署文件中的安全策略的构建时间和部署时间违反情况:
$ roxctl deployment check --file=<yaml_filename> \1 --namespace=<cluster_namespace> \2 --cluster=<cluster_name_or_id> \3 --verbose 4
- 1
- 对于 &
lt;yaml_filename
>,请指定要发送到 Central 的一个或多个部署的 YAML 文件,以进行策略评估。您还可以使用 --file 标志指定多个 YAML 文件来发送到 Central 以进行策略评估,如--file
=<yaml_filename--file=<yaml_filename2&
gt; 等等。 - 2
- 对于
<cluster_namespace
>,指定一个命名空间来增强带有上下文信息(如网络策略、基于角色的访问控制(RBAC)和服务)的部署,以便在规格中没有命名空间的部署。规范中定义的命名空间不会改变。默认值为default
。 - 3
- 对于
<cluster_name_or_id
>,请指定您要用作评估上下文的集群名称或 ID,以使用特定于集群的信息启用扩展部署。 - 4
- 通过启用
--verbose
标志,您可以在策略检查过程中收到每个部署的附加信息。扩展的信息包括 RBAC 权限级别和应用的网络策略的完整列表。注意您可以在 JSON 输出中查看每个部署的附加信息,无论是否启用
--verbose
标志。
格式在 API 引用中定义。要让 Red Hat Advanced Cluster Security for Kubernetes (RHACS)从关联的 registry 和扫描程序中重新拉取镜像元数据和镜像扫描结果,请添加
--force
选项。注意要检查特定的镜像扫描结果,您必须具有
Image
资源的read
和write
权限的令牌。默认的 Continuous Integration 系统角色已具有所需的权限。此命令验证以下项目:
- YAML 文件中的配置选项,如资源限值或特权选项
- YAML 文件中使用的镜像的各个方面,如组件或漏洞