Red Hat Summit5.3. オフラインモードでの Scanner 定義の更新
Scanner には、ローカルの脆弱性定義データベースが含まれています。Red Hat Advanced Cluster Security for Kubernetes が通常モードで実行されている (インターネットに接続されている) 場合、Scanner はインターネットから新しい脆弱性定義を取得し、そのデータベースを更新します。
ただし、Red Hat Advanced Cluster Security for Kubernetes をオフラインモードで使用している場合は、Scanner 定義を Central にアップロードして手動で更新する必要があります。
Red Hat Advanced Cluster Security for Kubernetes がオフラインモードで実行されている場合、Scanner は Central からの新しい定義をチェックします。新しい定義が利用可能な場合、Scanner は Central から新しい定義をダウンロードし、それらをデフォルトとしてマークしてから、更新された定義を使用してイメージをスキャンします。
オフラインモードで定義を更新するには:
- 定義をダウンロードします。
- 定義を Central にアップロードします。
5.3.1. Scanner 定義のダウンロード
Red Hat Advanced Cluster Security for Kubernetes をオフラインモードで実行している場合は、Scanner が使用する脆弱性定義データベースをダウンロードし、Central にアップロードできます。
前提条件
- Scanner 定義をダウンロードするには、インターネットにアクセスできるシステムが必要です。
手順
- https://install.stackrox.io/scanner/scanner-vuln-updates.zip に移動して、定義をダウンロードします。
5.3.2. Central への定義のアップロード
スキャナー定義を Central にアップロードするには、API トークンまたは管理者パスワードのいずれかを使用できます。Red Hat は、各トークンに特定のアクセス制御権限が割り当てられているため、実稼働環境で認証トークンを使用することが推奨されます。
5.3.2.1. API トークンを使用して Central に定義をアップロードする
API トークンを使用して、Scanner が使用する脆弱性定義データベースを Central にアップロードできます。
前提条件
- 管理者ロールを持つ API トークンがある。
-
roxctlコマンドラインインターフェイス (CLI) をインストールしておく必要がある。
手順
ROX_API_TOKENおよびROX_CENTRAL_ADDRESS環境変数を設定します。$ export ROX_API_TOKEN=<api_token>
$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
次のコマンドを実行して、定義ファイルをアップロードします。
$ roxctl scanner upload-db \ -e "$ROX_CENTRAL_ADDRESS" \ --scanner-db-file=<compressed_scanner_definitions.zip>
5.3.2.1.1. 関連情報
5.3.2.2. 管理者パスワードを使用して Central に定義をアップロードする
Red Hat Advanced Cluster Security for Kubernetes 管理者パスワードを使用して、Scanner が使用する脆弱性定義データベースを Central にアップロードできます。
前提条件
- 管理者パスワードが必要である。
-
roxctlコマンドラインインターフェイス (CLI) をインストールしておく必要がある。
手順
ROX_CENTRAL_ADDRESS環境変数を設定します。$ export ROX_CENTRAL_ADDRESS=<address>:<port_number>
次のコマンドを実行して、定義ファイルをアップロードします。
$ roxctl scanner upload-db \ -p <your_administrator_password> \ -e "$ROX_CENTRAL_ADDRESS" \ --scanner-db-file=<compressed_scanner_definitions.zip>
