对容器镜像进行安全扫描之前,您需要将镜像仓库接入到云安全中心。本文介绍如何接入镜像仓库。

前提条件

已开通镜像安全扫描功能。更多信息,请参见开通服务

支持接入的镜像仓类型

云安全中心支持接入的容器镜像仓包括:
  • 阿里云容器镜像服务ACR
  • 第三方镜像服务(harbor、quay)

接入阿里云容器服务镜像仓库

阿里云容器镜像服务ACR包括企业版和个人版。目前云安全中心支持同步ACR企业版和个人版镜像数据,但仅支持对企业版进行镜像安全扫描。

为企业版实例添加专有网络后,即完成了将镜像仓库接入到云安全中心。相关内容,请参见配置专有网络的访问控制

接入公有云第三方镜像仓库(私有镜像仓库)

在生成K8s配置文件前,您的服务器需要满足以下前提条件:
  • 已在服务器上搭建K8s集群。
  • 已安装Docker。
  • 如果您的集群有设置访问控制策略,确认您已将容器对应的地域加入到访问控制白名单中。
    地域信息如下:
    • 杭州:100.104.177.0/26
    • 上海:100.104.7.192/26
    • 张家口:100.104.187.64/26
    • 北京:100.104.20.128/26
    • 深圳:100.104.9.192/26
    • 中国香港:100.104.111.128/26
    • 青岛:100.104.87.192/26
    • 成都:100.104.87.192/26
    • 呼和浩特:100.104.36.0/26
    • 日本:100.104.69.0/26
    • 新加坡:100.104.41.128/26
    • 印尼雅加达:100.104.193.128/26
    • 美西硅谷:100.104.145.64/26
    • 美东弗吉尼亚:100.104.36.0/26

如果您的第三方镜像仓库是由公有云厂商提供,请参考以下步骤完成接入流程。

  1. 登录云安全中心控制台
  2. 在左侧导航栏,选择安全防范 > 镜像安全扫描
  3. 镜像安全扫描页面的三方镜像仓接入区域,单击接入
    接入
  4. 接入镜像仓面板上,配置接入私有仓库的参数。
    接入私有镜像仓库的配置项说明如下。
    配置项 说明
    私有仓库类型 选择私有仓库类型。目前支持选择harborquay类型的仓库。
    说明 请按照您容器镜像存储的镜像仓,选择对应的私有仓库类型即可。
    版本 选择第三方镜像仓库的版本。支持选择以下版本:
    • V1:镜像仓库版本为1.X.X时,选择该版本。
    • V2:镜像仓库版本为2.X.X及以上时,选择该版本。
    通信类型 选择云安全中心和第三方镜像仓库的通信协议。可选择HTTPHTTPS
    网络类型 选择第三方镜像仓库的网络类型。可选择公网VPC
    RegionId 选择第三方镜像仓库所在区域。
    IP 输入第三方镜像仓库的IP地址。
    说明 第三方镜像仓库部署在混合云环境中时,IP必须填写。
    域名 输入第三方镜像仓库的域名。
    限速 选择每小时可接入的镜像仓库个数。默认为10。可选值:
    • 5
    • 10
    • 30
    • 50
    • 200
    • 500
    • 1000
    • 无限制
    注意 如果每小时内接入的镜像过多,可能会影响您的正常业务的运行,建议您谨慎选择无限制
    用户名 输入访问第三方镜像仓库时使用的用户名。
    密码 输入访问第三方镜像仓库的密码。
  5. 单击确定
    接入第三方镜像仓库后,您可以在镜像安全扫描页面的扫描设置面板中查看已接入的镜像仓库信息。

接入混合云第三方镜像仓库

如果您的第三方镜像服务是通过线下IDC+云上VPC的混合云方式来部署的,您需要先配置流量的转发规则,再完成接入镜像仓库。操作流程如下:

  1. 指定一台ECS服务器,将其访问流量转发到第三方镜像服务所在的IDC服务器上。

    示例:将执行转发任务的ECS服务器中A端口的流量,转发至第三方镜像服务所在的IDC服务器192.168.XX.XX的B端口。

    • CentOS 7命令:
      • 使用firewallcmd:
        firewall-cmd --permanent --add-forward-port=port=<A端口>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<B端口>
      • 使用iptables:
        1. 开启端口转发。
          # echo "1" > /proc/sys/net/ipv4/ip_forward                                                                                                                                                                                                                                                                                                                                                                                                                                                                           
        2. 设置端口转发。
          # iptables -t nat -A PREROUTING -p tcp --dport <A端口> -j DNAT --to-destination <192.168.XX.XX>:<B端口>
    • Windows命令:
      netsh interface portproxy add v4tov4 listenport=<端口A> listenaddress=* connectaddress=<192.168.XX.XX> connectport=<端口B> protocol=tcp
  2. 将第三方镜像仓库接入到云安全中心。

    接入第三方镜像仓库时,配置项IP必须填写您已配置了转发规则的VPC的地址。详细操作说明,请参见接入公有云第三方镜像仓库(私有镜像仓库)

相关操作

您可以在资产中心页面查看受到云安全中心防护的镜像信息。资产中心-容器页面

后续步骤

完成私有镜像仓库的接入后,您还需要执行镜像安全扫描操作,才能通过云安全中心检测您的镜像是否存在风险。更多信息,请参见执行镜像安全扫描