Descubrimientos Docker

Los descubrimientos Docker permiten listar un conjunto de imágenes Docker a partir de un registro o de un despliegue existente. Las imágenes Docker descubiertas pueden posteriormente añadirse mediante una acción grupal a Cyberwatch para ser escaneadas.

Kubernetes

Requisitos previos

Los descubrimientos Kubernetes requieren:

  • Un punto de entrada hacia la API de Kubernetes
  • Un modo de autenticación: Token de autenticación o Certificado de cliente
  • Credenciales que puedan acceder al recurso Pods mediante el verbo list
  • Credenciales que puedan acceder a los recursos namespaces/status y Pods/status mediante los verbos list y get para tener acceso al estado de los namespaces

Si dispone de un clúster Kubernetes, es posible escanearlo con Cyberwatch para listar todas las imágenes Docker que están desplegadas en él.

Los descubrimientos Kubernetes requieren un conjunto de credenciales Kubernetes, que puede crear desde el menú Identificadores registrados. La información de conexión esencial es (1) el punto de entrada hacia la API de Kubernetes, por ejemplo https://ip-del-cluster:6443, (2) el modo de autenticación, que será por Token de autenticación (típicamente un JWT) o por Certificado de cliente, y (3) las credenciales requeridas por el modo de autenticación elegido.

El punto de entrada hacia la API de Kubernetes y el Token de autenticación pueden extraerse fácilmente de un YAML de configuración de Kubernetes para una cuenta de servicio buscando las claves server: y token:.

Puede generar un Certificado de cliente siguiendo la documentación oficial.

Una vez listo el conjunto de credenciales, podrá crear el descubrimiento Kubernetes desde el menú Descubrimientos, haciendo clic en el botón Añadir y luego en Kubernetes en la sección Imágenes Docker.

Es posible ajustar el perímetro de un descubrimiento Kubernetes de diferentes maneras:

  • Listar las imágenes definidas en la configuración de los pods (las imágenes se referencian entonces por tag)
  • Listar las imágenes en curso de ejecución en el clúster (las imágenes se referencian entonces por digest)
  • Listar los namespaces (las imágenes no estarán referenciadas)

Estos perímetros también están disponibles para los descubrimientos de AKS, EKS y Rancher.

También es posible restringir el descubrimiento a un espacio de nombres. Esto también está disponible para el descubrimiento de Red Hat OpenShift.

Añadir las imágenes Docker descubiertas

Desde la lista de activos descubiertos, podrá ver y filtrar las imágenes que no tienen activos asociados. Para añadirlas a Cyberwatch, puede seleccionar aquellas que desee escanear y hacer clic en Acciones grupales > Escanear como imágenes Docker.

La adición de imágenes Docker recién descubiertas a Cyberwatch puede automatizarse activando el registro automático desde el formulario de edición del descubrimiento.

El registro se selecciona automáticamente a partir del nombre de la imagen descubierta. Por ejemplo, una imagen example.com/library/hello utilizará automáticamente el registro Docker example.com, siempre que haya sido añadido como un identificador registrado. Si el registro es nuevo, se creará automáticamente un identificador registrado y podrá ser editado manualmente posteriormente si se requiere autenticación. A veces es posible indicar un registro preferido, pero solo se utilizará para las imágenes descubiertas cuyo registro en el nombre coincida con el punto de entrada del registro.

Volver arriba

English Français Español