管理容器连接

您可以查看和管理您的当前注册表连接,并创建新的连接从“设置”页的连接。从“设置”页,您还可以建立到票务服务器的连接,以将每个补救状态映射到票务程序中的一个项目状态。

查看连接设置

要进入“设置”页面,请单击管理图标或管理连接单击“存储库详细信息”页面上的。

“连接”区域显示所有当前连接,并允许您添加其他连接。

  • 要在连接状态区域中查看所有连接,请单击所有
  • 若要在连接状态区查看您的票务连接,请单击票务
  • 要查看特定的票务连接,请在“票证”区域中单击其名称。
  • 要在连接状态区域中查看所有注册表连接,请单击注册表
  • 要查看特定注册表的所有连接,请单击“注册表”部分中的名称。

查看连接状态

连接状态区域允许您查看、编辑和删除当前连接。该区域包含连接的名称、连接状态、连接类型和存储库凭据。

连接可以有以下状态之一:

  • 连接- 基于此配置,容器基于当前扫描计划与InsightVM同步。
  • 错误的授权失败-您的授权凭证可能无效。有关更多信息,请参见编辑注册表连接。
  • 未找到- 找不到指定的注册表。请参阅添加注册表连接以添加连接。
  • SSL握手—您的SSL证书可能无效。
  • 未知的- 这是一个不明的错误。请联系我们的支持团队寻求帮助。

添加存储库配置

如果您对注册中心中的特定存储库的访问受限,则可以将存储库配置添加到注册中心连接中。

这是一个可选步骤,只有在无法使用单个凭据访问所有可用存储库时才应该使用。

添加存储库配置:

  1. 从“设置”页,找到您想要修改的注册表连接并单击编辑
  2. 从“编辑注册表”面板中,单击存储库连接设置
  3. 点击新配置并完成必要的领域。
  4. 在保存之前测试连接。如果测试成功,则会出现成功通知。如果测试失败,则会出现错误通知。检查您的凭证或连接,然后再试一次。
  5. 点击保存

新的存储库连接显示在列表中,并在存储库凭据下拉列表中。

添加相同类型的注册表连接

如果要限制对特定存储库的访问权限,则可以添加其他注册表,而不是同步原始帐户的所有可用Repos,然后添加存储库连接。有关更多信息,请参阅添加存储库连接。

要添加相同类型的注册表连接:

  1. 从“设置”页,找到要添加的注册表连接并单击添加
  2. 在“添加注册表”面板上,单击选择一个现有的注册表连接并从下拉列表中选择一个注册表。
  3. 点击好吧

编辑注册表连接

如果需要更改连接设置,则可以编辑现有注册表连接。

要编辑注册表连接:

  1. 从“设置”页,找到您想要修改的注册表连接并单击编辑
  2. 从“编辑注册表”面板中,单击注册表连接设置
  3. 编辑适当的信息。
  4. 在保存之前测试连接。如果测试成功,则会出现成功通知。如果测试失败,则会出现错误通知。检查您的凭证或连接,然后再试一次。
  5. 点击保存

如果要限制对特定存储库的访问权限,则可以添加其他注册表,而不是同步原始帐户的所有可用Repos,然后添加存储库连接。

删除注册表连接

您可以在任何时候删除连接。您可能想要删除某个连接,该连接存在您无法修复或不再需要的错误。如果删除连接,则可能必须评估相关映像并在必要时创建新连接。

删除连接:

  • 从“设置”页,找到你想要删除的连接并删除它。当确认消息出现时,单击继续删除它。

修改注册表连接字段

使用以下信息为特定注册表创建或编辑注册表连接。

作为一种最佳实践,我们建议使用作为提供的凭据连接注册中心只读

亚马逊ECR

ECR注册表使用以下URI格式保存: .dkr.ECR。 .amazonaws.com.例如,1234567890. dkr.ecr.us -东- 1. amazonaws.com.InsightVM需要对ECR进行只读访问,以列出存储库、图像、标签和提取图像。以下是访问注册表中所有存储库和映像所需的策略操作:

  • ecr: GetAuthorizationToken
  • ecr: BatchCheckLayerAvailability
  • ECR:GetDownloadUlflforlayer.
  • ecr: DescribeRepositories
  • ecr: ListImages
  • ECR:DepiceImages.
  • ecr: BatchGetImage

有关ECR IAM策略的更多信息,请参见亚马逊ECR IAM政策和角色

如果你使用存储库策略来控制docker的push/pull访问,InsightVM仍然需要允许以下策略操作来列出存储库和映像:

  • ecr: GetAuthorizationToken
  • ecr: DescribeRepositories
  • ecr: ListImages
  • ECR:DepiceImages.

有关ECR存储库策略的更多信息,请参见亚马逊ECR存储库策略

添加Amazon ECR注册表连接:

  1. 输入名称和帐户ID。
  2. 从下拉菜单中选择区域。
  3. 在“全局证书”区域,输入“Access Key”和“Secret Key”。

Azure容器注册表

  1. 导航到Azure Active Directory仪表板,然后转到应用注册>新应用注册
  2. 输入应用程序的名称(例如InsightVM)https://insight.rapid7.com.作为登录URL.这应用程序类型应该是Web应用程序/ API
  3. 保存新应用程序。确保复制应用程序ID以备后用。
  4. 保存后,点击“API ACCESS”下的按钮。为新键指定一个名称,并保存以显示键值。保存该值以供参考。
  5. 您的InsightVM应用程序需要读者AcrPull角色以连接到Azure容器注册表。要使这些权限更改,请导航到Azure Container注册表仪表板,然后单击访问控制(IAM)>添加.选择读者角色,然后搜索以前保存的应用程序名称。重复这个过程AcrPull的角色。完成后保存权限更改。
  6. 从曝光分析合作伙伴连接页面创建一个新的Azure注册表。填写必需的字段并保存。这个领域Azure的注册名称必须与您希望连接的Azure Container Registry资源的名称匹配。

码头工人中心

要创建注册表连接,您需要提供一个名称,并且在“全局凭据”区域中,您需要输入用户名和密码。

私有托管Docker注册表

所有注册表连接都使用HTTPS,并需要有效的、受信任的证书。如果您需要配置防火墙规则,允许流量到您的私有注册表,请参阅配置与Insight Platform的通信dota2必威联赛

要创建注册表连接,您需要输入名称,主机和端口。

谷歌容器注册表

在继续之前,请确认您已拥有Google容器注册表。您需要创建一个服务帐户以将注册表连接到InsightVM。

创建您的谷歌注册服务帐户

我们建议创建一个新的服务帐户来连接到InsightVM以使用我们的容器安全特性。

  1. 在Google Cloud平台中,打开托管容器注册表的项目。
  2. 导航到集装箱注册表
    • 请注意图像的主机名。您需要为注册表中使用的每个多区域主机名创建一个单独的连接。
  3. 导航到IAM & Admin >业务帐户
  4. 选择+创建服务帐户
  5. 在托管容器注册中心的项目中创建一个新的服务帐户。
  6. 选择存储对象查看器在下拉菜单中。点击继续确认您的选择。

服务帐户的步骤

  1. 点击完毕保存您的新服务帐户。
  2. 找到您的新帐户所在行。
  3. 单击一行末尾的3个垂直点(在Actions下)显示下拉菜单。

“操作”下的“服务帐户”下拉菜单

  1. 导航到管理密钥>添加密钥
  2. 选择JSON在关键类型下。
  3. 点击创建并下载JSON密钥文档。您需要将此密钥粘贴到InsightVM连接到您的Google容器注册表
可选:验证服务帐户访问

这些可选步骤将确认您的新服务帐户可以访问存储桶。如果您的新服务帐户没有权限,则必须手动添加它们

  1. 进入云存储界面。
  2. 找到包含映像的桶的行。

桶的命名约定

将为包含映像的桶命名工件。[项目id] .appspot.com,或(地区).artifacts。[项目id] .appspot.com如果您使用区域注册中心。

  1. 单击行尾的三个垂直点显示下拉菜单。
  2. 点击编辑桶权限
  3. 点击存储对象查看器显示可以读取桶的帐户。如果您的服务帐户可以访问,您将看到它列出。如果您没有看到您的帐户,您将不得不手动添加它
可选:手动添加业务帐户接入

如果您没有看到服务帐户列表,您将需要手动添加它。要做到这一点,您需要添加服务帐户电子邮件作为存储对象查看器角色的成员:

  1. 找到包含映像的桶的行。
  2. 单击行尾的三个垂直点显示下拉菜单。
  3. 点击编辑桶权限
  4. 点击+添加成员
  5. 在新成员字段中输入服务帐户电子邮件地址。
  6. 选择角色存储对象查看器在下拉菜单中。
  7. 点击保存
  8. 检查下面是否添加了服务帐户存储对象查看器再次。

将InsightVM连接到谷歌容器注册表

在InsightVM:

  1. 导航到齿轮图标>连接标签>谷歌容器注册>添加
  2. 输入承载容器注册中心的名称、GCR主机(多区域主机名)和项目ID。
  3. 复制并粘贴“键”字段中下载的JSON密钥文档的整个内容。
  4. 点击保存

码头

要使此配置生效,您必须拥有一个能够访问容器存储库的Quay Organization帐户。用户帐户将不起作用。

  1. 导航到组织帐户中的“应用程序”选项卡。
  2. 点击创建新的应用程序并输入应用程序的名称。
  3. 对于主页URL,输入https://insight.rapid7.com.作为主页URL和重定向/回调URL前缀。
  4. 保存更改。
  5. 转到“生成令牌”选项卡以获取新创建的应用程序。选择查看所有可见存储库,点击生成访问令牌,并保存生成的令牌以供参考。
  6. 在InsightVM中,输入注册表的名称。然后,输入您授予访问令牌的Quay组织的名称。
  7. 在“Key”字段中,输入生成的令牌。
  8. 保存更改。

Snyk

容器安全性评估通过与Snyk漏洞数据库的集成报告Ruby漏洞。snyder的平台便于开发人员使用,以安全地构建软件。Synk使您能够在整个开发过程中发现、确定和修复开源依赖项中的漏洞。

找出你是否有让你处于危险中的弱点。