Создание интеграции с внешним реестром образов

Интегрируемые реестры поддерживают только локальные репозитории образов, непосредственно содержащие в себе образы. В версии 2.0 Kaspersky Security для контейнеров не осуществляет поддержку работы с удаленными и виртуальными репозиториями.

Чтобы создать интеграцию с внешним реестром:

  1. В разделе АдминистрированиеИнтеграции → Реестры образов нажмите на кнопку Добавить реестр.

    Откроется окно ввода параметров интеграции.

  2. На вкладке Параметры реестра укажите параметры подключения к реестру:
    1. Введите название реестра.
    2. Если требуется, введите описание реестра.
    3. Выберите тип реестра из раскрывающегося списка поддерживаемых типов. Решение поддерживает следующие типы реестров:
      • Harbor (интеграция с использованием Harbor V2 API).
      • GitLab Registry (интеграция с использованием GitLab Container Registry API).
      • JFrog Artifactory (интеграция с использованием JFrog API).
      • Sonatype Nexus Repository OSS (интеграция с использованием Nexus API).
      • Yandex Registry (интеграция с использованием Yandex Container Registry API).
      • Docker Hub (интеграция с использованием Docker Hub API).
      • Docker Registry (интеграция с использованием Docker Registry V2 API).
      • Red Hat Quay (интеграция с использованием Red Hat Quay API).
      • Amazon Elastic Container Registry (интеграция с использованием Amazon Elastic Container Registry API).

      Доступ к реестру Docker Registry с использованием Docker Registry V2 API можно получить, если вы настраиваете интеграцию с Sonatype Nexus Repository OSS, Harbor, JFrog Artifactory (с помощью порта или поддомена) или Yandex Registry. Интеграции с GitLab Registry, Docker Hub и JFrog Artifactory (с помощью Repository Path) не поддерживаются.

    4. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, для доступа к Docker Hub из раскрывающегося списка Метод Repository Path выберите один из следующих методов:
      • Repository path.
      • Поддомен.
      • Порт.
    5. Если вы настраиваете интеграцию с реестром Sonatype Nexus Repository OSS, выберите режим выгрузки: Образы с тегами или Все образы. Если выбран режим Все образы, решение выгружает все образы реестра вне зависимости от наличия у них тегов. Образы без тегов отображаются по имени хеша сборки.
    6. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS, Docker Registry или Red Hat Quay, введите полный веб-адрес (URL) реестра, который указывает непосредственно на реестр контейнеров. Рекомендуется использовать подключение по протоколу HTTPS (также поддерживается подключение по HTTP).

      При использовании HTTP или HTTPS c самостоятельно подписанным или недействительным сертификатом нужно установить метку --insecure-registry для движка Docker (Docker engine) на узлах, где установлен сервер и сканер.

    7. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS и Red Hat Quay, введите полный веб-адрес (URL), который указывает на API реестра.
    8. Выберите метод аутентификации и укажите для него необходимые данные следующим образом:
      • Если вы настраиваете интеграцию с реестром типа GitLab Registry, выберите аутентификацию с помощью учетной записи или токена доступа.
      • Если вы настраиваете интеграцию с реестром типа Yandex Registry, выберите аутентификацию с помощью ключа API (OAuth-токен Yandex) или с помощью имени пользователя и токена. В качестве имени пользователя укажите oauth при использовании OAuth-токена Yandex или iam при использовании IAM-токена Yandex.
      • Для реестров типа Sonatype Nexus Repository OSS и Docker Hub аутентификация возможна только с помощью учетной записи.
      • Для реестров типа Harbor аутентификация возможна только с помощью учетной записи пользователя или робота.
      • Для реестров типа Docker Registry аутентификация возможна только с помощью имени пользователя и пароля, значения которых предоставляются Docker V2 API.
      • Для реестров типа Red Hat Quay аутентификация возможна только с помощью названия организации и токена доступа. Укажите значения этих параметров в полях Название организации и OAuth-токен.
      • Для реестров типа Amazon Elastic Container Registry аутентификация возможна с помощью указания региона, идентификатора ключа доступа (англ. Access key ID) и секретного ключа доступа (англ. Secret access key).

        В поле Регион требуется указать один из принятых в Amazon Web Services регионов (например, us-west-2 или us-east-2).

        Для параметров Идентификатор ключа доступа и Ключ доступа необходимо указать значения, полученные с помощью консоли управления AWS.

  3. Перейдите на вкладку Кеширование репозиториев и с помощью переключателя Выключено / Включено при необходимости включите кеширование репозиториев. Если кеширование выключено, репозитории и образы в разделе Реестры отображаются только при использовании поля Поиск. Если кеширование включено, решение отображает доступный список репозиториев и образов. По умолчанию кеширование репозиториев выключено.

    При включенном кешировании репозиториев эффективность работы Kaspersky Security для контейнеров может быть снижена.

  4. Перейдите на вкладку Параметры сканирования образов и укажите следующие параметры сканирования образов:
    • Максимальное время сканирования образов из этого реестра в минутах. По умолчанию установлено значение 60 минут.

      Если сканирование образа продолжается дольше установленного времени, сканирование прекращается, и образ вновь помещается в очередь на сканирование. Решение будет отправлять этот образ на повторное сканирование максимум 3 раза. Соответственно, время сканирования образа из реестра может быть превышено в 3 раза.

      Параметры выгрузки и сканирования образов для реестра. По умолчанию в блоке Выгрузка и сканирование образов выбран вариант Вручную: образы автоматически не выгружаются из реестра, но пользователь может вручную добавлять образы в список образов, подлежащих сканированию. Новые образы автоматически ставятся в очередь на сканирование.

      Если вы хотите, чтобы образы выгружались из реестра и ставились в очередь на сканирование автоматически, в блоке Выгрузка и сканирование образов выберите вариант Автоматически и настройте параметры выгрузки и сканирования образов. Для настройки доступны следующие параметры:

      • Интервал сканирования (дн.) – периодичность выгрузки образов из реестра для сканирования в днях. По умолчанию установлено значение 1 день.
      • Время сканирования (по Гринвичу) – время осуществления сканирования образов из реестра.
      • При необходимости установите флажок для повторного сканирования ранее выгруженных образов при каждом сканировании новых образов.
      • При необходимости в блоке Расширенные настройки установите флажок Шаблоны имени/тега, чтобы с помощью шаблонов имен и/или тегов образов указать, какие образы нужно выгружать и сканировать. Если флажок установлен, Kaspersky Security для контейнеров будет выгружать для сканирования только те образы, которые соответствуют заданным шаблонам.

        Вы можете использовать шаблоны следующих форматов:

        • шаблон по имени и тегу образа – <имя><:тег>;
        • шаблон только по имени образа – <имя>;
        • шаблон только по тегу образа – <:тег>.

        Например:

        • по шаблону alpine будут выгружаться все образы с именем alpine, независимо от тега;
        • по шаблону :4 будут выгружаться все образы с тегом 4, независимо от имени образа;
        • по шаблону alpine:4 будут выгружаться все образы, с именем alpine и с тегом 4.

        При формировании шаблонов вы можете использовать символ *, который заменяет любое количество символов.

        Вы можете добавить один или несколько шаблонов.

      • Выберите один из вариантов дополнительных условий для выгрузки образов:
        • Если дополнительные условия не требуются, выберите вариант Без дополнительных условий.
        • Если необходимо выгружать только образы, созданные за определенный период, выберите этот вариант и в полях справа укажите длительность периода и единицу измерения. По умолчанию установлено 60 дней.
        • Если требуется выгружать только образы с последними тегами, считая от даты создания образа, выберите этот вариант и в поле справа укажите, сколько последних тегов из каждого репозитория требуется учитывать.
      • При необходимости в блоке Исключения с помощью установки флажков определите исключения для выгрузки образов:
        • Никогда не выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы исключаются из выгрузки и сканирования.
        • Всегда выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы всегда выгружаются и сканируются, независимо от других условий, заданных выше.
  5. Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с реестром.
  6. Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с реестром.

Пример параметров интеграции с реестром Red Hat Quay

В начало