Découvertes Docker

Les découvertes Docker permettent de lister un ensemble d’images Docker à partir d’un registre ou encore d’un déploiement existant. Les images Docker découvertes peuvent ensuite être ajoutées par une action groupée à Cyberwatch afin d’être scannées.

Oracle Cloud OKE

Prérequis

Les découvertes Oracle Cloud OKE requièrent :

  • un utilisateur appartenant à un groupe (nommé par exemple Compliance) avec une stratégie permettant de lister les clusters et d’accéder au contenu de chaque kubeconfig :

      Allow group Compliance to use cluster-family in tenancy

  • le rôle RBAC Kubernetes view associé au groupe de l’utilisateur sur chaque cluster via la commande suivante :

      kubectl create clusterrolebinding <binding_name> --clusterrole=view --group=<group_ocid>

Une alternative (non recommandée) pour ne pas avoir à associer le rôle RBAC Kubernetes view à chaque nouveau cluster est de définir la stratégie suivante pour le groupe :

Allow group Compliance to manage cluster-family in tenancy

En effet, cette stratégie donne l’équivalent du rôle RBAC Kubernetes cluster-admin sur tous les clusters.

Une fois le jeu d’identifiants créé depuis le menu Identifiants enregistrés prêt, vous pourrez créer la découverte Oracle Cloud OKE depuis le menu Découvertes, en cliquant sur le bouton Ajouter puis sur Oracle Cloud OKE dans la partie Images Docker.

Ajouter les images Docker découvertes

Depuis la liste des actifs découverts, vous pourrez voir et filtrer les images qui n’ont pas d’actifs associés. Pour les ajouter à Cyberwatch, vous pouvez sélectionner celles que vous souhaitez scanner et cliquer sur Actions groupées > Scanner comme images Docker.

L’ajout d’images Docker nouvellement découvertes à Cyberwatch peut être automatisé en activant l’enregistrement automatique depuis le formulaire d’édition de la découverte.

Le registre est automatiquement choisi à partir du nom de l’image découverte. Par exemple, une image example.com/library/hello utilisera automatiquement le registre Docker example.com, à condition cependant qu’il ait été ajouté en tant qu’identifiant enregistré. Si le registre est nouveau, un identifiant enregistré sera automatiquement créé et pourra être manuellement édité par la suite si une authentification est requise. Il est parfois possible d’indiquer un registre de préférence, mais il ne sera utilisé que pour les images découvertes dont le registre figurant dans le nom correspond avec le point d’entrée du registre.

Retour en haut

English Français Español