Создание интеграции с внешним реестром образов

Интегрируемые реестры поддерживают только локальные репозитории образов, непосредственно содержащие в себе образы. В версии 2.1 Kaspersky Security для контейнеров не осуществляет поддержку работы с удаленными и виртуальными репозиториями.

Чтобы создать интеграцию с внешним реестром:

  1. В разделе АдминистрированиеИнтеграции → Реестры образов нажмите на кнопку Добавить реестр.

    Откроется окно ввода параметров интеграции.

  2. На вкладке Параметры реестра укажите параметры подключения к реестру:
    1. Введите название реестра.
    2. Если требуется, введите описание реестра.
    3. В раскрывающемся списке выберите одну или несколько областей применения, которые доступны роли пользователя. Если значение не указано, решение применяет установленную по умолчанию область применения.

      Если потребуется добавить какую-либо область применения после создания интеграции, необходимо добавить соответствующий реестр в область применения в разделе АдминистрированиеУправление доступомОбласти применения.

    4. Выберите тип реестра из раскрывающегося списка поддерживаемых типов. Решение поддерживает следующие типы реестров:
      • Amazon Elastic Container Registry (интеграция с использованием Amazon Elastic Container Registry API).
      • Azure Container Registry (интеграция с использованием Azure Container Registry API).
      • Docker Hub (интеграция с использованием Docker Hub API).
      • Docker Registry (интеграция с использованием Docker Registry V2 API).
      • GitLab Registry (интеграция с использованием GitLab Container Registry API).
      • Google Artifact Registry (интеграция с использованием Google Artifact Registry API).
      • Harbor (интеграция с использованием Harbor V2 API).
      • JFrog Artifactory (интеграция с использованием JFrog API).
      • Red Hat Quay (интеграция с использованием Red Hat Quay API).
      • Сфера (англ. Sfera) (интеграция с использованием Сфера: Реестр API).
      • Sonatype Nexus Repository OSS (интеграция с использованием Nexus API).
      • Yandex Registry (интеграция с использованием Yandex Container Registry API).

      Доступ к реестру Docker Registry с использованием Docker Registry V2 API можно получить, если вы настраиваете интеграцию с Sonatype Nexus Repository OSS, Harbor, JFrog Artifactory (с помощью порта или поддомена) или Yandex Registry. Интеграции с GitLab Registry, Docker Hub и JFrog Artifactory (с помощью Repository Path) не поддерживаются.

    5. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, для доступа к Docker Hub из раскрывающегося списка Метод Repository Path выберите один из следующих методов:
      • Repository path.
      • Поддомен.
      • Порт.
    6. Если вы настраиваете интеграцию с реестром Sonatype Nexus Repository OSS, выберите режим выгрузки: Образы с тегами или Все образы. Если выбран режим Все образы, решение выгружает все образы реестра вне зависимости от наличия у них тегов. Образы без тегов отображаются по имени хеша сборки.
    7. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS, Docker Registry, Red Hat Quay, Azure Container Registry, Google Artifact Registry или Сфера, введите полный веб-адрес (URL) реестра, который указывает непосредственно на реестр контейнеров. Рекомендуется использовать подключение по протоколу HTTPS (также поддерживается подключение по HTTP).

      При использовании HTTP или HTTPS c самостоятельно подписанным или недействительным сертификатом нужно установить метку --insecure-registry для движка Docker (Docker engine) на узлах, где установлен сервер и сканер.

    8. Если вы настраиваете интеграцию с реестром типа JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS, Red Hat Quay или Сфера, введите полный веб-адрес (URL), который указывает на API реестра.
    9. Выберите метод аутентификации и укажите для него необходимые данные следующим образом:
      • Если вы настраиваете интеграцию с реестром типа GitLab Registry, выберите аутентификацию с помощью учетной записи или токена доступа.
      • Если вы настраиваете интеграцию с реестром типа Yandex Registry, выберите аутентификацию с помощью ключа API (OAuth-токен Yandex) или с помощью имени пользователя и токена. В качестве имени пользователя укажите oauth при использовании OAuth-токена Yandex или iam при использовании IAM-токена Yandex.
      • Для реестров типа Sonatype Nexus Repository OSS и Docker Hub аутентификация возможна только с помощью учетной записи.
      • Для реестров типа Harbor аутентификация возможна только с помощью учетной записи пользователя или робота.
      • Для реестров типа Docker Registry аутентификация возможна только с помощью имени пользователя и пароля, значения которых предоставляются Docker V2 API.
      • Для реестров типа Red Hat Quay аутентификация возможна только с помощью названия организации и токена доступа. Укажите значения этих параметров в полях Название организации и OAuth-токен.
      • Для реестров типа Amazon Elastic Container Registry аутентификация возможна с помощью указания региона, идентификатора ключа доступа (англ. Access key ID) и секретного ключа доступа (англ. Secret access key).

        В поле Регион требуется указать один из принятых в Amazon Web Services регионов (например, us-west-2 или us-east-2).

        Для параметров Идентификатор ключа доступа и Ключ доступа необходимо указать значения, полученные с помощью консоли управления AWS.

      • Для реестров типа Сфера аутентификация возможна только с помощью имени пользователя и пароля.
      • Для реестров типа Azure Container Registry аутентификация возможна с помощью секрета или закрытого ключа и сертификата. По умолчанию выбрана аутентификация с помощью секрета.
      • Если вы настраиваете интеграцию с реестром типа Google Artifact Registry, аутентификация осуществляется с помощью файла учетной записи службы в формате .JSON. Этот файл требуется самостоятельно сформировать в Google Cloud, а затем скопировать вставить его содержимое в поле Учетная запись службы.

        Для доступа к реестру учетной записи службы в Google Cloud у вас должна быть роль с правом чтения артефактов в реестре (англ. Artifact Registry Reader).

    10. Если вы настраиваете интеграцию с реестром типа Сфера, в поле Интервал кеширования (по Гринвичу) укажите временной интервал для кеширования этого реестра.
    11. Если вы настраиваете интеграцию с реестром типа Azure Container Registry, укажите идентификатор тенанта и идентификатор клиента.
  3. Перейдите на вкладку Кеширование репозиториев и с помощью переключателя Выключено / Включено при необходимости включите кеширование репозиториев. Если кеширование выключено, репозитории и образы в разделе Реестры отображаются только при использовании поля Поиск. Если кеширование включено, решение отображает доступный список репозиториев и образов. По умолчанию кеширование репозиториев выключено.

    При включенном кешировании репозиториев эффективность работы Kaspersky Security для контейнеров может быть снижена.

    Для реестра типа Сфера вкладка Кеширование репозиториев неактивна, применимые параметры кеширования указываются на вкладке Параметры реестра.

  4. Перейдите на вкладку Параметры сканирования образов и укажите следующие параметры сканирования образов:
    • Максимальное время сканирования образов из этого реестра в минутах. По умолчанию установлено значение 60 минут.

      Если сканирование образа продолжается дольше установленного времени, сканирование прекращается, и образ вновь помещается в очередь на сканирование. Решение будет отправлять этот образ на повторное сканирование максимум 3 раза. Соответственно, время сканирования образа из реестра может быть превышено в 3 раза.

      Параметры выгрузки и сканирования образов для реестра. По умолчанию в блоке Выгрузка и сканирование образов выбран вариант Вручную: образы автоматически не выгружаются из реестра, но пользователь может вручную добавлять образы в список образов, подлежащих сканированию. Новые образы автоматически ставятся в очередь на сканирование.

      Если вы хотите, чтобы образы выгружались из реестра и ставились в очередь на сканирование автоматически, в блоке Выгрузка и сканирование образов выберите вариант Автоматически и настройте параметры выгрузки и сканирования образов. Для настройки доступны следующие параметры:

      • Интервал сканирования (дн.) – периодичность выгрузки образов из реестра для сканирования в днях. По умолчанию установлено значение 1 день.
      • Время сканирования (по Гринвичу) – время осуществления сканирования образов из реестра.
      • При необходимости установите флажок для повторного сканирования ранее выгруженных образов при каждом сканировании новых образов.
      • При необходимости в блоке Расширенные настройки установите флажок Шаблоны имени/тега, чтобы с помощью шаблонов имен и/или тегов образов указать, какие образы нужно выгружать и сканировать. Если флажок установлен, Kaspersky Security для контейнеров будет выгружать для сканирования только те образы, которые соответствуют заданным шаблонам.

        Вы можете использовать шаблоны следующих форматов:

        • шаблон по имени и тегу образа – <имя><:тег>;
        • шаблон только по имени образа – <имя>;
        • шаблон только по тегу образа – <:тег>.

        Например:

        • по шаблону alpine будут выгружаться все образы с именем alpine, независимо от тега;
        • по шаблону :4 будут выгружаться все образы с тегом 4, независимо от имени образа;
        • по шаблону alpine:4 будут выгружаться все образы, с именем alpine и с тегом 4.

        При формировании шаблонов вы можете использовать символ *, который заменяет любое количество символов.

        Вы можете добавить один или несколько шаблонов.

      • Выберите один из вариантов дополнительных условий для выгрузки образов:
        • Если дополнительные условия не требуются, выберите вариант Без дополнительных условий.
        • Если необходимо выгружать только образы, созданные за определенный период, выберите этот вариант и в полях справа укажите длительность периода и единицу измерения. По умолчанию установлено 60 дней.
        • Если требуется выгружать только образы с последними тегами, считая от даты создания образа, выберите этот вариант и в поле справа укажите, сколько последних тегов из каждого репозитория требуется учитывать.
      • При необходимости в блоке Исключения с помощью установки флажков определите исключения для выгрузки образов:
        • Никогда не выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы исключаются из выгрузки и сканирования.
        • Всегда выгружать образы с шаблоном имени/тега – вы можете указать с помощью шаблонов имен и/или тегов образов, какие образы всегда выгружаются и сканируются, независимо от других условий, заданных выше.
  5. Нажмите на кнопку Проверить соединение, чтобы посмотреть, устанавливается ли соединение с реестром.
  6. Нажмите на кнопку Сохранить в верхней части окна, чтобы сохранить параметры интеграции с реестром.

Пример параметров интеграции с реестром Red Hat Quay

В начало