红帽全球峰会第 3 章 添加源和凭证
要准备 Discovery 以运行扫描,您必须添加您要作为一个或多个源进行扫描的 IT 基础架构的部分。您还必须添加需要以一个或多个凭证形式访问这些源所需的身份验证信息,如用户名和密码或 SSH 密钥。由于配置要求不同,您可以根据您要扫描的源类型添加源和凭证。
了解更多
作为添加源和凭证的通用流程,其中包含您的 IT 基础架构的不同部分,您可能需要完成多个任务。
添加网络源和凭证以扫描网络中的资产,如物理机器、虚拟机或容器。如需更多信息,请参阅以下信息:
添加 satellite 源和凭证,以扫描您的 Red Hat Satellite 服务器的部署以查找它管理的资产。如需更多信息,请参阅以下信息:
添加 vcenter 源和凭证,以扫描您的 vCenter Server 部署,以查找它管理的资产。如需更多信息,请参阅以下信息:
添加 OpenShift 源和凭证,以扫描 Red Hat OpenShift Container Platform 集群的部署。如需更多信息,请参阅以下信息:
添加 Ansible 源和凭证,以扫描 Ansible Automation Platform 的部署,以查找它管理的安全集群。如需更多信息,请参阅以下信息:
添加 RHACS 源和凭证,以扫描 Red Hat Advanced Cluster Security for Kubernetes 的部署,以查找 RHACS 管理的安全集群。如需更多信息,请参阅以下信息:
3.1. 添加网络源和凭证
要在网络上的一个或多个物理机器、虚拟机或容器上运行扫描,您必须添加一个用于标识每个资产要扫描的源。然后,您必须添加包含身份验证数据的凭证来访问每个资产。
了解更多
添加一个或多个网络源和凭证,以提供在网络中扫描资产所需的信息。如需更多信息,请参阅以下信息:
要了解更多有关源和凭证以及 Red Hat Discovery 如何使用它们的信息,请参阅以下信息:
要了解更多有关红帽发现与网络上的资产进行身份验证的信息,请参阅以下信息。这些信息包括运行带有升级权限的命令的指导,您可以选择在网络凭证配置中进行:
3.1.1. 添加网络源
您可以从初始 Credentials 视图或 Sources 视图中添加源。
步骤
点击选项根据您的位置添加新凭证:
- 从 Credentials 视图中,单击 Add Source。
- 从 Sources 视图中,单击 Add。
- 在 Type 页面中,选择 Network Range 作为源类型,然后单击 Next。
在 Credentials 页面中,输入以下信息:
- 在 Name 字段中输入描述性名称。
在 Search Addresses 字段中,输入用逗号分开的一个或多个网络标识符。您可以输入主机名、IP 地址和 IP 范围。
-
输入主机名作为 DNS 主机名,例如
server1.example.com。 -
以 CIDR 或 Ansible 表示法输入 IP 范围,例如,对于 CIDR 表示法,或为
192.168.1.[1:254]作为 Ansible 表示法。
-
输入主机名作为 DNS 主机名,例如
- 可选:在 Port 字段中,如果您不希望扫描此源在默认端口 22 上运行,请输入不同的端口。
- 在 Credentials 列表中,选择访问此源网络资源所需的凭证。如果所需的凭证不存在,点 Add a credential 图标打开 Add Credential 视图。
- 如果您的网络资源需要 Ansible 连接方法作为 Python SSH 实现 Paramiko,而不是默认的 OpenSSH 实施,请选择 Connect using Paramiko 而不是 OpenSSH 复选框。
- 单击 Save 以保存源,然后单击 Close 以关闭该视图。
3.1.2. 添加网络凭证
您可以从 Credentials 视图或在创建源过程中从 Add Source 向导添加凭证。您可能需要添加多个凭证以对单个源中包含的所有资产进行身份验证。
步骤
点击选项根据您的位置添加新凭证:
-
从 Credentials 视图中,单击
。 - 在 Add Source 向导中,点 Credentials 字段的 Add a credential 图标。
此时会打开 Add Credential 向导。
-
从 Credentials 视图中,单击
- 在 Credential Name 字段中输入描述性名称。
- 在 Authentication Type 字段中,选择要使用的身份验证类型。您可以选择 Username 和 Password 或 SSH Key。
根据身份验证类型,在适当的字段中输入身份验证数据。
- 对于用户名和密码身份验证,请为用户输入用户名和密码。此用户必须具有对网络的根级别访问权限或您要扫描的网络子集。或者,此用户必须能够使用选定的 become 方法获取 root 级别的访问权限。
- 对于 SSH 密钥身份验证,请输入用户名并粘贴 ssh keyfile 的内容。输入密码短语是可选的。
- 输入 privilege elevation 的 become 方法。在网络扫描期间运行一些命令需要特权 elevation。为 become 方法输入用户名和密码是可选的。
- 单击 Save 以保存凭据,并关闭 Add Credential 向导。
3.1.3. 关于源和凭证
要运行扫描,您必须为两个基本结构配置数据:源和凭证。在扫描期间要检查的源类型决定了源和目标配置所需的数据类型。
源 包含单个资产或一组要在扫描期间检查的多个资产。您可以配置以下类型的源:
- 网络源
- 一个或多个物理计算机、虚拟机或容器。这些资产可以表示为主机名、IP 地址、IP 范围或子网。
- vCenter 源
- 管理所有或部分 IT 基础架构的 vCenter Server 系统管理解决方案。
- Satellite 源
- 管理所有或部分 IT 基础架构的 Satellite 系统管理解决方案。
- Red Hat OpenShift source
- 管理 Red Hat OpenShift Container Platform 节点和工作负载的 Red Hat OpenShift Container Platform 集群。
- Ansible 源
- 管理 Ansible 节点和工作负载的 Ansible 管理解决方案。
- Red Hat Advanced Cluster Security for Kubernetes 源
- 保护 Kubernetes 环境的 RHACS 安全平台解决方案。
当您使用网络源时,您可以确定应该在单个源中分组的单独资产数量。目前,您只能为网络源添加多个资产。以下列表包含添加源时应考虑的一些其他因素:
- 资产是开发、测试或生产环境的一部分,如果对计算能力和类似问题的需求则需要考虑这些资产。
- 无论您是因为内部业务实践(如对已安装软件经常更改)而经常扫描特定的实体或实体组。
凭证 包含有足够权限的用户的用户名和密码或 SSH 密钥等数据,可在该源中包含的所有或部分资产上运行扫描。与源一样,凭证被配置为网络、vCenter、satellite、OpenShift、Ansible 或 RHACS 类型。通常,一个网络源可能需要多个网络凭证,因为预计需要很多凭证来访问 IP 范围中的所有资产。相反,vCenter 或 satellite 源通常使用单个 vCenter 或 satellite 凭证(如果适用)来访问特定的系统管理解决方案服务器,OpenShift、Ansible 或 RHACS 源将使用单个凭证访问单个集群。
您可以从 Sources 视图中添加新源,您可以从 Credentials 视图中添加新凭证。您还可以在源创建过程中添加新或选择之前存在的凭证。在源创建过程中,凭证直接与源关联。因为源和凭证必须具有匹配的类型,因此您在源创建过程中添加的任何凭证共享与源相同的类型。另外,如果您要在源创建过程中使用现有凭证,可用凭证列表只包含同一类型的凭证。例如,在网络源创建过程中,只有网络凭据可供选择。
3.1.4. 网络验证
Discovery 应用使用 Ansible 的 SSH 远程连接功能在网络扫描中检查远程系统。当您添加网络凭证时,您可以使用用户名和密码或用户名和 SSH 密钥文件对来配置 SSH 连接。如果使用 SSH 密钥身份验证访问远程系统,您也可以为 SSH 密钥提供密码短语。
另外,在网络凭证配置过程中,您可以启用 become 方法。become 方法在扫描期间使用以提升特权。需要这些提升的权限才能运行命令,并在您要扫描的系统上获取数据。有关在扫描过程中不需要升级特权 的命令的更多信息,请参阅扫描远程网络资产中使用的 命令。
3.1.4.1. 扫描远程网络资产中使用的命令
运行网络扫描时,发现必须使用您提供的凭证,以便在网络中的远程系统中运行某些命令。其中一些命令必须以升级的特权运行。此访问通常通过使用 sudo 命令或类似的命令获得。需要升级的特权来收集 Discovery 用来构建您已安装产品的报告的事实类型。
尽管可以在没有提升权限的情况下对网络源运行扫描,但是该扫描的结果不完整。网络扫描的不完整结果将会影响所生成的扫描报告的质量。
以下信息列出了发现在网络扫描期间在远程主机上运行的命令。该信息包含可在没有升级特权的情况下运行的基本命令,以及必须使用升级特权运行的命令,以便为报告收集最准确和完整信息。
除了以下命令外,发现还取决于标准 shell 设施,比如由 bash shell 提供的设备。
3.1.4.1.1. 不需要提升权限的基本命令
以下命令不需要升级的权限在扫描期间收集事实:
- cat
- egrep
- 排序
- uname
- ctime
- grep
- rpm
- virsh
- date
- id
- test
- whereis
- echo
- sed
- tune2fs
- xargs
3.1.4.1.2. 需要升级特权的命令
以下命令需要升级的特权,以便在扫描期间收集事实。每个命令都包含扫描期间发现尝试查找的单个事实或事实列表。如果该命令没有可用的升级特权,则无法将这些事实包含在报告中。
- awk
- cat
- chkconfig
- 命令
- df
- dirname
- dmidecode
- echo
- egrep
- fgrep
- 查找
- ifconfig
- ip
- java
- locate
- ls
- ps
- readlink
- sed
- 排序
- stat
- subscription-manager
- systemctl
- tail
- test
- tr
- unzip
- virt-what
- xargs
- yum
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}