1.6. 服务间的交互
本节介绍 RHACS 服务如何相互交互。
| 组件 | 方向 | 组件 | 描述 |
|---|---|---|---|
| Central | ⮂ | scanner V4 Indexer | 中央请求索引器下载和索引(analyze)给定镜像。这个过程会产生索引报告。扫描程序 V4 Indexer 从 Central 请求映射文件,以帮助索引过程。 |
| Central | ⮂ | scanner V4 Matcher | Central 请求 Scanner V4 Matcher 与给定镜像匹配到已知漏洞。这个过程会产生最终扫描结果:漏洞报告。扫描程序 V4 Matcher 从 Central 请求最新的漏洞。 |
| Sensor | ⮂ | scanner V4 Indexer |
在使用 Operator 或使用委派扫描时部署的 Red Hat OpenShift 环境中默认启用 |
| scanner V4 Indexer | → | 镜像 registry | Indexer 从 registry 中拉取镜像元数据以确定镜像的层,并下载之前未索引的层。 |
| scanner V4 Matcher | → | scanner V4 Indexer | 扫描程序 V4 Matcher 从 Indexer 请求镜像索引(索引报告)的结果。然后,它会使用报告来确定相关的漏洞。只有在 Central 集群中索引镜像时,才会发生此交互。当 Scanner V4 与安全集群中索引的镜像的漏洞匹配时,不会发生此交互。 |
| scanner V4 Indexer | → | 扫描程序 V4 DB | Indexer 存储与索引结果相关的数据,以确保镜像层仅下载并索引一次。这可以防止不必要的网络流量和其他资源利用率。 |
| scanner V4 Matcher | → | 扫描程序 V4 DB | 扫描程序 V4 Matcher 将它的所有漏洞数据存储在数据库中,并定期更新这些数据。扫描程序 V4 索引程序还会在漏洞匹配过程中查询此数据。 |
| Sensor | ⮂ | Central | Central 和 Sensor 之间有双向通信。Sensor 定期轮询 Central 以下载传感器捆绑包配置的更新。它还会为安全集群观察到的活动发送事件,并观察到的策略违反情况。Central. 与 Sensor 通信,以强制针对启用的策略对所有部署进行重新处理。 |
| Collector | ⮂ | Sensor | 收集器与 Sensor 通信,并将所有事件发送到集群的对应 Sensor。在支持的 OpenShift Container Platform 集群中,Collector 会分析节点上安装的软件包并将其发送到 Sensor,以便扫描程序稍后可以扫描它们以了解漏洞。收集器也请求 Sensor 中缺少的驱动程序。Sensor 从 Collector 请求合规性扫描结果。另外,Sensor 从 Central 接收外部无类别域间路由信息,并将其推送到 Collector。 |
| 准入控制器 | ⮂ | Sensor | 传感器将安全策略列表发送到 Admission 控制器。准入控制器将安全策略违反警报发送到 Sensor。准入控制器也可以根据需要从 Sensor 请求镜像扫描。 |
| 准入控制器 | ➞ | Central | 它并不常见;但是,如果知道 Central 端点且 Sensor 不可用,Admission 控制器可以直接与 Central 进行通信。 |
扫描程序 V4 只是一个技术预览功能。技术预览功能不受红帽产品服务等级协议(SLA)支持,且功能可能并不完整。红帽不推荐在生产环境中使用它们。这些技术预览功能可以使用户提早试用新的功能,并有机会在开发阶段提供反馈意见。
有关红帽技术预览功能支持范围的更多信息,请参阅技术预览功能支持范围。
| 组件 | 方向 | 相互交互 | 描述 |
|---|---|---|---|
| Central | ⮂ | 扫描程序 | Central 和 Scanner 之间有双向通信。中央从扫描器请求镜像扫描,Scanner 从 Central 请求对其 CVE 数据库的更新。 |
| Central | ➞ |
|
Central 连接到 |
| Central | ➞ |
|
Central 从 |
| Central | ➞ | 镜像 registry | 中央查询镜像 registry 以获取镜像元数据。例如,要在 RHACS 门户中显示 Dockerfile 指令。 |
| 扫描程序 | ➞ | 镜像 registry | 扫描程序从镜像 registry 拉取镜像以识别漏洞。 |
| Sensor | ⮂ | Central | Central 和 Sensor 之间有双向通信。Sensor 定期轮询 Central 以下载传感器捆绑包配置的更新。它还会为安全集群观察到的活动发送事件,并观察到的策略违反情况。Central. 与 Sensor 通信,以强制针对启用的策略对所有部署进行重新处理。 |
| Sensor | ⮂ | 扫描程序 |
仅在 OpenShift Container Platform 中,Sensor 与 Scanner 通信以访问附加到集群的本地 registry。扫描程序与 Sensor 通信,以从 |
| Collector | ⮂ | Sensor | 收集器与 Sensor 通信,并将所有事件发送到集群的对应 Sensor。在支持的 OpenShift Container Platform 集群中,Collector 会分析节点上安装的软件包并将其发送到 Sensor,以便扫描程序稍后可以扫描它们以了解漏洞。收集器也请求 Sensor 中缺少的驱动程序。Sensor 从 Collector 请求合规性扫描结果。另外,Sensor 从 Central 接收外部无类别域间路由信息,并将其推送到 Collector。 |
| 准入控制器 | ⮂ | Sensor | 传感器将安全策略列表发送到 Admission 控制器。准入控制器将安全策略违反警报发送到 Sensor。准入控制器也可以根据需要从 Sensor 请求镜像扫描。 |
| 准入控制器 | ➞ | Central | 它并不常见;但是,如果知道 Central 端点且 Sensor 不可用,Admission 控制器可以直接与 Central 进行通信。 |
