对容器镜像进行安全扫描之前,您需要将镜像仓库接入到云安全中心,将镜像仓库信息同步到云安全中心。云安全中心支持的容器镜像包括阿里云容器镜像服务ACR和第三方镜像服务。本文介绍如何接入镜像仓库。

前提条件

已开通镜像安全扫描功能。更多信息,请参见开通服务

接入阿里云容器服务镜像仓库

阿里云容器镜像服务ACR包括企业版和个人版。目前云安全中心支持同步ACR企业本和个人版镜像数据,但仅支持对ACR企业版进行镜像扫描。

为企业版实例添加专有网络后,即完成了将镜像仓库接入到云安全中心。相关内容,请参见配置专有网络的访问控制

接入公有云第三方镜像仓库(私有镜像仓库)

如果您的第三方镜像仓库是由公有云厂商提供,参考以下步骤完成接入流程。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择安全预防 > 镜像安全扫描
  3. 镜像安全扫描页面,单击接入
  4. 接入私有镜像仓对话框中,配置接入私有仓库的参数。
    接入私有镜像仓库的配置项说明如下。
    配置项 说明
    私有仓库类型 选择私有仓库类型。目前支持选择harborquay类型的仓库。
    版本 选择第三方镜像仓库的版本。支持选择以下版本:
    • V1:镜像仓库版本为1.X.X时,选择该版本。
    • V2:镜像仓库版本为2.X.X及以上时,选择该版本。
    通信类型 选择云安全中心和第三方镜像仓库的通信协议。可选择HTTPHTTPS
    网络类型 选择第三方镜像仓库的网络类型。可选择公网VPC
    区域 选择第三方镜像仓库所在区域。
    域名 输入第三方镜像仓库的域名。
    IP 输入第三方镜像仓库的IP地址。
    说明 第三方镜像仓库部署在混合云环境中时,IP必须填写
    限速 选择每小时可接入的镜像仓库个数。默认为10。可选值:
    • 5
    • 10
    • 30
    • 50
    • 200
    • 500
    • 1000
    • 无限制
    注意 如果每小时内接入的镜像过多,可能会影响您的正常业务的运行,建议您谨慎选择无限制
    用户名 输入访问第三方镜像仓库时使用的用户名。
    密码 输入访问第三方镜像仓库的密码。
  5. 单击确定
    接入第三方镜像仓库后,您可以在镜像安全扫描页面的扫描设置面板中查看已接入的镜像仓库信息。

接入混合云第三方镜像仓库

如果您的第三方镜像服务是通过线下IDC+云上VPC的混合云方式来部署的,您需要先配置流量的转发规则,再完成接入镜像仓库。操作流程如下:

  1. 指定一台ECS服务器,将其访问流量转发到第三方镜像服务所在的IDC服务器上。

    示例:将执行转发任务的ECS服务器中A端口的流量,转发至第三方镜像服务所在的IDC服务器192.168.XX.XX的B端口。

    • CentOS 7命令:
      • 使用firewallcmd:
        firewall-cmd --permanent --add-forward-port=port=<A端口>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<B端口>
      • 使用iptables:
        1. 开启端口转发。
          # echo "1" > /proc/sys/net/ipv4/ip_forward                                                                                                                                                                                                                                                                                                                                                                                                                                                                           
        2. 设置端口转发。
          # iptables -t nat -A PREROUTING -p tcp --dport <A端口> -j DNAT --to-destination <192.168.XX.XX>:<B端口>
    • Windows命令:
      netsh interface portproxy add v4tov4 listenport=<端口A> listenaddress=* connectaddress=<192.168.XX.XX> connectport=<端口B> protocol=tcp
  2. 将第三方镜像仓库接入到云安全中心。

    接入第三方镜像仓库时,配置项IP必须填写您已配置了转发规则的VPC的地址。详细操作说明,请参见接入公有云第三方镜像仓库(私有镜像仓库)

相关操作

您可以在资产中心页面查看受到云安全中心防护的镜像信息。资产中心-容器页面

后续步骤

完成私有镜像仓库的接入后,您还需要执行镜像安全扫描操作,才能通过云安全中心检测您的镜像是否存在风险。更多信息,请参见执行镜像安全扫描