接入镜像仓库

更新时间: 2023-06-15 11:53:51

对容器镜像进行安全扫描之前,您需要将镜像仓库接入到云安全中心。本文介绍如何将镜像仓库接入云安全中心。

背景信息

云安全中心支持接入的容器镜像仓包括:Harbor镜像仓库、Quay镜像仓库和阿里云容器镜像服务ACR。

前提条件

已购买云安全中心旗舰版并开通镜像安全扫描功能。具体操作,请参见购买云安全中心开通服务

接入阿里云容器服务镜像仓库

阿里云容器镜像服务ACR包括企业版和个人版。目前云安全中心支持同步ACR企业版和个人版的镜像数据,仅支持对ACR企业版镜像进行镜像安全扫描。您只需为ACR企业版实例添加专有网络,即可将ACR企业版镜像仓库接入到云安全中心;ACR个人版实例无限制,创建后即可接入云安全中心。相关操作,请参见配置专有网络的访问控制

云安全中心支持通过以下方式同步ACR企业版和个人版的镜像数据:

  • 自动同步:云安全中心默认每日凌晨同步容器镜像服务ACR中的镜像数据。

  • 手动同步最新资产:具体操作,请参见同步最新资产

接入第三方镜像仓库(私有镜像仓库)

如果您的容器镜像仓库设置了访问控制策略,请确保已将镜像仓库对应的地域的地址池IP加入到访问控制白名单中。

点我查看需加白的地址池IP

地域公网IP私网IP
华东1(杭州)47.96.166.214100.104.12.64/26
华东2(上海)139.224.15.48、101.132.180.26、47.100.18.171、47.100.0.176、139.224.8.64、101.132.70.106、101.132.156.228、106.15.36.12、139.196.168.125、47.101.178.223、47.101.220.176100.104.43.0/26
华北1(青岛)47.104.111.68100.104.87.192/26
华北2(北京)47.95.202.245100.104.114.192/26
华北3(张家口)39.99.229.195100.104.187.64/26
华北5(呼和浩特)39.104.147.68100.104.36.0/26
华南1(深圳)120.78.64.225100.104.250.64/26
中国香港8.218.59.176100.104.130.128/26
日本(东京)47.74.24.20100.104.69.0/26
新加坡8.219.240.137100.104.67.64/26
美国(硅谷)47.254.39.224100.104.145.64/26
美国(弗吉尼亚)47.252.4.238100.104.36.0/26
德国(法兰克福)47.254.158.71172.16.0.0/20
英国(伦敦)8.208.14.12172.16.0.0/20
印度尼西亚(雅加达)149.129.238.99100.104.193.128/26
  1. 如果您的第三方镜像服务是通过线下IDC+云上VPC的混合云方式来部署的,您需要配置流量的转发规则,即指定一台ECS服务器,将其访问流量转发到第三方镜像服务所在的IDC服务器上。

    示例:将执行转发任务的ECS服务器中A端口的流量,转发至第三方镜像服务所在的IDC服务器192.168.XX.XX的B端口。

    • CentOS 7命令:

      • 使用firewallcmd:

        firewall-cmd --permanent --add-forward-port=port=<A端口>:proto=tcp:toaddr=<192.168.XX.XX>:toport=<B端口>
      • 使用iptables:

        1. 开启端口转发。

          echo "1" > /proc/sys/net/ipv4/ip_forward                                                                                                                                                                                                                                                                                                                                                                                                                                                                           
        2. 设置端口转发。

          iptables -t nat -A PREROUTING -p tcp --dport <A端口> -j DNAT --to-destination <192.168.XX.XX>:<B端口>
    • Windows命令:

      netsh interface portproxy add v4tov4 listenport=<端口A> listenaddress=* connectaddress=<192.168.XX.XX> connectport=<端口B> protocol=tcp
  2. 登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国全球(不含中国)

  3. 在左侧导航栏,选择资产中心 > 容器资产

  4. 容器资产页面的镜像页签下,定位到三方镜像仓接入区域单击接入接入第三方镜像仓库

  5. 接入镜像仓面板,配置接入私有仓库的参数,然后单击确定

    配置项

    说明

    私有仓库类型

    根据您容器镜像存储的镜像仓选择私有仓库类型。目前支持选择harborquay类型的仓库。

    版本

    选择第三方镜像仓库的版本。可选项:

    • V1:镜像仓库版本为1.X.X时,选择该版本。

    • V2:镜像仓库版本为2.X.X及以上时,选择该版本。

    通信类型

    选择云安全中心与第三方镜像仓库的通信协议。可选项:

    • http

    • https

    网络类型

    选择第三方镜像仓库的网络类型。可选项:

    • 公网

    • VPC

    RegionId

    选择第三方镜像仓库所在区域。

    IP

    输入第三方镜像仓库的IP地址。如果您为第三方镜像配置了流量转发规则,您需要填写已配置了转发规则的ECS的IP地址。

    域名

    输入第三方镜像仓库的域名。

    限速

    选择每小时可接入的镜像个数。默认为10

    重要

    如果每小时内接入的镜像过多,可能会影响您的正常业务的运行,建议您谨慎选择无限制

    用户名

    输入访问第三方镜像仓库时使用的具有管理员权限的用户名。

    密码

    输入访问第三方镜像仓库的密码。

    Quay名称空间信息

    私有仓库类型选择quay时需要配置该参数。

    镜像仓库组织文本框输入镜像仓库组织的名称,在Auth_token文本框输入镜像仓库组织对应的Auth_token。

    您可以单击添加输入多条镜像仓库组织信息。

    接入第三方镜像仓库后,您可以在镜像安全扫描页面单击扫描设置,在扫描设置面板中查看已接入的镜像仓库信息。

镜像接入错误码

code

message

解决方案

FailedToVerifyUsernameOrPwd

用户名或密码验证失败

检查用户名、密码是否正确。

RegistryVersionError

镜像仓库版本错误

检查镜像仓的版本是否选择正确。

UserDoesNotHaveAdminRole

用户没有admin权限

前往harbor私服给用户添加管理员权限。

NetworkConnectError

网络超时,请检查网络

检查网络是否连通、80或443端口是否开放。

后续步骤

将镜像仓库接入到云安全中心后,您可以在资产中心查看受到云安全中心防护的镜像信息。具体操作,请参见查看容器安全状态

您还需要执行镜像安全扫描操作,才能通过云安全中心检测您的镜像是否存在风险。具体操作,请参见执行镜像安全扫描

阿里云首页 云安全中心 相关技术圈