第 14 章 与镜像漏洞策略集成
Red Hat Advanced Cluster Security for Kubernetes (RHACS)与几个漏洞扫描程序集成,以便您导入容器镜像并观察它们的漏洞。
支持的容器镜像 registry
红帽支持以下容器镜像 registry:
- Amazon Elastic Container Registry (ECR)
-
通用 Docker registry (任何通用 Docker 或开放容器项目兼容镜像 registry,如 DockerHub、
gcr.io、mcr.microsoft.com) - Google Container Registry
- Google Artifact Registry
- IBM Cloud Container Registry
- JFrog Artifactory
- Microsoft Azure Container Registry (ACR)
- Red Hat Quay
-
Red Hat registry (
registry.redhat.io,registry.access.redhat.com) - Sonatype Nexus
这种增强的支持为您提供了在首选 registry 中管理容器镜像的灵活性和选择。
支持的扫描器
您可以设置 RHACS 从以下商业容器镜像漏洞扫描程序中获取镜像漏洞数据:
- RHACS 扫描器(推荐)
- Clair
- Google Container Analysis
- Red Hat Quay
重要
RHACS 扫描器是与 RHACS 一起使用的首选镜像漏洞扫描程序。有关使用 RHACS 扫描容器镜像的更多信息,请参阅 扫描镜像。
如果您在 DevOps 工作流中使用这些产品之一,您可以使用 RHACS 门户配置与漏洞扫描程序的集成。集成后,RHACS 门户会显示镜像漏洞,您可以轻松分类它们。
14.1. 与 Clair 集成
您可以将 Red Hat Advanced Cluster Security for Kubernetes 与 Clair 集成,以静态分析镜像中的漏洞。
注意
- 使用 RHACS 3.74,您可以与 Clair V4 Scanner 集成。红帽弃用了以前的 CoreOS Clair 集成,而是使用 Clair v4 集成。
- 在下一个 RHACS 4.0 发行版本中,对 Clair V4 集成没有计划 支持基于 JWT 的身份验证选项。
流程
-
在 RHACS 门户网站中,进入 Platform Configuration
Integrations。 - 在 Image Integrations 部分下,选择 Clair v4。
- 点 New integration。
输入以下字段的详情:
- 集成名称 :集成的名称。
- 端点 :扫描程序的地址。
- (可选)如果您在连接到 registry 时没有使用 TLS 证书,请选择 Disable TLS 证书验证(不安全 )。
- (可选)点击 Test 来测试与所选 registry 的集成是否正常工作。
- 点 Save。
