(http(s)?://)?<svc>(.<ns>(.svc.cluster.local)?)?(:<portNum>)? (1)
- 文档
- Red Hat Advanced Cluster Security for Kubernetes
- roxctl 命令行界面
- 生成构建时网络策略 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验。
- 关于
- 发行说明
- RHACS 云服务
- 架构
- 安装
- 配置
- 操作
- 集成
- 与镜像注册表集成
- 与 CI 系统集成
- 与 PagerDuty 集成
- 与 Slack 集成
- 使用通用 Webhook 集成
- 与 QRadar 集成
- 与 ServiceNow 集成
- 与 Sumo Logic 集成
- 与 Google Cloud Storage 集成
- 使用 syslog 协议集成
- 与 Amazon S3 集成
- 与兼容 S3 API 的服务集成
- 与 Google Cloud Security Command Center 集成
- 与 Splunk 集成
- 与镜像漏洞扫描器集成
- 与 Jira 集成
- 与电子邮件集成
- 与云管理平台集成
- 使用短期令牌集成
- 与 Microsoft Sentinel 通知器集成
- 备份和恢复
- 升级
- roxctl CLI
- 收集器故障排除
- 中央故障排除
- 遥测
- 支持
- API 参考
- AdministrationEventService
- AdministrationUsageService
- AlertService
- APITokenService
- AuthProviderService
- AuthService
- CentralHealthService
- CloudSourcesService
- ClusterCVEService
- ClusterInitService
- ClustersService
- CollectionService
- ComplianceManagementService
- ComplianceService
- ConfigService
- CredentialExpiryService
- DBService
- DebugService
- DeclarativeConfigHealthService
- DelegatedRegistryConfigService
- DeploymentService
- DetectionService
- DiscoveredClustersService
- ExternalBackupService
- FeatureFlagService
- GroupService
- GRPCPreferencesService
- ImageCVEService
- ImageIntegrationService
- ImageService
- 集成健康服务(IntegrationHealthService)
- 监听端点服务(ListeningEndpointsService)
- 元数据服务(MetadataService)
- MITRE ATT&CK 服务(MitreAttackService)
- 命名空间服务(NamespaceService)
- 网络基线服务(NetworkBaselineService)
- 网络图服务(NetworkGraphService)
- 网络策略服务(NetworkPolicyService)
- 获取当前策略中允许的部署对等体(GetAllowedPeersFromCurrentPolicyForDeployment)
- 应用网络策略(ApplyNetworkPolicy)
- 为部署应用网络策略 YAML(ApplyNetworkPolicyYamlForDeployment)
- 获取部署策略和基线之间的差异流量(GetDiffFlowsBetweenPolicyAndBaselineForDeployment)
- 获取网络图(GetNetworkGraph)
- 获取为部署生成的基线网络策略(GetBaselineGeneratedNetworkPolicyForDeployment)
- 生成网络策略(GenerateNetworkPolicies)
- 获取网络策略(GetNetworkPolicies)
- 获取网络图纪元(GetNetworkGraphEpoch)
- 获取网络策略(GetNetworkPolicy)
- 发送网络策略 YAML(SendNetworkPolicyYAML)
- 模拟网络图(SimulateNetworkGraph)
- 获取部署撤销修改的差异流量(GetDiffFlowsFromUndoModificationForDeployment)
- 获取撤销修改(GetUndoModification)
- 获取部署撤销修改(GetUndoModificationForDeployment)
- 节点 CVE 服务(NodeCVEService)
- 节点服务(NodeService)
- 通知器服务(NotifierService)
- Ping 服务(PingService)
- Pod 服务(PodService)
- 策略类别服务(PolicyCategoryService)
- 策略服务(PolicyService)
- 取消预演作业(CancelDryRunJob)
- 查询预演作业状态(QueryDryRunJobStatus)
- 提交预演策略作业(SubmitDryRunPolicyJob)
- 预演策略(DryRunPolicy)
- 导出策略(ExportPolicies)
- 搜索策略(PolicyFromSearch)
- 列出策略(ListPolicies)
- 删除策略(DeletePolicy)
- 获取策略(GetPolicy)
- 获取策略 MITRE 向量(GetPolicyMitreVectors)
- 修补策略(PatchPolicy)
- 设置策略(PutPolicy)
- 导入策略(ImportPolicies)
- 启用/禁用策略通知(EnableDisablePolicyNotification)
- 发布策略(PostPolicy)
- 重新评估策略(ReassessPolicies)
- 获取策略类别(GetPolicyCategories)
- 探针上传服务(ProbeUploadService)
- 进程基线服务(ProcessBaselineService)
- 进程服务(ProcessService)
- RBAC 服务(RbacService)
- 报表配置服务(ReportConfigurationService)
- 报表服务(ReportService)
- 角色服务(RoleService)
- 计算有效访问范围(ComputeEffectiveAccessScope)
- 获取我的权限(GetMyPermissions)
- 列出权限集(ListPermissionSets)
- 删除权限集(DeletePermissionSet)
- 获取权限集(GetPermissionSet)
- 设置权限集(PutPermissionSet)
- 发布权限集(PostPermissionSet)
- 获取资源(GetResources)
- 获取角色(GetRoles)
- 删除角色(DeleteRole)
- 获取角色(GetRole)
- 创建角色(CreateRole)
- 更新角色(UpdateRole)
- 获取集群和权限的命名空间(GetNamespacesForClusterAndPermissions)
- 获取权限的集群(GetClustersForPermissions)
- 列出简单访问范围(ListSimpleAccessScopes)
- 删除简单访问范围(DeleteSimpleAccessScope)
- 获取简单访问范围(GetSimpleAccessScope)
- 设置简单访问范围(PutSimpleAccessScope)
- 发布简单访问范围(PostSimpleAccessScope)
- 搜索服务(SearchService)
- 密钥服务(SecretService)
- 传感器升级服务(SensorUpgradeService)
- 服务账户服务(ServiceAccountService)
- 服务身份服务(ServiceIdentityService)
- 签名集成服务(SignatureIntegrationService)
- 摘要服务(SummaryService)
- 遥测服务(TelemetryService)
- 用户服务(UserService)
- 漏洞请求服务(VulnerabilityRequestService)
- 漏洞管理服务(VulnMgmtService)
×
生成构建时网络策略
构建时网络策略生成器包含在roxctl CLI 中。对于构建时网络策略生成功能,roxctl CLI 不需要与 RHACS 中心通信,因此您可以在任何开发环境中使用它。
使用构建时网络策略生成器(Using the build-time network policy generator)
您可以使用roxctl CLI 中的内置网络策略生成器生成网络策略。
先决条件(Prerequisites)
-
构建时网络策略生成器会在您运行命令时递归扫描您指定的目录。因此,在运行命令之前,您必须已将服务清单、配置映射和工作负载清单(例如
Pod、Deployment、ReplicaSet、Job、DaemonSet和StatefulSet)作为 YAML 文件放在指定的目录中。 -
验证您可以使用
kubectl apply -f命令按原样应用这些 YAML 文件。构建时网络策略生成器不适用于使用 Helm 风格模板的文件。 -
验证服务网络地址没有硬编码。每个需要连接到服务的负载都必须将服务网络地址指定为变量。您可以使用工作负载的资源环境变量或配置映射来指定此变量。
-
服务网络地址必须匹配以下官方正则表达式模式(Service network addresses must match the following official regular expression pattern)
1 在此模式中,(In this pattern,) -
<svc> 是服务名称。( <svc> is the service name.)
-
<ns> 是您定义服务的命名空间。( <ns> is the namespace where you defined the service.)
-
<portNum> 是暴露的服务端口号。
以下是符合模式的一些示例
-
wordpress-mysql:3306 -
redis-follower.redis.svc.cluster.local:6379 -
redis-leader.redis -
http://rating-service.
-
步骤
-
通过运行帮助命令来验证构建时网络策略生成功能是否可用
$ roxctl netpol generate -h -
使用
netpol generate命令生成策略$ roxctl netpol generate <folder-path> (1)1 指定包含 Kubernetes 清单文件的文件夹路径。
roxctl netpol generate命令支持以下选项
|
描述 |
|
查看 |
|
将生成的策略保存到目标文件夹。每个策略一个文件。 |
|
将生成的策略保存并合并到单个 YAML 文件中。 |
|
在遇到第一个错误时失败。默认值为 |
|
如果输出路径已存在,则将其删除。 |
|
将警告视为错误。默认值为 |
|
指定在生成的策略的出站规则中使用的默认 DNS 端口。默认值为 |