OpenShift 文档正在迁移,很快将只在 docs.redhat.com(所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

与镜像漏洞扫描器集成

Red Hat Advanced Cluster Security for Kubernetes (RHACS) 与漏洞扫描器集成,使您能够导入容器镜像并监视其漏洞。

支持的容器镜像注册表

Red Hat支持以下容器镜像注册表

  • Amazon Elastic Container Registry (ECR)

  • 通用Docker注册表(任何通用的Docker或符合开放容器倡议的镜像注册表,例如DockerHub、gcr.iomcr.microsoft.com

  • Google Container Registry

  • Google Artifact Registry

  • IBM Cloud Container Registry

  • JFrog Artifactory

  • Microsoft Azure Container Registry (ACR)

  • Red Hat Quay

  • Red Hat注册表(registry.redhat.ioregistry.access.redhat.com

  • Sonatype Nexus

此增强的支持使您在首选注册表中管理容器镜像时具有更大的灵活性和选择性。

支持的扫描器

您可以设置RHACS以从以下商业容器镜像漏洞扫描器中获取镜像漏洞数据

RHACS中包含的扫描器

  • 扫描器V4:从RHACS 4.4版本开始,引入了一个新的扫描器,它基于ClairCore构建,该扫描器也为Clair扫描器提供支持。扫描器V4支持扫描特定语言和操作系统的镜像组件。您无需创建集成即可使用此扫描器,但必须在安装期间或之后启用它。对于4.4版本,如果您启用此扫描器,则还必须启用StackRox扫描器。有关扫描器V4的更多信息(包括安装文档链接),请参见关于RHACS扫描器V4

  • StackRox 扫描器:此扫描器是 RHACS 中的默认扫描器。它源自 Clair v2 开源扫描器的分支。

    即使您启用了扫描器 V4,目前仍然必须启用 StackRox 扫描器才能提供对 RHCOS 节点和平台漏洞(例如 Red Hat OpenShift、Kubernetes 和 Istio)的扫描。扫描器 V4 中对该功能的支持计划在未来的版本中提供。请勿禁用 StackRox 扫描器。

替代扫描器

  • Clair:从 4.4 版开始,您可以在 RHACS 中启用扫描器 V4 以提供 ClairCore 提供的功能,ClairCore 也为 Clair V4 扫描器提供支持。但是,您可以通过配置集成来配置 Clair V4 作为扫描器。

  • Google Container Analysis

  • Red Hat Quay

StackRox 扫描器与扫描器 V4(可选)结合使用,是与 RHACS 一起使用的首选镜像漏洞扫描器。有关使用 StackRox 扫描器和扫描器 V4 扫描容器镜像的更多信息,请参阅 扫描镜像

如果您在 DevOps 工作流程中使用其中一个替代扫描器,则可以使用 RHACS 门户配置与漏洞扫描器的集成。集成后,RHACS 门户将显示镜像漏洞,您可以轻松地对其进行分类。

如果配置了多个扫描器,RHACS 将尝试使用非 StackRox/RHACS 和 Clair 扫描器。如果这些扫描器失败,RHACS 将尝试使用已配置的 Clair 扫描器。如果失败,RHACS 将尝试使用扫描器 V4(如果已配置)。如果未配置扫描器 V4,RHACS 将尝试使用 StackRox 扫描器。

与 Clair 集成

从 4.4 版开始,新的 RHACS 扫描器扫描器 V4 中提供了 Clair 扫描功能,无需单独集成。本节中的说明仅在您使用 Clair V4 扫描器时才需要。

请注意以下指导

  • 从 RHACS 3.74 开始,Red Hat 已弃用之前的 CoreOS Clair 集成,转而采用 Clair V4 集成。使用 Clair V4 扫描器需要单独的集成。从 4.4 版开始,如果您使用扫描器 V4,则不再需要此集成。

  • 下一个 RHACS 4.0 版本中不计划支持 基于 JWT 的身份验证 Clair V4 集成选项。

步骤

  1. 在 RHACS 门户中,转到 **平台配置** → **集成**。

  2. 在 **镜像集成** 部分,选择 **Clair v4**。

  3. 单击 **新建集成**。

  4. 输入以下字段的详细信息

    1. **集成名称**:集成的名称。

    2. **端点**:扫描器的地址。

  5. (可选)如果您在连接到注册表时未使用 TLS 证书,请选择 **禁用 TLS 证书验证(不安全)**。

  6. (可选)单击 **测试** 以测试与所选注册表的集成是否正常运行。

  7. 单击 **保存**。

与 Google Container Registry 集成

您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Google Container Registry (GCR) 集成以进行容器分析和漏洞扫描。

前提条件

  • 您必须拥有 Google Container Registry 的服务帐户密钥。

  • 关联的服务帐户具有对注册表的访问权限。有关向用户和其他项目授予对 GCR 的访问权限的信息,请参阅 配置访问控制

  • 如果您使用的是 GCR Container Analysis,则您已向服务帐户授予以下角色

    • 容器分析备注查看器

    • 容器分析事件查看器

    • 存储对象查看器

步骤

  1. 在 RHACS 门户中,转到 **平台配置** → **集成**。

  2. 在 **镜像集成** 部分,选择 **Google Container Registry**。

    将打开 **配置镜像集成** 模态框。

  3. 单击 **新建集成**。

  4. 输入以下字段的详细信息

    1. **集成名称**:集成的名称。

    2. **类型**:选择 **扫描器**。

    3. **注册表端点**:注册表的地址。

    4. **项目**:Google Cloud 项目名称。

    5. **服务帐户密钥 (JSON)**:您的用于身份验证的服务帐户密钥。

  5. 选择 **测试** (checkmark 图标)以测试与所选注册表的集成是否正常运行。

  6. 选择 **创建** (save 图标)以创建配置。

与 Quay Container Registry 集成以扫描镜像

您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Quay Container Registry 集成以扫描镜像。

前提条件

  • 您必须拥有 OAuth 令牌才能使用 Quay Container Registry 进行身份验证以扫描镜像。

步骤

  1. 在 RHACS 门户中,转到 **平台配置** → **集成**。

  2. 在 **镜像集成** 部分,选择 **Red Hat Quay.io**。

  3. 单击 **新建集成**。

  4. 输入 **集成名称**。

  5. 在 **类型** 下,选择 **扫描器**。(如果您也与注册表集成,请选择 **扫描器 + 注册表**。)在以下字段中输入信息

    • **端点**:输入注册表的地址。

    • **OAuth 令牌**:输入 RHACS 用于通过 API 进行身份验证的 OAuth 令牌。

    • 可选:**机器人用户名**:如果您正在配置 **扫描器 + 注册表** 并正在使用 Quay 机器人帐户访问注册表,请以 <namespace>+<accountname> 格式输入用户名。

    • 可选:**机器人密码**:如果您正在配置 **扫描器 + 注册表** 并正在使用 Quay 机器人帐户访问注册表,请输入机器人帐户用户名的密码。

  6. 可选:如果您在连接到注册表时未使用 TLS 证书,请选择 **禁用 TLS 证书验证(不安全)**。

  7. 可选:要创建集成而不进行测试,请选择 **创建集成而不进行测试**。

  8. 选择 **保存**。

如果您正在编辑 Quay 集成但不希望更新您的凭据,请验证是否未选中 **更新存储的凭据**。