OpenShift 4 - 用Quay扫描OpenShift用到的镜像

已于 2023-01-03 22:03:50 修改
阅读量487 收藏
点赞数
分类专栏: 安全 Quay DevOps 文章标签: 安全 容器
于 2021-08-28 09:57:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/119963489
版权
DevOps 同时被 3 个专栏收录
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏
Quay
9 篇文章 1 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.8环境中验证

当在OpenShift中安装好Red Hat Quey,Quey会为OpenShift提供镜像扫描功能,并在OpenShift Console不同区域中增加相关的菜单和页面来显示受安全漏洞影响的项目、镜像和Pod。

  1. 本文使用的Quay环境是根据《OpenShift 4 - 安装 ODF 并部署红帽 Quay (1 Worker)》一文安装的。也可参考《OpenShift 4 - 安装 ODF 并部署红帽 Quay (3 Worker)》一文,使用 Quay Operator单独安装Quay环境。
    说明:在安装完 Quay 后会自动安装 Container Security Operator (如果没有自动安装,可手动安装),其实如果只对 OpenShift 用到镜像扫描,也可以只安装 Container Security Operator 即可
  2. 可以在OpenShift中部署以下Pod以进行测试。
apiVersion: v1
kind: Pod
metadata:
  name: high
  labels:
    cso-example: 'true'
spec:
  containers:
    - name: httpd
      image: quay.io/operator-framework/httpd
  1. 在安装完后访问OpenShift控制台的“管理员”视图,可以在“主页”中的“概述”中的“状态”区域看到“Image Vulnerabilities”链接。点击该链接会弹出“Image Vulnerabilities breakdown”信息窗口,显示了该OpenShift集群中的镜像包含的安全漏洞数量和分布。
    在这里插入图片描述
  2. 点击上图弹出窗口下方的“显示所有”链接跳转到“管理”的“Image Vulnerablilities”菜单,页面右方显示OpenShift集群访问的“镜像清单安全漏洞”。
    在这里插入图片描述
  3. 在上图镜像列表中找到“redhat/quay@xxxxxxx”,然后点击进入链接。此时会显示该镜像相关的安全漏洞。
    在这里插入图片描述
  4. 下方列表显示了所有的“安全漏洞”。
    在这里插入图片描述
  5. 点击上图中的任意一个“名称”一列的链接,弹出新窗口跳转到Red Hat网站显示该漏洞的详细信息。
    在这里插入图片描述
  6. 点击 (4)步的图中“受影响的Pod”栏目,将显示和该镜像相关的Pod列表。
    在这里插入图片描述
  7. 点击上图的Pod列表中的“名称”一列下方的任一个链接,就进入到运行镜像的“Pod详情”页面。在其中的“Vulnerablities”中可以查看到该Pod内部的有漏洞的容器和对应的镜像。
    在这里插入图片描述
  8. 另外还可进入OpenShift的某个特定“项目”,在“项目详情”中的“状态”区域查看和当前项目相关的“Image Vulnerabilities”数量。 在这里插入图片描述
  9. 进入上图“项目详情”中的“Vulnerabilities”栏目,会显示当前项目中包含Vulnerabilities的所有镜像列表。
    在这里插入图片描述
dawnsky.liu
关注
专栏目录
QuayOnOpenShift:在OpenShift上安装Quay
05-16
OpenShift上安装Quay 截至2018年5月29日,此处的说明已通过测试。 请注意,您将需要OpenShift Cluster Administrator的帮助来执行一些步骤。 步骤1:下载配置文件 下载以下配置文件。 wget https://coreos.com/quay-enterprise/docs/latest/tectonic/files/quay-enterprise-config-secret.yml wget https://coreos.com/quay-enterprise/docs/latest/tectonic/files/quay-enterprise-redis.yml wget https://coreos.com/quay-enterprise/docs/latest/tectonic/files/quay-enterprise-app-
Quay(0) - 安装一个单实例 Quay 环境
多恩斯基的博客
04-10 1195
本文使用 mirror-registry 开源项目安装一个单实例 RedHat Quay 环境。mirror-registry 开源项目是作为安装离线 OpenShift 使用的 Mirror Registry。
Openshift 4.4 静态 IP 离线安装系列:准备离线资源
sinat_28371057的博客
12-01 2978
本系列文章描述了离线环境下以 UPI (User Provisioned Infrastructure) 模式安装 Openshift Container Platform (OCP) 4.4.5 的步骤,我的环境是 VMware ESXI 虚拟化,也适用于其他方式提供的虚拟机或物理主机。离线资源包括安装镜像、所有样例 Image Stream 和 OperatorHub 中的所有 RedHat Operators。 本系列采用静态 IP 的方式安装 OCP 集群,如果你可以随意分配网络,建议采用 DHC
Openshift 4.4 静态 IP 离线安装系列:初始安装
sinat_28371057的博客
12-01 1134
Openshift 4.4 静态 IP 离线安装系列:初始安装 上篇文章准备了离线安装 OCP 所需要的离线资源,包括安装镜像、所有样例Image Stream和OperatorHub中的所有 RedHat Operators。本文就开始正式安装OCP(Openshift Container Platform) 集群,包括 DNS 解析、负载均衡配置、ignition配置文件生成和集群部署。 OCP安装期间需要用到多个文件:安装配置文件、Kubernetes 部署清单、Ignition 配...
OpenShift 4 - 在离线环境中用 oc-mirror 获取 OpenShift 和 Opeartor 的相关镜像
多恩斯基的博客
04-15 3117
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.10 环境中验证 $ curl -O https://mirror.openshift.com/pub/openshift-v4/clients/ocp/latest/oc-mirror.tar.gz $ tar -xvf oc-mirror.tar.gz $ chmod +x ./oc-mirror $ sudo mv ./oc-mirror /usr/local/bin/. $ oc-mirror list ope
Quay (2) - 镜像常规操作
多恩斯基的博客
07-25 1453
qemu-img create -f qcow2 -o size=50G katacoda-vm.qcow2 qemu-img info katacoda-vm.qcow2
OpenShift 4 - 基于 MinIO 安装 Red Hat Quay 镜像仓库
最新发布
多恩斯基的博客
08-17 523
本文适合在单机 OpenShift 环境安装 Red Hat Quay 镜像仓库。 另外《OpenShift 4 - 安装 ODF 并部署红帽 Quay (1 Worker)》也可以在单节点部署。 而《OpenShift 4 - 安装 ODF 并部署红帽 Quay (3 Worker)》可以在 3 节点的集群上部署。
OpenShift 4 - 安装 ODF 并部署红帽 Quay (3 Worker)
多恩斯基的博客
07-20 734
本安装过程要安装 OpenShift Data Foundation(ODF) + Quay 环境,因此需要一个至少有3个worker节点的正式 OpenShift 集群。
OpenShift 4 - DevSecOps Workshop (13) - 将镜像推送到Quay,并进行漏洞扫描
多恩斯基的博客
08-20 660
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 文章目录load image to QuayCreate Push-to-Quay task $ USER=$(oc whoami) $ DEV=${USER}-dev1 $ CICD=${USER}-cicd1 $ STAGE=${USER}-stage1 load image to Quay List item $ oc tag tekton-tasks:latest tekton-task
openshift4.7 DHCP方式在线安装
老菜的博客
04-09 1748
本文描述openshift4.7 baremental 在线安装方式,我的环境是 vmwamre esxi 虚拟化,也适用于其他方式提供的虚拟主机或者物理机。 本环境 3mater,2 worker 部署环境介绍 本此部署使用资源 方案还是采用高可用,比官方多了一个base节点,用来搭建部署需要的dns,pxe 等服务,这台系统用Centos7.6,因为centos解决源比较方便,等熟悉部署及所需安装包后可以换成RHEL。 其他机器都用RHCOS,就是coreos专门针对openshift的操作系统版本。通
container-security-operator:识别Kubernetes Pod中的图像漏洞
05-15
集装箱安全操作员 容器安全运营商(CSO)将Quay和Clair元数据带到Kubernetes / OpenShift。 从漏洞信息开始,范围将随着时间的推移而扩大。 如果它在OpenShift上运行,则OCP控制台内的相应漏洞信息。 容器安全操作员使集群管理员可以监视在其Kubernetes集群上运行的Pod中的已知容器映像漏洞。 控制器在指定名称空间中的Pod上设置监视,并在容器注册表中查询漏洞信息。 如果容器注册表支持图像扫描,例如 with ,那么操作员将在ImageManifestVuln对象中公开通过Kubernetes API找到的任何漏洞。 部署后,此Operator不需要任何其他配置,安装后将立即开始监视pod并填充ImageManifestVulns 。 ImageManifestVuln 扫描图像的安全性信息基于图像清单存储在ImageManifestVulns
Docker 从 Openshift 内部 Registry 拉镜像遇到 x509: certificate signed by unknown authority 错误的解决方案
weixin_52344179的博客
03-17 929
环境 Openshift 4.6 问题 Docker 从 Openshift 内部 Registry 拉镜像遇到 x509: certificate signed by unknown authority 错误 docker pull default-route-openshift-image-registry.apps.lab.example.com/ibm-spectrum-scale-ns/scale-gui:5.1.0.1 Trying to pull default-route-openshif
OpenShift — 部署 OKD 4.5
烟云的计算
01-01 4747
目录 文章目录目录文档资料服务器环境前期准备部署 Bastion Node基础配置安装 OpenShift CLI安装 openshift-install安装 ETCD安装 CoreDNS安装 HAProxy安装 Registry安装 Nginx准备 OpenShift Nodes 部署所需的配置文件部署 Bootstrap Node部署 Master Node部署 Worker NodeTroubleshootingWorker Node 镜像认证不通过 文档资料 官方文档:https://docs.
Quay (1) - 用Quay Operator配置Quay环境
多恩斯基的博客
07-22 1479
文章目录Quay介绍安装Red Hat Quay Operator配置Query运行环境访问Quay,操作镜像参考 Quay介绍 红帽 Quay 容器镜像仓库具有存储功能,可支持您轻松地构建、分布和部署容器。通过自动化、身份验证和授权系统,提高镜像存储库的安全性。Quay 既可搭配 OpenShift 使用,也可单独使用。 时间机器:Red Hat Quay提供了存储库中所有标签的两周可配置历史记录,并能够通过图像回滚将标签还原到以前的状态。 地域复制:连续的地理分布可提高性能,确保您的内容始终在最需要的
gcr.io镜像quay.io镜像加速配置示例
qq_39440086的博客
07-01 8720
一、gcr.io镜像加速 由于众所周知的原因,google镜像在国内是无法拉取的。我们可以使用中科大镜像进行拉取。 1.1 使用中科大镜像 我们拉取的google镜像是以下形式: docker pull gcr.io/xxx/yyy:zzz 那么使用中科大镜像,应该是这样拉取: docker pull gcr.mirrors.ustc.edu.cn/xxx/yyy:zzz 以拉取gcr.io/ku...
彻底解决 gcr、quay、DockerHub 镜像下载难题
云原生实验室
05-12 2207
在使用 Docker 和 Kubernetes 时,我们经常需要访问gcr.io和quay.io镜像仓库,由于众所周知的原因,这些镜像仓库在中国都无法访问,唯一能访问的是 Doc...
gcr.io和quay.io拉取镜像失败
weshzhu的专栏
12-21 2万+
k8s在使用编排(manifest)工具进行yaml文件启动pod时,会遇到官方所给例子中spec.containers.image包含: quay.io/coreos/* gcr.io/google_containers/* 也就是说,从quay.io和gcr.io进行镜像拉取,我们知道,国内访问外网是被屏蔽了的。可以将其替换为 quay-mirror.qiniu.com 和 registry...
k8s拉取镜像失败问题解决办法
qq_38359135的博客
04-19 4262
解决从k8s.gcr.io/gcr.io/quay.io等地址拉取镜像失败问题 Kubernetes:如何解决从k8s.gcr.io拉取镜像失败问题
无法愉快拉取 gcr.io、quay.io、ghcr.io 容器镜像?手把手教你用魔法来打败魔法
热门推荐
easylife206的专栏
05-13 3万+
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !目前常用的 Docker Registry 公开服务有:docker.io:Docker Hub 官方镜像仓库,也是 Docker 默认的仓库gcr.io、k8s.gcr.io:谷歌镜像仓库quay.io:Red Hat 镜像仓库ghcr.io:GitHub 镜像仓库当使用dock...
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值