Rego 验证数组比较

Question

我是 Rego 的新手，我正在尝试编写一个策略，以检查是否已经在某些 Azure NSG 上创建了一组规则。

输入测试：

{
  "name": "<name>",
  "id": "<id>",
  "etag": "<etag>",
  "type": "<resourcetype>",
  "location": "<location>",
  "properties":
  {
    "provisioningState": "Succeeded",
    "resourceGuid": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "securityRules":
    [
      {
        "name": "<rule name>",
        "id": "<id>",
        "etag": "<etag",
        "type": "<type>",
        "properties":
        {
          "provisioningState": "Succeeded",
          "description": "....",
          "protocol": "*",
          "sourcePortRange": "*",
          "destinationPortRange": "53",
          "sourceAddressPrefix": "*",
          "access": "Allow",
          "priority": 1,
          "direction": "Outbound",
          "sourcePortRanges": [],
          "destinationPortRanges": [],
          "sourceAddressPrefixes": [],
          "destinationAddressPrefixes":
          [
            "10.0.0.1",
            "10.0.0.2",
            "10.0.0.3"
          ]
        }
      }
    ]
  {
}

我写了一个自定义的 function 来检查这些值。 下面是我在 The Rego Playground 中测试的代码

existRule(rule) = true
{
    input.properties.securityRules[i].name == rule.name
    input.properties.securityRules[i].properties.provisioningState == rule.provisioningState
    input.properties.securityRules[i].properties.description == rule.description
    input.properties.securityRules[i].properties.protocol == rule.protocol
    input.properties.securityRules[i].properties.access == rule.access
    input.properties.securityRules[i].properties.priority == rule.priority
    input.properties.securityRules[i].properties.direction == rule.direction
}
rule = {
            "name": "name",
            "provisioningState": "Succeeded",
            "description": "description",
            "protocol": "*",
            "sourcePortRange": "*",
            "destinationPortRange": "1",
            "sourceAddressPrefix": "*",
            "access": "Allow",
            "priority": 1,
            "direction": "Outbound",
            "destinationAddressPrefix": "",
            "sourcePortRanges": [],
            "destinationPortRanges": [],
            "sourceAddressPrefixes": [],
            "destinationAddressPrefixes": [
                "10.0.0.1",
                "10.0.0.2",
                "10.0.0.3",
                "10.0.0.4"
            ]
        }

rules
{
    existRule(rule)
}

这适用于我在上面定义的属性，但是在尝试比较 arrays 时遇到问题，特别是在此示例中与destinationAddressPrefixes我尝试了以下操作：

test1 { input.properties.securityRules[i].properties.destinationAddressPrefixes == rule.destinationAddressPrefixes }

总是返回 false

通过以下行，我可以根据特定的 ip 检查输入中的一个目标地址，但是我无法将输入的所有地址与示例中定义的规则进行比较

onerule {input.properties.securityRules[i].properties.destinationAddressPrefixes[_] == "10.0.0.1"}
test2 {input.properties.securityRules[i].properties.destinationAddressPrefixes[_] == rule.destinationAddressPrefixes[j]}
test3 {input.properties.securityRules[i].properties.destinationAddressPrefixes[j] == rule.destinationAddressPrefixes[k]}

test2 和 test3 始终返回 true，即使输入中没有规则。 我也试过和数组差异

x := input.properties.securityRules[i].properties.destinationAddressPrefixes - rule.destinationAddressPrefixes

但我收到以下错误：

rego_type_error：减号：无效参数有：（任何，数组<字符串，字符串，字符串，字符串，字符串，字符串，字符串，字符串，字符串，字符串，字符串，字符串，字符串，字符串>，???）想要: (any<number, set[any]>, any<number, set[any]>, any<number, set[any]>)

你知道实现我想要的东西是否可行吗？ 或者是否有不同的方法来查看数组并逐个比较值？

Answer 1

rule3400.destinationAddressPrefixes是什么样的？

如果要比较两个 arrays 之间的完全相等性， ==就足够了。

如果已知所有元素都是唯一的并且顺序无关紧要（在您的示例中似乎就是这种情况），您可以使用集合理解将 arrays 转换为集合。 这使得从另一组中减去一组成为可能，例如您尝试直接使用 arrays 进行操作。

to_set(arr) = {x | x := arr[_]}

input_prefixes := to_set(input.properties.securityRules[i].properties.destinationAddressPrefixes)

destination_prefixes := to_set(rule3400.destinationAddressPrefixes)

x := input_prefixes - destination_prefixes