红帽全球峰会3.4. 添加 OpenShift 源和目标凭证
要在 Red Hat OpenShift Container Platform 部署中运行扫描,您必须添加一个源来标识要扫描的 Red Hat OpenShift Container Platform 集群。然后,您必须添加一个包含身份验证数据的凭证来访问该集群。
了解更多
添加 OpenShift 源和目标凭证,以提供扫描 Red Hat OpenShift Container Platform 集群所需的信息。如需更多信息,请参阅以下信息:
- 要添加 OpenShift 源,请参阅 添加 OpenShift 源。
- 要添加 OpenShift 凭据,请参阅 添加 OpenShift 凭据。
要了解更多有关源和凭证以及 Red Hat Discovery 如何使用它们的信息,请参阅以下信息:
要了解更多有关红帽发现与 Red Hat OpenShift Container Platform 集群进行身份验证的信息,请参阅以下信息。此信息包括有关在 OpenShift 凭证配置过程中可能需要进行的证书验证和 SSL 通信选项的指导:
3.4.1. 添加 Red Hat OpenShift Container Platform 源
您可以从初始 Welcome 页面或 Sources 视图中添加源。
先决条件
- 您需要访问 Red Hat OpenShift Container Platform Web 控制台管理员视角来获取 API 地址和令牌值。
步骤
点击选项根据您的位置添加新凭证:
- 在 Welcome 页面中,单击 Add Source。
- 从 Sources 视图中,单击 Add。
此时会打开 Add Source 向导。
- 在 Type 页面中,选择 OpenShift 作为源类型,然后单击 Next。
在 Credentials 页面中,输入以下信息:
- 在 Name 字段中输入描述性名称。
- 在 IP Address 或 Hostname 字段中输入此源的 Red Hat OpenShift Container Platform 集群 API 地址。您可以通过在 web 控制台中查看集群的概述详情来查找集群 API 地址
- 在 Credentials 列表中,选择访问此源的集群所需的凭证。如果所需的凭证不存在,点 Add a credential 图标打开 Add Credential 向导。
- 在 Connection 列表中,选择在扫描此源期间用于安全连接的 SSL 协议。选择 Disable SSL 以禁用此源扫描期间的安全通信。
- 如果您需要升级集群的 SSL 验证功能,以便从证书颁发机构检查验证的 SSL 证书,请选中 Verify SSL Certificate 复选框。
- 单击 Save 以保存源,然后单击 Close 以关闭 Add Source 向导。
3.4.2. 添加 Red Hat OpenShift Container Platform 凭证
您可以从 Credentials 视图或在创建源过程中从 Add Source 向导添加凭证。
先决条件
- 您需要访问 Red Hat OpenShift Container Platform Web 控制台管理员视角来获取 API 地址和令牌值。
步骤
点击选项根据您的位置添加新凭证:
-
从 Credentials 视图中,单击
。 - 在 Add Source 向导中,点 Credentials 字段的 Add a credential 图标。
此时会打开 Add Credential 向导。
-
从 Credentials 视图中,单击
- 在 Credential Name 字段中输入描述性名称。
- 从 Administrator 控制台输入 Red Hat OpenShift Container Platform 集群的 API 令牌。您可以在控制台中点您的用户名来查找 API 令牌,点 Display Token 选项并复制为您的 API 令牌显示的值为。
- 单击 Save 以保存凭据,并关闭 Add Credential 向导。
3.4.3. 关于源和凭证
要运行扫描,您必须为两个基本结构配置数据:源和凭证。在扫描期间要检查的源类型决定了源和目标配置所需的数据类型。
源 包含单个资产或一组要在扫描期间检查的多个资产。您可以配置以下类型的源:
- 网络源
- 一个或多个物理计算机、虚拟机或容器。这些资产可以表示为主机名、IP 地址、IP 范围或子网。
- vCenter 源
- 管理所有或部分 IT 基础架构的 vCenter Server 系统管理解决方案。
- Satellite 源
- 管理所有或部分 IT 基础架构的 Satellite 系统管理解决方案。
- Red Hat OpenShift source
- 管理 Red Hat OpenShift Container Platform 节点和工作负载的 Red Hat OpenShift Container Platform 集群。
- Ansible 源
- 管理 Ansible 节点和工作负载的 Ansible 管理解决方案。
- Red Hat Advanced Cluster Security for Kubernetes 源
- 保护 Kubernetes 环境的 RHACS 安全平台解决方案。
当您使用网络源时,您可以确定应该在单个源中分组的单独资产数量。目前,您只能为网络源添加多个资产。以下列表包含添加源时应考虑的一些其他因素:
- 资产是开发、测试或生产环境的一部分,如果对计算能力和类似问题的需求则需要考虑这些资产。
- 无论您是因为内部业务实践(如对已安装软件经常更改)而经常扫描特定的实体或实体组。
凭证 包含有足够权限的用户的用户名和密码或 SSH 密钥等数据,可在该源中包含的所有或部分资产上运行扫描。与源一样,凭证被配置为网络、vCenter、satellite、OpenShift、Ansible 或 RHACS 类型。通常,一个网络源可能需要多个网络凭证,因为预计需要很多凭证来访问 IP 范围中的所有资产。相反,vCenter 或 satellite 源通常使用单个 vCenter 或 satellite 凭证(如果适用)来访问特定的系统管理解决方案服务器,OpenShift、Ansible 或 RHACS 源将使用单个凭证访问单个集群。
您可以从 Sources 视图中添加新源,您可以从 Credentials 视图中添加新凭证。您还可以在源创建过程中添加新或选择之前存在的凭证。在源创建过程中,凭证直接与源关联。因为源和凭证必须具有匹配的类型,因此您在源创建过程中添加的任何凭证共享与源相同的类型。另外,如果您要在源创建过程中使用现有凭证,可用凭证列表只包含同一类型的凭证。例如,在网络源创建过程中,只有网络凭据可供选择。
3.4.4. Red Hat OpenShift Container Platform 身份验证
对于 OpenShift 扫描,OpenShift 集群 API 地址的连接和访问从集群 API 地址的基本身份验证和通过 HTTPS 加密的 API 令牌衍生。默认情况下,OpenShift 扫描使用证书验证运行,并通过 SSL (安全套接字层)协议进行安全通信。在源创建过程中,您可以从几个不同的 SSL 和 TLS (传输层安全)协议中选择,用于证书验证和安全通信。
您可能需要调整证书验证级别,以便在扫描过程中正确连接到 Red Hat OpenShift Container Platform 集群 API 地址。例如,您的 OpenShift 集群 API 地址可能会使用来自证书颁发机构验证的 SSL 证书。在源创建过程中,您可以升级 SSL 证书验证,以便在扫描该源的过程中检查该证书。相反,您的集群 API 地址可能会使用自签名证书。在源创建过程中,您可以将 SSL 验证保留为默认值,以便该源的扫描不会检查证书。选择此选项时,要将选项保留为自签名证书的默认值,可能会避免扫描错误。
如果 OpenShift 集群 API 地址没有配置为使用 SSL,则您可能还需要禁用 SSL 作为扫描期间安全通信的方法。例如,您的 OpenShift 服务器可能被配置为通过使用 HTTP 端口 80 与 Web 应用进行通信。如果是这样,在源创建过程中,您可以禁用 SSL 通信来扫描该源。
