12.6. 搜索属性

以下是在 Red Hat Advanced Cluster Security for Kubernetes 搜索和过滤时可以使用的搜索属性列表。

属性描述

添加功能

为容器提供额外的 Linux 功能,例如修改文件或执行网络操作的功能。

注解

附加到编配器对象的任意非标识元数据。

CPU 内核限制

允许使用资源的内核数上限。

CPU 内核请求

为给定资源保留的最小内核数。

CVE

常见的漏洞和风险,将其与特定的 CVE 数字一起使用。

CVSS

通用漏洞评分系统,将其与 CVSS 分数一起使用,大于(>),小于(<),或等于(=)符号。

类别

策略类别包括 DevOps 最佳实践、安全最佳实践、特权、漏洞管理、多选和自定义策略类别。

证书过期

证书过期日期.

集群

Kubernetes 或 OpenShift Container Platform 集群的名称。

集群 ID

Kubernetes 或 OpenShift Container Platform 集群的唯一 ID。

集群角色

使用 true 为命名空间范围的角色搜索集群范围的角色和 false

组件

软件(daemond、docker)、对象(镜像、容器、服务)、注册表(Docker 镜像的存储库)。

组件计数

镜像中的组件数。

组件版本

软件、对象或 registry 的版本。

已创建时间

创建 secret 对象的时间和日期。

Deployment

部署的名称。

部署类型

部署所基于的 Kubernetes 控制器的类型。

描述

部署的描述。

Dockerfile 指令关键字

镜像 Dockerfile 指令中的关键字。

Dockerfile 指令值

镜像 Dockerfile 指令中的值。

丢弃功能

已从容器中丢弃的 Linux 功能。例如 CAP_SETUIDCAP_NET_RAW

强制

分配给部署的强制类型。例如,NoneScale 到 Zero Replicas或添加 Unsatisfiable Node Constraint

环境密钥

标签键值字符串的关键部分,即元数据以进一步标识和组织容器的环境。

环境值

标签键值字符串的值部分,即元数据以进一步标识和组织容器环境。

公开的节点端口

公开的节点端口的端口号。

公开服务

公开的服务的名称。

公开服务端口

公开服务的端口号。

风险级别

部署端口的暴露类型,如 externalnode

外部主机名

为部署公开外部端口的主机名。

外部 IP

为部署公开的外部端口的 IP 地址。

可修复的 CVE 数量

镜像上的可修复的 CVE 数量。

修复了人

一个软件包的版本字符串,用于修复镜像中标记的漏洞。

镜像

镜像的名称。

镜像命令

镜像中指定的命令。

镜像创建时间

镜像创建的时间和日期。

image Entrypoint

镜像中指定的 entrypoint 命令。

镜像 Pull Secret

在拉取镜像时使用的 secret 名称,如部署中指定的。

Image Pull Secret Registry

镜像 pull secret 的 registry 名称。

镜像 Registry

镜像 registry 的名称。

镜像远程

表示远程访问的镜像。

镜像扫描时间

镜像最后一次扫描的时间和日期。

镜像标签

镜像的标识符。

镜像用户

容器镜像在运行时要使用的用户或组的名称。

镜像卷

容器镜像中配置的卷的名称。

不活跃部署

使用 true 搜索不活跃的部署,为活跃的部署搜索 false

标签

标签键值字符串的关键部分,即元数据,用于进一步识别和组织镜像、容器、守护进程、卷、网络和其他资源。

生命周期阶段

触发此策略或警报的生命周期阶段类型。

max Exposure Level

对于部署,所有给定端口/服务的网络风险的最大级别。

内存限制(MB)

允许使用资源的最大内存量。

内存请求(MB)

为给定资源保留的最小内存量。

命名空间

命名空间的名称。

命名空间 ID

部署上包含命名空间对象的唯一 ID。

节点

节点的名称。

节点 ID

节点的唯一 ID。

Pod 标签

单个识别附加到单个 pod 的元数据。

策略

安全策略的名称。

端口

由部署公开的端口号。

端口协议

IP 协议,如公开端口使用的 TCP 或 UDP。

优先级

部署的风险优先级。(仅在 风险 视图中可用。)

privileged

使用 true 搜索特权运行部署,否则使用 false 搜索。

Process Ancestor

部署中进程指示器的任何父进程的名称。

进程参数

部署中进程指示器的命令参数。

进程名称

部署中进程指示的进程的名称。

进程路径

部署中进程指示器的到容器中的二进制路径。

进程 UID

在部署中的进程指示器的 UNIX 用户 ID。

只读取根文件系统

使用 true 来搜索使用配置为只读 root 文件系统运行的容器。

角色

Kubernetes RBAC 角色的名称。

角色绑定

Kubernetes RBAC 角色绑定的名称。

角色 ID

Kubernetes RBAC 角色绑定绑定到的角色 ID。

Secret

包含敏感信息的 secret 对象的名称。

机密路径

到文件系统中 secret 对象的路径。

Secret 类型

secret 的类型,如证书或 RSA 公钥。

服务帐户

服务帐户或部署的服务帐户名称。

重要性

表示冲突程度:关键、高、中等、低.

subject

Kubernetes RBAC 中的主题名称。

subject Kind

Kubernetes RBAC 中的主题类型,如 SERVICE_ACCOUNTUSERGROUP

taint Effect

当前应用到节点的污点类型。

污点密钥

当前应用到节点的污点键。

污点值

当前应用到节点的污点允许值。

容限键

应用到部署的容限的键。

容限值

应用到部署的容限的值。

违反

当由一个策略指定的条件尚未满足时,在 Volations 页面中显示的通知。

违反状态

使用它搜索已解析的违反情况。

违反时间

首次发生冲突的时间和日期。

卷目的地

数据卷的挂载路径。

卷名称

存储的名称。

卷 ReadOnly

使用 true 搜索以只读方式挂载的卷。

卷源

指明置备卷的格式(如 persistentVolumeClaimhostPath)。

卷类型

卷的类型。