红帽全球峰会You are viewing documentation for a release that is no longer maintained. To view the documentation for the most recent version, see the latest RHACS docs.
1.3. 手动配置镜像 registry
如果使用 GCR,则必须手动创建镜像 registry 集成。
1.3.1. 手动配置 OpenShift Container Platform registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 OpenShift Container Platform 内置容器镜像 registry 集成。
先决条件
- 您需要一个用户名和密码才能使用 OpenShift Container Platform registry 进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 通用 Docker Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- 用户名和密码.。
- 如果您在连接到 registry 时不使用 TLS 证书,请选择 Disable TLS 证书验证(不安全)。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.2. 手动配置 Amazon Elastic Container Registry
您可以使用 Red Hat Advanced Cluster Security for Kubernetes 手动创建并修改 Amazon Elastic Container Registry(ECR)集成。如果您要从 Amazon ECR 部署,则 Amazon ECR registry 的集成通常会自动生成。但是,您可能想要自行创建集成以扫描外部部署的镜像。您还可以修改自动生成的集成的参数。例如,您可以将自动生成的 Amazon ECR 集成使用的验证方法更改为使用 AssumeRole 身份验证或其他授权模型。
要清除您对自动生成的 ECR 集成、删除集成和 Red Hat Advanced Cluster Security for Kubernetes 所做的更改,当您从 Amazon ECR 部署镜像时,会自动生成的参数与自动生成的参数进行创建新的集成。
先决条件
-
您必须有一个 Amazon Identity and Access Management(IAM)访问密钥 ID 和 secret 访问密钥。或者,您可以使用节点级 IAM 代理,如
kiam或kube2iam。 - 访问密钥必须具有 ECR 的读取访问权限。如需更多信息,请参阅如何创建 AWS 访问密钥。
如果您在 Amazon Elastic Kubernetes Service(EKS)中运行 Red Hat Advanced Cluster Security for Kubernetes,并想与来自一个单独的 Amazon 帐户的 ECR 集成,您必须首先在 ECR 中设置存储库策略声明。按照 设置存储库策略语句 和 Actions 的说明,请选择 Amazon ECR API 操作的以下范围:
- ecr:BatchCheckLayerAvailability
- ecr:BatchGetImage
- ecr:DescribeImages
- ecr:GetDownloadUrlForLayer
- ecr:ListImages
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Amazon ECR。
- 单击 New integration,或者点击自动生成的集成之一将其打开,然后单击 Edit。
输入或修改以下字段的详情:
- 更新已存储的凭据 :在修改集成时没有更新凭证(如访问密钥和密码)时清除此框。
- 集成名称 :集成的名称。
- Registry ID :registry 的 ID。
- 端点 :registry 的地址。选择 AssumeRole 选项时不启用此字段。
-
Region:registry 的区域,如
us-west-1。
- 如果使用 IAM,请选择 Use Container IAM role。否则,清除 Use Container IAM 角色 框,并输入 Access key ID 和 Secret access key。
如果使用 AssumeRole 身份验证,请选择 Use AssumeRole,并输入以下字段的详情:
- AssumeRole ID: 要假定的角色 ID。
- AssumeRole External ID (可选):如果您使用 外部 ID 和 AssumeRole,您可以在这里输入它。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.2.1. 将 assumerole 与 Amazon ECR 搭配使用
您可以使用 AssumeRole 授予对 AWS 资源的访问权限,而无需手动配置每个用户的权限。反之,您可以使用所需权限定义角色,并授予用户来假定角色的访问权限。AssumeRole 允许您授予、撤销或通常管理更精细的权限。
1.3.2.1.1. 使用容器 IAM 配置 AssumeRole
在通过 Red Hat Advanced Cluster Security for Kubernetes 使用 AssumeRole 之前,您必须首先对其进行配置。
流程
为您的 EKS 集群启用 IAM OIDC 供应商:
eksctl utils associate-iam-oidc-provider --cluster <cluster name> --approve
$ eksctl utils associate-iam-oidc-provider --cluster <cluster name> --approveCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 为您的 EKS 集群 创建一个 IAM 角色。
将新创建的角色与服务帐户关联:
kubectl -n stackrox annotate sa central eks.amazonaws.com/role-arn=arn:aws:iam::67890:role/<role-name>
$ kubectl -n stackrox annotate sa central eks.amazonaws.com/role-arn=arn:aws:iam::67890:role/<role-name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重启 Central 以应用更改。
kubectl -n stackrox delete pod -l app=central
$ kubectl -n stackrox delete pod -l app=centralCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将角色分配给允许角色根据需要假定另一个角色的策略:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 将
<assumerole-readonly> 替换为您要假定的角色。
更新您要假定的角色的信任关系:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- &
lt;role-name> 应与之前创建的新角色匹配。
1.3.2.1.2. 在没有容器 IAM 的情况下配置 AssumeRole
要在没有容器 IAM 的情况下使用 AssumeRole,您必须使用一个 access 和一个 secret 密钥作为 带有编程访问的 AWS 用户进行身份验证。
流程
根据 AssumeRole 用户是否与 ECR registry 或不同帐户位于同一个帐户中,您必须:
如果要假定角色位于与 ECR registry 相同的帐户中,则创建具有所需权限的新角色。
注意在创建角色时,您可以根据需要选择任何可信实体。但是,您必须在创建后修改它。
或者,您必须提供权限来访问 ECR registry,如果用户处于与 ECR registry 不同的帐户,则需要定义其信任关系:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- 将
<assumerole-readonly> 替换为您要假定的角色。
通过在 Principal 字段中包含用户 ARN 来配置角色的信任关系:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
1.3.2.1.3. 在 RHACS 中配置 AssumeRole
在 ECR 中配置 AssumeRole 后,您可以使用 AssumeRole 将 Red Hat Advanced Cluster Security for Kubernetes 与 Amazon Elastic Container Registry(ECR)集成。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Amazon ECR。
- 点 New Integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- Registry ID :registry 的 ID。
-
Region:registry 的区域,如
us-west-1。
- 如果使用 IAM,请选择 Use container IAM role。否则,清除 Use custom IAM 角色 框,并输入 Access key ID 和 Secret access key。
如果使用 AssumeRole,请选择 Use AssumeRole,并输入以下字段的详情:
- AssumeRole ID: 要假定的角色 ID。
- AssumeRole External ID (可选):如果您使用 外部 ID 和 AssumeRole,您可以在这里输入它。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.3. 手动配置 Google Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Google Container Registry(GCR)集成。
先决条件
- 您必须具有服务帐户密钥。
- 关联的服务帐户必须有权访问 registry。如需有关授予用户和其他项目对 GCR 访问权限的信息,请参阅配置访问控制。
如果使用 GCR Container Analysis,还必须为服务帐户授予以下角色:
- 容器分析注意事项查看器
- 容器分析 Occurrences Viewer
- 存储对象查看器
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 Google Container Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 键入: 选择 Registry。
- 注册表端点 :registry 的地址。
- 项目 :Google Cloud 项目名称。
- 服务账户密钥(JSON) 您的服务帐户密钥进行身份验证。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.4. 手动配置 Google Artifact Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Google Artifact Registry 集成。
先决条件
-
您需要一个带有 Artifact Registry Reader Identity and Access Management(IAM)角色
roles/artifactregistry.reader的服务帐户密钥。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Google Artifact Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- registry 端点 :registry 的地址。
- 项目 :Google Cloud 项目名称。
- 服务账户密钥(JSON) 您的服务帐户密钥进行身份验证。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.5. 手动配置 Microsoft Azure Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Microsoft Azure Container Registry 集成。
先决条件
- 您必须具有用户名和密码才能进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 Microsoft Azure Container Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- 用户名和密码.。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.6. 手动配置 JFrog Artifactory
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 JFrog Artifactory 集成。
先决条件
- 您必须有使用 JFrog Artifactory 进行身份验证的用户名和密码。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 JFrog Artifactory。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- 用户名和密码.。
- 如果您在连接到 registry 时不使用 TLS 证书,请选择 Disable TLS 证书验证(不安全)。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.7. 手动配置 Quay Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Quay Container Registry 集成。
先决条件
- 您必须具有 OAuth 令牌才能使用 Quay Container Registry 进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Red Hat Quay.io。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 键入: 选择 Registry。
- 端点 :registry 的地址。
- OAuth 令牌
- 如果您在连接到 registry 时不使用 TLS 证书,请选择 Disable TLS 证书验证(不安全)。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.8. 手动配置 IBM Cloud Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 IBM Cloud Container Registry 集成。
先决条件
- 您必须有一个 API 密钥才能使用 IBM Cloud Container Registry 进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 IBM Cloud Container Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- API 密钥.
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
1.3.9. 手动配置 Red Hat Container Registry
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Red Hat Container Registry 集成。
先决条件
- 您必须具有用户名和密码才能使用 Red Hat Container Registry 进行身份验证。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分,选择 Red Hat Registry。
- 单击 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :registry 的地址。
- 用户名和密码.。
- 选择 Create integration without testing 来创建集成,而不测试与 registry 的连接。
- 选择 Test 以测试与所选 registry 集成是否正常工作。
- 选择 Save。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}