3.4. 添加 OpenShift 源和凭证
要在 Red Hat OpenShift Container Platform 部署上运行扫描,您必须添加一个标识要扫描的 Red Hat OpenShift Container Platform 集群的源。然后,您必须添加一个包含访问该集群的验证数据的凭证。
了解更多
添加 OpenShift 源和凭证,以提供扫描 Red Hat OpenShift Container Platform 集群所需的信息。如需更多信息,请参阅以下信息:
- 要添加 OpenShift 源,请参阅 添加 OpenShift 源。
- 要添加 OpenShift 凭据,请参阅 添加 OpenShift 凭据。
要了解更多有关源和凭证以及如何使用它们的信息,请参阅以下信息:
要了解更多有关与 Red Hat OpenShift Container Platform 集群进行身份验证的信息,请参阅以下信息。此信息包括有关在 OpenShift 凭证配置过程中可能需要进行的证书验证和 SSL 通信选项的指导信息:
3.4.1. 添加 Red Hat OpenShift Container Platform 源
您可以从初始 Welcome 页面或 Sources 视图中添加源。
先决条件
- 您需要访问 Red Hat OpenShift Container Platform Web 控制台管理员视角来获取 API 地址和令牌值。
流程
点击选项根据您的位置添加新凭证:
- 在 Welcome 页面中,单击 Add Source。
- 从 Sources 视图,单击 Add。
此时会打开 Add Source 向导。
- 在 Type 页面上,选择 OpenShift 作为源类型,然后单击 Next。
在 Credentials 页面中,输入以下信息:
- 在 Name 字段中输入描述性名称。
- 在 IP Address 或 Hostname 字段中,为这个源输入 Red Hat OpenShift Container Platform 集群 API 地址。您可以通过在 web 控制台中查看集群的概述详情来查找集群 API 地址
- 在 Credentials 列表中,选择访问此源集群所需的凭证。如果所需的凭证不存在,点 Add a credential 图标打开 Add Credential 向导。
- 在 Connection 列表中,选择要在扫描此源期间用于安全连接的 SSL 协议。选择 Disable SSL 在扫描此源期间禁用安全通信。
- 如果您需要升级集群的 SSL 验证,以便从证书颁发机构检查验证的 SSL 证书,请选择 Verify SSL Certificate 复选框。
- 点 Save 保存源,然后点 Close 关闭 Add Source 向导。
3.4.2. 添加 Red Hat OpenShift Container Platform 凭证
您可以在创建源的过程中从 Credentials 视图或 Add Source 向导添加凭证。
先决条件
- 您需要访问 Red Hat OpenShift Container Platform Web 控制台管理员视角来获取 API 地址和令牌值。
流程
点击选项根据您的位置添加新凭证:
-
从 Credentials 视图,点
。 - 在 Add Source 向导中,点 Credentials 字段的 Add a credential 图标。
此时会打开 Add Credential 向导。
-
从 Credentials 视图,点
- 在 Credential Name 字段中输入描述性名称。
- 从 Administrator 控制台输入 Red Hat OpenShift Container Platform 集群的 API 令牌。您可以通过单击控制台中的用户名来查找 API 令牌,单击 Display Token 选项并复制为 API 令牌显示的值为。
- 点 Save 保存凭证并关闭 Add Credential 向导。
3.4.3. 关于源和凭证
要运行扫描,您必须为两个基本结构配置数据: sources 和 credentials。在扫描期间要检查的源类型决定了源和凭证配置所需的数据类型。
源 包含单个资产或一组要在扫描期间检查的多个资产。您可以配置以下类型的源:
- 网络源
- 一个或多个物理机器、虚拟机或容器。这些资产可以表示为主机名、IP 地址、IP 范围或子网。
- vCenter 源
- 管理所有或部分 IT 基础架构的 vCenter Server 系统管理解决方案。
- Satellite 源
- 管理所有或部分 IT 基础架构的 Satellite 系统管理解决方案。
- Red Hat OpenShift 源
- 管理所有或部分 Red Hat OpenShift Container Platform 集群的 Red Hat OpenShift Container Platform 集群。
- Ansible 源
- 管理 Ansible 节点和工作负载的 Ansible 管理解决方案。
- Red Hat Advanced Cluster Security for Kubernetes 源
- 保护 Kubernetes 环境的 RHACS 安全平台解决方案。
当您使用网络源时,您可以确定您应该在单个源中拥有多少个资产。目前,您只能为网络源添加多个资产。以下列表包含您在添加源时应考虑的一些其他因素:
- 无论资产是开发、测试还是生产环境的一部分,以及计算能力和类似问题的需求都是这些资产的考虑因素。
- 因为内部业务实践(如频繁更改安装的软件),还是要更频繁地扫描特定的实体或一组实体。
凭证 包含的数据,如具有足够颁发机构的用户的用户名和密码或 SSH 密钥,以便在该源中包含的资产的所有或部分运行扫描。与源一样,凭证被配置为网络、vCenter、satellite、OpenShift、Ansible 或 RHACS 类型。通常,网络源可能需要多个网络凭证,因为预期许多凭证需要访问广泛 IP 范围内的所有资产。相反,vCenter 或 satellite 源通常使用单个 vCenter 或 satellite 凭证(如果适用)来访问特定的系统管理解决方案服务器,OpenShift、Ansible 或 RHACS 源将使用单个凭证访问单个集群。
您可以从 Sources 视图中添加新源,您可以从 Credentials 视图中添加新凭证。您还可以在源创建过程中添加新或选择之前现有凭证。在源创建过程中,您要直接将凭证与源关联。由于源和凭证必须具有匹配的类型,所以您在源创建过程中添加的任何凭证共享与源相同的类型。另外,如果您要在源创建过程中使用现有凭证,可用凭证列表仅包含同一类型的凭证。例如,在网络源创建过程中,只有网络凭证可供选择。
3.4.4. Red Hat OpenShift Container Platform 身份验证
对于 OpenShift 扫描,OpenShift 集群 API 地址的连接和访问利用集群 API 地址以及通过 HTTPS 加密的 API 令牌生成对 OpenShift 集群 API 地址的连接和访问。默认情况下,OpenShift 扫描通过 SSL (安全套接字层)协议运行并带有证书验证和安全通信。在源创建过程中,您可以从多个不同的 SSL 和 TLS (传输层安全)协议中选择,以用于证书验证和安全通信。
您可能需要在扫描过程中调整证书验证级别,以正确连接到 Red Hat OpenShift Container Platform 集群 API 地址。例如,您的 OpenShift 集群 API 地址可能会使用来自证书颁发机构验证的 SSL 证书。在源创建过程中,您可以在扫描该源过程中升级 SSL 证书验证来检查该证书。相反,集群 API 地址可能会使用自签名证书。在源创建过程中,您可以默认保留 SSL 验证,以便扫描该源不会检查证书。选择保留自签名证书的默认值,可能会避免扫描错误。
如果没有将 OpenShift 集群 API 地址配置为使用 Web 应用的 SSL 通信,则您可能还需要禁用 SSL 作为扫描期间的安全通信方法。例如,您的 OpenShift 服务器可能会配置为使用 HTTP 和端口 80 与 Web 应用通信。如果是这样,则在源创建过程中,您可以禁用对该源的 SSL 通信扫描。
