Red Hat Summit5.3. オフラインモードでのスキャナー定義の更新
スキャナーには、ローカルの脆弱性定義データベースが含まれています。Red Hat Advanced Cluster Security for Kubernetes が通常モード (インターネットに接続されている) で実行されている場合、スキャナーはインターネットから新しい脆弱性定義を取得し、そのデータベースを更新します。
ただし、Red Hat Advanced Cluster Security for Kubernetes をオフラインモードで使用している場合は、Scanner 定義を Central にアップロードして手動で更新する必要があります。
Red Hat Advanced Cluster Security for Kubernetes がオフラインモードで実行されている場合、Scanner は Central からの新しい定義をチェックします。新しい定義が利用可能な場合、Scanner は Central から新しい定義をダウンロードし、それらをデフォルトとしてマークしてから、更新された定義を使用してイメージをスキャンします。
オフラインモードで定義を更新するには:
- 定義をダウンロードします。
- 定義を Central にアップロードします。
5.3.1. スキャナー定義のダウンロード
Red Hat Advanced Cluster Security for Kubernetes をオフラインモードで実行している場合は、Scanner が使用する脆弱性定義データベースをダウンロードしてから Central にアップロードできます。
前提条件
- スキャナー定義をダウンロードするには、インターネットにアクセスできるシステムが必要である。
手順
- https://install.stackrox.io/scanner/scanner-vuln-updates.zip に移動して、定義をダウンロードします。
5.3.2. Central への定義のアップロード
スキャナー定義を Central にアップロードするには、API トークンまたは管理者パスワードのいずれかを使用できます。Red Hat は、各トークンに特定のアクセス制御権限が割り当てられているため、実稼働環境で認証トークンを使用することが推奨されます。
5.3.2.1. API トークンを使用して Central に定義をアップロードする
API トークンを使用して、Scanner が使用する脆弱性定義データベースを Central にアップロードできます。
前提条件
- 管理者ロールを持つ API トークンがある。
-
roxctlコマンドラインインターフェイス (CLI) をインストールしておく必要がある。
手順
ROX_API_TOKENおよびROX_CENTRAL_ADDRESS環境変数を設定します。$ export ROX_API_TOKEN=<api_token>
$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
次のコマンドを実行して、定義ファイルをアップロードします。
$ roxctl scanner upload-db \ -e "$ROX_CENTRAL_ADDRESS" \ --scanner-db-file=<compressed_scanner_definitions.zip>
5.3.2.1.1. 関連情報
5.3.2.2. 管理者パスワードを使用してセントラルに定義をアップロードする
Red Hat Advanced Cluster Security for Kubernetes 管理者パスワードを使用して、Scanner が使用する脆弱性定義データベースを Central にアップロードできます。
前提条件
- 管理者パスワードが必要である。
-
roxctlコマンドラインインターフェイス (CLI) をインストールしておく必要がある。
手順
ROX_CENTRAL_ADDRESS環境変数を設定します。$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
次のコマンドを実行して、定義ファイルをアップロードします。
$ roxctl scanner upload-db \ -p <your_administrator_password> \ -e "$ROX_CENTRAL_ADDRESS" \ --scanner-db-file=<compressed_scanner_definitions.zip>
