ホーム
製品
Red Hat Quay
3.10
Red Hat Quay の Clair による脆弱性レポート
8.2. 非接続の OpenShift Container Platform クラスター用の Clair の自己管理デプロイメントをセットアップする

8.2. 非接続の OpenShift Container Platform クラスター用の Clair の自己管理デプロイメントをセットアップする

以下の手順を使用して、非接続の OpenShift Container Platform クラスター用の Clair の自己管理デプロイメントをセットアップします。

重要

既知の問題 PROJQUAY-6577 により、Red Hat Quay Operator はカスタマイズされた Clair config.yaml ファイルを適切に処理しません。そのため、現在、次の手順は機能しません。

Operator を利用してフィールドに入力するのではなく、ユーザー自身が Clair の設定全体を最初から作成する必要があります。これを行うには、Procedure to enable Clair scanning of images in disconnected environments の手順に従ってください。

8.2.1. OpenShift Container Platform で自己管理 Clair デプロイメント用の clairctl コマンドラインユーティリティーツールをインストールする
リンクのコピー

以下の手順を使用して、OpenShift Container Platform に自己管理 Clair デプロイメント用の clairctl CLI ツールをインストールします。

手順

podman cp コマンドを使用して、自己管理の Clair デプロイメント用の clairctl プログラムをインストールします。以下に例を示します。
```
sudo podman cp clairv4:/usr/bin/clairctl ./clairctl
```
```
$ sudo podman cp clairv4:/usr/bin/clairctl ./clairctl
```
Copy to Clipboard Toggle word wrap
clairctl ファイルの権限を設定して、ユーザーが実行できるようにします。次に例を示します。
```
chmod u+x ./clairctl
```
```
$ chmod u+x ./clairctl
```
Copy to Clipboard Toggle word wrap

8.2.2. 非接続の OpenShift Container Platform クラスター用の自己管理 Clair コンテナーをデプロイする
リンクのコピー

以下の手順を使用して、非接続の OpenShift Container Platform クラスター用の自己管理 Clair コンテナーをデプロイします。

前提条件

clairctl コマンドラインユーティリティーツールをインストールしている。

手順

Clair 設定ファイル用のフォルダーを作成します。次に例を示します。
```
mkdir /etc/clairv4/config/
```
```
$ mkdir /etc/clairv4/config/
```
Copy to Clipboard Toggle word wrap
disable_updaters パラメーターを true に設定して Clair 設定ファイルを作成します。次に例を示します。
```
---
indexer:
  airgap: true
---
matcher:
  disable_updaters: true
---
```
```
---
indexer:
  airgap: true
---
matcher:
  disable_updaters: true
---
```
Copy to Clipboard Toggle word wrap

コンテナーイメージを使用して Clair を起動し、作成したファイルから設定にマウントします。

sudo podman run -it --rm --name clairv4 \
-p 8081:8081 -p 8088:8088 \
-e CLAIR_CONF=/clair/config.yaml \
-e CLAIR_MODE=combo \
-v /etc/clairv4/config:/clair:Z \
registry.redhat.io/quay/clair-rhel8:v3.10.5

$ sudo podman run -it --rm --name clairv4 \
-p 8081:8081 -p 8088:8088 \
-e CLAIR_CONF=/clair/config.yaml \
-e CLAIR_MODE=combo \
-v /etc/clairv4/config:/clair:Z \
registry.redhat.io/quay/clair-rhel8:v3.10.5

Copy to Clipboard

Toggle word wrap

8.2.3. 接続された Clair インスタンスからアップデータバンドルをエクスポートする
リンクのコピー

次の手順を使用して、インターネットにアクセスできる Clair インスタンスから更新プログラムバンドルをエクスポートします。

前提条件

clairctl コマンドラインユーティリティーツールをインストールしている。
Clair をデプロイしている。
Clair の config.yaml ファイルで、disable_updaters および airgap パラメーターが true に設定されている。

手順

インターネットにアクセスできる Clair インスタンスから、設定ファイルで clairctl CLI ツールを使用して、アップデーターバンドルをエクスポートします。以下に例を示します。
```
./clairctl --config ./config.yaml export-updaters updates.gz
```
```
$ ./clairctl --config ./config.yaml export-updaters updates.gz
```
Copy to Clipboard Toggle word wrap

8.2.4. 非接続の OpenShift Container Platform クラスター内の Clair データベースへのアクセスの設定
リンクのコピー

以下の手順を使用して、非接続の OpenShift Container Platform クラスター内の Clair データベースへのアクセスを設定します。

前提条件

clairctl コマンドラインユーティリティーツールをインストールしている。
Clair をデプロイしている。
Clair の config.yaml ファイルで、disable_updaters および airgap パラメーターが true に設定されている。
インターネットにアクセスできる Clair インスタンスからアップデーターバンドルをエクスポートしている。

手順

CLI ツール oc を使用して、Clair データベースサービスを特定します。次に例を示します。

oc get svc -n quay-enterprise

$ oc get svc -n quay-enterprise

Copy to Clipboard

Toggle word wrap

出力例

NAME                                  TYPE           CLUSTER-IP       EXTERNAL-IP   PORT(S)                             AGE
example-registry-clair-app            ClusterIP      172.30.224.93    <none>        80/TCP,8089/TCP                     4d21h
example-registry-clair-postgres       ClusterIP      172.30.246.88    <none>        5432/TCP                            4d21h
...

NAME                                  TYPE           CLUSTER-IP       EXTERNAL-IP   PORT(S)                             AGE
example-registry-clair-app            ClusterIP      172.30.224.93    <none>        80/TCP,8089/TCP                     4d21h
example-registry-clair-postgres       ClusterIP      172.30.246.88    <none>        5432/TCP                            4d21h
...

Copy to Clipboard

Toggle word wrap

Clair データベースポートを転送して、ローカルマシンからアクセスできるようにします。以下に例を示します。
```
oc port-forward -n quay-enterprise service/example-registry-clair-postgres 5432:5432
```
```
$ oc port-forward -n quay-enterprise service/example-registry-clair-postgres 5432:5432
```
Copy to Clipboard Toggle word wrap

Clair の config.yaml ファイルを更新します。次に例を示します。

indexer:
    connstring: host=localhost port=5432 dbname=postgres user=postgres password=postgres sslmode=disable 
    scanlock_retry: 10
    layer_scan_concurrency: 5
    migrations: true
    scanner:
      repo:
        rhel-repository-scanner: 
          repo2cpe_mapping_file: /data/cpe-map.json
      package:
        rhel_containerscanner: 
          name2repos_mapping_file: /data/repo-map.json

indexer:
    connstring: host=localhost port=5432 dbname=postgres user=postgres password=postgres sslmode=disable


    scanlock_retry: 10
    layer_scan_concurrency: 5
    migrations: true
    scanner:
      repo:
        rhel-repository-scanner:


          repo2cpe_mapping_file: /data/cpe-map.json
      package:
        rhel_containerscanner:


          name2repos_mapping_file: /data/repo-map.json

Copy to Clipboard

Toggle word wrap

1: 複数の connstring フィールドの host の値を localhost に置き換えます。
2: rhel-repository-scanner パラメーターの詳細は、「Common Product Enumeration 情報へのリポジトリーのマッピング」を参照してください。
3: rhel_containersscanner パラメーターの詳細は、「Common Product Enumeration へのリポジトリーのマッピング」を参照してください。

8.2.5. 非接続の OpenShift Container Platform クラスターへのアップデーターバンドルのインポート
リンクのコピー

以下の手順を使用して、アップデーターバンドルを非接続の OpenShift Container Platform クラスターにインポートします。

前提条件

clairctl コマンドラインユーティリティーツールをインストールしている。
Clair をデプロイしている。
Clair の config.yaml ファイルで、disable_updaters および airgap パラメーターが true に設定されている。
インターネットにアクセスできる Clair インスタンスからアップデーターバンドルをエクスポートしている。
アップデーターバンドルを非接続環境に転送している。

手順

CLI ツール clairctl を使用して、アップデーターバンドルを OpenShift Container Platform によってデプロイされた Clair データベースにインポートします。
```
./clairctl --config ./clair-config.yaml import-updaters updates.gz
```
```
$ ./clairctl --config ./clair-config.yaml import-updaters updates.gz
```
Copy to Clipboard Toggle word wrap

トップに戻る

8.2. 非接続の OpenShift Container Platform クラスター用の Clair の自己管理デプロイメントをセットアップする

8.2.1. OpenShift Container Platform で自己管理 Clair デプロイメント用の clairctl コマンドラインユーティリティーツールをインストールする
リンクのコピー

8.2.2. 非接続の OpenShift Container Platform クラスター用の自己管理 Clair コンテナーをデプロイする
リンクのコピー

8.2.3. 接続された Clair インスタンスからアップデータバンドルをエクスポートする
リンクのコピー

8.2.4. 非接続の OpenShift Container Platform クラスター内の Clair データベースへのアクセスの設定
リンクのコピー

8.2.5. 非接続の OpenShift Container Platform クラスターへのアップデーターバンドルのインポート
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.2. 非接続の OpenShift Container Platform クラスター用の Clair の自己管理デプロイメントをセットアップする

8.2.1. OpenShift Container Platform で自己管理 Clair デプロイメント用の clairctl コマンドラインユーティリティーツールをインストールするリンクのコピーリンクがクリップボードにコピーされました!

8.2.2. 非接続の OpenShift Container Platform クラスター用の自己管理 Clair コンテナーをデプロイするリンクのコピーリンクがクリップボードにコピーされました!

8.2.3. 接続された Clair インスタンスからアップデータバンドルをエクスポートするリンクのコピーリンクがクリップボードにコピーされました!

8.2.4. 非接続の OpenShift Container Platform クラスター内の Clair データベースへのアクセスの設定リンクのコピーリンクがクリップボードにコピーされました!

8.2.5. 非接続の OpenShift Container Platform クラスターへのアップデーターバンドルのインポートリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.2.1. OpenShift Container Platform で自己管理 Clair デプロイメント用の clairctl コマンドラインユーティリティーツールをインストールする
リンクのコピー

8.2.2. 非接続の OpenShift Container Platform クラスター用の自己管理 Clair コンテナーをデプロイする
リンクのコピー

8.2.3. 接続された Clair インスタンスからアップデータバンドルをエクスポートする
リンクのコピー

8.2.4. 非接続の OpenShift Container Platform クラスター内の Clair データベースへのアクセスの設定
リンクのコピー

8.2.5. 非接続の OpenShift Container Platform クラスターへのアップデーターバンドルのインポート
リンクのコピー