Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

10.11. 扫描程序和元数据

本节介绍了与 Red Hat Quay 中安全扫描、元数据和工件关系相关的配置字段。

这些设置可通过允许 Red Hat Quay 来提高可见性和安全性:

  • 与漏洞扫描程序集成,以评估已知 CVE 的容器镜像。
  • 通过存储在 registry 中的模型卡呈现 AI/ML 模型元数据。
  • 使用 Referrers API 来公开容器工件之间的关系,并与 OCI 工件规格保持一致。

这些功能一起有助于改进软件供应链透明性、实施安全策略并支持新兴元数据驱动的工作流。

10.11.1. Clair 安全扫描程序配置字段
复制链接

Red Hat Quay 可以使用 Clair 安全扫描程序来检测容器镜像中的漏洞。这些配置字段控制扫描程序是如何启用的、它会索引新内容、使用端点的频率以及通知的处理方式。

Expand
表 10.41. 安全扫描程序配置
字段类型描述

FEATURE_SECURITY_SCANNER

布尔值

启用或禁用安全扫描程序

默认值: False

FEATURE_SECURITY_NOTIFICATIONS

布尔值

如果启用了安全扫描程序,请打开或关闭安全通知

默认: False

SECURITY_SCANNER_V4_REINDEX_THRESHOLD

字符串

此参数用于确定在重新索引后重新索引清单之前要等待的最短时间(以秒为单位)。数据从 manifestsecuritystatus 表中的 last_indexed datetime 计算。这个参数用于避免在每次索引运行时尝试重新索引每个失败的清单。re-index 的默认时间为 300 秒。

SECURITY_SCANNER_V4_ENDPOINT

字符串

V4 安全扫描程序的端点

模式:
^http (s)?://(.)+$

示例:
http://192.168.99.101:6060

SECURITY_SCANNER_V4_PSK

字符串

为 Clair 生成的预共享密钥(PSK)

SECURITY_SCANNER_ENDPOINT

字符串

V2 安全扫描程序的端点

模式:
^http (s)?://(.)+$

示例:
http://192.168.99.100:6060

SECURITY_SCANNER_INDEXING_INTERVAL

整数

此参数用于确定安全扫描程序索引间隔之间的秒数。触发索引时,Red Hat Quay 将查询其数据库以获取需要由 Clair 索引的清单。这包括还没有索引的清单,以及之前失败的索引的清单。

默认:30

FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX

布尔值

是否允许向新推送发送有关漏洞的通知。
默认True

SECURITY_SCANNER_V4_MANIFEST_CLEANUP

布尔值

Red Hat Quay 垃圾回收程序是否移除不由其他标签或清单引用的清单。
默认True

NOTIFICATION_MIN_SEVERITY_ON_NEW_INDEX

字符串

为检测到的漏洞上的新通知设置最小安全级别。避免在首次索引后创建大量通知。如果没有定义,则默认为 High。可用的选项包括 CriticalHighMediumNegligibleUnknown

SECURITY_SCANNER_V4_INDEX_MAX_LAYER_SIZE

字符串

索引允许的最大层大小。如果层大小超过配置的大小,Red Hat Quay UI 会返回 以下消息:此标签的清单具有太大的层,供 Quay Security Scanner 进行索引。默认值为 8G,建议的最大值为 10G。接受的值是 BKMTG
默认8G

安全扫描程序 YAML 配置

# ...
FEATURE_SECURITY_NOTIFICATIONS: true
FEATURE_SECURITY_SCANNER: true
FEATURE_SECURITY_SCANNER_NOTIFY_ON_NEW_INDEX: true
...
SECURITY_SCANNER_INDEXING_INTERVAL: 30
SECURITY_SCANNER_V4_MANIFEST_CLEANUP: true
SECURITY_SCANNER_V4_ENDPOINT: http://quay-server.example.com:8081
SECURITY_SCANNER_V4_PSK: MTU5YzA4Y2ZkNzJoMQ==
SERVER_HOSTNAME: quay-server.example.com
SECURITY_SCANNER_V4_INDEX_MAX_LAYER_SIZE: 8G
1 

# ...
Copy to Clipboard Toggle word wrap

1
建议的最大值为 10G

10.11.1.1. 使用 Clair v4 重新索引
复制链接

当 Clair v4 索引清单时,结果应该是确定的。例如,同一清单应生成相同的索引报告。在更改扫描程序前,这是 true,因为使用不同的扫描程序会在报告中生成与特定清单相关的不同信息。因此,Clair v4 会公开索引引擎(/indexer/api/v1/index_state)的状态表示,以确定扫描程序配置是否已更改。

Red Hat Quay 通过在解析到 Quay 数据库时将其保存到索引报告来利用此索引状态。如果此状态自之前扫描后更改了,Red Hat Quay 会在定期索引过程中尝试重新索引该清单。

默认情况下,此参数被设置为 30 秒。如果他们希望索引过程更频繁地运行,用户可能会缩短时间,例如,如果他们不希望等待 30 秒才能在推送新标签后看到安全扫描结果。如果用户希望将请求模式更多地控制到 Clair,以及在 Red Hat Quay 数据库上执行的数据库操作模式,用户也可以更改该参数。

10.11.2. 模型卡渲染配置字段
复制链接

Red Hat Quay 支持呈现模型卡(机器学习工作流中使用的元数据文档形式),以提高与 OCI 兼容镜像中与模型相关的内容的可见性和管理。

其他信息

Expand
表 10.42. 模型卡渲染配置字段
字段类型描述

FEATURE_UI_MODELCARD

布尔值

在 UI 中启用 Model Card image 选项卡。默认值为 True

UI_MODELCARD_ARTIFACT_TYPE

字符串

定义模型卡工件类型。

UI_MODELCARD_ANNOTATION

对象

此可选字段定义存储在 OCI 镜像中的模型卡的层注解。

UI_MODELCARD_LAYER_ANNOTATION

对象

此可选字段定义存储在 OCI 镜像中的模型卡的层注解。

模型卡示例 YAML

FEATURE_UI_MODELCARD: true
1 

UI_MODELCARD_ARTIFACT_TYPE: application/x-mlmodel
2 

UI_MODELCARD_ANNOTATION:
3 

  org.opencontainers.image.description: "Model card metadata"
UI_MODELCARD_LAYER_ANNOTATION:
4 

  org.opencontainers.image.title: README.md
Copy to Clipboard Toggle word wrap

1
在 UI 中启用 Model Card image 选项卡。
2
定义模型卡工件类型。在本例中,工件类型是 application/x-mlmodel
3
可选。如果镜像没有定义 artifactType,则会在清单级别检查此字段。如果找到匹配的注解,系统会搜索带有注解与 UI_MODELCARD_LAYER_ANNOTATION 匹配的层。
4
可选。如果镜像定义了 artifactType 和多个层,则使用此字段定位包含模型卡的特定层。

10.11.3. 开放容器计划引用器 API 配置字段
复制链接

开放容器项目(OCI)引用器 API 有助于检索和管理引用者有助于改进容器镜像管理。

其他信息

Expand
表 10.43. referrers API 配置字段
字段类型描述

FEATURE_REFERRERS_API

布尔值

启用 OCI 1.1 的引用 API。

OCI 引用启用示例 YAML

# ...
FEATURE_REFERRERS_API: True
# ...
Copy to Clipboard Toggle word wrap

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat