#使用 Scan

Scan 是用于运行和管理单个合规扫描（针对一个 profile）的资源。

#何时使用 Scan

当您需要以下操作时，请使用 Scan：

• 单独运行一个 profile
• 快速验证一个目标，而无需创建批量资源
• 直接管理单个合规基线的执行
• 运行独立的操作系统扫描，例如 stig-os-microos

当您需要管理多个 profile 或安排重复运行时，请使用使用 ScanSuite。

#基本 Scan 示例

apiVersion: compliance.security.alauda.io/v1alpha1
kind: Scan
metadata:
  name: cis-controlplane-scan
  namespace: compliance-system
spec:
  profile: cis-k8s-controlplane
  scanType: node
  nodeScopeStrategy: auto
  targetNodeRoles:
    - control-plane
  maxHistoricalResults: 3

#操作系统扫描示例

apiVersion: compliance.security.alauda.io/v1alpha1
kind: Scan
metadata:
  name: os-scan
  namespace: compliance-system
spec:
  profile: stig-os-microos
  scanType: node

#Scan 参数

下表描述了 Scan 资源的顶层参数：

#报告投递参数

如果配置了 spec.reportDelivery，以下字段用于邮件投递：

#节点选择说明

对于 Scan，节点选择和调度字段直接配置在 spec 下。

详细行为请参见节点选择和调度，包括 scanType、nodeScopeStrategy、targetNodeRoles 和 nodeSelector。

重要说明：

• 操作系统扫描需要 scanType: node。
• CIS 仅支持 scanType: node；不支持 platform 和 all，因为 kube-bench 不支持规则级别的节点选择。
• STIG 支持 platform、node 和 all。

#Scan 注解

以下注解可用于控制 Scan 执行：

#监控 Scan 结果

查看 Scan 状态和结果：

# 查看单个 Scan
kubectl get scan os-scan -n compliance-system -o wide

# 查看所有 Scan
kubectl get scan -n compliance-system -o wide