主页
产品
Red Hat Advanced Cluster Security for Kubernetes
4.3
操作
12.2. 访问委派的镜像扫描

12.2. 访问委派的镜像扫描

您可以隔离只能从安全集群访问的容器镜像 registry。委派的镜像扫描功能可让您从安全集群中的任何 registry 中扫描镜像。

12.2.1. 通过访问委派的镜像扫描来增强镜像扫描
复制链接

目前，默认情况下，Central Services Scanner 为安全集群中观察到的镜像执行索引（识别组件）和漏洞匹配（带有漏洞数据的丰富功能），但 OpenShift Container Platform 集成 registry 中的镜像除外。

对于 OpenShift Container Platform 集成 registry 中的镜像，在安全集群中安装 Scanner-slim 会执行索引，Central Services Scanner 会执行漏洞匹配。

委派的镜像扫描功能通过允许 Scanner-slim 从任何 registry 索引镜像拉取镜像来扩展扫描功能，然后将其发送到 Central 进行漏洞匹配。要使用这个功能，请确保在安全集群中安装 Scanner-slim。如果没有 Scanner-slim，则扫描请求将直接发送到 Central。

12.2.2. 配置委派的镜像扫描
复制链接

新的委托 registry 配置指定要从中委派镜像扫描的 registry。对于 Sensor 观察的镜像，此配置允许您从没有 registry、所有 registry 或特定 registry 中委派扫描。要使用 roxctl CLI、Jenkins 插件或 API 启用扫描委托，还必须指定目标集群和源 registry。

先决条件

scanner-slim 必须安装在安全集群中，才能扫描镜像。
注意
OpenShift Container Platform 和 Kubernetes 安全集群中支持启用 Scanner-slim。

流程

在 RHACS 门户中，进入到 Platform Configuration Clusters。
在 Clusters 视图标头中，点 Manage delegated scan。
在 委派的 镜像扫描页面中，提供以下信息：
- 委派扫描 ：通过选择以下选项之一来选择镜像委派的范围：
  - none ：默认选项。这个选项指定安全集群不会扫描任何镜像，但 OpenShift Container Platform 集成 registry 中的镜像除外。
  - 所有 registry：此选项表示所有镜像都由安全集群扫描。
  - 指定 registry：此选项指定应由安全集群根据 registry 列表扫描哪些镜像。
- 选择默认集群来委派至 ：从下拉列表中选择默认集群名称，该集群将处理来自命令行界面(CLI)和 API 的扫描请求。这是可选的，如果需要，您可以选择 None。
- 可选：点 Add registry 并指定源 registry 和目标集群详情。如果扫描请求没有来自 CLI 和 API，您可以将目标集群选为 None。如果需要，您可以添加多个源 registry 和目标集群。
点击 Save。

镜像集成现在在 Central 和 Sensor 之间同步，Sensor 从每个命名空间中捕获 pull-secrets。然后，Sensor 使用这些凭证向镜像 registry 进行身份验证。

12.2.3. 在安全集群中安装和配置扫描
复制链接

12.2.3.1. 使用 Operator
复制链接

RHACS Operator 在每个安全集群中安装 Scanner-slim 版本，以便在 OpenShift Container Platform 集成 registry 和其他 registry 中扫描镜像。

如需更多信息，请参阅使用 Operator 在安全集群中安装 RHACS。

安全集群服务 Helm Chart (secured-cluster-services)在每个安全集群中安装 Scanner-slim 版本。在 Kubernetes 中，安全集群服务包括 Scanner-slim 作为可选组件。但是，在 OpenShift Container Platform 上，RHACS 在每个安全集群中安装 Scanner-slim 版本，以便在 OpenShift Container Platform 集成 registry 和其他 registry 中扫描镜像。

对于 OpenShift Container Platform 安装，请参阅在没有自定义的情况下安装 secure-cluster-services Helm chart。
对于非 OpenShift Container Platform 安装，如 Amazon Elastic Kubernetes Service (Amazon EKS)、Google Kubernetes Engine (Google GKE)和 Microsoft Azure Kubernetes Service (Microsoft AKS) ，请参阅在没有自定义的情况下安装 secure-cluster-services Helm chart。

12.2.3.3. 安装后验证
复制链接

流程

验证安全集群的状态表示 Scanner 是否存在并健康：
1. 在 RHACS 门户中，进入到 Platform Configuration Clusters。
2. 在 Clusters 视图中，选择一个集群来查看其详情。
3. 在 Health Status 卡中，确保 Scanner 存在并标记为 Healthy。

12.2.3.4. 使用镜像扫描
复制链接

您可以使用 roxctl CLI、Jenkins 和 API 扫描存储在集群特定 OpenShift Container Platform 集成镜像 registry 中的镜像。您可以在委派的扫描配置中指定适当的集群，或使用 roxctl CLI、Jenkins 和 API 中提供的 cluster 参数。

有关如何使用 roxctl CLI 扫描镜像的更多信息，请参阅使用 roxctl CLI 扫描镜像。

返回顶部

12.2. 访问委派的镜像扫描

12.2.1. 通过访问委派的镜像扫描来增强镜像扫描
复制链接

12.2.2. 配置委派的镜像扫描
复制链接

12.2.3. 在安全集群中安装和配置扫描
复制链接

12.2.3.1. 使用 Operator
复制链接

12.2.3.2. 使用 Helm
复制链接

12.2.3.3. 安装后验证
复制链接

12.2.3.4. 使用镜像扫描
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

12.2. 访问委派的镜像扫描

12.2.1. 通过访问委派的镜像扫描来增强镜像扫描复制链接链接已复制到粘贴板!

12.2.2. 配置委派的镜像扫描复制链接链接已复制到粘贴板!

12.2.3. 在安全集群中安装和配置扫描复制链接链接已复制到粘贴板!

12.2.3.1. 使用 Operator复制链接链接已复制到粘贴板!

12.2.3.2. 使用 Helm复制链接链接已复制到粘贴板!

12.2.3.3. 安装后验证复制链接链接已复制到粘贴板!

12.2.3.4. 使用镜像扫描复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

12.2.1. 通过访问委派的镜像扫描来增强镜像扫描
复制链接

12.2.2. 配置委派的镜像扫描
复制链接

12.2.3. 在安全集群中安装和配置扫描
复制链接

12.2.3.1. 使用 Operator
复制链接

12.2.3.2. 使用 Helm
复制链接

12.2.3.3. 安装后验证
复制链接

12.2.3.4. 使用镜像扫描
复制链接