如何將鏡像倉庫接入Security Center - Security Center

對容器鏡像進行安全掃描之前，您需要將鏡像倉庫接入到Security Center。本文介紹如何將鏡像倉庫接入Security Center。

鏡像限制

Security Center支援接入的容器鏡像倉庫包括：

阿里雲Container RegistryACR：企業版和個人版。
目前Security Center支援同步ACR企業版和個人版的鏡像資料，僅支援對ACR企業版鏡像進行鏡像安全掃描。
第三方鏡像倉庫（私人鏡像倉庫）：Harbor鏡像倉庫、Quay鏡像倉庫、GitLab鏡像倉庫。

前提條件

已開通容器鏡像安全掃描功能。具體操作，請參見購買Security Center或開通容器鏡像安全掃描功能。

接入阿里雲Container Service鏡像倉庫

ACR個人版執行個體無限制，建立後即可接入Security Center。將ACR企業版鏡像倉庫接入到Security Center，只需為ACR企業版執行個體添加專用網路，相關操作，請參見配置專用網路的存取控制。

Security Center支援通過以下方式同步ACR企業版和個人版的鏡像資料：

自動同步：Security Center預設每日淩晨同步Container RegistryACR中的鏡像資料。
手動同步最新資產：具體操作，請參見同步最新資產。

接入第三方鏡像倉庫（私人鏡像倉庫）

如果您的容器鏡像倉庫設定了存取控制策略，請確保已將鏡像倉庫對應的地區的位址集區IP加入到存取控制白名單中。

點我查看需加白的位址集區IP

地區	公網IP	私網IP
華東1（杭州）	47.96.166.214	100.104.12.64/26
華東2（上海）	139.224.15.48、101.132.180.26、47.100.18.171、47.100.0.176、139.224.8.64、101.132.70.106、101.132.156.228、106.15.36.12、139.196.168.125、47.101.178.223、47.101.220.176	100.104.43.0/26
華北1（青島）	47.104.111.68	100.104.87.192/26
華北2（北京）	47.95.202.245	100.104.114.192/26
華北3（張家口）	39.99.229.195	100.104.187.64/26
華北5（呼和浩特）	39.104.147.68	100.104.36.0/26
華南1（深圳）	120.78.64.225	100.104.250.64/26
華南3（廣州）	8.134.118.184	100.104.111.0/26
中國香港	8.218.59.176	100.104.130.128/26
日本（東京）	47.74.24.20	100.104.69.0/26
新加坡	8.219.240.137	100.104.67.64/26
美國（矽谷）	47.254.39.224	100.104.145.64/26
美國（維吉尼亞）	47.252.4.238	100.104.36.0/26
德國（法蘭克福）	47.254.158.71	172.16.0.0/20
英國（倫敦）	8.208.14.12	172.16.0.0/20
印尼（雅加達）	149.129.238.99	100.104.193.128/26

如果您的第三方鏡像服務是通過線下IDC+雲上VPC的混合雲方式來部署的，您需要配置流量的轉寄規則，即指定一台ECS伺服器，將其訪問流量轉寄到第三方鏡像服務所在的IDC伺服器上。

樣本：將執行轉寄任務的ECS伺服器中A連接埠的流量，轉寄至第三方鏡像服務所在的IDC伺服器192.168.XX.XX的B連接埠。

CentOS 7命令：

使用firewallcmd：

firewall-cmd --permanent --add-forward-port=port=<A連接埠>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<B連接埠>

使用iptables：

開啟連接埠轉寄。

echo "1" > /proc/sys/net/ipv4/ip_forward

設定連接埠轉寄。

iptables -t nat -A PREROUTING -p tcp --dport <A連接埠> -j DNAT --to-destination <192.168.XX.XX>:<B連接埠>

Windows命令：

netsh interface portproxy add v4tov4 listenport=<連接埠A> listenaddress=* connectaddress=<192.168.XX.XX> connectport=<連接埠B> protocol=tcp

登入Security Center控制台。
在左側導覽列，選擇資產 > 容器資產。在控制台左上方，選擇需防護資產所在的地區：中國內地或非中國內地。
在容器資產頁面的鏡像頁簽下，定位到三方镜像仓接入地區，單擊接入。

在接入镜像仓面板，配置接入私人倉庫的參數，最後單擊確定。

配置項	說明
私有仓库类型	根據您容器鏡像儲存的鏡像倉庫選擇私人倉庫類型。目前支援選擇harbor、quay、gitlab類型的倉庫。
版本	選擇第三方鏡像倉庫的版本。可選項：版本：鏡像倉庫版本為1.X.X時，選擇該版本。 V2：鏡像倉庫版本為2.X.X及以上時，選擇該版本。私有仓库类型選擇gitlab時，預設已選擇V1版本，不可修改。
通訊類型	選擇Security Center與第三方鏡像倉庫的通訊協定。可選項：http、https。
網路類型	選擇第三方鏡像倉庫的網路類型。可選項：公、VPC。
RegionId	選擇第三方鏡像倉庫所在地區。
IP	輸入第三方鏡像倉庫的IP地址和連接埠號碼。如果您為第三方鏡像配置了流量轉寄規則，您需要填寫已配置了轉寄規則的ECS的IP地址和連接埠號碼。
連接埠
網域名稱	輸入第三方鏡像倉庫的網域名稱。
限速	選擇每小時可接入的鏡像個數。預設為10。重要如果每小時內接入的鏡像過多，可能會影響您的正常業務的運行，建議您謹慎選擇無限制。
使用者名稱	輸入訪問第三方鏡像倉庫時使用的具有管理員權限的使用者名稱。
密碼	輸入訪問第三方鏡像倉庫的密碼。
Quay名称空间信息	僅私有仓库类型選擇quay時需要配置該參數。在镜像仓库组织文字框輸入鏡像倉庫組織的名稱，在Auth_token文字框輸入鏡像倉庫組織對應的Auth_token。您可以單擊添加輸入多條鏡像倉庫組織資訊。
gitlab群組資訊	僅私有仓库类型選擇gitlab時需要配置該參數。在群組資訊文字框輸入鏡像倉庫群組的名稱，在免登配置文字框輸入鏡像倉庫群組對應的Access_token。您可以單擊添加輸入多條鏡像倉庫的群組資訊。

接入第三方鏡像倉庫後，您可以在防護配置 > 容器防護 > 镜像安全扫描頁面，單擊右上方的扫描设置，在扫描设置面板中查看已接入的鏡像倉庫資訊。

鏡像接入錯誤碼

code	message	解決方案
FailedToVerifyUsernameOrPwd	使用者名稱或密碼驗證失敗	檢查使用者名稱、密碼是否正確。
RegistryVersionError	鏡像倉庫版本錯誤	檢查鏡像倉的版本是否選擇正確。
UserDoesNotHaveAdminRole	使用者沒有admin許可權	前往harbor私服給使用者添加管理員權限。
NetworkConnectError	網路逾時，請檢查網路	檢查網路是否連通、80或443連接埠是否開放。

後續步驟

將鏡像倉庫接入到Security Center後，您可以在資產查看受到Security Center防護的鏡像資訊。具體操作，請參見查看容器安全狀態。

您還需要執行鏡像安全掃描操作，才能通過Security Center檢測您的鏡像是否存在風險。具體操作，請參見配置和執行鏡像安全掃描。