Security Center dapat memindai gambar kontainer untuk mencari kerentanan, tetapi hanya setelah Anda menghubungkan repository image. Topik ini menjelaskan cara menambahkan instans Container Registry dan repository pihak ketiga (Harbor, Quay, dan GitLab) ke Security Center.
Batasan
Security Center mendukung dua kategori repository image:
Container Registry (Edisi Perusahaan dan Edisi Pribadi): Security Center menyinkronkan metadata image dari kedua edisi tersebut, tetapi hanya dapat memindai image dari Edisi Perusahaan.
Repository pihak ketiga: Harbor, Quay, dan GitLab.
Prasyarat
Sebelum memulai, pastikan Anda telah:
Mengaktifkan fitur pemindaian gambar kontainer. Lihat Aktifkan pemindaian gambar kontainer dan Beli Security Center.
Tambahkan instans Container Registry
Langkah-langkahnya sedikit berbeda tergantung edisinya:
Edisi Pribadi: Tambahkan repository setelah membuat instans Container Registry Edisi Pribadi.
Edisi Perusahaan: Konfigurasikan daftar kontrol akses (ACL) virtual private cloud (VPC) untuk instans sebelum menambahkannya. Lihat Konfigurasikan ACL VPC.
Setelah Anda menambahkan instans Container Registry, Security Center menjaga metadata image tetap mutakhir dengan dua cara:
Otomatis: Security Center menyinkronkan informasi image sekali per hari, pada dini hari.
Manual: Picu sinkronisasi sesuai permintaan. Lihat Lihat informasi keamanan tentang kontainer.
Tambahkan repository image pihak ketiga
Sebelum memulai: persyaratan akses jaringan
Jika repository pihak ketiga Anda memiliki daftar izin IP (IP allowlist), tambahkan alamat IP Security Center untuk wilayah tempat repository tersebut di-hosting.
| Wilayah | Alamat IP publik | Alamat IP privat |
|---|---|---|
| Tiongkok (Hangzhou) | 47.96.166.214 | 100.104.12.64/26 |
| Tiongkok (Shanghai) | 139.224.15.48, 101.132.180.26, 47.100.18.171, 47.100.0.176, 139.224.8.64, 101.132.70.106, 101.132.156.228, 106.15.36.12, 139.196.168.125, 47.101.178.223, dan 47.101.220.176 | 100.104.43.0/26 |
| Tiongkok (Qingdao) | 47.104.111.68 | 100.104.87.192/26 |
| Tiongkok (Beijing) | 47.95.202.245 | 100.104.114.192/26 |
| Tiongkok (Zhangjiakou) | 39.99.229.195 | 100.104.187.64/26 |
| Tiongkok (Hohhot) | 39.104.147.68 | 100.104.36.0/26 |
| Tiongkok (Shenzhen) | 120.78.64.225 | 100.104.250.64/26 |
| Tiongkok (Guangzhou) | 8.134.118.184 | 100.104.111.0/26 |
| Tiongkok (Hong Kong) | 8.218.59.176 | 100.104.130.128/26 |
| Jepang (Tokyo) | 47.74.24.20 | 100.104.69.0/26 |
| Singapura | 8.219.240.137 | 100.104.67.64/26 |
| AS (Silicon Valley) | 47.254.39.224 | 100.104.145.64/26 |
| AS (Virginia) | 47.252.4.238 | 100.104.36.0/26 |
| Jerman (Frankfurt) | 47.254.158.71 | 172.16.0.0/20 |
| Inggris (London) | 8.208.14.12 | 172.16.0.0/20 |
| Indonesia (Jakarta) | 149.129.238.99 | 100.104.193.128/26 |
Siapkan penerusan traffic (hanya untuk pusat data yang terhubung ke VPC)
Jika layanan image pihak ketiga Anda berjalan di pusat data lokal yang terhubung ke Alibaba Cloud melalui VPC, Security Center tidak dapat mengaksesnya secara langsung. Gunakan instans Elastic Compute Service (ECS) sebagai penerus traffic: Security Center terhubung ke instans ECS, yang kemudian meneruskan permintaan ke server registri lokal Anda.
Perintah berikut meneruskan traffic pada Port A instans ECS ke Port B server lokal di 192.168.XX.XX.
CentOS 7 — firewall-cmd
firewall-cmd --permanent --add-forward-port=port=<Port A>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<Port B>CentOS 7 — iptables
Jalankan dua perintah berikut secara berurutan:
Aktifkan IP forwarding:
echo "1" > /proc/sys/net/ipv4/ip_forwardKonfigurasikan penerusan port dengan DNAT:
iptables -t nat -A PREROUTING -p tcp --dport <Port A> -j DNAT --to-destination <192.168.XX.XX>:<Port B>
Windows
netsh interface portproxy add v4tov4 listenport=<Port A> listenaddress=* connectaddress=<192.168.XX.XX> connectport=<Port B> protocol=tcpGanti <Port A>, <192.168.XX.XX>, dan <Port B> dengan nilai port dan IP aktual di lingkungan Anda.
Langkah-langkah
Login ke Konsol Security Center. Di bilah navigasi atas, pilih wilayah aset yang ingin Anda kelola: Tiongkok atau Luar Tiongkok.Login ke Konsol Security Center.
Di panel navigasi kiri, pilih Assets > Container.
Di halaman Container, klik tab Image, lalu klik Add di bawah Add Third-party Image Repository.
Di panel Add Image Repository, konfigurasikan parameter berikut, lalu klik Next.
Parameter Deskripsi Private Repository Type Jenis registri. Nilai yang valid: harbor, quay, gitlab. Version Versi registri. V1 untuk versi 1.X.X; V2 untuk versi 2.X.X atau lebih baru. GitLab menggunakan V1 secara default dan tidak dapat diubah. Communication Type Protokol yang digunakan Security Center untuk terhubung ke registri. Nilai yang valid: http, https. Network Type Internet atau VPC. RegionId Wilayah tempat repository pihak ketiga di-hosting. IP Alamat IP repository. Jika Anda menyiapkan penerusan traffic, masukkan alamat IP instans ECS sebagai gantinya. Port Nomor port. Jika Anda menyiapkan penerusan traffic, masukkan port pada instans ECS (Port A) sebagai gantinya. Domain Name Nama domain repository. Speed Limit Jumlah maksimum image yang disinkronkan per jam. Default: 10. Mengatur nilai ini ke Unlimited dapat memengaruhi layanan Anda — pertahankan nilai default kecuali lingkungan Anda mampu menangani throughput yang lebih tinggi. Username Username akun yang memiliki hak administratif dan digunakan untuk mengakses repository image pihak ketiga. Password Password akun tersebut. Quay Namespace Information (Hanya untuk Quay) Masukkan nama Image Repository Organization dan Auth_token yang sesuai. Klik Add untuk menambahkan beberapa organisasi. GitLab Group Information (Hanya untuk GitLab) Masukkan nama Group Information dan Access_token yang sesuai. Klik Add untuk menambahkan beberapa kelompok.
Setelah repository ditambahkan, verifikasi koneksi dengan membuka Protection Configuration > Container Protection > Container Image Scan di panel navigasi kiri, lalu klik Scan Settings di pojok kanan atas.
Pemecahan Masalah
| Kode error | Pesan | Solusi |
|---|---|---|
| FailedToVerifyUsernameOrPwd | Username atau password tidak valid. | Periksa apakah username dan password sudah benar. |
| RegistryVersionError | Versi repository image tidak valid. | Periksa apakah versi yang dipilih (V1 atau V2) sesuai dengan versi registri Anda. |
| UserDoesNotHaveAdminRole | Anda tidak memiliki hak administratif. | Login ke server Harbor dan berikan hak administratif kepada akun tersebut. |
| NetworkConnectError | Koneksi jaringan timeout. | Periksa konektivitas jaringan dan pastikan port 80 atau port 443 terbuka. Jika repository Anda terhubung ke VPC, konfirmasi bahwa aturan penerusan traffic telah dikonfigurasi dengan benar. |
Langkah Berikutnya
Setelah Anda menambahkan repository image, Security Center akan memantau image yang dikandungnya. Untuk melihat detail image, buka tab Image di halaman Container. Lihat Lihat informasi keamanan tentang kontainer.
Untuk memindai image terhadap risiko keamanan, lihat Pindai image.