红帽全球峰会第 8 章 在断开连接的环境中的 Clair
Clair 支持 Red Hat Quay 部署无法直接访问互联网的环境。您可以使用 clairctl 工具将漏洞数据库更新从开放主机传送到隔离环境,使 Clair 能够在没有互联网连接的情况下扫描镜像。
Clair 使用一组名为 updaters 的组件来处理从各种漏洞数据库获取和解析数据。默认设置更新程序,以直接从互联网拉取漏洞数据,并可以立即使用。
目前,Clair 增强数据是 CVSS 数据。目前在断开连接的环境中不支持增强数据。
有关 Clair updaters 的更多信息,请参阅"Clair updaters"。
8.1. 在断开连接的 OpenShift Container Platform 集群中设置 Clair
要为断开连接的 OpenShift Container Platform 部署安装 clairctl 命令行工具,您可以从正在运行的 Clair pod 中提取工具并设置其执行权限。这可让您使用 clairctl 在断开连接的环境中管理漏洞数据库更新。
流程
输入以下命令在 OpenShift Container Platform 集群中为 Clair 部署安装
clairctl程序:$ oc -n quay-enterprise exec example-registry-clair-app-64dd48f866-6ptgw -- cat /usr/bin/clairctl > clairctl注意未正式,可以下载
clairctl工具设置
clairctl文件的权限,以便用户可以由用户执行并运行,例如:$ chmod u+x ./clairctl
要为 OpenShift Container Platform 上的断开连接的环境配置 Clair,您可以检索并解码 Clair 配置 secret,然后更新 clair-config.yaml 文件,将 disable_updaters 和 airgap 参数设置为 True。这会准备 Clair 在不直接访问互联网的情况下工作。
先决条件
-
已安装
clairctl命令行工具工具。
流程
输入以下命令来检索和解码配置 secret,然后将其保存到 Clair 配置 YAML 中:
$ oc get secret -n quay-enterprise example-registry-clair-config-secret -o "jsonpath={$.data['config\.yaml']}" | base64 -d > clair-config.yaml更新
clair-config.yaml文件,使disable_updaters和airgap参数设置为True,例如:# ... indexer: airgap: true # ... matcher: disable_updaters: true # ...
8.1.2. 从连接的 Clair 实例导出更新程序捆绑包
要从连接的 Clair 实例导出漏洞数据库更新,以便在断开连接的环境中使用 clairctl 工具,以导出更新程序捆绑包。这会创建一个可传送到隔离环境的捆绑包文件。
先决条件
-
已安装
clairctl命令行工具工具。 -
您已检索并解码了 Clair 配置 secret,并将其保存到 Clair
config.yaml文件中。 -
disable_updaters和airgap参数在 Clairconfig.yaml文件中被设置为True。
流程
从可访问互联网的 Clair 实例中,使用
clairctlCLI 工具和配置文件导出更新器捆绑包。例如:$ ./clairctl --config ./config.yaml export-updaters updates.gz
要在断开连接的 OpenShift Container Platform 集群中配置对 Clair 数据库的访问,您可以确定数据库服务,转发数据库端口,并更新 Clair config.yaml 文件以使用 localhost。这可让您使用 clairctl 工具将更新程序捆绑包导入到数据库中。
先决条件
-
已安装
clairctl命令行工具工具。 -
您已检索并解码了 Clair 配置 secret,并将其保存到 Clair
config.yaml文件中。 -
disable_updaters和airgap参数在 Clairconfig.yaml文件中被设置为True。 - 您已从可访问互联网的 Clair 实例导出 updaters 捆绑包。
流程
使用
ocCLI 工具确定 Clair 数据库服务,例如:$ oc get svc -n quay-enterprise输出示例
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE example-registry-clair-app ClusterIP 172.30.224.93 <none> 80/TCP,8089/TCP 4d21h example-registry-clair-postgres ClusterIP 172.30.246.88 <none> 5432/TCP 4d21h ...转发 Clair 数据库端口,使其可从本地机器访问。例如:
$ oc port-forward -n quay-enterprise service/example-registry-clair-postgres 5432:5432更新 Clair
config.yaml文件,例如:indexer: connstring: host=localhost port=5432 dbname=postgres user=postgres password=postgres sslmode=disable layer_scan_concurrency: 5 migrations: true scanlock_retry: 10 airgap: true scanner: repo: rhel-repository-scanner: repo2cpe_mapping_file: /data/repository-to-cpe.json package: rhel_containerscanner: name2repos_mapping_file: /data/container-name-repos-map.json其中:
connstring::指定数据库的连接字符串。rhel-repository-scanner::指定存储库扫描程序配置。rhel_containerscanner::指定容器扫描程序配置。
要将漏洞数据库更新导入到断开连接的 OpenShift Container Platform 集群中,您可以使用 clairctl 工具和 Clair 配置文件导入更新程序捆绑包。这会使用漏洞数据填充 Clair 数据库,以便 Clair 可以在没有互联网访问的情况下扫描镜像。
先决条件
-
已安装
clairctl命令行工具工具。 -
您已检索并解码了 Clair 配置 secret,并将其保存到 Clair
config.yaml文件中。 -
disable_updaters和airgap参数在 Clairconfig.yaml文件中被设置为True。 - 您已从可访问互联网的 Clair 实例导出 updaters 捆绑包。
- 您已将更新器捆绑包传送到断开连接的环境中。
流程
使用
clairctlCLI 工具将 updaters 捆绑包导入到 OpenShift Container Platform 部署的 Clair 数据库中。例如:$ ./clairctl --config ./clair-config.yaml import-updaters updates.gz
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}