红帽全球峰会This documentation is for a release that is no longer maintained.
You can select a different version or view all RHACS documentation.1.3. 手动配置镜像 registry
如果使用 GCR,则必须手动创建镜像 registry 集成。
1.3.1. 手动配置 OpenShift Container Platform registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 OpenShift Container Platform 内置容器镜像 registry 集成。
先决条件
- 您需要一个用户名和密码才能使用 OpenShift Container Platform registry 进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 通用 Docker Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- 用户名和密码.。
- 如果您在连接到 registry 时不使用 TLS 证书,请选择 Disable TLS 证书验证(不安全)。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.2. 手动配置 Amazon Elastic Container Registry
您可以使用 Red Hat Advanced Cluster Security for Kubernetes 手动创建并修改 Amazon Elastic Container Registry(ECR)集成。如果您要从 Amazon ECR 部署,则 Amazon ECR registry 的集成通常会自动生成。但是,您可能想要自行创建集成以扫描外部部署的镜像。您还可以修改自动生成的集成的参数。例如,您可以将自动生成的 Amazon ECR 集成使用的验证方法更改为使用 AssumeRole 身份验证或其他授权模型。
要清除您对自动生成的 ECR 集成、删除集成和 Red Hat Advanced Cluster Security for Kubernetes 所做的更改,当您从 Amazon ECR 部署镜像时,会自动生成的参数与自动生成的参数进行创建新的集成。
先决条件
-
您必须有一个 Amazon Identity and Access Management(IAM)访问密钥 ID 和 secret 访问密钥。或者,您可以使用节点级 IAM 代理,如
kiam或kube2iam。 - 访问密钥必须具有 ECR 的读取访问权限。如需更多信息,请参阅如何创建 AWS 访问密钥。
如果您在 Amazon Elastic Kubernetes Service(EKS)中运行 Red Hat Advanced Cluster Security for Kubernetes,并想与来自一个单独的 Amazon 帐户的 ECR 集成,您必须首先在 ECR 中设置存储库策略声明。按照 设置存储库策略语句 和 Actions 的说明,请选择 Amazon ECR API 操作的以下范围:
- ecr:BatchCheckLayerAvailability
- ecr:BatchGetImage
- ecr:DescribeImages
- ecr:GetDownloadUrlForLayer
- ecr:ListImages
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Amazon ECR。
- 单击 New integration,或者点击自动生成的集成之一将其打开,然后单击 Edit。
输入或修改以下字段的详情:
- 更新已存储的凭据 :在修改集成时没有更新凭证(如访问密钥和密码)时清除此框。
- 集成名称 :集成的名称。
- Registry ID :registry 的 ID。
- 端点 :registry 的地址。选择 AssumeRole 选项时不启用此字段。
-
Region:registry 的区域,如
us-west-1。
- 如果使用 IAM,请选择 Use Container IAM role。否则,清除 Use Container IAM 角色 框,并输入 Access key ID 和 Secret access key。
如果使用 AssumeRole 身份验证,请选择 Use AssumeRole,并输入以下字段的详情:
- AssumeRole ID: 要假定的角色 ID。
- AssumeRole External ID (可选):如果您使用 外部 ID 和 AssumeRole,您可以在这里输入它。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.2.1. 将 assumerole 与 Amazon ECR 搭配使用
您可以使用 AssumeRole 授予对 AWS 资源的访问权限,而无需手动配置每个用户的权限。反之,您可以使用所需权限定义角色,并授予用户来假定角色的访问权限。AssumeRole 允许您授予、撤销或通常管理更精细的权限。
1.3.2.1.1. 使用容器 IAM 配置 AssumeRole
在通过 Red Hat Advanced Cluster Security for Kubernetes 使用 AssumeRole 之前,您必须首先对其进行配置。
流程
为您的 EKS 集群启用 IAM OIDC 供应商:
eksctl utils associate-iam-oidc-provider --cluster <cluster name> --approve
$ eksctl utils associate-iam-oidc-provider --cluster <cluster name> --approveCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 为您的 EKS 集群 创建一个 IAM 角色。
将新创建的角色与服务帐户关联:
kubectl -n stackrox annotate sa central eks.amazonaws.com/role-arn=arn:aws:iam::67890:role/<role-name>
$ kubectl -n stackrox annotate sa central eks.amazonaws.com/role-arn=arn:aws:iam::67890:role/<role-name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重启 Central 以应用更改。
kubectl -n stackrox delete pod -l app=central
$ kubectl -n stackrox delete pod -l app=centralCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将角色分配给允许角色根据需要假定另一个角色的策略:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 将
<assumerole-readonly> 替换为您要假定的角色。
更新您要假定的角色的信任关系:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- &
lt;role-name> 应与之前创建的新角色匹配。
1.3.2.1.2. 在没有容器 IAM 的情况下配置 AssumeRole
要在没有容器 IAM 的情况下使用 AssumeRole,您必须使用一个 access 和一个 secret 密钥作为 带有编程访问的 AWS 用户进行身份验证。
流程
根据 AssumeRole 用户是否与 ECR registry 或不同帐户位于同一个帐户中,您必须:
如果要假定角色位于与 ECR registry 相同的帐户中,则创建具有所需权限的新角色。
注意在创建角色时,您可以根据需要选择任何可信实体。但是,您必须在创建后修改它。
或者,您必须提供权限来访问 ECR registry,如果用户处于与 ECR registry 不同的帐户,则需要定义其信任关系:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 将
<assumerole-readonly> 替换为您要假定的角色。
通过在 Principal 字段中包含用户 ARN 来配置角色的信任关系:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.3.2.1.3. 在 RHACS 中配置 AssumeRole
在 ECR 中配置 AssumeRole 后,您可以使用 AssumeRole 将 Red Hat Advanced Cluster Security for Kubernetes 与 Amazon Elastic Container Registry(ECR)集成。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Amazon ECR。
- 点 New Integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- Registry ID :registry 的 ID。
-
Region:registry 的区域,如
us-west-1。
- 如果使用 IAM,请选择 Use container IAM role。否则,清除 Use custom IAM 角色 框,并输入 Access key ID 和 Secret access key。
如果使用 AssumeRole,请选择 Use AssumeRole,并输入以下字段的详情:
- AssumeRole ID: 要假定的角色 ID。
- AssumeRole External ID (可选):如果您使用 外部 ID 和 AssumeRole,您可以在这里输入它。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.3. 手动配置 Google Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Google Container Registry(GCR)集成。
先决条件
- 您必须具有服务帐户密钥。
- 关联的服务帐户必须有权访问 registry。如需有关授予用户和其他项目对 GCR 访问权限的信息,请参阅配置访问控制。
如果使用 GCR Container Analysis,还必须为服务帐户授予以下角色:
- 容器分析注意事项查看器
- 容器分析 Occurrences Viewer
- 存储对象查看器
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 Google Container Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 键入: 选择 Registry。
- 注册表端点 :registry 的地址。
- 项目 :Google Cloud 项目名称。
- 服务账户密钥(JSON) 您的服务帐户密钥进行身份验证。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.4. 手动配置 Google Artifact Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Google Artifact Registry 集成。
先决条件
-
您需要一个带有 Artifact Registry Reader Identity and Access Management(IAM)角色
roles/artifactregistry.reader的服务帐户密钥。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Google Artifact Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- registry 端点 :registry 的地址。
- 项目 :Google Cloud 项目名称。
- 服务账户密钥(JSON) 您的服务帐户密钥进行身份验证。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.5. 手动配置 Microsoft Azure Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Microsoft Azure Container Registry 集成。
先决条件
- 您必须具有用户名和密码才能进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 Microsoft Azure Container Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- 用户名和密码.。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.6. 手动配置 JFrog Artifactory
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 JFrog Artifactory 集成。
先决条件
- 您必须有使用 JFrog Artifactory 进行身份验证的用户名和密码。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 JFrog Artifactory。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- 用户名和密码.。
- 如果您在连接到 registry 时不使用 TLS 证书,请选择 Disable TLS 证书验证(不安全)。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.7. 手动配置 Quay Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Quay Container Registry 集成。
先决条件
- 您必须具有 OAuth 令牌才能使用 Quay Container Registry 进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Red Hat Quay.io。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 键入: 选择 Registry。
- 端点 :registry 的地址。
- OAuth 令牌
- 如果您在连接到 registry 时不使用 TLS 证书,请选择 Disable TLS 证书验证(不安全)。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.8. 手动配置 IBM Cloud Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 IBM Cloud Container Registry 集成。
先决条件
- 您必须有一个 API 密钥才能使用 IBM Cloud Container Registry 进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 IBM Cloud Container Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- API 密钥.
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.9. 手动配置 Red Hat Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Red Hat Container Registry 集成。
先决条件
- 您必须具有用户名和密码才能使用 Red Hat Container Registry 进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 Red Hat Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- 用户名和密码.。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}