红帽全球峰会13.3. 访问委派的镜像扫描
您有隔离只能从安全集群访问的容器镜像 registry。通过委派的镜像扫描功能,您可以从安全集群中任何 registry 中扫描镜像。
13.3.1. 通过访问委派的镜像扫描来增强镜像扫描
目前,在默认情况下,Central Services Scanner 会为安全集群中观察到的镜像执行索引(组件识别(组件与漏洞数据)进行漏洞匹配,但 OpenShift Container Platform 集成 registry 中的镜像除外。
对于 OpenShift Container Platform 集成 registry 中的镜像,在安全集群中安装 Scanner-slim 来执行索引,Central Services Scanner 会执行漏洞匹配。
委派的镜像扫描功能允许 Scanner-slim 从任何 registry 中索引镜像,然后将它们发送到 Central 以进行漏洞匹配来扩展扫描功能。要使用这个功能,请确保在安全集群中安装 Scanner-slim。如果没有 Scanner-slim,则扫描请求将直接发送到 Central。
13.3.2. 使用安全集群扫描镜像
要使用安全集群而不是 Central 服务扫描镜像,您可以使用委派的镜像扫描功能。
新的委托扫描配置指定您可以从中委派镜像扫描的 registry。对于 Sensor 观察的镜像,您可以使用委派的 registry 配置从没有 registry、所有 registry 或特定 registry 中委托扫描。
要启用使用 roxctl CLI、Jenkins 插件或 API 来委派扫描,还必须指定目标集群和源 registry。
先决条件
您已在安全集群中安装了 Scanner 来扫描镜像。
注意OpenShift Container Platform 和 Kubernetes 安全集群中支持启用扫描器。
流程
-
在 RHACS 门户中,点 Platform Configuration
Clusters。 - 在 Clusters 视图标头中,单击 委派扫描。
在 委派的 镜像扫描页面中,提供以下信息:
委派扫描 : 要选择镜像委托的范围,请选择以下选项之一:
- none: 默认选项。这个选项指定安全 集群不会扫描任何镜像,但集成的 OpenShift 镜像 registry 中的镜像除外。
- 所有 registry :此选项表示安全的集群扫描所有镜像。
- 指定 registry :此选项指定安全集群应该根据 registry 列表扫描的镜像。
-
从下拉列表中选择 default cluster to delegate to:,选择默认集群的名称。默认集群处理来自命令行界面(CLI)和 API 的扫描请求。这是可选的,如果需要,您可以选择
None。 可选: 要指定源集群和目标集群详情,请点击 Add registry。
例如,将源 registry 指定为
example.com,然后从目标集群的下拉列表中选择remote。如果需要,您可以添加多个源 registry 和目标集群。重要如果扫描请求没有来自 CLI 和 API,您可以将目标集群选择为
None。
- 点击 Save。
镜像集成现在在 Central 和 Sensor 之间同步,而 Sensor 会捕获每个命名空间中的 pull secret。然后,Sensor 使用这些凭证向镜像 registry 进行身份验证。
13.3.3. 在安全集群中安装并配置 Scanner-slim
13.3.3.1. 使用 Operator
RHACS Operator 在每个安全集群中安装 Scanner-slim 版本,以扫描 OpenShift Container Platform 集成 registry 中的镜像,以及其他 registry。
如需更多信息,请参阅使用 Operator 在安全集群中安装 RHACS。
13.3.3.2. 使用 Helm
安全集群服务 Helm Chart (secure-cluster-services)在每个安全集群中安装 Scanner-slim 版本。在 Kubernetes 中,安全的集群服务包括 Scanner-slim。但是,在 OpenShift Container Platform 上,RHACS 在每个安全集群中安装 Scanner-slim 版本,以便在 OpenShift Container Platform 集成 registry 和其他 registry 中扫描镜像。
- 对于 OpenShift Container Platform 安装,请参阅在没有自定义的情况下安装 secure-cluster-services Helm Chart。
- 对于非 OpenShift Container Platform 安装,如 Amazon Elastic Kubernetes Service (Amazon EKS)、Google Kubernetes Engine (Google GKE)和 Microsoft Azure Kubernetes Service (Microsoft AKS) ,请参阅 在不自定义的情况下安装 secure-cluster-services Helm chart。
13.3.3.3. 安装后验证
流程
验证安全集群的状态是否表示 Scanner 是否存在并健康:
-
在 RHACS 门户中,进入 Platform Configuration
Clusters。 - 在 Clusters 视图中,选择一个集群来查看其详情。
- 在 Health Status 卡中,确保 Scanner 存在并标记为 Healthy。
-
在 RHACS 门户中,进入 Platform Configuration
13.3.3.4. 使用镜像扫描
您可以使用 roxctl CLI、Jenkins 和 API 扫描存储在集群特定 OpenShift Container Platform 集成的镜像。您可以在委派的扫描配置中指定适当的集群,或使用 roxctl CLI、Jenkins 和 API 中提供的 cluster 参数。
有关如何使用 roxctl CLI 扫描镜像的更多信息,请参阅使用 roxctl CLI 进行镜像扫描。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}