Создание интеграции с внешним реестром образов

Интегрируемые реестры поддерживают только локальные репозитории образов, непосредственно содержащие в себе образы. В версии 1.2 Kaspersky Security для контейнеров не осуществляет поддержку работы с удаленными и виртуальными репозиториями.

Чтобы создать интеграцию с внешним реестром:

  1. В разделе АдминистрированиеИнтеграции → Реестры образов нажмите на кнопку Добавить реестр.

    Откроется окно ввода параметров интеграции.

  2. На вкладке Параметры реестра укажите параметры подключения к реестру:
    1. Введите название реестра.
    2. Если требуется, введите описание реестра.
    3. Выберите тип реестра из раскрывающегося списка поддерживаемых типов. Решение поддерживает следующие типы реестров:
      • Harbor (интеграция с использованием Harbor V2 API).
      • GitLab Registry (интеграция с использованием GitLab Container Registry API).
      • JFrog Artifactory (интеграция с использованием jFrog API).
      • Sonatype Nexus Repository OSS (интеграция с использованием Nexus API).
      • Yandex Registry (интеграция с использованием Yandex Container Registry API).
      • Docker Hub (интеграция с использованием Docker Hub API).
      • Docker Registry (интеграция с использованием Docker V2 API).

      Доступ к реестру Docker Registry с использованием Docker V2 API можно получить, если вы настраиваете интеграцию с Sonatype Nexus Repository OSS, Harbor, JFrog Artifactory (с помощью порта или поддомена) или Yandex Registry. Интеграции с GitLab Registry, Docker Hub и JFrog Artifactory (с помощью Repository Path) не поддерживаются.

    4. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, для доступа к Docker Hub из раскрывающегося списка Метод Repository Path выберите один из следующих методов:
      • Repository path.
      • Поддомен.
      • Порт.
    5. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS или Docker Registry, введите полный веб-адрес (URL) реестра, который указывает непосредственно на реестр контейнеров. Рекомендуется использовать подключение по протоколу HTTPS (также поддерживается подключение по HTTP).

      При использовании HTTP или HTTPS c самостоятельно подписанным или недействительным сертификатом нужно установить метку --insecure-registry для движка Docker (Docker engine) на узлах, где установлен сервер и сканер.

    6. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry и Sonatype Nexus Repository OSS, введите полный веб-адрес (URL), который указывает на API реестра.
    7. Выберите метод аутентификации и укажите для него необходимые данные следующим образом:
      • Если вы настраиваете интеграцию с реестром типа GitLab Registry, выберите аутентификацию с помощью учетной записи или токена доступа.
      • Если вы настраиваете интеграцию с реестром типа Yandex Registry, выберите аутентификацию с помощью ключа API (OAuth-токен Yandex) или с помощью имени пользователя и токена. В качестве имени пользователя укажите oauth при использовании OAuth-токена Yandex или iam при использовании IAM-токена Yandex.
      • Для реестров типа Sonatype Nexus Repository OSS и Docker Hub аутентификация возможна только с помощью учетной записи.
      • Для реестров типа Harbor аутентификация возможна только с помощью учетной записи пользователя или робота.
      • Для реестров типа Docker Registry аутентификация возможна только с помощью имени пользователя и пароля, значения которых предоставляются Docker V2 API.
  3. Перейдите на вкладку Параметры сканирования образов и укажите максимальное время сканирования образов из этого реестра в минутах.

    Если сканирование образа продолжается дольше установленного времени, сканирование прекращается, и образ вновь помещается в очередь на сканирование. Решение будет отправлять этот образ на повторное сканирование максимум 3 раза. Соответственно, время сканирования образа из реестра может быть превышено в 3 раза.

  4. Настройте параметры выгрузки и сканирования образов для реестра. По умолчанию в блоке Выгрузка и сканирование образов выбран вариант Вручную: образы автоматически не выгружаются из реестра, но пользователь может вручную добавлять образы в список образов, подлежащих сканированию. Новые образы автоматически ставятся в очередь на сканирование.

    Если вы хотите, чтобы образы выгружались из реестра и ставились в очередь на сканирование автоматически, в блоке Выгрузка и сканирование образов выберите вариант Автоматически и настройте параметры выгрузки и сканирования образов. Для настройки доступны следующие параметры:

    • Сканировать раз в – блок параметров, определяющих периодичность выгрузки образов из реестра для сканирования. Время указывается в соответствии со временем узла, на котором развернут сервер.
    • Сканировать образы повторно – если флажок установлен, ранее выгруженные из реестра образы сканируются повторно при каждом сканировании новых образов.
    • Шаблоны имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы нужно выгружать и сканировать. Если флажок установлен, Kaspersky Security для контейнеров будет выгружать для сканирования только те образы, которые соответствуют заданным шаблонам.

      Вы можете использовать шаблоны следующих форматов:

      • шаблон по имени и тегу образа – <имя><:тег>;
      • шаблон только по имени образа – <имя>;
      • шаблон только по тегу образа – <:тег>.

      Например:

      • по шаблону alpine будут выгружаться все образы с именем alpine, независимо от тега;
      • по шаблону :4 будут выгружаться все образы с тегом 4, независимо от имени образа;
      • по шаблону alpine:4 будут выгружаться все образы, с именем alpine и с тегом 4.

      При формировании шаблонов вы можете использовать символ *, который заменяет любое количество символов.

      Чтобы добавить шаблон, введите его в поле и нажмите на кнопку Добавить. Вы можете добавить один или несколько шаблонов.

    • Дополнительные условия для выгрузки образов.
      • Если дополнительные условия не требуются, выберите вариант Без дополнительных условий.
      • Образы, созданные за период – выберите этот вариант, если требуется выгружать только образы, созданные за определенный период (за указанное количество последних дней, месяцев или лет). Укажите в полях справа длительность периода и единицу измерения. По умолчанию установлено 60 дней.
      • Последние – выберите этот вариант, если требуется выгружать только образы с последними тегами, считая от даты создания образа. Укажите в поле справа, сколько последних тегов нужно учитывать.
    • Никогда не выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы исключаются из выгрузки и сканирования.
    • Всегда выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы всегда выгружаются и сканируются, независимо от других условий, заданных выше.
  5. Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с реестром.
  6. Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с реестром.
В начало