《OpenShift 4.x HOL教程汇总》
说明:本文已经在OpenShift 4.8环境中验证
当在OpenShift中安装好Red Hat Quey,Quey会为OpenShift提供镜像扫描功能,并在OpenShift Console不同区域中增加相关的菜单和页面来显示受安全漏洞影响的项目、镜像和Pod。
- 本文使用的Quay环境是根据《OpenShift 4 - 安装 ODF 并部署红帽 Quay (1 Worker)》一文安装的。也可参考《OpenShift 4 - 安装 ODF 并部署红帽 Quay (3 Worker)》一文,使用 Quay Operator单独安装Quay环境。
说明:在安装完 Quay 后会自动安装 Container Security Operator (如果没有自动安装,可手动安装),其实如果只对 OpenShift 用到镜像扫描,也可以只安装 Container Security Operator 即可。 - 可以在OpenShift中部署以下Pod以进行测试。
apiVersion: v1
kind: Pod
metadata:
name: high
labels:
cso-example: 'true'
spec:
containers:
- name: httpd
image: quay.io/operator-framework/httpd
- 在安装完后访问OpenShift控制台的“管理员”视图,可以在“主页”中的“概述”中的“状态”区域看到“Image Vulnerabilities”链接。点击该链接会弹出“Image Vulnerabilities breakdown”信息窗口,显示了该OpenShift集群中的镜像包含的安全漏洞数量和分布。
- 点击上图弹出窗口下方的“显示所有”链接跳转到“管理”的“Image Vulnerablilities”菜单,页面右方显示OpenShift集群访问的“镜像清单安全漏洞”。
- 在上图镜像列表中找到“redhat/quay@xxxxxxx”,然后点击进入链接。此时会显示该镜像相关的安全漏洞。
- 下方列表显示了所有的“安全漏洞”。
- 点击上图中的任意一个“名称”一列的链接,弹出新窗口跳转到Red Hat网站显示该漏洞的详细信息。
- 点击 (4)步的图中“受影响的Pod”栏目,将显示和该镜像相关的Pod列表。
- 点击上图的Pod列表中的“名称”一列下方的任一个链接,就进入到运行镜像的“Pod详情”页面。在其中的“Vulnerablities”中可以查看到该Pod内部的有漏洞的容器和对应的镜像。
- 另外还可进入OpenShift的某个特定“项目”,在“项目详情”中的“状态”区域查看和当前项目相关的“Image Vulnerabilities”数量。
- 进入上图“项目详情”中的“Vulnerabilities”栏目,会显示当前项目中包含Vulnerabilities的所有镜像列表。