Inclusão de integrações com registros de imagens externos

Os registros integrados são compatíveis apenas com repositórios de imagens locais que contenham as imagens diretamente. Na versão 2.1, o Kaspersky Container Security não tem suporte para o trabalho com repositórios virtuais ou remotos.

Para adicionar uma integração com um registro externo:

  1. Na seção AdministrationIntegrationsImage registries, clique no botão Add registry.

    A janela de configurações de integração é aberta.

  2. Na guia Registry details, defina as configurações de conexão com o registro:
    1. Insira o nome do registro.
    2. Se necessário, insira uma descrição do registro.
    3. Na lista suspensa, selecione um ou mais escopos disponíveis para a função do usuário. Se nenhum valor for especificado, a solução usa o escopo padrão.

      Caso precise adicionar um escopo depois de criar uma integração, adicione o registro pertinente ao escopo na seção AdministrationAccess managementScopes.

    4. Selecione o tipo de registro na lista suspensa. O Kaspersky Container Security é compatível com os seguintes tipos de registros:
      • Amazon Elastic Container Registry (integração usando a API do Amazon Elastic Container Registry).
      • Azure Container Registry (integração usando a API do Azure Container Registry).
      • Docker Hub (integração usando a API do Docker Hub).
      • Docker Registry (integração usando a API do Docker Registry V2).
      • GitLab Registry (integração usando a API do GitLab Container Registry).
      • Google Artifact Registry (integração usando a API do Google Artifact Registry).
      • Harbor (integração usando a API do Harbor V2).
      • JFrog Artifactory (integração usando a API do JFrog).
      • Red Hat Quay (integração usando a API do Red Hat Quay).
      • Sfera (integração usando Sfera: API do Registry).
      • Sonatype Nexus Repository OSS (integração usando a API do Nexus).
      • Yandex Registry (integração usando a API do Yandex Container Registry).

      O Docker Registry pode ser acessado usando a API do Docker Registry V2 caso seja configurada uma integração com Sonatype Nexus Repository OSS, Harbor, JFrog Artifactory (usando uma porta ou um subdomínio) ou Yandex Registry. Não há suporte para integrações com GitLab Registry, Docker Hub e JFrog Artifactory (por meio do caminho do repositório).

    5. Ao configurar uma integração com o registro JFrog Artifactory, selecione um dos seguintes métodos da lista suspensa Repository Path method para acessar o Docker:
      • Repository path.
      • Subdomain.
      • Port.
    6. Ao configurar uma integração com o registro Sonatype Nexus Repository OSS, selecione o modo de download: Tagged images ou All images. Se o modo All images for selecionado, a solução baixa todas as imagens do registro, independentemente se elas têm ou não tags. Imagens sem tags são mostradas com o hash da compilação.
    7. Ao configurar uma integração com um registro como JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS, Docker Registry, Red Hat Quay, Azure Container Registry, Google Artifact Registry ou Sfera, insira a URL completa do registro que aponta diretamente para o registro do contêiner. Recomendamos o uso de uma conexão HTTPS (também há suporte para conexões HTTP).

      Ao usar HTTP ou HTTPS com um certificado autoassinado ou inválido, marque a caixa de registro inseguro para o motor Docker nos nós em que o servidor e o verificador estão instalados.

    8. Ao configurar uma integração com um registro como JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS, Red Hat Quay ou Sfera, insira a URL completa que aponta para o registro da API.
    9. Selecione um método de autenticação e especifique os dados necessários da seguinte maneira:
      • Ao configurar uma integração com um registro como o GitLab Registry, selecione a autenticação usando uma conta ou um token de acesso.
      • Ao configurar uma integração com um registro como Yandex Registry, selecione a autenticação usando uma chave de API (token Yandex OAuth) ou um nome de usuário e token. Especifique oauth no nome de usuário ao usar o token OAuth do Yandex, ou iam ao usar o token IAM do Yandex.
      • Para registros como Sonatype Nexus Repository OSS e Docker Hub, a autenticação é feita apenas com uma conta.
      • Para registros como o Harbor, a autenticação só é permitida com uma conta de usuário ou bot.
      • Para registros como o Docker Registry, a autenticação só é feita usando um nome de usuário e uma senha, fornecidos pela API do Docker V2.
      • Para registros como o Red Hat Quay, o único método de autenticação é pelo nome da organização e token de acesso. Especifique estes parâmetros nos campos Organization name e OAuth token.
      • Para o Amazon Elastic Container Registries, a autenticação é feita ao especificar a região, o ID da chave de acesso e a chave de acesso secreta.

        No campo Region, é necessário especificar uma das regiões do Amazon Web Services (por exemplo, us-west-2 ou us-east-2).

        Ao configurar Access key ID e Access key, especifique os valores obtidos pelo console de gerenciamento da AWS.

      • Para registros do tipo Sfera, a autenticação só é possível com um nome de usuário e senha.
      • Para os registros Azure Container, é possível autenticar com a especificação de um segredo ou uma chave privada e um certificado. Por padrão, a autenticação com um segredo é selecionada.
      • Caso esteja configurando a integração do registro com um Google Artifact Registry, a autenticação será executada com o uso de um arquivo de conta de serviço no formato .JSON. É necessário criar o arquivo no Google Cloud e, em seguida, copiar e colar seu conteúdo no campo User account.

        Para acessar o registro, é necessário ter a função de leitor no Artifact Registry no Google Cloud.

    10. Se você estiver configurando a integração do registro com um registro Sfera, no campo Caching interval (GMT), especifique o intervalo de armazenamento em cache para o registro.
    11. Caso esteja configurando a integração com um Azure Container Registry, especifique o ID da locação e o ID do cliente.
  3. Abra a guia Repository caching e use o botão de alternância Disabled/Enabled para permitir o cache, se necessário. Se o cache estiver desativado, os repositórios e as imagens na seção Registry são exibidos apenas se o campo Search for usado. Se o cache estiver ativado, a solução exibe a lista de repositórios e imagens disponíveis. Por padrão, o cache de repositórios está desativado.

    Permitir o cache de repositórios pode afetar o desempenho do Kaspersky Container Security.

    Para um registro do tipo Sfera, a guia Repositories caching está inativa e as configurações de cache aplicáveis são especificadas na guia Registry details.

  4. Acesse a guia Image scan details e especifique as seguintes configurações de verificação de imagens:
    • Tempo limite em minuto para imagens do registro. A configuração padrão é 60 minutos.

      Se a verificação da imagem durar mais tempo do que o especificado, a verificação é interrompida e a imagem volta para a fila de verificação. A solução retornará a imagem para a fila até três vezes. Isso significa que o tempo exigido para a verificação de uma imagem do registro pode ser triplicado.

      Configurações de download e verificação de imagens do registro. Por padrão, a opção Manual está selecionada em Pull and scan images: as imagens não são baixadas automaticamente do registro, mas o usuário pode adicionar imagens à lista de verificação manualmente. Novas imagens são automaticamente colocadas na fila para verificação.

      Caso deseje que as imagens sejam baixadas do registro e colocadas na fila de verificação automaticamente, selecione Automatic e Pull and scan images, e configure o download e a verificação de imagens. As seguintes opções estão disponíveis:

      • Scan interval (days) é o intervalo, em dias, do download de imagens do registro para verificação. O padrão é 1 dia.
      • Scan time (GMT) é a hora em que as imagens no registro foram verificadas.
      • Se quiser, marque a caixa para revisar também as imagens baixadas antes, sempre que novas forem verificadas.
      • Se necessário, em Advanced settings, marque a caixa de seleção Name / tag criteria para usar padrões de tags e nome de imagens para especificar as imagens que deseja baixar e verificar. Se a caixa estiver marcada, o Kaspersky Container Security vai baixar apenas as imagens que seguirem os padrões de verificação definidos.

        Os seguintes padrões também podem ser usados:

        • pelo nome e tag da imagem – <nome><:tag>
        • Apenas pelo nome – <nome>
        • Apenas pela tag da imagem – <:tag>

        Por exemplo:

        • para o padrão alpine, são baixadas todas as imagens com o nome "alpine", independente da tag;
        • para o padrão 4, são baixadas todas as imagens com a tag 4, independente do nome da imagem;
        • para o padrão alpine:4, são baixadas todas as imagens com o nome "alpine" e a tag 4.

        Ao gerar padrões, é possível usar o caractere *, que substitui quaisquer caracteres.

        É possível adicionar um ou mais padrões.

      • Selecione uma das condições adicionais para baixar imagens:
        • Se nenhuma condição adicional for necessária, selecione No additional conditions.
        • Caso deseje baixar apenas imagens criadas em um período específico, selecione essa opção e, nos campos à direita, especifique a duração do período e a unidade de medida. Por padrão, o período é de 60 dias.
        • Se quiser baixar apenas as imagens com as tags mais recentes a partir da data de criação, selecione esta opção e informe, no campo à direita, quantas das tags mais recentes de cada repositório devem ser consideradas.
      • Se necessário, em Exceptions, marque ou desmarque caixas de seleção para definir exceções para o download de imagens:
        • Never pull images with the name/tag pattern - usando padrões de tag/nome da imagem, especifique que imagens devem ser excluídas do download e da verificação.
        • Always pull images with the name/tag pattern - usando padrões de tag/nome da imagem, especifique que imagens devem sempre ser baixadas e verificadas, independentemente das outras condições definidas acima.
  5. Clique em Test connection para ver se é possível estabelecer uma conexão com o registro.
  6. Clique no botão Save, no topo da janela, para salvar as configurações de integração com o registro.

Exemplo de configurações de integração com o registro Red Hat Quay

Topo da página