第 9 章在断开连接的环境中的 Clair

Clair 使用一组名为 updaters 的组件来处理从各种漏洞数据库获取和解析数据。默认设置更新程序，以直接从互联网拉取漏洞数据，并可以立即使用。但是，一些用户可能需要 Red Hat Quay 在断开连接的环境中运行，或者在没有直接访问互联网的环境中运行。Clair 通过处理不同类型的更新工作流来支持断开连接的环境。这可以通过使用 clairctl 命令行界面工具来工作，该工具使用开放主机从互联网获取更新器数据，安全地将数据传送到隔离的主机上，然后将隔离主机上的更新器数据变为 Clair。

使用本指南在断开连接的环境中部署 Clair。

注意

目前，Clair 增强数据是 CVSS 数据。目前在断开连接的环境中不支持增强数据。

有关 Clair updaters 的更多信息，请参阅"Clair updaters"。

9.1. 在断开连接的 OpenShift Container Platform 集群中设置 Clair
复制链接

使用以下步骤在断开连接的 OpenShift Container Platform 集群中设置 OpenShift Container Platform 置备的 Clair pod。

9.1.1. 为 OpenShift Container Platform 部署安装 clairctl 命令行工具
复制链接

使用以下步骤为 OpenShift Container Platform 部署安装 clairctl CLI 工具。

流程

输入以下命令在 OpenShift Container Platform 集群中为 Clair 部署安装 clairctl 程序：
```
$ oc -n quay-enterprise exec example-registry-clair-app-64dd48f866-6ptgw -- cat /usr/bin/clairctl > clairctl
```
注意
未正式，可以下载 clairctl 工具
设置 clairctl 文件的权限，以便用户可以由用户执行并运行，例如：
```
$ chmod u+x ./clairctl
```

9.1.2. 为 OpenShift Container Platform 上的 Clair 部署检索和解码 Clair 配置 secret
复制链接

使用以下步骤检索和解码 OpenShift Container Platform 上置备的 Clair 实例的配置 secret。

先决条件

已安装 clairctl 命令行工具工具。

流程

输入以下命令来检索和解码配置 secret，然后将其保存到 Clair 配置 YAML 中：

$ oc get secret -n quay-enterprise example-registry-clair-config-secret  -o "jsonpath={$.data['config\.yaml']}" | base64 -d > clair-config.yaml

更新 clair-config.yaml 文件，以便 disable_updaters 和 airgap 参数设置为 true，例如：
```
---
indexer:
  airgap: true
---
matcher:
  disable_updaters: true
---
```

9.1.3. 从连接的 Clair 实例导出更新程序捆绑包
复制链接

使用以下步骤从可访问互联网的 Clair 实例导出 updaters 捆绑包。

先决条件

已安装 clairctl 命令行工具工具。
您已检索并解码了 Clair 配置 secret，并将其保存到 Clair config.yaml 文件中。
在 Clair config.yaml 文件中，disable_updaters 和 airgap 参数被设置为 true。

流程

从可访问互联网的 Clair 实例中，使用 clairctl CLI 工具和配置文件导出更新器捆绑包。例如：
```
$ ./clairctl --config ./config.yaml export-updaters updates.gz
```

9.1.4. 在断开连接的 OpenShift Container Platform 集群中配置对 Clair 数据库的访问
复制链接

使用以下步骤在断开连接的 OpenShift Container Platform 集群中配置对 Clair 数据库的访问。

先决条件

已安装 clairctl 命令行工具工具。
您已检索并解码了 Clair 配置 secret，并将其保存到 Clair config.yaml 文件中。
在 Clair config.yaml 文件中，disable_updaters 和 airgap 参数被设置为 true。
您已从可访问互联网的 Clair 实例导出 updaters 捆绑包。

流程

使用 oc CLI 工具确定 Clair 数据库服务，例如：

$ oc get svc -n quay-enterprise

输出示例

NAME                                  TYPE           CLUSTER-IP       EXTERNAL-IP   PORT(S)                             AGE
example-registry-clair-app            ClusterIP      172.30.224.93    <none>        80/TCP,8089/TCP                     4d21h
example-registry-clair-postgres       ClusterIP      172.30.246.88    <none>        5432/TCP                            4d21h
...

转发 Clair 数据库端口，使其可从本地机器访问。例如：

$ oc port-forward -n quay-enterprise service/example-registry-clair-postgres 5432:5432

更新 Clair config.yaml 文件，例如：

indexer:
    connstring: host=localhost port=5432 dbname=postgres user=postgres password=postgres sslmode=disable


    scanlock_retry: 10
    layer_scan_concurrency: 5
    migrations: true
    scanner:
      repo:
        rhel-repository-scanner:


          repo2cpe_mapping_file: /data/cpe-map.json
      package:
        rhel_containerscanner:


          name2repos_mapping_file: /data/repo-map.json

1: 在多 connstring 字段中使用 localhost 替换 host 的值。
2: 有关 rhel-repository-scanner 参数的更多信息，请参阅 "Mapping repository to Common Product Enumeration"。
3: 有关 rhel_containerscanner 参数的更多信息，请参阅 "Mapping repository to Common Product Enumeration information"。

9.1.5. 将 updaters 捆绑包导入到断开连接的 OpenShift Container Platform 集群中
复制链接

使用以下步骤将更新器捆绑包导入到断开连接的 OpenShift Container Platform 集群中。

先决条件

已安装 clairctl 命令行工具工具。
您已检索并解码了 Clair 配置 secret，并将其保存到 Clair config.yaml 文件中。
在 Clair config.yaml 文件中，disable_updaters 和 airgap 参数被设置为 true。
您已从可访问互联网的 Clair 实例导出 updaters 捆绑包。
您已将更新器捆绑包传送到断开连接的环境中。

流程

使用 clairctl CLI 工具将 updaters 捆绑包导入到 OpenShift Container Platform 部署的 Clair 数据库中。例如：
```
$ ./clairctl --config ./clair-config.yaml import-updaters updates.gz
```

第 9 章在断开连接的环境中的 Clair

9.1. 在断开连接的 OpenShift Container Platform 集群中设置 Clair
复制链接

9.1.1. 为 OpenShift Container Platform 部署安装 clairctl 命令行工具
复制链接

9.1.2. 为 OpenShift Container Platform 上的 Clair 部署检索和解码 Clair 配置 secret
复制链接

9.1.3. 从连接的 Clair 实例导出更新程序捆绑包
复制链接

9.1.4. 在断开连接的 OpenShift Container Platform 集群中配置对 Clair 数据库的访问
复制链接

9.1.5. 将 updaters 捆绑包导入到断开连接的 OpenShift Container Platform 集群中
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 9 章 在断开连接的环境中的 Clair

9.1. 在断开连接的 OpenShift Container Platform 集群中设置 Clair复制链接链接已复制到粘贴板!

9.1.1. 为 OpenShift Container Platform 部署安装 clairctl 命令行工具复制链接链接已复制到粘贴板!

9.1.2. 为 OpenShift Container Platform 上的 Clair 部署检索和解码 Clair 配置 secret复制链接链接已复制到粘贴板!

9.1.3. 从连接的 Clair 实例导出更新程序捆绑包复制链接链接已复制到粘贴板!

9.1.4. 在断开连接的 OpenShift Container Platform 集群中配置对 Clair 数据库的访问复制链接链接已复制到粘贴板!

9.1.5. 将 updaters 捆绑包导入到断开连接的 OpenShift Container Platform 集群中复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 9 章在断开连接的环境中的 Clair

9.1. 在断开连接的 OpenShift Container Platform 集群中设置 Clair
复制链接

9.1.1. 为 OpenShift Container Platform 部署安装 clairctl 命令行工具
复制链接

9.1.2. 为 OpenShift Container Platform 上的 Clair 部署检索和解码 Clair 配置 secret
复制链接

9.1.3. 从连接的 Clair 实例导出更新程序捆绑包
复制链接

9.1.4. 在断开连接的 OpenShift Container Platform 集群中配置对 Clair 数据库的访问
复制链接

9.1.5. 将 updaters 捆绑包导入到断开连接的 OpenShift Container Platform 集群中
复制链接