Descubrimientos Docker

Los descubrimientos Docker permiten listar un conjunto de imágenes Docker a partir de un registro o de un despliegue existente. Las imágenes Docker descubiertas pueden añadirse luego mediante una acción masiva a Cyberwatch para ser escaneadas.

Kubernetes

Requisitos previos

Los descubrimientos Kubernetes requieren:

  • Un punto de entrada hacia la API de Kubernetes
  • Un modo de autenticación: Token de autenticación o Certificado de cliente
  • Credenciales con acceso al recurso Pods mediante el verbo list
  • Credenciales con acceso a los recursos namespaces/status y Pods/status mediante los verbos list y get para acceder al estado de los namespaces

Si dispone de un clúster Kubernetes, es posible escanearlo con Cyberwatch para listar todas las imágenes Docker desplegadas en él.

Los descubrimientos Kubernetes requieren un conjunto de credenciales Kubernetes, que puede crear desde el menú Credenciales registradas. La información esencial de conexión es (1) el punto de entrada a la API de Kubernetes, por ejemplo https://ip-del-cluster:6443, (2) el modo de autenticación, que será por Token de autenticación (típicamente un JWT) o por Certificado de cliente,

y (3) las credenciales requeridas por el modo de autenticación elegido.

El punto de entrada a la API de Kubernetes y el Token de autenticación pueden extraerse fácilmente de un YAML de configuración Kubernetes para una cuenta de servicio buscando las claves server: y token:.

Puede generar un Certificado de cliente siguiendo la documentación oficial.

Una vez listo el conjunto de credenciales, podrá crear el descubrimiento Kubernetes desde el menú Descubrimientos, haciendo clic en el botón Añadir y luego en Kubernetes en la sección Imágenes Docker.

Es posible ajustar el perímetro de un descubrimiento Kubernetes de diferentes maneras:

  • Listar las imágenes definidas en la configuración de los pods (las imágenes se referencian por tag)
  • Listar las imágenes en ejecución en el clúster (las imágenes se referencian por digest)
  • Listar los namespaces (las imágenes no se referenciarán)

Estos perímetros también están disponibles para los descubrimientos AKS, EKS y Rancher.

También es posible restringir el descubrimiento a un espacio de nombres. Esto

también está disponible para el descubrimiento Red Hat OpenShift.

Añadir las imágenes Docker descubiertas

Desde la lista de activos descubiertos, podrá ver y filtrar las imágenes que no tienen activos asociados. Para añadirlas a Cyberwatch, puede seleccionar las que desea escanear y hacer clic en Acciones masivas > Escanear como imágenes Docker.

La adición de imágenes Docker recién descubiertas a Cyberwatch puede automatizarse activando el registro automático desde el formulario de edición del descubrimiento.

El registro se elige automáticamente a partir del nombre de la imagen descubierta. Por ejemplo, una imagen example.com/library/hello utilizará automáticamente el registro Docker example.com, siempre que se haya añadido como credencial registrada. Si el registro es nuevo, se creará automáticamente una credencial registrada y luego podrá editarse manualmente si se requiere autenticación. A veces es posible indicar un registro preferente, pero solo se utilizará para las imágenes descubiertas cuyo registro en el nombre corresponda con el punto de entrada del registro.

Volver arriba

English Français Español