Container-Images scannen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Aktivieren Sie das Scannen von Containerbildern mit dem Tool Aqua Trivy.

    Vorbereitungen

    Hinweis:
    Das Muster unterstützt nur das Linux-Betriebssystem und wird unter Linux MID-Serverausgeführt.
    Überprüfen Sie das folgende Setup:
    • Muster für Discovery und Service-Mapping, ab 1.7.0 (Store-Release vom August 2023).
    • CMDB CI-Klassenmodell, ab 1.43.0.
    • Visibility Content, ab 6.7.2.
    • MID-Server Anforderungen: 8 GB RAM mit 4 GB JVM und Fähigkeit zum Scannen von Container-Images.
    • Damit der Scanvorgang für Container-Images erfolgreich ausgeführt werden kann, stellen Sie sicher, dass alle MID Servers in Ihrer Umgebung für bestimmte Fähigkeiten konfiguriert und nicht auf Allefestgelegt sind. Weitere Informationen zum Konfigurieren von Fähigkeiten finden Sie unter MID Server capabilities.
    • Aqua Trivy ab 0.44.0 ist auf MID-Serverinstalliert. Die letzte validierte Version ist 0.51.0. Weitere Informationen zur Installation von Aqua Trivyfinden Sie im Artikel Übersicht über die Scan-Funktion für Container-Images [KB1218504] in Now Support Knowledge Base.
    • Zum Sammeln von Datensätzen für das Container-Image [ Docker oder Kubernetes ] müssen Sie zuerst die Discovery Docker oder Kubernetes ausführen, bevor Sie die Funktion zum Scannen von Container-Images aktivieren. Weitere Informationen finden Sie unter Erkennung von Kubernetes und Docker-Virtualisierung.
    • Ab Muster für Discovery und Service-Mapping Version 1.18.0 unterstützt die Funktion Container-Image-Scan außerdem Folgendes:
      • Verwenden eines Proxy-Servers MID-Server zum Scannen der Containerbilder in den folgenden Repositorys: öffentliche, selbstgehostete private und Amazon Elastic Container Registry-Repositorys (Amazon ECR). Um einen Proxy MID-Serverzu verwenden, stellen Sie sicher, dass die Proxy-Parameter MID-Server richtig konfiguriert sind. Weitere Informationen finden Sie unter MID Server parameters.
      • Container-Images in selbst gehosteten privaten Repositorys werden gescannt. Um diese Repositorys zu scannen, müssen Sie Anmeldeinformationen für das Container-Image-Repository erstellen. Weitere Informationen finden Sie unter Create and test your credentials und Container image repository credentials.
      • Bilddatensätze aus Amazon ECR werden in öffentlichen und privaten Repositorys gesammelt. Um diese Amazon ECR-Bilddatensätze zu sammeln, müssen Sie zuerst die ECS-Ressourcen-Discovery Amazon ausführen, bevor Sie den Container-Image-Scan aktivieren. Das Cloud-Servicekonto AWS, das für die ECS-Ressourcen-Discovery Amazon erstellt wurde, wird auch für den Container-Image-Scan verwendet. Weitere Informationen zur Erkennung von ECS-Ressourcen [ Amazon finden Sie unter Discovery von Amazon-ECS-Ressourcen.

    Erforderliche Rolle: admin

    Prozedur

    1. Aktivieren Sie den Container-Image-Scan Muster für Discovery und Service-Mapping, indem Sie die Systemeigenschaft festlegen.
      1. Geben Sie im Navigationsfilter sys_properties.list ein.
      2. Geben Sie im Suchfeld Namesn_itom_pattern.container_image_scanein.
      3. Legen Sie den Wert auf true fest.
    2. Geben Sie in der URL-Leiste Folgendes ein:<instance> .service-now.com/sn_itom_pattern_container_image_scan_status_list.do, um den Scan-Status der Images zu überprüfen.
    3. Wählen Sie den Image-Datensatz aus, um die Tabelle „Container-Image-BS-Pakete“ zu überprüfen.

    Ergebnisse

    Das Muster „Container-Image scannen“ findet die Image-BS-Pakete und erstellt Anwendungsdatensätze basierend auf der CI-Klasse des Images. Die Tabelle „Containerimage BS-Pakete“ befindet sich im Image-Datensatz. Das Muster erstellt auch Beziehungen zwischen den Configuration Items. Weitere Informationen zu den gesammelten Daten finden Sie unter Container-Image-Discovery.