Añadir integraciones a registros de imágenes externos
Los registros integrados admiten solo repositorios locales que contienen las imágenes directamente. En la versión 2.0, Kaspersky Container Security no admite el uso de repositorios remotos o virtuales.
Para añadir una integración a un registro externo:
- En la sección Administration → Integrations → Image registries, haga clic en el botón Add registry.
Se abre la ventana de configuración de la integración.
- En la pestaña Registry details, configure la conexión con el registro:
- Introduzca el nombre del registro.
- De ser necesario, introduzca una descripción del registro.
- Elija el tipo de registro en la lista desplegable. Kaspersky Container Security admite los siguientes tipos de registros:
- Harbor (integración mediante la API de Harbor V2)
- GitLab Registry (integración mediante la API de GitLab Container Registry)
- JFrog Artifactory (integración mediante la API de JFrog)
- Sonatype Nexus Repository OSS (integración mediante la API de Nexus)
- Yandex Registry (integración mediante la API de Yandex Container Registry)
- Docker Hub (integración mediante la API de Docker Hub)
- Docker Registry (integración mediante la API de Docker Registry V2)
- Red Hat Quay (integración mediante la API de Red Hat Quay)
- Amazon Elastic Container Registry (integración mediante la API de Amazon Elastic Container Registry)
Puede acceder a Docker Registry mediante la API de Docker Registry V2 si ha configurado la integración a Sonatype Nexus Repository OSS, Harbor, JFrog Artifactory (con un puerto o un subdominio) o Yandex Registry. Las integraciones a GitLab Registry, Docker Hub y JFrog Artifactory (con la ruta al repositorio) no son compatibles.
- Si configura la integración al registro de JFrog Artifactory, elija uno de los siguientes métodos en la lista desplegable Repository Path method para acceder a Docker:
- Repository path
- Subdomain
- Port
- Si configura la integración al registro de Sonatype Nexus Repository OSS, elija el modo de extracción Tagged images o All images. Si elige el modo All images, la solución extrae todas las imágenes del registro, tengan o no etiquetas. Las imágenes sin etiquetas se mostrarán con el hash de compilación.
- Si configura una integración a un registro de JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS, Docker Registry o Red Hat Quay, introduzca la dirección URL completa del registro que dirige al registro del contenedor. Recomendamos que utilice una conexión HTTPS (la conexión HTTP también es compatible).
Si utiliza una conexión HTTP o HTTPS con un certificado autofirmado o no válido, debe elegir la casilla de registro no seguro para el motor de Docker en los nodos donde se instale el servidor y se realice el análisis.
- Si configura una integración a un registro de JFrog Artifactory, Harbor, GitLab Registry, Sonatype Nexus Repository OSS o Red Hat Quay, introduzca la dirección URL completa que dirige a la API del registro.
- Elija un método de autenticación y especifique los datos necesarios de la siguiente manera:
- Si configura una integración a un registro de GitLab Registry, elija la autenticación mediante una cuenta o un token de acceso.
- Si configura una integración a un registro de Yandex Registry, elija la autenticación mediante una clave de API (token OAuth de Yandex) o un nombre de usuario con contraseña. Al usar el token de OAuth de Yandex, debe especificar el nombre de usuario oauth o iam si usa el token de Yandex IAM.
- Para los registros de Sonatype Nexus Repository OSS y Docker Hub, la autenticación solo se realiza con una cuenta.
- Para un registro de Harbor, la autenticación solo está permitida con una cuenta de usuario o robot.
- Para un registro de Docker, la autenticación solo está permitida con un usuario con contraseña, que proporciona la API de Docker V2.
- Para los registros de Red Hat Quay, el único método de autenticación es mediante el nombre de la organización y el token de acceso. Especifique estos parámetros en los campos Organization name y OAuth token.
- En el caso de Amazon Elastic Container Registry, puede autenticar una cuenta especificando la región, el ID de la clave de acceso y la clave de acceso a los secretos.
En el campo Region, debe especificar una de las regiones de Amazon Web Services (por ejemplo, us-west-2 o us-east-2).
Para la configuración de Access key ID y Access key, debe especificar los valores que puede recibir con la consola de administración de AWS.
- Diríjase a la pestaña Repository caching y utilice los botones Disabled/Enabled para activar la copia en caché de repositorios si es necesario. Si la copia en caché está desactivada, los repositorios y las imágenes en la sección Registry solo se mostrarán si se usa el campo Search. Si la copia en caché está activada, la solución muestra la lista de los repositorios e imágenes disponibles. De forma predeterminada, la copia en caché de repositorios está desactivada.
Activar la copia en caché de repositorios podría afectar al rendimiento de Kaspersky Container Security.
- Diríjase a la pestaña Image scan details y configure los siguientes parámetros para el análisis de imágenes:
- Tiempo de espera del análisis, en minutos, para las imágenes de este registro. El tiempo de espera predeterminado de análisis es de 60 minutos.
Si el análisis de la imagen tiene una duración mayor del tiempo especificado, el análisis se detiene y la imagen se devuelve a la cola de análisis. La solución pondrá la imagen en cola un máximo de 3 veces. Esto significa que el tiempo necesario para analizar una imagen del registro podría triplicarse.
Configuración de extracción y análisis de imágenes del registro. De forma predeterminada, la opción Manual está seleccionada en Pull and scan images: las imágenes no se extraen automáticamente del registro, sino que el usuario puede añadir imágenes de forma manual a la lista de imágenes para su análisis. Las nuevas imágenes se ponen en cola para su análisis automáticamente.
Si desea que las imágenes se extraigan del registro y se coloquen en cola para su análisis de forma automática, elija Automatic en Pull and scan images y configure la extracción y el análisis de imágenes. Las siguientes opciones están disponibles:
- Scan interval (days): período, en días, para la extracción de imágenes del registro para su análisis. El valor predeterminado es 1 día.
- Scan time (GMT): tiempo durante el cual se analizan las imágenes del registro.
- De ser necesario, debe elegir la casilla de verificación para volver a hacer un análisis de las imágenes extraídas anteriormente siempre que se analicen nuevas imágenes.
- De ser necesario, en Advanced settings, elija la casilla de verificación Name / tag criteria para usar el nombre de la imagen o los patrones de etiquetas a fin de especificar las imágenes que desee extraer y analizar. Si elige la casilla de verificación, Kaspersky Container Security solo extraerá las imágenes que coincidan con los patrones especificados para análisis.
Puede utilizar los siguientes patrones:
- nombre de imagen y etiqueta: <nombre><:etiqueta>
- solo nombre de imagen: <nombre>
- solo etiqueta: <:etiqueta>
Por ejemplo:
- Para el patrón
alpine
, se extraen todas las imágenes con el nombre "alpine", no importa cuál sea su etiqueta. - Para el patrón
4
, se extraen todas las imágenes con la etiqueta "4", no importa cuáles sean los nombres de las imágenes. - Para el patrón
alpine:4
, se extraen todas las imágenes que tengan el nombre "alpine" y la etiqueta "4".
Al generar patrones, puede usar el carácter * para reemplazar cualquier cantidad de caracteres.
Puede añadir uno o más patrones.
- Elija una de las siguientes condiciones para extraer imágenes:
- Si no desea aplicar ninguna condición adicional, elija No additional conditions.
- Si solo desea extraer las imágenes creadas en un plazo específico, elija esta opción y, en los campos a la derecha, especifique la duración del plazo y la unidad de medida. De forma predeterminada, el período es de 60 días.
- Si desea extraer únicamente las imágenes que tengan las etiquetas más recientes (a partir de la fecha de creación de la imagen), elija esta opción y, en el campo a la derecha, especifique la cantidad de etiquetas recientes de cada repositorio que desee considerar.
- De ser necesario, en Exceptions, elija las casillas de verificación para especificar las excepciones de la extracción de imágenes:
- Never pull images with the name/tag pattern: con los patrones nombre de imagen y etiqueta puede especificar las imágenes que se excluyen de la extracción y el análisis.
- Always pull images with the name/tag pattern: con los patrones nombre de imagen y etiqueta puede especificar las imágenes que se extraen y analizan siempre, sin importan otras condiciones establecidas anteriormente.
- Tiempo de espera del análisis, en minutos, para las imágenes de este registro. El tiempo de espera predeterminado de análisis es de 60 minutos.
- Haga clic en Test connection para verificar si se puede establecer una conexión con el registro.
- Haga clic en el botón Save, en la parte superior de la ventana, para guardar la configuración de la integración al registro.