红帽全球峰会12.2. 访问委派的镜像扫描
您可以隔离只能从安全集群访问的容器镜像 registry。委派的镜像扫描功能可让您从安全集群中的任何 registry 中扫描镜像。
12.2.1. 通过访问委派的镜像扫描来增强镜像扫描
目前,默认情况下,Central Services Scanner 为安全集群中观察到的镜像执行索引(识别组件)和漏洞匹配(带有漏洞数据的丰富功能),但 OpenShift Container Platform 集成 registry 中的镜像除外。
对于 OpenShift Container Platform 集成 registry 中的镜像,在安全集群中安装 Scanner-slim 会执行索引,Central Services Scanner 会执行漏洞匹配。
委派的镜像扫描功能通过允许 Scanner-slim 从任何 registry 索引镜像拉取镜像来扩展扫描功能,然后将其发送到 Central 进行漏洞匹配。要使用这个功能,请确保在安全集群中安装 Scanner-slim。如果没有 Scanner-slim,则扫描请求将直接发送到 Central。
12.2.2. 配置委派的镜像扫描
新的委托 registry 配置指定要从中委派镜像扫描的 registry。对于 Sensor 观察的镜像,此配置允许您从没有 registry、所有 registry 或特定 registry 中委派扫描。要使用 roxctl CLI、Jenkins 插件或 API 启用扫描委托,还必须指定目标集群和源 registry。
先决条件
scanner-slim 必须安装在安全集群中,才能扫描镜像。
注意OpenShift Container Platform 和 Kubernetes 安全集群中支持启用 Scanner-slim。
流程
-
在 RHACS 门户中,进入到 Platform Configuration
Clusters。 - 在 Clusters 视图标头中,点 Manage delegated scan。
在 委派的 镜像扫描页面中,提供以下信息:
委派扫描 :通过选择以下选项之一来选择镜像委派的范围:
- none :默认选项。这个选项指定安全集群不会扫描任何镜像,但 OpenShift Container Platform 集成 registry 中的镜像除外。
- 所有 registry:此选项表示所有镜像都由安全集群扫描。
- 指定 registry:此选项指定应由安全集群根据 registry 列表扫描哪些镜像。
-
选择默认集群来委派至 :从下拉列表中选择默认集群名称,该集群将处理来自命令行界面(CLI)和 API 的扫描请求。这是可选的,如果需要,您可以选择
None。 -
可选:点 Add registry 并指定源 registry 和目标集群详情。如果扫描请求没有来自 CLI 和 API,您可以将目标集群选为
None。如果需要,您可以添加多个源 registry 和目标集群。
- 点击 Save。
镜像集成现在在 Central 和 Sensor 之间同步,Sensor 从每个命名空间中捕获 pull-secrets。然后,Sensor 使用这些凭证向镜像 registry 进行身份验证。
12.2.3. 在安全集群中安装和配置扫描
12.2.3.1. 使用 Operator
RHACS Operator 在每个安全集群中安装 Scanner-slim 版本,以便在 OpenShift Container Platform 集成 registry 和其他 registry 中扫描镜像。
如需更多信息,请参阅使用 Operator 在安全集群中安装 RHACS。
12.2.3.2. 使用 Helm
安全集群服务 Helm Chart (secured-cluster-services)在每个安全集群中安装 Scanner-slim 版本。在 Kubernetes 中,安全集群服务包括 Scanner-slim 作为可选组件。但是,在 OpenShift Container Platform 上,RHACS 在每个安全集群中安装 Scanner-slim 版本,以便在 OpenShift Container Platform 集成 registry 和其他 registry 中扫描镜像。
- 对于 OpenShift Container Platform 安装,请参阅在没有自定义的情况下安装 secure-cluster-services Helm chart。
- 对于非 OpenShift Container Platform 安装,如 Amazon Elastic Kubernetes Service (Amazon EKS)、Google Kubernetes Engine (Google GKE)和 Microsoft Azure Kubernetes Service (Microsoft AKS) ,请参阅在没有自定义的情况下安装 secure-cluster-services Helm chart。
12.2.3.3. 安装后验证
流程
验证安全集群的状态表示 Scanner 是否存在并健康:
-
在 RHACS 门户中,进入到 Platform Configuration
Clusters。 - 在 Clusters 视图中,选择一个集群来查看其详情。
- 在 Health Status 卡中,确保 Scanner 存在并标记为 Healthy。
-
在 RHACS 门户中,进入到 Platform Configuration
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}