#title: Проверка политик с помощью roxctl description: Узнайте, как оценивать развертывания и образы на соответствие политикам с помощью roxctl в Alauda Security Service. weight: 10

#Проверка политик с помощью roxctl

Alauda Security Service предоставляет CLI roxctl, который помогает оценивать файлы YAML развертываний и контейнерные образы на соответствие текущему набору политик в Central. Используйте эти команды в CI, предварительных проверках перед развертыванием и рабочих процессах устранения неполадок, когда вам нужны результаты без перехода в web console.

#Предварительные требования

• Установите переменную окружения ROX_ENDPOINT:

  export ROX_ENDPOINT=<host:port>

  Замените <host:port> на адрес вашего экземпляра Central в Alauda Security Service.

#Форматы вывода

При выполнении roxctl deployment check или roxctl image check можно указать формат вывода с помощью параметра -o. Поддерживаемые форматы: json, table, csv и junit. Если формат не указан, по умолчанию для проверок deployment и image используется table, а для сканирования image — json.

#Пример

roxctl deployment check --file=<yaml_filename> -o csv

#Параметры вывода

В следующей таблице приведены доступные параметры вывода:

#Пример: пользовательские заголовки и JSONPath

roxctl deployment check --file=<yaml_filename> \
  -o table --headers POLICY-NAME,SEVERITY \
  --row-jsonpath-expressions="{results..violatedPolicies..name,results..violatedPolicies..severity}"

#Проверка политик для развертываний

Чтобы проверить нарушения политик на этапе сборки и развертывания в ваших файлах YAML развертывания, выполните:

roxctl deployment check --file=<yaml_filename> \
  --namespace=<cluster_namespace> \
  --cluster=<cluster_name_or_id> \
  --verbose

• <yaml_filename>: Путь к файлу(ам) YAML развертывания. Можно указать несколько файлов, повторяя флаг --file.
• <cluster_namespace>: (Необязательно) Namespace для контекста. По умолчанию используется default.
• <cluster_name_or_id>: (Необязательно) Имя или ID кластера для контекста.
• --verbose: (Необязательно) Показать дополнительную информацию, например разрешения RBAC и network policies.

Примечание: Дополнительная информация о развертывании включается в JSON-вывод независимо от флага --verbose.

Чтобы принудительно заставить Alauda Security Service заново получить метаданные image и результаты сканирования, добавьте параметр --force.

Требование к разрешениям:
Чтобы проверить конкретные результаты сканирования image, ваш токен должен иметь разрешения read и write для ресурса Image. Ролевая модель системы Continuous Integration по умолчанию включает эти разрешения.

Проверка развертывания оценивает:

• Параметры конфигурации в файле YAML (например, ограничения ресурсов, настройки привилегий)
• Характеристики image (например, компоненты, уязвимости)

#Проверка политик для образов

Чтобы проверить нарушения политик на этапе сборки в образах, выполните:

roxctl image check --image=<image_name>

Чтобы принудительно заставить Alauda Security Service заново получить метаданные image и результаты сканирования, добавьте параметр --force.

Требование к разрешениям:
Чтобы проверить конкретные результаты сканирования image, ваш токен должен иметь разрешения read и write для ресурса Image. Ролевая модель системы Continuous Integration по умолчанию включает эти разрешения.

#Просмотр результатов сканирования образа

Чтобы просмотреть компоненты и уязвимости, найденные в образе, в формате JSON, выполните:

roxctl image scan --image=<image_name>

Чтобы принудительно заставить Alauda Security Service заново получить метаданные image и результаты сканирования, добавьте параметр --force.

Требование к разрешениям:
Чтобы проверить конкретные результаты сканирования image, ваш токен должен иметь разрешения read и write для ресурса Image. Ролевая модель системы Continuous Integration по умолчанию включает эти разрешения.